官方文档地址:Selling Partner API
Amazon PII开发者角色申请问题罗列:
Amazon PII开发者角色申请问题罗列:
8.列出您检索亚马逊信息时发现的所有非亚马逊 MWS 来源。
20.您如何处理在开发生命周期和运行期间发现的代码漏洞 21.谁负责变更管理?如何授予他们访问权限?请指定职务
We have reviewed the information you provided and determined that you will not be given access to Restricted SP-API roles based on your application. Your SP-API access remains unchanged at this time. We evaluate all Public Developer applications that request Restricted SP-API access, for a variety of technical and business criteria including, but not limited to, launch readiness, services offered that can be viewed on a public facing website, and supported geographies.
If you decide to build a publicly available application with the SP-API roles you already have access to, it is required to be listed in the Amazon Selling Partner Network. You can submit a new Listing form, or make edits to an existing listing, within Developer Central:
我们已审核您提供的信息,并确定不会根据您的申请授予您访问受限 SP-API 角色的权限。 您的 SP-API 访问权限此时保持不变。 我们根据各种技术和业务标准评估所有请求受限 SP-API 访问的公共开发人员应用程序,包括但不限于启动准备、提供的可在面向公众的网站上查看的服务以及支持的地理位置。 如果您决定使用您已有权访问的 SP-API 角色构建公开可用的应用程序,则需要将其列在亚马逊销售合作伙伴网络中。 您可以在 Developer Central 中提交新的列表表单,或对现有列表进行编辑:
发布APP打回问题示例: Thank you for submitting your Selling Partner Appstore Listing form.
During our review of your Listing form details, we have identified the following issues with your submission that require your attention:
- Functionalities: Functionalities selected by you must correspond to the services shown in your website. You added the categories [Promotions, Automated Pricing,Funding and Credit, Product Research and Scouting, Buyer/Seller Messaging], but we cannot find details about these in your website. Your application services must be fully launched and the website should display information about pricing information, functions details, and other features of your app. Please edit your functionalities accordingly or include information about the services you offer for each functionality in your website.
- Description: The descriptions that you provided in your app submission do not match the submission language. In order to provide the best customer experience for Amazon Sellers, please adjust the submission language to match the language used in the descriptions. Please ensure these descriptions provide detailed information about the services your application offers to Amazon Sellers.
In order to address the required updates and publish your application, do not reopen this case. Please submit a new case by editing your app(s) and submitting a new app request here: 感谢您提交您的销售合作伙伴 Appstore 列表表格。
- 功能:您选择的功能必须与您网站上显示的服务相对应。 您添加了类别 [促销、自动定价、资金和信贷、产品研究和侦察、买家/卖家消息],但我们无法在您的网站上找到有关这些的详细信息。 您的应用程序服务必须已全面启动,网站应显示有关您的应用程序的定价信息、功能详细信息和其他特性的信息。 请相应地编辑您的功能,或在您的网站中包含有关您为每个功能提供的服务的信息。
- 描述:您在应用提交中提供的描述与提交语言不匹配。 为了给亚马逊卖家提供最佳的客户体验,请调整提交语言以匹配描述中使用的语言。 请确保这些描述提供有关您的应用程序向亚马逊卖家提供的服务的详细信息。
为了解决所需的更新并发布您的应用程序,请勿重新打开此案例。 请通过编辑您的应用程序并在此处提交新的应用程序请求来提交新案例:
We have completed our assessment and have determined that you do not meet the requirements for Restricted SP-API. To protect Amazon Customers, we only consider sharing Customer data (“Restricted access”) with third party Developers that offer features that are materially different from existing applications. The Developers that meet these criteria must then go through rigorous security reviews with Amazon. 我们已完成评估并确定您不符合受限 SP-API 的要求。 为保护亚马逊客户,我们只考虑与提供与现有应用程序截然不同的功能的第三方开发人员共享客户数据(“受限访问”)。 满足这些标准的开发人员必须通过亚马逊的严格安全审查。
We have reviewed the information you provided and determined that you will not be given access to Restricted SP-API roles based on your application. Your SP-API access remains unchanged at this time. We evaluate all Public Developer applications that request Restricted SP-API access, for a variety of technical and business criteria including, but not limited to, launch readiness, services offered that can be viewed on a public facing website, and supported geographies.
我们已审核您提供的信息,并确定不会根据您的申请授予您访问受限 SP-API 角色的权限。 您的 SP-API 访问权限此时保持不变。 我们根据各种技术和业务标准评估所有请求受限 SP-API 访问的公共开发人员应用程序,包括但不限于启动准备、提供的可在面向公众的网站上查看的服务以及支持的地理位置。
Thank you for updating your Amazon Selling Partner API (SP-API) Developer Profile.After reviewing your responses, we require more information from you. Please reply directly to this case. In order to proceed with your evaluation, we require you to respond within 5 calendar days to provide more information regarding the following policies:AUP - Acceptable Use Policy Tax Remittance. Your use case does not:• Justify why the Seller Central Tax Settings configurations do not suffice your need for taxation.• Mention how you confirm that your tax calculation is reliable for government reporting standards.• Include the names of the tax reports you will generate and the PII details you will include in them.- Tax Invoicing. Your use case does not:• Provide the type of orders for which you will generate tax invoices.• Justify why you need a tax invoicing mechanism other than the one already available through Seller Central.• Mention the regional tax requirements you need to comply with in order to generate tax invoices.After you provide your responses, they will be posted as a new correspondence within this case for our review.If you do not respond within 5 calendar days, we will resolve this case. Acceptable Use Policy: Protection Policy: Asked Questions:感谢您更新您的亚马逊销售合作伙伴 API (SP-API) 开发人员资料。在审核您的回复后,我们需要您提供更多信息。 请直接回复此案例。 为了继续您的评估,我们要求您在 5 个日历日内做出回应,以提供有关以下政策的更多信息:AUP - 可接受的使用政策 税收汇款。 您的用例不会:• 证明为什么卖家中央税收设置配置不能满足您的税收需求。• 提及您如何确认您的税收计算对于政府报告标准而言是可靠的。• 包括您将生成的税务报告的名称以及您将包含在其中的PII 详细信息。- 税务发票。 您的用例不会:• 提供您将为其生成税务发票的订单类型。• 说明为什么您需要一种不同于卖家中心已有的税收发票机制。• 提及您需要遵守的区域税收要求以生成税务发票。在您提供回复后,它们将作为新信件发布在此案例中以供我们审核。如果您未在 5 个日历日内回复,我们将解决此问题。可接受的使用政策:数据保护政策:常见问题:
Hello, Thank you for your responses and collaboration during this process. All developers who want to build a publicly available application with Restricted SP-API roles must go through an Architecture Review with our Solutions Architect team. This will require a detailed explanation of application’s data flows , data protection controls for Personally Identifiable Information (PII) followed by a demo through screen sharing. We request you to provide written explanations or screenshots for the questions listed in the attached document. Please note that there are 14 questions in the excel file that you need to respond. Please respond within 5 business days. If you do not respond, we will continue with our assessment with the information available. To see the file named 'SA+review_Pre-review+Doc.xlsx' included with this correspondence, please use the Seller Central/Developer Central case link given below the signature. Thank you for selling with Amazon, Seller Support
感谢您在此过程中的回应和合作。 所有想要构建具有受限 SP-API 角色的公开可用应用程序的开发人员都必须通过我们的解决方案架构师团队进行架构审查。 这将需要详细解释应用程序的数据流、个人身份信息 (PII) 的数据保护控制,然后通过屏幕共享进行演示。 对于附件中所列问题,我们要求您提供书面说明或截图。 请注意,您需要回答 excel 文件中的 14 个问题。 请在 5 个工作日内回复。 如果您不回复,我们将根据可用信息继续进行评估。 要查看此通信中包含的名为“SA+review_Pre-review+Doc.xlsx”的文件,请使用签名下方提供的卖家中心/开发者中心案例链接。 感谢您通过亚马逊销售, 卖家支持
Q2:请浏览处理 PII 数据的系统组件的交互顺序。
Q3.数据治理 - 员工是否需要承认您的隐私和数据处理政策?是否提供安全意识培训?请提供解决数据处理、NDA、可接受使用等问题的员工合同。
Q4.安全编码实践 - 引导我们完成从测试到生产的 SDLC 过程?编码是在内部完成的吗?请提供以下内容: - 带有虚拟数据的测试环境的屏幕截图 - 提供您的 SDLC 政策 - 向我们介绍在发布之前如何审查代码的过程 - 提供在每次发布之前扫描代码以查找漏洞的示例
Q5.资产管理——您是否维护和更新软件和实物资产的清单?向我们介绍谁(具体职位)负责变革管理。 - 请分享您的资产清单(跟踪笔记本电脑和软件等硬件的方法)。 - 谁负责变更管理?
Q6.网络保护 - 请介绍一下 Web 层、应用层和数据库层的网络控制配置? - 请附上屏幕截图证据,证明您拥有适当的网络保护工具(例如 [例如防火墙、VPN、ACL、安全组、防止 DDOS 等网络攻击等)。如果在 AWS 中,这将是 VPC 配置、WAF、 Shield、安全组规则、ACL配置等)
Q6.传输中的加密 - 发生的内部和外部数据传输有哪些不同?你如何监控它们? - 请提供证据证明您的应用程序配置为通过 HTTPS(最低 TLS 1.2 或更高版本)进行通信,例如通过 TLS 证书。对于 AWS,这可以通过 CloudFront 配置为支持的最低 SSL/TLS 协议来显示。并通过 AWS Certificate Manager。 -
Q7.静态加密——您将亚马逊数据存储在哪里 [尤其是超过 30 天时]?你能引导我们完成加密设置吗? - 请提供数据库配置(例如系统设置和/或脚本),以表明 PII 数据已通过至少 AES 256 级别的保护进行静态加密。
Q8.访问管理 - 您能否概述一下您的访问管理是如何为您的组织设计的?例如,您如何验证和授权,或决定每个用户的权限?多久审查一次访问权限? - 请提供您的访问控制政策 - 请提供用户图/组织结构图或访问控制矩阵 - 请提供您的用户访问审查(例如定期会议纪要/备忘录或其他方式来跟踪已执行的预定访问审查)
Q9.最小特权原则 - 向我们介绍您决定每个用户的权限?如果用户试图执行分配给他们的角色之外的功能,会发生什么? - 请表明该应用程序具有分配给用户的独特角色和权限。
Q10。为与 MWS/SP-API 集成而实施的授权模型是什么?您如何对网络和应用程序环境进行身份验证? - 请提供您的应用程序和网络密码设置的屏幕截图 - 此外,请提供建立连接的安全方式的证据(例如 VPN、MFA、与服务器的 SSH 连接) - 您能否提供卖家设置指南来授权您的应用程序?这可以链接或附加在案例中。
Q11.数据保留——您如何根据需要归档和检索数据?你如何删除数据?请显示保留/删除设置。 - 请提供 30 天后删除 PII 数据的预定作业/任务 - 如果数据在 30 天后移至冷存储,请提供显示任务及其加密方式的证据。
Q12.日志记录和监控——你有什么类型的日志记录和监控机制。向我们介绍您如何检测对您系统的未授权访问,以及当存在可疑活动时您有什么类型的缓解计划。日志是否防止篡改? - 请提供日志配置,显示您的环境中发生的警报和监控类型(例如数据库、网络、API)。 - 请显示日志保留设置 - 请提供已提升日志访问权限的用户的屏幕截图? - 日志是否包含 PII?
Q13.事件响应 - 演练事件响应计划。有哪些通知机制可以通知您有关事件的信息? - 请提供您的事件响应计划;如果发生涉及通过亚马逊 API 获取的数据的事件,它应该包括通知。 - 请总结从事件通知到补救所采取的步骤。
Q14.漏洞管理 - 向我们介绍所使用的漏洞扫描/检测工具以及修复结果的过程。 - 请提供漏洞扫描和渗透测试结果的示例报告。这可以是结果的执行摘要/备忘录。 - 请提供您的漏洞管理政策/程序,以及已解决漏洞的示例(例如票证、项目计划、已解决报告等)
Thank you for updating your Amazon Selling Partner API (SP-API) Developer Profile.
Your request for access to additional SP-API roles has been APPROVED.
You now have global Marketplace access to SP-API based on the roles you requested. 感谢您更新您的亚马逊销售合作伙伴 API (SP-API) 开发人员资料。
您访问其他 SP-API 角色的请求已获批准。
您现在可以根据您请求的角色对 SP-API 进行全球市场访问。