1. Ambito e titolare
La presente policy descrive come Vendora S.r.l. raccoglie, utilizza, conserva, protegge, condivide ed elimina i dati trattati nei servizi per Partner Amazon e nelle integrazioni SP-API, in conformità al GDPR e alla Data Protection Policy di Amazon.
Titolare: Vendora S.r.l., Corso Alcide de Gasperi 165, 10098 Rivoli (TO), Italia, P.IVA IT13134300014. Contatto privacy / IMPOC: privacy@vendoraint.com.
2. Dati trattati
Trattiamo dati di contatto commerciali, dati di account autorizzati dal Partner Amazon, informazioni su ordini, inventario, listing, report e, solo quando strettamente necessario, PII relative agli acquirenti per spedizioni Merchant Fulfilled, documenti fiscali o obblighi normativi.
3. Finalità consentite
I dati SP-API sono usati esclusivamente per erogare servizi al Partner Amazon che ha concesso l'autorizzazione: gestione ordini, inventario, catalogo, report, adempimenti fiscali, ottimizzazione operativa e prevenzione di frodi o abusi.
4. Conservazione e cancellazione
- PII: conservata per non oltre 30 giorni dalla consegna dell'ordine, salvo obblighi legali fiscali o normativi.
- Dati non-PII: conservati per massimo 18 mesi, salvo obblighi legali più lunghi.
- Richiesta Amazon: eliminazione permanente entro 30 giorni dalla richiesta e istanze attive entro 90 giorni, dove applicabile.
- Sanificazione: eliminazione sicura secondo NIST SP 800-88.
5. Sicurezza tecnica
Vendora applica TLS 1.2+ in transito, AES-256 o standard equivalente a riposo, KMS per la gestione delle chiavi, rotazione almeno annuale, MFA obbligatoria, accessi nominali, principio del privilegio minimo, segmentazione, firewall, antimalware e backup geograficamente distribuiti.
6. Access management
Ogni operatore usa un ID individuale. Non sono ammessi account generici o condivisi. I permessi sono riesaminati almeno trimestralmente; l'accesso del personale in uscita viene revocato entro 24 ore. Gli account sono bloccati dopo massimo 10 tentativi falliti.
7. Log e monitoraggio
Gli audit log sono centralizzati, protetti da modifiche e conservati per almeno 12 mesi. I log non contengono PII in chiaro. Gli eventi di sicurezza sono monitorati tramite procedure interne di escalation.
8. Incident response
L'Incident Management Point of Contact (IMPOC) coordina contenimento, analisi forense e remediation. Vendora notifica ad Amazon sospette compromissioni entro 24 ore dal rilevamento e collabora con eventuali attività di verifica.
9. Sub-responsabili
I fornitori che accedono a dati Amazon sono soggetti a due diligence, accordi scritti e standard almeno equivalenti alla DPP e AUP. Le valutazioni di rischio dei terzi sono eseguite almeno annualmente.
10. Diritti degli interessati
Gli interessati possono esercitare i diritti GDPR scrivendo a privacy@vendoraint.com. È possibile proporre reclamo al Garante per la protezione dei dati personali.
