Verwerkingsovereenkomst Persoonlijke Identificeerbare Informatie (PII) Amazon

het gegevensbeschermingsbeleid regelt de behandeling (ontvangst, opslag, gebruik, overdracht en beschikking) van alle gegevens die worden verkocht en opgehaald via de Amazon Selling Partner API.

Definities

"Toepassing" Verwijst naar de UpsiteManager-softwaretoepassing aangezien deze communiceert met de Amazon Selling Partner API.

"Amazon-informatie" betekent alle informatie die door Amazon wordt vrijgegeven via de Selling Partner API, Seller Central of de openbare websites van Amazon. Deze gegevens omvatten zowel openbare, niet-openbare als persoonlijk identificeerbare informatie over Amazon-klanten.

"Klant" betekent elke persoon of entiteit die artikelen of diensten heeft gekocht van openbare websites van Amazon.

"Persoonlijk Identificeerbare Informatie" (PII) betekent informatie die op zichzelf of met andere informatie kan worden gebruikt om een persoon te identificeren, contact op te nemen of te lokaliseren of om een persoon in context te identificeren. Dit omvat, maar is niet beperkt tot, de naam, het adres, het e-mailadres, het telefoonnummer, de inhoud van het cadeaubericht, de antwoorden op de enquête, de betalingsgegevens, de aankopen, de cookies, de digitale vingerafdruk (browser, het apparaat van de gebruiker, enz.), IP-adres, geolocatie of product-ID van met internet verbonden apparaat.

"Beveiligingsincident" betekent elke daadwerkelijke of vermoedelijke ongeoorloofde toegang, verzameling, verwerving, gebruik, verzending, openbaarmaking, corruptie of verlies van Amazon-informatie, of inbreuk op een omgeving (i) die Amazon-informatie bevat, of (ii) beheerd door UpsiteManager met controles die in wezen vergelijkbaar zijn met de controles die Amazon Information beschermen.

Algemeen beveiligingsbeleid

In overeenstemming met toonaangevende beveiligingsnormen en andere vereisten gespecificeerd door Amazon op basis van de classificatie en gevoeligheid van Amazon-informatie, handhaaft UpsiteManager fysieke, administratieve en technische veiligheidsmaatregelen en andere beveiligingsmaatregelen (i) om de veiligheid en vertrouwelijkheid van Amazon-informatie te behouden toegankelijk, verzameld, gebruikt, opgeslagen of verzonden door UpsiteManager, en (ii) om die informatie te beschermen tegen bekende of redelijkerwijs te verwachten bedreigingen of gevaren voor de veiligheid en integriteit ervan, onopzettelijk verlies, wijziging, openbaarmaking en alle andere onwettige vormen van verwerking . Zonder enige beperking voldoet UpsiteManager aan het volgende beleid:

  1. Data toegang. — PII-data toegang wordt bepaald op een "need-to-know" basis door UpsiteManager medewekers in de organisatie. PII-data wordt enkel gebruikt voor verzendlabels, belasting voorschriften en wettelijke bepalingen omtrent data opslag in lijn met de Algemene Verordening Gegevensbescherming (AVG). PII-data wordt niet gebruikt voor marketing- en commerciële doeleinden.
  2. Netwerkbeveiliging — Alle UpsiteManager Application-servers en -systemen maken gebruik van AWS VPC-subnet/beveiligingsgroepen, evenals netwerkfirewall-netwerkbeveiligingscontroles om toegang tot ongeautoriseerde IP-adressen te weigeren. Openbare toegang is beperkt tot alleen goedgekeurde gebruikers.
  3. Toegangsbeheer — De UpsiteManager-applicatie gebruikt een unieke ID die is toegewezen aan elk individu met computertoegang tot Amazon-informatie. In geen geval maken of gebruiken we generieke, gedeelde of standaard inloggegevens of gebruikersaccounts. We hebben baseline-mechanismen geïmplementeerd om ervoor te zorgen dat alleen de vereiste gebruikersaccounts te allen tijde toegang hebben tot Amazon-informatie. We bekijken maandelijks de lijst met mensen en services met toegang tot Amazon-informatie en verwijderen accounts die geen toegang meer nodig hebben. We beperken de toegang tot of het opslaan van Amazon-gegevens op persoonlijke apparaten door werknemers. We handhaven en handhaven "accountvergrendeling" door afwijkende gebruikspatronen en inlogpogingen te detecteren en accounts met toegang tot Amazon-informatie indien nodig uit te schakelen.
  4. Versleuteling tijdens verzending — De UpsiteManager versleutelt alle Amazon-informatie die onderweg is, wanneer de gegevens een netwerk doorkruisen of anderszins tussen hosts worden verzonden met behulp van HTTPS via TLS 1.3. We handhaven deze beveiligingscontrole op alle toepasselijke externe endpoints die door klanten worden gebruikt, evenals op interne communicatiekanalen en tijdens operationele tooling. We gebruiken geen communicatiekanalen die geen codering bieden tijdens het transport, zelfs als ze niet worden gebruikt. Bovendien maakt de UpsiteManager-toepassing gebruik van versleuteling op berichtniveau, waarbij kanaalversleuteling eindigt in niet-vertrouwde multitenant-hardware.
  5. Risicobeheersing — Het management is verantwoordelijk voor de IT-organisatie en evalueert jaarlijks en tijdens organisatorische verandering de risco's omtrent personeel, middelen, autorisaties en verantwoordelijkheden. Dit wordt gerapporteerd in een verslag waarbij impact, risiconiveau en potentiele kwetsbaarheden in kaart worden gebracht.
  6. Incidentbestrijdingsplan — Als onderdeel van het Incident Response Plan van UpsiteManager bevat ons playbook met responsrollen en verantwoordelijkheden, evenals stappen voor het detecteren en afhandelen van verschillende typen beveiligingsincidenten die van invloed kunnen zijn op Amazon-gegevens. In dit plan definiëren we incident respons procedures voor specifieke soorten incidenten en definiëren we een escalatiepad en procedures om beveiligingsincidenten naar Amazon te escaleren. Ons Incident Response Plan wordt elke twee (2) maanden herzien, evenals na elke grote infrastructuur- of systeemwijziging. We onderzoeken elk beveiligingsincident en documenteren de incidentbeschrijving, herstelacties en bijbehorende corrigerende proces-/systeemcontroles die zijn geïmplementeerd om toekomstige herhaling te voorkomen (indien van toepassing). Bovendien onderhouden we de bewakingsketen voor alle verzamelde documenten, en dergelijke documentatie (indien van toepassing) wordt gemaakt.
  7. Verzoek om verwijdering of teruggave — Binnen 72 uur na het verzoek van Amazon zal UpsiteManager permanent en veilig Amazon-informatie verwijderen (in overeenstemming met NIST 800-88 industriestandaard opschoningsprocessen) of Amazon-informatie retourneren in overeenstemming met de kennisgeving van Amazon die verwijdering en/of teruggave vereist. UpsiteManager zal ook permanent en veilig alle live (online of via het netwerk toegankelijke) exemplaren van Amazon-informatie verwijderen binnen 90 dagen na kennisgeving door Amazon. Op verzoek van Amazon zullen we schriftelijk bevestigen dat alle Amazon-informatie veilig is vernietigd.
Aanvullend beveiligingsbeleid specifiek voor PII

Het volgende aanvullende beveiligingsbeleid is van toepassing op alle persoonlijk identificeerbare informatie (PII). De UpsiteManager-applicatie, aangezien deze betrekking heeft op de Amazon Marketplace API, bevat zowel PII als niet-PII, daarom voldoet de gehele Amazon-gegevensopslag aan het volgende beleid:

  1. Gegevensbewaring en -herstel — We bewaren PII alleen voor het uitvoeren van bestellingen. Deze bewaarperiode is maximaal 30 dagen ("Bewaarperiode") vanaf verzending en online bevestiging van levering aan de klant. UpsiteManager is niet wettelijk verplicht om archiefkopieën van PII te bewaren, daarom bewaren we na de bewaarperiode van 30 dagen geen back-upmedia van welke aard dan ook voor PII. In het geval dat PII verloren gaat, wordt gewist of niet beschikbaar is voor verwerking als gevolg van een systeemcrash of ransomware tijdens de bewaarperiode van 30 dagen, bewaart UpsiteManager een reservekopie van alle PII. Deze kopie is gecodeerd en voldoet aan alle beveiligingsvereisten die in dit beleid worden vermeld. Alle beveiligingsback-ups worden aan het einde van de bewaarperiode van 30 dagen samen met het origineel verwijderd.
  2. Gegevensbeheer — Als onderdeel van het privacy- en gegevensverwerkingsbeleid van de UpsiteManager-toepassing houden we een inventaris bij van alle software en fysieke activa met toegang tot PII. Deze inventaris wordt elke 30 dagen bijgewerkt. We houden gegevens bij van alle gegevensverwerkingsactiviteiten, inclusief maar niet beperkt tot specifieke gegevensvelden en hoe ze worden verzameld, verwerkt, opgeslagen, gebruikt, gedeeld en verwijderd, voor zover van toepassing op PII. Dit register wordt bijgehouden met het oog op het vaststellen van verantwoording en naleving van regelgeving. We volgen ons geposte privacybeleid zoals dit van toepassing is op toestemming van klanten en gegevensrechten volgens alle toepasselijke regelgeving inzake gegevensprivacy.
  3. Versleuteling en opslag — Alle PII wordt in rust versleuteld met behulp van AES-256-industriestandaarden. Alle cryptografische materialen (coderings-/decoderingssleutels) en cryptografische mogelijkheden die worden gebruikt voor de codering van PII in rust zijn alleen toegankelijk voor de UpsiteManager-systeemprocessen en -services. We slaan PII niet op verwisselbare media (USB, Flash Drives, enz.) of onbeveiligde openbare cloud-applicaties (Google Drive, Drop Box, enz.) op. Er worden nooit documenten met PII op papier afgedrukt.
  4. Least privilege principe — UpsiteManager maakt gebruik van fijnmazige mechanismen voor toegangscontrole bij het toekennen van rechten aan een partij die de Applicatie gebruikt, evenals aan de operators van de Applicatie, volgens het principe van de minste privileges. Applicatiesecties of functies die PII verkopen, worden beschermd onder een unieke toegangsrol en toegang wordt alleen verleend op een "need-to-know"-basis.
  5. Loggen en monitoren — UpsiteManager verzamelt logboeken om beveiligingsgerelateerde gebeurtenissen (toegang en autorisatie, inbraakpogingen, enz.) in onze applicaties en systemen te detecteren. Dit logging-mechanisme is geïmplementeerd op alle kanalen die toegang bieden tot Amazon-informatie. Logboeken zijn alleen toegankelijk voor geautoriseerd personeel. De logboeken zelf bevatten geen PII en worden 90 dagen bewaard als referentie in het geval van een beveiligingsincident. Het playbook van UpsiteManager bevat mechanismen voor regelmatige monitoring van de logs en alle systeemactiviteiten. Naast regelmatige controle omvat de monitoring van UpsiteManager real-time meldingen via e-mail, telefoontje en sms in het geval dat een verdachte actie (meerdere ongeautoriseerde oproepen, onverwacht aantal verzoeken, enz.) een waarschuwing activeert. Bij een melding volgt de procedure volgens het Incident Response Plan van UpsiteManager.

Versie 1.035 - Laatst bijgewerkt 31 dec 2023 14:20:19.