Politique de protection des données d’Amazon
La présente politique de protection des données (« PPD ») garantit que l’organisation :
COCOMATIC CONNECT SL,
régit la réception, le stockage, l’utilisation, le transfert et l’élimination des informations, y compris les données envoyées et récupérées par l’intermédiaire de l’API des services Amazon (y compris l’API du service Web de la place de marché et l’API des partenaires de vente). Cette politique s’applique à tous les systèmes qui stockent, traitent ou manipulent d’une manière ou d’une autre les données fournies et récupérées par l’API des services Amazon, et garantit que Cocomatic Connect SL est conforme aux prochaines politiques d’Amazon :
1) Exigences générales en matière de sécurité
Conformément à la sécurité de pointe de l’industrie, Cocomatic Connect SL maintiendra des garanties physiques, administratives et techniques, ainsi que d’autres mesures de sécurité (i) pour maintenir la sécurité et la confidentialité des informations consultées, collectées, recueillies, utilisées, stockées ou transmises par Cocomatic Connect SL, et (ii) pour protéger ces informations contre les menaces ou les dangers connus ou raisonnablement anticipés pour leur sécurité et leur intégrité, la perte accidentelle, l’altération, la divulgation et toutes les autres formes illégales de traitement. Sans limitation, Cocomatic Connect SL se conformera aux exigences suivantes :
1.1 Protection du réseau
Tous les serveurs Cocomatic Connect SL mettent en œuvre des contrôles de protection du réseau, y compris des pare-feu de réseau et des listes de contrôle d’accès au réseau pour refuser l’accès aux adresses IP non autorisées. L’accès public est limité aux utilisateurs autorisés et approuvés.
1.2 Gestion de l’accès
L’accès aux informations d’Amazon est strictement limité aux utilisateurs qui ont besoin d’y accéder pour effectuer des tâches spécifiques, et l’accès est limité, dans la mesure du possible, aux seules données nécessaires.
Tous les utilisateurs sont uniques et n’ont pas d’identifiants partagés. L’accès est enregistré et surveillé.
Les employés doivent demander l’accès et fournir une raison lorsqu’ils accèdent aux données d’Amazon. L’accès peut être révoqué à tout moment en cas de besoin et est revu régulièrement. En cas de départ de l’entreprise, les autorisations d’accès sont immédiatement révoquées.
Aucune donnée d’Amazon n’est autorisée à être stockée sur des appareils amovibles, à l’exception des données anonymes telles que les chiffres de vente globaux. Aucune IPI n’est jamais téléchargée sur les appareils.
La société maintiendra et appliquera le verrouillage des comptes en détectant les schémas d’utilisation et les tentatives de connexion anormaux, et en désactivant les comptes ayant accès aux informations si nécessaire.
1.3 Principe du moindre privilège
L’accès est fourni aux développeurs et aux autres employés en fonction du besoin d’en connaître, à l’aide de contrôles d’accès fins permettant d’attribuer des rôles spécifiques afin de minimiser l’accès en fonction de la nécessité d’accomplir des tâches.
1.4 Gestion des mots de passe et des informations d’identification
- L’entreprise fixe des exigences minimales en matière de mots de passe et d’identifiants pour l’accès aux systèmes. Ces exigences sont les suivantes
- 12 caractères ou plus pour le mot de passe
- 1 jour d’âge minimum pour le mot de passe
- 180 jours d’expiration du mot de passe
- 3 tentatives infructueuses autorisées avec un mot de passe invalide avant un verrouillage temporaire
- Les mots de passe doivent comprendre au moins : une majuscule, une minuscule, un chiffre et un caractère spécial.
1.5. Chiffrement en transit
Toutes les données en transit sont cryptées à l’aide de HTTPS et SSH sur les systèmes Cocomatic Connect SL lorsque les données traversent le réseau. Il n’y a aucun cas où les données en transit ne sont pas cryptées, même si elles ne sont pas utilisées.
1.6 Plan de gestion des risques et de réponse aux incidents
En cas d’accès non autorisé aux serveurs, de piratage de la base de données ou de fuite de données, Amazon sera d’abord contacté dans les 24 heures suivant l’incident pour notifier le problème, par courrier électronique à 3p-security@amazon.com et security@amazon.com.
Nous suivrions ensuite le runbook élaboré et créerions un mécanisme de réponse à suivre, qui inclurait à la fois les équipes non spécialisées dans la sécurité et le service juridique. Nous utiliserions également des guides tels que le « NIST SP 800-61 : Computer Security Incident Handling Guide » ou le « NIST SP 800-88 : Guidelines for Media Sanitization » pour les principales étapes à suivre.
Si la législation locale l’exige, nous procéderons également à la notification de l’incident à l’autorité de surveillance compétente dans les 72 heures suivant sa détection, ainsi qu’à toute personne directement affectée.
Afin d’éviter que l’incident ne se reproduise à l’avenir, la description de l’incident, le processus suivi pour corriger l’incident, les contrôles mis en œuvre dans le système et les nouveaux processus mis en œuvre pour résoudre le problème seront documentés.
Si Amazon demande l’accès à la documentation des journaux collectés, celle-ci sera mise à sa disposition immédiatement.
En aucun cas les développeurs ne parleront au nom d’Amazon à une autorité ou à un client, sauf si Amazon le leur demande expressément par écrit.
1.7. Demande de suppression ou de restitution
Dans un délai de 72 heures à compter de la demande d’Amazon, Cocomatic Connect SL supprimera de manière permanente et sécurisée (conformément au « NIST SP 800-88 : Guidelines for Media Sanitization ») ou renverra les informations d’Amazon conformément à l’avis d’Amazon exigeant la suppression et le retour.
Cocomatic Connect SL supprimera également de manière permanente et sécurisée toutes les instances actives des informations Amazon dans les 90 jours suivant la notification d’Amazon. Si Amazon le demande, Cocomatic Connect SL certifiera par écrit que toutes les informations Amazon ont été détruites en toute sécurité.
2. Exigences de sécurité supplémentaires spécifiques aux informations personnellement identifiables
2.1 Conservation des données
Les IPI d’Amazon sont stockées par Cocomatic Connect SL sur des serveurs de base de données hébergés de manière privée, dans le seul but de faciliter la gestion des commandes des clients, des expéditions et de l’émission des factures fiscales. Les IIP Amazon sont supprimées des bases de données de Cocomatic Connect SL au maximum 30 jours après l’exécution d’une commande. Aucune IIP Amazon n’est stockée dans les journaux ou autres fichiers.
Les IPI d’Amazon ne peuvent exceptionnellement être conservées pendant plus de 30 jours que si la loi l’exige et uniquement dans le but de se conformer à cette loi.
2.2 Gouvernance des données
Cocomatic Connect SL dispose d’une politique de gestion des actifs qui définit comment les logiciels et les actifs physiques sont conservés dans un inventaire et comment celui-ci est mis à jour lorsque les actifs sont réaffectés, ajoutés ou renvoyés. Elle spécifie également les procédures de nettoyage des données lorsque les actifs sont réaffectés ou retirés de l’inventaire.
Il est revu tous les six mois et un inventaire complet des actifs est réalisé. Cocomatic Connect SL dispose également d’une politique de confidentialité accessible au public qui stipule notre conformité à toutes les réglementations applicables en matière de confidentialité des données.
2.3 Gestion des actifs
La société tiendra un inventaire des logiciels et des biens matériels ayant accès aux IPI et le mettra à jour tous les trimestres (tous les trois mois). Les biens matériels qui stockent, traitent ou manipulent d’une manière ou d’une autre des informations confidentielles respecteront toutes les exigences énoncées dans la présente politique.
L’entreprise ne stocke pas les IPI sur des supports amovibles, des appareils personnels ou des applications publiques en nuage non sécurisées. L’entreprise éliminera de manière sécurisée tout document imprimé contenant des IPI.
2.4 Chiffrement au repos
Toutes les IIP d’Amazon sont cryptées au repos à l’aide d’un cryptage AES-128, qui est au moins la norme industrielle. Aucune IPI d’Amazon n’est autorisée à être stockée sur des supports externes ou dans des applications en nuage non sécurisées.
Tous les matériaux cryptographiques et les capacités cryptographiques utilisés pour le cryptage des IIP au repos ne sont accessibles qu’au système Cocomatic Connect SL et aux processus et services des développeurs sur nos serveurs en nuage hébergés de manière privée.
2.5 Pratiques de codage sécurisées
Les développeurs ne sauvegarderont ni ne stockeront jamais de clés, d’identifiants ou de mots de passe dans le code de l’application ou dans des référentiels publics, et sépareront toujours leurs environnements de développement et de production.
2.6 Journalisation et surveillance
Un fichier journal interne est généré chaque jour et est effacé manuellement par l’administrateur lorsque l’anomalie a été résolue, au plus tôt 90 jours après l’enregistrement du journal, afin de disposer d’une référence pour un incident de sécurité.
Aucune information personnelle n’est jamais enregistrée sur les systèmes Cocomatic Connect SL. Les changements de code sont enregistrés pour les utilisateurs spécifiques de
. Les journaux API sont stockés dans des bases de données sur nos serveurs en nuage hébergés de manière privée.
Les accès non autorisés ou les taux de requêtes inattendus sont signalés et les activités suspectes sont surveillées par les administrateurs du système qui ouvriront une enquête comme indiqué dans le plan de réponse aux incidents.
2.7 Gestion de la vulnérabilité
Notre organisation dispose d’un manuel d’exécution conçu pour détecter, remédier et corriger les vulnérabilités du système.
Par le biais d’un gestionnaire de tâches interne (Monday), les développeurs indiquent toute vulnérabilité trouvée dans le système et les classent par gravité et priorité afin que les membres de l’équipe de développement en soient informés. En fonction de la gravité de la vulnérabilité, sa correction est priorisée et une action immédiate est prise dans les cas les plus critiques. Chaque notification d’incident est identifiée par l’utilisateur qui l’a signalée, la date et l’heure, ainsi que d’autres paramètres très pertinents.
Tout changement de logiciel ou de matériel est testé, vérifié et approuvé par les développeurs de notre équipe.
Une fois la découverte corrigée, les développeurs de l’organisation effectuent un suivi approfondi pendant plusieurs semaines afin de confirmer que le problème a été entièrement résolu.
Une analyse exhaustive des vulnérabilités est effectuée tous les 180 jours au maximum. D’autre part, tous les 365 jours au maximum, plusieurs tests de pénétration du système sont effectués. Si des incidents sont détectés, l’équipe travaille immédiatement à leur correction et à leur résolution.
3. Audit et évaluation
Cocomatic Connect SL fournira à Amazon tous les documents demandés pour démontrer la conformité avec l’AUP, le DDP et l’accord de développeur Amazon Marketplace pendant la durée de notre accord avec Amazon et pendant 12 mois par la suite.
Cocomatic Connect SL coopérera également pleinement avec tout auditeur désigné par Amazon et lui permettra d’inspecter les livres, les dossiers, les installations, les opérations et la sécurité de tous les systèmes impliqués dans l’application de Cocomatic Connect SL pour la recherche, le stockage ou le traitement des informations d’Amazon.
Toute infraction, défaillance ou déficience signalée dans le cadre d’un audit sera rectifiée par Cocomatic Connect SL à ses frais dans les délais convenus. Cocomatic Connect SL à nos frais dans les délais convenus.