Policy - Amazon – Playfishing

Politica sulla Privacy e Gestione dei Dati per l'Accesso ai Ruoli SP-API Amazon

Title

Last updated: Maggio 2025

1. Descrizione dell'applicazione

La nostra applicazione nasce con l'obiettivo di semplificare e automatizzare la gestione quotidiana delle vendite su Amazon. Integrando i sistemi aziendali con le API SP-API, consente di mantenere aggiornate le offerte, monitorare in tempo reale gli ordini ricevuti, generare automaticamente le etichette per la spedizione, elaborare documenti fiscali e analizzare le performance tramite i report ufficiali. Questo flusso consente non solo un risparmio operativo, ma soprattutto una maggiore precisione nell’evasione degli ordini e nella gestione contabile.

2. Trattamento dei dati personali identificabili (PII)

All'interno del nostro sistema, i dati personali come nome, cognome, indirizzo, codice postale, città e numero di telefono vengono trattati esclusivamente per finalità operative. In particolare, tali informazioni vengono impiegate per generare le etichette necessarie alla spedizione diretta dei prodotti verso i clienti (modalità FBM) e per predisporre la documentazione fiscale. L'emissione di fatture per i clienti finali, specialmente quelli comunitari, è necessaria ai fini della corretta applicazione delle normative IVA e avviene nel pieno rispetto delle disposizioni dell'Agenzia delle Entrate (risposta n. 802/2021). In nessun caso i dati vengono usati per finalità diverse da quelle indicate.

3. Condivisione con terze parti

La nostra organizzazione condivide le informazioni personali esclusivamente con soggetti terzi che risultano indispensabili all’esecuzione dei servizi, quali i corrieri incaricati delle consegne e gli intermediari fiscali abilitati alla gestione delle fatture. Ogni condivisione avviene tramite connessioni sicure, e i dati vengono criptati utilizzando l’algoritmo AES a 128 bit durante il trasferimento. L’accesso è consentito solo ai sistemi e agli operatori che ne hanno effettiva necessità operativa.

4. Protezione della rete

Tutta l’infrastruttura è protetta da firewall di nuova generazione e l’accesso alle risorse avviene tramite VPN con restrizioni su IP autorizzati. I sistemi sono monitorati tramite soluzioni di prevenzione delle intrusioni (IDS/IPS) e aggiornati regolarmente. Gli endpoint aziendali sono soggetti a criteri restrittivi, impedendo qualsiasi accesso o esposizione accidentale dei dati sensibili.

5. Gestione degli accessi

Ogni dipendente autorizzato ad accedere a dati Amazon dispone di un identificativo personale univoco e non viene mai utilizzato un accesso condiviso. L’accesso ai dati è limitato 1 esclusivamente alle persone che, per ragioni lavorative, devono trattare informazioni Amazon. Gli accessi vengono monitorati, registrati, e disattivati entro 24 ore in caso di uscita del dipendente dall’organizzazione. Sono inoltre svolti controlli trimestrali per la verifica degli accessi attivi.

6. Dispositivi personali e sicurezza dei dati

L’utilizzo di dispositivi personali per l’accesso o l’archiviazione dei dati Amazon è espressamente vietato. I dispositivi autorizzati sono registrati, criptati, e sottoposti a controllo DLP (Data Loss Prevention). Viene mantenuto un inventario aggiornato delle risorse coinvolte e, laddove si rendano necessari supporti cartacei temporanei, questi vengono distrutti secondo metodi sicuri.

7. Conservazione, backup ed eliminazione dei dati

Le informazioni Amazon vengono archiviate su Amazon RDS, con crittografia AES-128 sia in transito che a riposo. I dati personali identificabili vengono conservati solo per il tempo strettamente necessario alla finalizzazione delle attività operative e fiscali. In particolare, i dati relativi agli ordini vengono mantenuti per un massimo di 30 giorni dalla conferma di consegna al cliente, dopodiché vengono eliminati automaticamente dai nostri sistemi tramite procedure automatizzate di cancellazione sicura, che includono l'overwriting e la rimozione definitiva dei dati dai backup. Le copie di backup sono soggette a regole di scadenza coerenti, che ne prevedono la cancellazione entro 90 giorni dalla creazione.

8. Monitoraggio della sicurezza

Monitoriamo le applicazioni in tempo reale attraverso sistemi SIEM e analizziamo costantemente i log, che non includono dati PII, per rilevare attività sospette. In caso di anomalie, il personale responsabile viene allertato per attivare immediatamente le procedure previste.

9. Gestione degli incidenti

Abbiamo implementato un piano di risposta agli incidenti, aggiornato annualmente, che comprende linee guida specifiche per violazioni della sicurezza, accessi non autorizzati e perdita di dati. Un runbook operativo supporta il team nella gestione strutturata delle emergenze. Amazon viene notificata entro 24 ore da ogni evento rilevante, in conformità alle loro politiche.

10. Sicurezza delle credenziali

Tutte le credenziali aziendali rispettano standard elevati: lunghezza minima di 12 caratteri, utilizzo obbligatorio di caratteri alfanumerici e simboli, rotazione periodica, e obbligo di MFA. Le chiavi API vengono gestite tramite AWS Secrets Manager o altri sistemi di gestione sicura.

11. Sicurezza in ambienti di test

Nei contesti di test non viene mai utilizzato alcun dato reale. Usiamo tecniche di pseudonimizzazione e anonimizzazione per evitare ogni esposizione accidentale. Inoltre, ambienti di test e produzione sono completamente separati e le credenziali non vengono mai scritte direttamente nel codice sorgente.

12. Gestione delle vulnerabilità

Il nostro processo prevede l’identificazione e la risoluzione delle vulnerabilità entro 24 ore dalla scoperta. Conduciamo regolarmente analisi ogni 180 giorni e un penetration test all’anno. Le modifiche strutturali seguono un ciclo completo di verifica, approvazione e test.

13. Gestione delle modifiche

La responsabilità delle modifiche ricade su un team IT esperto, certificato e formato. Le modifiche vengono effettuate solo da personale autorizzato e passano attraverso un processo strutturato di validazione tecnica e approvazione.