Logo

菜单

Amazon SPAPI PII权限申请问题汇总-20230609

supoman
发布于 2024-01-22 / 365 阅读
0
0

Amazon SPAPI PII权限申请问题汇总-20230609

#亚马逊开发者#SPAPI#Amazon#pii

Amazon PII开发者角色申请问题罗列:

​亚马逊PII权限申请, PII ,Public PII

官方文档地址:Selling Partner API

------------------------------------20230408------------------------------------

1.描述您打算使用所请求角色中的功能来构建的应用程序或功能

2.描述您为何需要个人识别信息来构建您的应用程序或功能

3.描述您的应用程序或功能将如何使已授权用户受益。

4.您的新功能应用程序与该分类中的其他应用程序有什么区别?

5.请描述您提供的任何国家/地区专属功能。

6.请列出您打算通过您的应用程序或功能支持的亚马逊计划。

7.列出您的机构与之共享亚马逊信息的所有外部方,并描述您的组织如何共享此信息。

8.列出您检索亚马逊信息时发现的所有非亚马逊 MWS 来源。

9.描述您的机构如何单独识别有权访问亚马逊信息的员工,并在需要知道的基础上限制员工访问亚马逊信息

10.描述贵机构为监控和防止从员工个人设备(例如USB闪存盘、手机)访问亚马逊信息而实施的机制,以及在发生此类事件时如何向您发出提醒

11.提供贵机构的隐私和数据处理政策,以描述如何收集、处理、存储、使用、共享和处置亚马逊数据。您可以以公共网站URL的形式提供此信息

12.描述您的机构存储静态亚马逊信息的位置,并提供关于所使用的任何加密算法的详细信息

13.描述您的机构如何备份或存档亚马逊信息,并提供所使用的所有加密算法的详细信息

14.描述您的机构如何监控、检测和记录应用程序中的恶意活动

15.总结贵机构在事件应对计划中执行的步骤如何解决数据库入侵、未经授权的访问以及数据泄露问题

16.在密码所需长度、复杂性(大写/小写、数字、特殊字符)和有效期方面,您如何在整个组织中强制实施这些密码管理实践

17.测试期间如何为个人身份信息(PII)提供保护

18.采取了哪些措施来防止凭证泄露

19.您如何追踪在漏洞扫描和渗透测试中发现的问题的修复进度

20.您如何处理在开发生命周期和运行期间发现的代码漏洞 21.谁负责变更管理?如何授予他们访问权限?请指定职务


------------------------------------20230416------------------------------------

接下来很多人都可能会遇到的拒绝原因:

eg.1

We have reviewed the information you provided and determined that you will not be given access to Restricted SP-API roles based on your application. Your SP-API access remains unchanged at this time. We evaluate all Public Developer applications that request Restricted SP-API access, for a variety of technical and business criteria including, but not limited to, launch readiness, services offered that can be viewed on a public facing website, and supported geographies.

If you decide to build a publicly available application with the SP-API roles you already have access to, it is required to be listed in the Amazon Selling Partner Network. You can submit a new Listing form, or make edits to an existing listing, within Developer Central:

我们已审核您提供的信息,并确定不会根据您的申请授予您访问受限 SP-API 角色的权限。 您的 SP-API 访问权限此时保持不变。 我们根据各种技术和业务标准评估所有请求受限 SP-API 访问的公共开发人员应用程序,包括但不限于启动准备、提供的可在面向公众的网站上查看的服务以及支持的地理位置。 如果您决定使用您已有权访问的 SP-API 角色构建公开可用的应用程序,则需要将其列在亚马逊销售合作伙伴网络中。 您可以在 Developer Central 中提交新的列表表单,或对现有列表进行编辑:


eg.2

发布APP打回问题示例: Thank you for submitting your Selling Partner Appstore Listing form.

During our review of your Listing form details, we have identified the following issues with your submission that require your attention:

  1. Functionalities: Functionalities selected by you must correspond to the services shown in your website. You added the categories [Promotions, Automated Pricing,Funding and Credit, Product Research and Scouting, Buyer/Seller Messaging], but we cannot find details about these in your website. Your application services must be fully launched and the website should display information about pricing information, functions details, and other features of your app. Please edit your functionalities accordingly or include information about the services you offer for each functionality in your website.

  2. Description: The descriptions that you provided in your app submission do not match the submission language. In order to provide the best customer experience for Amazon Sellers, please adjust the submission language to match the language used in the descriptions. Please ensure these descriptions provide detailed information about the services your application offers to Amazon Sellers.

In order to address the required updates and publish your application, do not reopen this case. Please submit a new case by editing your app(s) and submitting a new app request here: 感谢您提交您的销售合作伙伴 Appstore 列表表格。

在我们审查您的清单表格详细信息期间,我们发现您提交的内容存在以下需要您注意的问题:

  1. 功能:您选择的功能必须与您网站上显示的服务相对应。 您添加了类别 [促销、自动定价、资金和信贷、产品研究和侦察、买家/卖家消息],但我们无法在您的网站上找到有关这些的详细信息。 您的应用程序服务必须已全面启动,网站应显示有关您的应用程序的定价信息、功能详细信息和其他特性的信息。 请相应地编辑您的功能,或在您的网站中包含有关您为每个功能提供的服务的信息。

  2. 描述:您在应用提交中提供的描述与提交语言不匹配。 为了给亚马逊卖家提供最佳的客户体验,请调整提交语言以匹配描述中使用的语言。 请确保这些描述提供有关您的应用程序向亚马逊卖家提供的服务的详细信息。

为了解决所需的更新并发布您的应用程序,请勿重新打开此案例。 请通过编辑您的应用程序并在此处提交新的应用程序请求来提交新案例:

eg.3

We have completed our assessment and have determined that you do not meet the requirements for Restricted SP-API. To protect Amazon Customers, we only consider sharing Customer data (“Restricted access”) with third party Developers that offer features that are materially different from existing applications. The Developers that meet these criteria must then go through rigorous security reviews with Amazon. 我们已完成评估并确定您不符合受限 SP-API 的要求。 为保护亚马逊客户,我们只考虑与提供与现有应用程序截然不同的功能的第三方开发人员共享客户数据(“受限访问”)。 满足这些标准的开发人员必须通过亚马逊的严格安全审查。

We have reviewed the information you provided and determined that you will not be given access to Restricted SP-API roles based on your application. Your SP-API access remains unchanged at this time. We evaluate all Public Developer applications that request Restricted SP-API access, for a variety of technical and business criteria including, but not limited to, launch readiness, services offered that can be viewed on a public facing website, and supported geographies.

我们已审核您提供的信息,并确定不会根据您的申请授予您访问受限 SP-API 角色的权限。 您的 SP-API 访问权限此时保持不变。 我们根据各种技术和业务标准评估所有请求受限 SP-API 访问的公共开发人员应用程序,包括但不限于启动准备、提供的可在面向公众的网站上查看的服务以及支持的地理位置。


eg.4

 Thank you for updating your Amazon Selling Partner API (SP-API) Developer Profile.

After reviewing your responses, we require more information from you. Please reply directly to this case. In order to proceed with your evaluation, we require you to respond within 5 calendar days to provide more information regarding the following policies:

AUP - Acceptable Use Policy

https://sellercentral.amazon.com/mws/static/policy?documentType=AUP&locale=us_US

- Tax Remittance. Your use case does not:
 • Justify why the Seller Central Tax Settings configurations do not suffice your need for taxation.
 • Mention how you confirm that your tax calculation is reliable for government reporting standards.
 • Include the names of the tax reports you will generate and the PII details you will include in them.

- Tax Invoicing. Your use case does not:
 • Provide the type of orders for which you will generate tax invoices.
 • Justify why you need a tax invoicing mechanism other than the one already available through Seller Central.
 • Mention the regional tax requirements you need to comply with in order to generate tax invoices.

 After you provide your responses, they will be posted as a new correspondence within this case for our review.

 If you do not respond within 5 calendar days, we will resolve this case. 

 Acceptable Use Policy: https://sellercentral.amazon.com/mws/static/policy?documentType=AUP&locale=en_US
 Data Protection Policy: https://sellercentral.amazon.com/mws/static/policy?documentType=DPP&locale=en_US

 Frequently Asked Questions: https://developer.amazonservices.com/

感谢您更新您的亚马逊销售合作伙伴 API (SP-API) 开发人员资料。

在审核您的回复后,我们需要您提供更多信息。 请直接回复此案例。 为了继续您的评估,我们要求您在 5 个日历日内做出回应,以提供有关以下政策的更多信息:

AUP - 可接受的使用政策

https://sellercentral.amazon.com/mws/static/policy?documentType=AUP&locale=us_US

- 税收汇款。 您的用例不会:
  • 证明为什么卖家中央税收设置配置不能满足您的税收需求。
  • 提及您如何确认您的税收计算对于政府报告标准而言是可靠的。
  • 包括您将生成的税务报告的名称以及您将包含在其中的PII 详细信息。

- 税务发票。 您的用例不会:
  • 提供您将为其生成税务发票的订单类型。
  • 说明为什么您需要一种不同于卖家中心已有的税收发票机制。
  • 提及您需要遵守的区域税收要求以生成税务发票。

  在您提供回复后,它们将作为新信件发布在此案例中以供我们审核。

  如果您未在 5 个日历日内回复,我们将解决此问题。

  可接受的使用政策:https://sellercentral.amazon.com/mws/static/policy?documentType=AUP&locale=en_US
  数据保护政策:https://sellercentral.amazon.com/mws/static/policy?documentType=DPP&locale=en_US

  常见问题:https://developer.amazonservices.com/


以上只是罗列了比较常见的打回问题,每个人的情况都有差异。

------------------------------------20230507------------------------------------

审计及远程

最后重磅

当所有的问题处理完后,现在还有新的审核和远程演示

Hello, Thank you for your responses and collaboration during this process. All developers who want to build a publicly available application with Restricted SP-API roles must go through an Architecture Review with our Solutions Architect team. This will require a detailed explanation of application’s data flows , data protection controls for Personally Identifiable Information (PII) followed by a demo through screen sharing. We request you to provide written explanations or screenshots for the questions listed in the attached document. Please note that there are 14 questions in the excel file that you need to respond. Please respond within 5 business days. If you do not respond, we will continue with our assessment with the information available. To see the file named 'SA+review_Pre-review+Doc.xlsx' included with this correspondence, please use the Seller Central/Developer Central case link given below the signature. Thank you for selling with Amazon, Amazon.com Seller Support

感谢您在此过程中的回应和合作。 所有想要构建具有受限 SP-API 角色的公开可用应用程序的开发人员都必须通过我们的解决方案架构师团队进行架构审查。 这将需要详细解释应用程序的数据流、个人身份信息 (PII) 的数据保护控制,然后通过屏幕共享进行演示。 对于附件中所列问题,我们要求您提供书面说明或截图。 请注意,您需要回答 excel 文件中的 14 个问题。 请在 5 个工作日内回复。 如果您不回复,我们将根据可用信息继续进行评估。 要查看此通信中包含的名为“SA+review_Pre-review+Doc.xlsx”的文件,请使用签名下方提供的卖家中心/开发者中心案例链接。 感谢您通过亚马逊销售,Amazon.com 卖家支持

以下是从Excel罗列的所有问题

Q1:请提供您的网络和数据流图。

Q2:请浏览处理 PII 数据的系统组件的交互顺序。

Q3.数据治理 - 员工是否需要承认您的隐私和数据处理政策?是否提供安全意识培训?请提供解决数据处理、NDA、可接受使用等问题的员工合同。

Q4.安全编码实践 - 引导我们完成从测试到生产的 SDLC 过程?编码是在内部完成的吗?请提供以下内容: - 带有虚拟数据的测试环境的屏幕截图 - 提供您的 SDLC 政策 - 向我们介绍在发布之前如何审查代码的过程 - 提供在每次发布之前扫描代码以查找漏洞的示例

Q5.资产管理——您是否维护和更新软件和实物资产的清单?向我们介绍谁(具体职位)负责变革管理。 - 请分享您的资产清单(跟踪笔记本电脑和软件等硬件的方法)。 - 谁负责变更管理?

Q6.网络保护 - 请介绍一下 Web 层、应用层和数据库层的网络控制配置? - 请附上屏幕截图证据,证明您拥有适当的网络保护工具(例如 [例如防火墙、VPN、ACL、安全组、防止 DDOS 等网络攻击等)。如果在 AWS 中,这将是 VPC 配置、WAF、 Shield、安全组规则、ACL配置等)

Q6.传输中的加密 - 发生的内部和外部数据传输有哪些不同?你如何监控它们? - 请提供证据证明您的应用程序配置为通过 HTTPS(最低 TLS 1.2 或更高版本)进行通信,例如通过 TLS 证书。对于 AWS,这可以通过 CloudFront 配置为支持的最低 SSL/TLS 协议来显示。并通过 AWS Certificate Manager。 -

Q7.静态加密——您将亚马逊数据存储在哪里 [尤其是超过 30 天时]?你能引导我们完成加密设置吗? - 请提供数据库配置(例如系统设置和/或脚本),以表明 PII 数据已通过至少 AES 256 级别的保护进行静态加密。

Q8.访问管理 - 您能否概述一下您的访问管理是如何为您的组织设计的?例如,您如何验证和授权,或决定每个用户的权限?多久审查一次访问权限? - 请提供您的访问控制政策 - 请提供用户图/组织结构图或访问控制矩阵 - 请提供您的用户访问审查(例如定期会议纪要/备忘录或其他方式来跟踪已执行的预定访问审查)

Q9.最小特权原则 - 向我们介绍您决定每个用户的权限?如果用户试图执行分配给他们的角色之外的功能,会发生什么? - 请表明该应用程序具有分配给用户的独特角色和权限。

Q10。为与 MWS/SP-API 集成而实施的授权模型是什么?您如何对网络和应用程序环境进行身份验证? - 请提供您的应用程序和网络密码设置的屏幕截图 - 此外,请提供建立连接的安全方式的证据(例如 VPN、MFA、与服务器的 SSH 连接) - 您能否提供卖家设置指南来授权您的应用程序?这可以链接或附加在案例中。

Q11.数据保留——您如何根据需要归档和检索数据?你如何删除数据?请显示保留/删除设置。 - 请提供 30 天后删除 PII 数据的预定作业/任务 - 如果数据在 30 天后移至冷存储,请提供显示任务及其加密方式的证据。

Q12.日志记录和监控——你有什么类型的日志记录和监控机制。向我们介绍您如何检测对您系统的未授权访问,以及当存在可疑活动时您有什么类型的缓解计划。日志是否防止篡改? - 请提供日志配置,显示您的环境中发生的警报和监控类型(例如数据库、网络、API)。 - 请显示日志保留设置 - 请提供已提升日志访问权限的用户的屏幕截图? - 日志是否包含 PII?

Q13.事件响应 - 演练事件响应计划。有哪些通知机制可以通知您有关事件的信息? - 请提供您的事件响应计划;如果发生涉及通过亚马逊 API 获取的数据的事件,它应该包括通知 3p-security@amazon.com。 - 请总结从事件通知到补救所采取的步骤。

Q14.漏洞管理 - 向我们介绍所使用的漏洞扫描/检测工具以及修复结果的过程。 - 请提供漏洞扫描和渗透测试结果的示例报告。这可以是结果的执行摘要/备忘录。 - 请提供您的漏洞管理政策/程序,以及已解决漏洞的示例(例如票证、项目计划、已解决报告等)


------------------------------------20230609------------------------------------

审计确认

由于回答可能没有得到官方的认可,在等了半个月后,官方回复(翻译成中文)如下:

感谢您最近与我们的解决方案架构师的对话。我们感谢您投入时间和精力来澄清您对可接受使用政策和数据保护政策的遵守情况。

在我们讨论您的业务和系统期间,我们确定了要实施的以下控制措施以满足我们政策中概述的要求:

1.1.在将更改推送到生产环境之前,开发人员没有用于审查更改的测试环境。

1.2.开发人员发现在测试中使用时没有足够的流程来匿名化个人身份信息 (PII) 数据。

2.1.开发人员没有可以访问 PII 的软件和实物资产清单。资产清单应定期更新(至少每季度更新一次)。

2.2.开发人员发现在测试、验证和批准软件和硬件资产变更方面的变更管理流程不充分。

3.1.静态加密:包含 PII 的数据存储在静态时未加密或被发现缺乏强加密。 PII 数据必须使用高标准加密(例如 AES 256 位、至少具有 2048 位或更大密钥的 RSA)进行加密。

3.2.密钥存储:加密密钥不应硬编码到应用程序中或存储在源代码中。加密密钥必须保持安全(例如放置在凭证存储中。在 AWS 中,您可以使用 AWS Secrets Manager 来控制应用程序中的信息。Secrets Manager 允许您轮换、管理和检索数据库凭证、API 密钥和整个生命周期中的其他机密。用户和应用程序可以通过调用 Secrets Manager API 来检索机密,从而无需以纯文本形式对敏感信息进行硬编码。)

4.1.策略:开发人员缺乏数据访问策略来定义授予用户访问应用程序和系统的过程,以符合他们的工作职责。
 
4.2. .用户访问审查:开发人员发现缺乏至少每 90 天定期审查一次用户访问的流程。这应该评估是否所有用户都是在职员工,以及分配的角色/权限是否适合他们的工作职责。例如,检查所有应用程序、数据库、特权等用户的列表,并让某人每 90 天审查/验证他们的访问权限。结果可以记录在会议记录或备忘录中,详细说明访问的适当性和/或需要更改的内容。

5.1.授权模式:开发者不能出于任何目的索取或接受卖家的密钥。

5.2.自我授权:卖家需要使用Developer's Developer ID对开发者进行授权。

6.3.密码要求:开发人员的应用程序和/或系统(例如活动目录、管理员控制台、服务器)被标记为不合规。根据亚马逊数据保护政策:开发人员必须为有权访问信息的人员和系统建立最低密码要求。应该对用户访问系统(尤其是特权访问)强制执行 MFA。密码要求必须至少为 12 个字符,包含大小写字母,包含数字,包含特殊字符,并且至少每年到期一次。

7.1.日志篡改:开发人员发现缺少控制来保护审计日志的完整性。
 
7.2.日志包含 PII:发现开发人员的日志包含 PII。

7.3.日志保留:数据库的日志(如数据修改和用户变更)、API错误/异常、网络安全等日志应至少保留90天。请更新日志保留设置。

8. 事件响应:发现开发者事件响应计划没有提供事件发生时执行机制的足够细节,并在 24 小时内将涉及亚马逊客户数据的事件通知亚马逊(3p-security@amazon.com)。请注意,24 小时通知 3p-security@amazon.com 的要求应包含在您的事件响应计划中,以应对涉及从 Amazon API 获取的数据的任何数据泄露。
以下是一些可以进一步帮助您的资源:https://s3.amazonaws.com/amazonservicesstatic.com/whitepapers/en_US/protecting-mws-applications-incident-response.pdf
事件响应模板:https://cdt.ca.gov/wp-content/uploads/2017/03/templates_incident_response_plan.doc
事件处理者手册:https://www.sans.org/reading-room/whitepapers/incident/incident-handlers-handbook-33901

9..漏洞修复:发现开发人员缺少修复漏洞的计划和/或运行手册(程序)。

如果您想更新您的系统以保持对个人身份信息的访问,请在 5 个工作日内回复此案例。表明您打算在 30 天内遵守,并包括一份行动计划以详细解释如何以及何时实施这些数据保护控制措施。一旦解决方案架构师实施并审查了这些控制措施,您将被批准担任 PII 访问角色。

如果您不回复,我们将根据可用信息继续进行评估。

感谢您与亚马逊一起销售,

真的蛋疼~~~

最后,坐等申请通过的case

Thank you for updating your Amazon Selling Partner API (SP-API) Developer Profile.
Your request for access to additional SP-API roles has been APPROVED.
You now have global Marketplace access to SP-API based on the roles you requested. 

感谢您更新您的亚马逊销售合作伙伴 API (SP-API) 开发人员资料。
您访问其他 SP-API 角色的请求已获批准。
您现在可以根据您请求的角色对 SP-API 进行全球市场访问。

我的申请下来的是2023年初,大概断断续续的和亚马逊周旋了一年的时间。

最后,这里只提供罗列问题汇总,拒绝白嫖怪,上来就问pii怎么申请,拒绝回答。个别拒绝的case问题可以指导一下如何调整。

如果是做Saas平台的,AWS建议使用API Guard:

--------------------------------------------------20230828------------------------------------------------------

以下这个问题我在帮助别的小伙伴的时候就受到了这样的待遇,花了三个多月的时间还是gg了,后面只能看他的造化了。

看到这个你就准备绝望吧,或者你得做好长期调整IT架构的准备

VX:Best-Superman-666


关于申请 SP-API PII受限...
Amazon FinanceAPI...

评论