Amazon Services China
亚马逊商城网络服务(亚马逊 MWS)文档
亚马逊 MWS 文档

数据保护政策

“数据保护政策”规范了通过商城API(包括商城网络服务API)得到的和检索的数据的处理(例如:接收,存储,使用,传输和处置)。本政策是亚马逊商城开发者协议可接受的使用政策的补充。不遵守可能导致暂停或终止商城API访问权限。

"应用程序"是指接入商城API的软件应用程序或网站。

"亚马逊信息"是指任何通过商城API,卖家中心或Amazon.com得到的信息。这些数据可以是公开的(在Amazon.com上)或非公开的,包括亚马逊客户的个人身份信息。

"客户"是指从亚马逊面向公众的网站购买商品或服务的任何人或实体。

"开发者"是指使用商城 API将第三方卖家系统与亚马逊允许通过商城 API 访问的特性和功能集成或增强的任何个人或实体(包括您,如果适用)。

"个人身份信息"是指以电子或者其他方式记录的能够单独或者结合其他信息以识别、联系或定位个人(比如:买家或卖家),或通过文字来辨认个人。这包括但不仅限于个人买家或卖家的姓名、地址、电子邮件地址、电话号码、礼品消息内容、调查回复、付款详细信息、购物信息、Cookie、电子指纹(例如:浏览器,设备指纹)、IP地址、地理位置或互联网连接的设备产品标识符。

"安全事件"指任何确定的或可疑的未经授权的访问、收集、获取、使用、传输、披露、损坏或丢失亚马逊信息,或破坏任何以下环境(i)包含亚马逊信息的环境,或(ii)由开发者管理的控件,该控件与受保护的亚马逊信息的控件大致相似。

"卖家"是指在亚马逊公众网站上销售的任何个人或实体(包括您,如果适用)。

一般安全要求

与当前行业领先安全标准保持一致,并符合其他亚马逊根据亚马逊信息分类和敏感性所特定的要求,开发者将要维护物理,管理和技术防护设施以及其他安全措施(i)维护开发者访问、收集、使用、存储或传输亚马逊信息的安全性和机密性,和(ii)保护信息免受已知的或合理预估的威胁或对其安全和完整性、意外丢失、更改、披露和其他非法处理形式的危害。没有限制条件下,开发者将遵守以下要求:

  1. 网络保护。开发者必须部署网络保护控制 (例如:亚马逊虚拟私有云子网/安全组,网络防火墙) 以拒绝访问未经授权的IP地址。
  2. 访问管理。开发者必须为具有计算机访问亚马逊信息权限的每个人分配独一的ID。开发者不得创建或使用常用的,共享的,或默认的登录凭证或用户账户。开发者必须实施基线机制,以确保始终只有需要的用户才能访问亚马逊信息。开发者必须定期(至少每个季度)查看可访问亚马逊信息的人员和服务列表,并删除不再需要访问权限的账户。开发者通过检测异常使用模式和登录尝试以及根据需要禁止账户访问亚马逊信息的方式来维护和强制“账户锁定”。
  3. 传输中加密。开发者必须加密传输中的所有亚马逊信息(例如:当数据遍历网路,或以其他方式在主机之间发送时)。这可以通过HTTP 加TLS (HTTPS)协议来实现。开发者必须对其客户使用的所有外部端点以及内部通信通道(比如:存储层节点之间的数据传播通道,与外部依赖关系的连接)和操作工具强制执行此安全控制。开发者必须禁用在传输中未提供加密的通信信道,即使该信道还未使用(例如:删除相关的死代码,仅使用加密信道配置依赖关系,以及限制只可以通过加密信道访问登陆凭证)。开发者必须使用数据消息级加密 (例如,使用AWS 加密 SDK),此信道加密(例如:使用TLS)在不可信的多租户硬件(例如,不可信的代理)中会终止。
  4. 事件响应计划。 开发者必须创建并维护一个计划和/或操作手册,以检测和处理安全事件。此类计划必须确定事件响应角色和职责,定义可能影响亚马逊的事件类型,定义事件原因检测的响应流程,并定义升级路径和将安全事件升级到亚马逊的流程。开发者必须每6个月以及在任何重大基础架构或系统更改后审核并验证此类计划。开发者必须调查每个安全事件,并书面记录事件描述、修复操作、以及实施的相关纠正过程/系统控制,以防止将来再次发生(如果适用)。开发者必须维护所收集的所有证据或记录的监管链,此类文档(如果适用)必须根据要求提供给亚马逊。

    开发者必须在发现安全事件24小时内告知亚马逊(通过邮件 security@amazon.com) 。除非亚马逊特别以书面形式要求开发者这样做,否则开发者不能代表亚马逊通知任何监管机构或任何客户。在向任何一方提供任何通知之前,亚马逊保留审查和批准该通知的形式和内容的权利。当开发者的数据被要求回应法律程序或相关法律要求时,开发者必须在24小时内通知亚马逊。

  5. 要求删除或退回。 开发者必须及时(但在亚马逊请求后不超过72小时内)、永久地、和安全地删除(根据行业标准的清理流程,例如NIST 800-88)或根据亚马逊删除和/或返回亚马逊信息要求的通知返回亚马逊信息。开发者还必须在亚马逊通知后的90天内永久安全地删除所有亚马逊信息的实时(在线或网络可访问的)实例。 如果亚马逊要求,开发者将以书面形式证明所有亚马逊信息都已被安全销毁。

关于个人身份信息的额外安全要求

所有的个人身份信息(见第一章关于个人身份信息的定义)必须满足以下额外的安全要求。如果商城API包含个人身份信息, 或者同时有个人身份信息和非个人身份信息,那么所有的数据存储必须满足以下要求:

  1. 闪存数据保存和恢复。 开发者只能为了履行订单(订单发货后不超过30天)或计算/汇出税款的目的而保留个人身份信息。 如果法律要求开发者为税务或类似的监管目的而保留个人身份数据的档案副本,则必须将此信息的副本存为“冷数据” 或离线数据(例如:不可以立即或交换使用) ,备份存储在一个安全的物理设备上, 并且必须加密备份媒体上的所有存档数据。如果个人身份信息丢失事件发生,您必须能够恢复所有丢失的个人身份信息(例如:由于系统崩溃或勒索病毒,数据被删除或无法处理)。
  2. 数据治理。开发者必须为其应用程序或服务创建、记录、和遵守隐私和数据处理政策。这些政策规定管理和保护信息资产管理时的合适行为和技术控制。应当对数据处理活动的记录予以维护,例如特定数据类型以及这些数据是如何收集、处理、存储、使用、传输和处置的, 以建立问责制和规范法规。开发者必须建立并遵守他们的隐私条款以获得客户认可而且在适用或数据隐私法规的要求下有访问,修改,删除或停止共享/处理其信息的权利。
  3. 加密和存储。 开发者必须加密所有静止状态的个人身份信息 (例如:当数据被保存时)。密码材料(例如: 加密/解密 密钥) 和加密功能(例如:守护进程执行虚拟可信信息平台芯片和提供加密/解密的APIs)用来加密静止状态个人身份信息必须只能开发者的流程和服务可以访问。开发者绝不将个人身份信息存储在可移除的媒介(例如 USB)或不安全的公共云程序上(例如: Google Drive上的公用链接)。开发者必须安全地处理任何包含个人身份信息的打印文档。
  4. 最小特权原则。开发者必须实施细粒度的访问控制机制,以遵循最小特权原则,允许授权任何方使用应用程序(例如: 访问其保管的特定数据集)和使用应用程序的运营系统(例如: 访问特定配置和维护API,如终止交换机)。 发布个人身份信息信息的应用程序部分或功能必须受特殊访问权限保护,而且其访问权授予需要遵循“知所必须”的原则。
  5. 日志和监控。开发者必须收集日志以检测其应用程序和系统中与安全相关的事件(例如: 访问和授权,入侵尝试,配置更改)。开发者必须对所有提供对亚马逊信息访问权限的渠道(例如: 服务API,存储层API,管理仪表板)实施此审核日志记录机制。所有日志都必须具有访问控制,以禁止在整个生命周期内进行任何未经授权的访问和篡改。日志本身不应包含个人身份信息,必须保留至少90天以供安全事件发生时参考。开发者必须建立机制以监视日志和所有的系统活动,以触发对可疑操作的调查警报(例如:多个未经授权的访问和意外的访问率和数据检索量, 以及对金丝雀数据记录的访问)。 开发者应在监控警报触发时执行调查,而且该事件应当记录在事故响应计划中。

审计

开发者必须维护所有合适的账簿和记录,以便在本协议期间以及之后的12个月内验证是否符合“可接受使用政策”,“数据保护政策”和“亚马逊商城开发者协议”。 根据亚马逊的书面请求,开发者必须以书面形式向亚马逊证明他们遵守这些政策。

根据要求,可能由亚马逊或由亚马逊选择的独立注册会计事务所,审核并检查涉及检索,存储或处理亚马逊信息的开发者的应用的所有系统的账簿,记录,设施,操作和安全性。开发者必须与亚马逊或亚马逊的审计师合作进行审计,审计可能发生在开发者的设施内和/或次承包商设施内。如果审核发现缺陷,违规和/或未能遵守我们的条款,条件或政策,开发者必须自行承担所有的损失和花费,并采取必要的行动,在约定的时间范围内采取一切必要措施来补救这些缺陷,并有可能被要求全额赔偿亚马逊因此产生的合理的费用。