概述
本文檔描述了 NCK INTERNATIONAL CORP.(MOVA Globes)如何收集、儲存、處理、保護和保留與亞馬遜相關的整合和 SP-API 使用資料。本文檔旨在供平台審查和審計人員使用。
儲存和位置
- 資料儲存區域:AWS EU(eu-west-1)。
- 備份:加密備份儲存在歐盟地區。
加密與傳輸
- 靜態加密:AES-256。
- 傳輸過程中加密:TLS 1.2 或更高版本。
目的和數據最小化
- 用途:訂單驗證、保固/更換處理、退貨處理、基本詐欺檢測和客戶支援。
- 收集的個人識別資訊包括:訂單ID、買家姓名、買家郵箱、電話號碼、收貨地址以及最少的交易元資料。我們絕不會儲存支付卡主帳號(PAN)。
- 資料最小化:僅收集每個目的所需的最小欄位。
保留
- 支援和保固記錄:保留 18 個月。
- 訂單/稅務/審計記錄:保留7年。
- 安全日誌:保留 12 個月;運行日誌:保留 90 天。
存取控制與憑證管理
- 驗證:所有員工均需使用 SSO(SAML/OIDC)和 MFA。
- 存取控制:基於角色的存取控制(RBAC)和季度特權存取審查。
- 金鑰:儲存在 AWS Secrets Manager / HashiCorp Vault 中,每 90 天輪調一次。
日誌記錄、監控和事件回應
- 集中式日誌記錄到 SIEM(Elastic/Datadog 或同等產品)。
- 偵測:IDS/IPS 整合、異常偵測規則和威脅情報來源。
- 警報:透過 PagerDuty 向值班人員發送緊急警報(7 天 24 小時)。
- 事件回應:有記錄的事件回應手冊、根本原因分析和事件後報告。
漏洞與修補程式管理
- 每週進行自動化漏洞掃描,每年進行第三方滲透測試(可提供摘要)。
- 調查結果在工單系統(例如 JIRA)中追蹤;服務等級協定:嚴重 = 7 天;高 = 30 天。
第三方處理者和資料傳輸
- 根據資料處理協議 (DPA) 聘用的第三方處理者。
- 跨境資金轉移受到限制;必要時,會採取適當的保障措施。
可審計性和證據
我們可以根據要求提供摘要或證據:隱私權政策 URL、資料保護協定摘要、SIEM 儀表板截圖、滲透測試摘要、ISO/SOC2 證書(如有)。