最近更新:2026-05-22 · Amazon DPP 合规说明
数据保护说明(Data Protection Statement)
本文档说明深圳仁励科技有限公司在 emit-erp 中如何对 Amazon SP-API 取得的数据(特别是 PII)进行处理,以满足 Amazon Data Protection Policy(DPP)与适用法律。
1. 数据分类
| 类别 | 典型字段 | 是否 PII | 保留期 |
|---|
| 买家信息 | 姓名、收货地址、邮箱、电话 | 是(PII) | ≤ 30 天 |
| 订单业务数据 | 订单号、SKU、金额、状态 | 否 | 服务期内 |
| 库存与 FBA 数据 | SKU、库存量、入库 ID | 否 | 服务期内 |
| 广告与报表 | 广告活动、关键词、报表 | 否 | 服务期内 |
2. 数据收集
所有数据均由您主动在 Amazon Seller Central 完成 OAuth 授权后,emit-erp 以 Selling Partner App 身份按需调用 SP-API 端点(Orders v0、FBA Inventory v1、Reports 2021-06-30、Advertising API)获取。我们 不存储 您的 Amazon 账号密码,不接触 授权范围之外的数据。
3. 数据传输与存储
- 传输加密:客户端 ↔ emit-erp 使用 TLS 1.2+;emit-erp ↔ Amazon SP-API 走 HTTPS + AWS SigV4 签名。
- 静态加密:数据库与对象存储使用 AES-256;密钥由独立 KMS 托管并定期轮换。
- 区域隔离:北美区存储于 AWS us-east-1,欧洲区存储于 AWS eu-west-1,远东区存储于 ap-northeast-1,不跨区复制。
- 备份:每日加密快照,介质同样加密;备份保留 30 天后自动销毁。
4. 访问控制
- 最小必要原则;
- 研发、运维、客服按角色分别隶属不同 IAM 组;
- 所有生产系统访问必须双因素认证(2FA);
- 对 PII 的访问与导出操作完整记录,日志保留 1 年。
5. 数据保留与删除
- 买家 PII:自获取最长 30 天,到期自动从生产库与备份清除;
- 账单与税务流水:按法律保留 7 年,但仅保留 脱敏 后的统计字段;
- 授权撤销:72 小时内停止同步;30 天内删除 PII;90 天内删除全部业务数据;
- 主动删除:可通过 联系我们 请求即时删除,工单 7 个工作日内闭环。
6. 事件响应
如发生数据安全事件:
- 24 小时内启动应急响应流程并隔离影响范围;
- 72 小时内通知 Amazon 并提交事件报告(依据 DPP § 9.1);
- 依据 GDPR、CCPA、PIPL 等适用法律通知受影响用户并采取补救措施。
7. 安全评估
- 每年一次独立第三方渗透测试与安全评估;
- 每季度内部漏洞扫描与代码审计;
- SDLC 流程接入 SAST / DAST / SCA 工具链。
8. 数据保护负责人(DPO)
- 公司:深圳仁励科技有限公司
- 邮箱:emit-erp@hotmail.com(请抬头注明 "DPO")
- 电话:(+86)18098973306
- 地址:深圳市宝安区福海科技产业园A栋A328(前海合作区)