Privacidad de datos de Amazon
Política de protección de datos
La Política de protección de datos ("DPP") rige la recepción, el almacenamiento, el uso, la transferencia y la eliminación de la información, incluidos los datos vendidos y recuperados a través de la API de servicios de Amazon (incluida la API del servicio web Marketplace). Esta política se aplica a todos los sistemas que almacenan, procesan o manejan de otro modo datos vendidos y recuperados de la API de servicios de Amazon. Esta Política complementa la Acuerdo para desarrolladores de API de servicios de Amazon y el Política de uso aceptable. El incumplimiento de este DPP puede resultar en la suspensión o terminación del acceso a la API de servicios de Amazon de acuerdo con el Acuerdo de desarrollador de API de servicios de Amazon.
1. Requisitos generales de seguridad
De acuerdo con la seguridad líder en la industria, los Desarrolladores mantendrán salvaguardas físicas, administrativas y técnicas, y otras medidas de seguridad (i) para mantener la seguridad y confidencialidad de la Información a la que un Desarrollador accede, recopila, utiliza, almacena o transmite, y (ii) para proteger esa Información de amenazas o peligros conocidos o razonablemente anticipados para su seguridad e integridad, pérdida accidental, alteración, divulgación y todas otras formas ilegales de procesamiento. Sin limitación, el Desarrollador cumplirá con los siguientes requisitos:
1.1 Protección de la Red. Los desarrolladores deben implementar controles de protección de la red, incluidos firewalls de red y listas de control de acceso a la red para denegar el acceso a direcciones IP no autorizadas. Los desarrolladores deben implementar segmentación de red, mecanismos de detección y prevención de intrusiones (incluidos métodos de defensa en profundidad para complementar los conjuntos de reglas de un firewall y el uso de mecanismos basados en patrones de firma IDS y/o IPS para identificar y prevenir comportamientos maliciosos que transiten por la red) y herramientas antivirus y antimalware periódicamente (al menos mensualmente). Los desarrolladores deben restringir el acceso a los sistemas solo a empleados internos aprobados que tengan responsabilidades de codificación y desarrollo, y que hayan completado previamente capacitaciones sobre protección de datos y seguridad de TI ("Usuarios aprobados"). Los desarrolladores deben mantener prácticas de codificación seguras y realizar capacitaciones sobre protección de datos y concientización sobre seguridad de TI para usuarios aprobados al menos una vez al año.
1.2 Gestión de Acceso. Los desarrolladores deben establecer un proceso formal de registro de acceso de usuarios para asignar derechos de acceso para todos los tipos de usuarios y servicios, garantizando que se asigne una identificación única a cada persona con acceso informático a la Información. Los desarrolladores no deben crear ni utilizar cuentas de usuario o credenciales de inicio de sesión genéricas, compartidas o predeterminadas y evitar que se compartan cuentas de usuario. Los desarrolladores deben implementar mecanismos de referencia para garantizar que en todo momento solo las cuentas de usuario requeridas accedan a la información. Los desarrolladores deben impedir que los empleados y contratistas almacenen información en dispositivos personales. Los desarrolladores mantendrán y aplicarán el "bloqueo de cuenta" detectando patrones de uso anómalos e intentos de inicio de sesión, y deshabilitando cuentas con acceso a la información. Los desarrolladores deberán revisar la lista de personas y servicios con acceso a la Información al menos trimestralmente. Los desarrolladores deben asegurarse de que el acceso se deshabilite y/o elimine dentro de las 24 horas para los empleados despedidos.
1.3 Principio de privilegio mínimo. Los desarrolladores deben implementar mecanismos de control de acceso detallados para permitir otorgar derechos a cualquier parte que utilice la Aplicación y a los operadores autorizados de la Aplicación siguiendo el principio de privilegio mínimo. El acceso a la información debe otorgarse según la "necesidad de saber".
1.4 Gestión de credenciales. Los desarrolladores deben establecer requisitos mínimos de contraseñas para el personal y los sistemas con acceso a la Información. Los requisitos de contraseña deben tener un mínimo de doce (12) caracteres, no incluir ninguna parte del nombre del usuario, combinación de letras mayúsculas, minúsculas, números y caracteres especiales, incluidos los requisitos mínimos para cada uno. Los desarrolladores deben establecer una antigüedad mínima de la contraseña de 1 día y una caducidad máxima de la contraseña de 365 días para todos los usuarios. Los desarrolladores deben asegurarse de que se requiera autenticación multifactor (MFA) para todas las cuentas de usuario. Los desarrolladores deben asegurarse de que las claves API proporcionadas por Amazon estén cifradas y que solo los empleados necesarios tengan acceso a ellas.
1.5 Cifrado en Tránsito. Los desarrolladores deben cifrar toda la información en tránsito con protocolos seguros como TLS 1.2+, SFTP y SSH-2. Los desarrolladores deben hacer cumplir este control de seguridad en todos los puntos finales internos y externos aplicables. Los desarrolladores deben utilizar cifrado a nivel de mensajes de datos donde el cifrado de canal (por ejemplo, mediante TLS) termina en hardware multiinquilino que no es de confianza (por ejemplo, servidores proxy que no son de confianza).
1.6 Plan de Gestión de Riesgos y Respuesta a Incidentes. Los desarrolladores deben tener un proceso de evaluación y gestión de riesgos que sea revisado anualmente por la alta dirección del desarrollador, que incluye, entre otros, la evaluación de posibles amenazas y vulnerabilidades, así como la probabilidad y el impacto para realizar un seguimiento de los riesgos conocidos. Los desarrolladores deben crear y mantener un plan y/o runbook para detectar y manejar incidentes de seguridad. Dichos planes deben identificar las funciones y responsabilidades de respuesta a incidentes, definir los tipos de incidentes que pueden afectar a Amazon, definir procedimientos de respuesta a incidentes para tipos de incidentes definidos y definir una ruta de escalada y procedimientos para escalar los Incidentes de Seguridad a Amazon. Los desarrolladores deben revisar y verificar el plan cada seis (6) meses y después de cualquier cambio importante en la infraestructura o el sistema, incluidos cambios en el sistema, controles, entornos operativos, niveles de riesgo y cadena de suministro. Los desarrolladores deben notificar a Amazon (por correo electrónico a security@amazon.com) dentro de las 24 horas siguientes a la detección de un Incidente de Seguridad. Es responsabilidad exclusiva del Desarrollador informar a las agencias gubernamentales o reguladoras pertinentes según lo exigen las leyes locales aplicables. Los desarrolladores deben investigar cada incidente de seguridad y documentar la descripción del incidente, las acciones correctivas y los controles del sistema/proceso correctivo asociados implementados para evitar que se repita en el futuro. Los desarrolladores deben mantener la cadena de custodia de todas las pruebas o registros recopilados, y dicha documentación debe ponerse a disposición de Amazon previa solicitud (si corresponde). Si se ha producido un Incidente de seguridad, los Desarrolladores no pueden representar ni hablar en nombre de Amazon ante ninguna autoridad reguladora o cliente, a menos que Amazon solicite específicamente por escrito que el Desarrollador lo haga.
1.7 Solicitud de Eliminación. Los desarrolladores deben eliminar la Información de forma permanente y segura según el aviso de Amazon que requiere la eliminación dentro de los 30 días posteriores a las solicitudes de Amazon, a menos que los datos sean necesarios para cumplir con requisitos legales, incluidos requisitos fiscales o regulatorios. La eliminación segura debe realizarse de acuerdo con los procesos de desinfección estándar de la industria, como NIST 800-88. Los desarrolladores también deben eliminar de forma permanente y segura todas las instancias de Información activas (en línea o accesibles en la red) 90 días después del aviso de Amazon. Si Amazon lo solicita, el Desarrollador certificará por escrito que toda la Información ha sido destruida de forma segura.
1.8 Atribución de datos. Los desarrolladores deben almacenar información en una base de datos separada o implementar un mecanismo para etiquetar e identificar el origen de todos los datos en cualquier base de datos que contenga información.
2. Requisitos de seguridad adicionales específicos de la información de identificación personal
Se deben cumplir los siguientes requisitos de seguridad adicionales para la información de identificación personal ("PII"). La PII se otorga a los Desarrolladores para determinados fines de impuestos y envíos gestionados por el comerciante, de forma imprescindible. Si una API de servicios de Amazon contiene PII, o la PII se combina con otra que no es PII, entonces todo el almacén de datos debe cumplir con los siguientes requisitos:
2.1 Retención de Datos. Los desarrolladores conservarán la PII durante no más de 30 días después de la entrega del pedido y solo con el fin y durante el tiempo que sea necesario para (i) cumplir con los pedidos, (ii) calcular y remitir impuestos, (iii) producir facturas de impuestos y otros documentos legalmente requeridos, y (iv) cumplir con los requisitos legales, incluidos los impuestos o los requisitos regulatorios. Los desarrolladores pueden conservar datos durante más de 30 días después de la entrega del pedido solo si así lo exige la ley y solo con el fin de cumplir con esa ley. Según las secciones 1.5 (“Cifrado en tránsito”) y 2.4 (“Cifrado en reposo”) en ningún momento se debe transmitir o almacenar la PII sin protección.
2.2 Gobernanza de datos. Los desarrolladores deben crear, documentar y cumplir con una política de clasificación y manejo de datos y privacidad para sus Aplicaciones o servicios, que rigen la conducta adecuada y los controles técnicos que se aplicarán en la gestión y protección de los activos de información. Se debe mantener un registro de las actividades de procesamiento de datos, como campos de datos específicos y cómo se recopilan, procesan, almacenan, usan, comparten y eliminan para toda la PII, para establecer la responsabilidad y el cumplimiento de las regulaciones. Los desarrolladores deben establecer un proceso para detectar y cumplir con las leyes de privacidad y seguridad y los requisitos reglamentarios aplicables a su negocio y conservar evidencia documentada de su cumplimiento. Los desarrolladores deben establecer y cumplir con su política de privacidad para obtener el consentimiento del cliente y los derechos de datos para acceder, rectificar, borrar o dejar de compartir/procesar su información cuando corresponda o lo exija la regulación de privacidad de datos. Los desarrolladores deben contar con procesos y sistemas técnicos y organizativos implementados para ayudar a los Usuarios Autorizados con las solicitudes de acceso de los interesados. Los desarrolladores deben incluir disposiciones contractuales en los contratos laborales con empleados que procesan PII para mantener la confidencialidad de la PII.
2.3 Gestión de Activos. Los desarrolladores deben mantener una configuración estándar básica para los sistemas de información e instalar parches, actualizaciones, correcciones de defectos y mejoras de forma regular. Los desarrolladores deben mantener y actualizar trimestralmente un inventario preciso de software y activos físicos (por ejemplo, computadoras, dispositivos móviles) con acceso a PII, que debe incluir todos los dispositivos en el entorno del desarrollador junto con el estado de mantenimiento de cada dispositivo para garantizar el cumplimiento con la línea de base. Los desarrolladores deben mantener un proceso de gestión de cambios para todos los sistemas de información, de modo que el software y el hardware con acceso a la PII se prueben, verifiquen y aprueben, con una segregación de funciones entre los aprobadores de cambios y aquellos que prueban los cambios antes de la implementación. Los activos físicos que almacenan, procesan o manejan PII deben cumplir con todos los requisitos establecidos en esta política. Los desarrolladores no deben almacenar PII en medios extraíbles, dispositivos personales o aplicaciones de nube pública no seguras (por ejemplo, enlaces públicos disponibles a través de Google Drive) a menos que esté cifrada utilizando claves de al menos AES-128 o RSA-2048 bits o superiores. Los desarrolladores deben deshacerse de forma segura de cualquier documento impreso que contenga PII. Los desarrolladores deben implementar controles de prevención de pérdida de datos (DLP) para monitorear y detectar movimientos no autorizados de datos.
2.4 Cifrado en reposo. Los desarrolladores deben cifrar toda la PII en reposo utilizando al menos AES-128 o RSA con un tamaño de clave de 2048 bits o superior. Los materiales criptográficos (por ejemplo, claves de cifrado/descifrado) y las capacidades criptográficas (por ejemplo, demonios que implementan módulos de plataforma segura virtuales y proporcionan API de cifrado/descifrado) utilizados para el cifrado de la PII en reposo solo deben ser accesibles para los procesos y servicios del Desarrollador.
2.5 Prácticas de codificación segura. Los desarrolladores no deben codificar credenciales confidenciales en su código, incluidas claves de cifrado, claves de acceso secretas o contraseñas. Las credenciales confidenciales no deben exponerse en repositorios de códigos públicos. Los desarrolladores deben mantener entornos de prueba y producción separados.
2.6 Registro y Monitoreo. Los desarrolladores deben recopilar registros para detectar eventos relacionados con la seguridad de sus Aplicaciones y sistemas, incluido el éxito o fracaso del evento, la fecha y hora, los intentos de acceso, los cambios de datos y los errores del sistema. Los desarrolladores deben implementar este mecanismo de registro en todos los canales (por ejemplo, API de servicio, API de capa de almacenamiento, paneles administrativos) que brindan acceso a la información. Los desarrolladores deben revisar los registros en tiempo real (por ejemplo, la herramienta SIEM) o quincenalmente. Todos los registros deben tener controles de acceso para evitar cualquier acceso no autorizado y manipulación durante su ciclo de vida. Los registros no deben contener PII a menos que la PII sea necesaria para cumplir con requisitos legales, incluidos requisitos fiscales o regulatorios. A menos que la ley aplicable exija lo contrario, los registros deben conservarse durante al menos 90 días como referencia en caso de un incidente de seguridad. Los desarrolladores deben crear mecanismos para monitorear los registros y todas las actividades del sistema para activar alarmas de investigación sobre acciones sospechosas (por ejemplo, múltiples llamadas no autorizadas, tasa de solicitudes inesperadas y volumen de recuperación de datos, y acceso a registros de datos canarios). Los desarrolladores deben implementar alarmas y procesos de monitoreo para detectar si la información se extrae o se puede encontrar más allá de sus límites protegidos. Los desarrolladores deben realizar una investigación cuando se activan las alarmas de monitoreo, y esto debe documentarse en el Plan de respuesta a incidentes del desarrollador.
2.7 Gestión de vulnerabilidades. Los desarrolladores deben crear y mantener un plan y/o runbook para detectar y remediar vulnerabilidades. Los desarrolladores deben proteger el hardware físico que contiene PII de vulnerabilidades técnicas realizando análisis de vulnerabilidades y remediando adecuadamente. Los desarrolladores deben realizar escaneos de vulnerabilidades al menos cada 180 días, pruebas de penetración al menos cada 365 días y escanear el código en busca de vulnerabilidades antes de cada lanzamiento. Los desarrolladores deben contar con procedimientos y planes adecuados para restaurar la disponibilidad y el acceso a la PII de manera oportuna en caso de un incidente físico o técnico.
3. Auditoría y Evaluación
Los desarrolladores deben mantener todos los libros y registros apropiados que sean razonablemente necesarios para verificar el cumplimiento de la Política de uso aceptable, este DPP y el Acuerdo para desarrolladores de API de servicios de Amazon durante el período de este acuerdo y durante los 12 meses posteriores. Tras la solicitud por escrito de Amazon, los Desarrolladores deben certificar por escrito a Amazon que cumplen con estas políticas.
Previa solicitud razonable, Amazon puede, o puede hacer que una firma de contadores públicos certificados independiente seleccionada por Amazon, audite, evalúe e inspeccione los libros, registros, instalaciones, operaciones y seguridad de todos los sistemas que están involucrados con la Aplicación de un Desarrollador en la recuperación, almacenamiento o procesamiento de Información. Amazon mantendrá confidencial cualquier información no pública divulgada por un Desarrollador como parte de esta auditoría, evaluación o inspección que esté designada como confidencial o que, dada la naturaleza de la información o las circunstancias que rodean su divulgación, razonablemente deba considerarse confidencial. Los Desarrolladores deben cooperar con Amazon o el auditor de Amazon en relación con la auditoría o evaluación, que puede ocurrir en las instalaciones del Desarrollador y/o en las instalaciones del subcontratista. Si la auditoría o evaluación revela deficiencias, incumplimientos y/o incumplimiento de nuestros términos, condiciones o políticas, el Desarrollador debe, a su exclusivo costo y gasto, tomar todas las acciones razonablemente necesarias para remediar esas deficiencias dentro de un plazo acordado. Previa solicitud, el Desarrollador debe proporcionar evidencia de remediación en la forma solicitada por Amazon (que puede incluir políticas, documentos, capturas de pantalla o uso compartido de pantalla de cambios en la aplicación o la infraestructura) y obtener aprobación por escrito de la evidencia presentada por parte de Amazon antes del cierre de la auditoría.
4. Definiciones
"API de servicios de Amazon" significa cualquier interfaz de programación de aplicaciones (API) ofrecida por Amazon con el fin de ayudar a los usuarios autorizados de Amazon a intercambiar datos mediante programación.
"Materiales API" significa los Materiales que ponemos a disposición en relación con la API de Servicios de Amazon, incluidas API, documentación, especificaciones, bibliotecas de software, kits de desarrollo de software y otros materiales de soporte, independientemente del formato.
"Aplicación" significa una aplicación de software o sitio web que interactúa con la API de Servicios de Amazon o los Materiales de API.
"Usuario autorizado" significa un usuario de los sistemas o servicios de Amazon que ha sido específicamente autorizado por Amazon para utilizar los sistemas o servicios aplicables.
“Contenido” significa obras sujetas a derechos de autor según la ley aplicable y contenido protegido según la ley aplicable.
"Cliente" significa cualquier persona o entidad que haya comprado artículos o servicios en los sitios web públicos de Amazon.
"Desarrollador" significa cualquier persona o entidad (incluido usted, si corresponde) que utiliza la API de Servicios de Amazon o los Materiales de API para un Uso Permitido en nombre de un Usuario Autorizado.
"Información" significa cualquier información que esté expuesta a través de la API de servicios de Amazon, los portales de Amazon o los sitios web públicos de Amazon. Estos datos pueden ser públicos o no públicos, incluida la información de identificación personal sobre los clientes de Amazon.
“Materiales” significa software, datos, texto, audio, video, imágenes u otro Contenido.
"Información de identificación personal" ("PII") significa información que puede usarse por sí sola o con otra información para identificar, contactar, identificar en contexto o localizar a un Cliente o Usuario Autorizado de Amazon. Esto incluye, entre otros, el nombre, la dirección, la dirección de correo electrónico, el número de teléfono, el contenido del mensaje de regalo, las respuestas a encuestas, los detalles de pago, las compras, las cookies, la huella digital (por ejemplo, el navegador, el dispositivo del usuario) de un Cliente o Usuario Autorizado, o el identificador de producto del dispositivo conectado a Internet.
"Incidente de seguridad" significa cualquier acceso, recopilación, adquisición, uso, transmisión, divulgación, corrupción o pérdida no autorizada, real o sospechada, de Información, o violación de cualquier entorno que contenga Información.