Política de Privacidade e Proteção de Dados (Amazon SP-API)
This Privacy Policy is compliant with Amazon’s Data Protection Policy (DPP) and SP-API Security Guidelines.
Última atualização: 12 de Novembro de 2025
1. Objetivo e Escopo | Purpose and Scope
Esta Política de Privacidade descreve como o HUB4ALL (doravante “nós”) coleta, usa, armazena, protege, compartilha e exclui informações, com foco específico nas Informações Pessoalmente Identificáveis (PII) recebidas de vendedores da Amazon (“Vendedores”) através da API de Parceiro de Vendas (SP-API).
Esta política cumpre integralmente os requisitos da Amazon Data Protection Policy (DPP) e das SP-API Security Guidelines, aplicando-se a todos os vendedores que utilizam nossa integração.
2. Coleta e Uso de Informações | Data Collection and Use
Coletamos dados da Amazon SP-API com o único propósito de fornecer as funcionalidades de integração de HUB ao Vendedor.
Os dados PII são usados exclusivamente para finalidades essenciais:
- Faturamento de Impostos (NF-e): Utilizamos dados do comprador (nome, CPF/CNPJ, endereço) para emissão da Nota Fiscal Eletrônica (NF-e), conforme exigido pela legislação brasileira.
- Envio Direto (Etiquetas de Envio): Utilizamos dados de envio (nome, endereço, telefone) para gerar e baixar etiquetas da Amazon (FBM) ou gerenciar planos de envio (FBA).
Não utilizamos dados PII da Amazon para marketing, perfilamento, enriquecimento ou revenda. O acesso é restrito ao vendedor e limitado ao contexto operacional do pedido.
Todos os usos de dados seguem o princípio de minimização de dados e conformidade com a DPP.
3. Armazenamento, Criptografia e Proteção | Storage, Encryption and Protection
Adotamos medidas técnicas e organizacionais rigorosas:
- Infraestrutura: Aplicação (Laravel) e banco de dados (MySQL) hospedados na DigitalOcean, em rede privada (VPC) sem exposição pública.
- Proteção de Borda: WAF da Cloudflare protege contra DDoS, SQL Injection e XSS. Todo tráfego utiliza HTTPS/TLS 1.3.
- Criptografia em Repouso: Dados PII são criptografados com padrão AES-256, incluindo backups, acessíveis apenas por administradores autorizados.
- Criptografia em Trânsito: Toda comunicação entre o HUB, a Amazon SP-API e usuários é criptografada via HTTPS/TLS.
- Gerenciamento de Credenciais: Chaves, tokens e segredos são criptografados e armazenados fora do controle de versão (.env protegido).
- Logs e Monitoramento: Registramos apenas eventos técnicos (ex.: falhas de login, chamadas API, erros de servidor). Nenhum dado PII é armazenado; apenas IDs e IPs mascarados. Todos os logs são criptografados, retidos por no máximo 30 dias e revisados regularmente para detectar atividades suspeitas.
4. Controle de Acesso | Access Control
O acesso a dados PII é concedido apenas conforme o princípio de necessidade de conhecimento (least privilege):
- Funcionários: Cada colaborador possui credenciais únicas. O acesso a sistemas de produção requer VPN e Autenticação Multifator (MFA). Todo acesso é logado e revisado.
- Dispositivos Pessoais (BYOD): Utilizamos MDM e VPN para impedir acesso a dados PII a partir de dispositivos não autorizados. Tentativas indevidas geram alertas automáticos.
- Senhas: Mínimo de 14 caracteres, com letras maiúsculas, minúsculas, números e símbolos. Expiram a cada 90 dias e exigem MFA.
- Revogação de Acesso: O acesso às informações da Amazon é revogado imediatamente após mudança de função ou desligamento de funcionário.
5. Compartilhamento de Dados | Data Sharing
Compartilhamos informações da Amazon somente quando estritamente necessário para concluir o fluxo do pedido:
- Sistemas de NF-e: As informações do pedido, incluindo PII, são enviadas de forma criptografada (HTTPS/TLS) ao ERP do vendedor ou a um emissor de Nota Fiscal parceiro, exclusivamente para emissão fiscal.
Não há compartilhamento de PII com terceiros para qualquer outra finalidade.
6. Retenção e Exclusão de Dados | Data Retention and Deletion
Mantemos dados PII da Amazon (nome, endereço, e-mail, telefone) por no máximo 7 dias após a emissão das notas fiscais e reconciliação contábil.
Após esse prazo, um processo automatizado exclui permanentemente os dados PII de bancos de produção e backups. Mantemos apenas metadados não identificáveis para relatórios.
Um processo auditável garante a verificação da exclusão completa dos dados após o prazo de retenção.
7. Resposta a Incidentes de Segurança | Security Incident Response
Seguimos um plano de resposta baseado no framework NIST, com cinco etapas: 1) Detecção e Análise; 2) Contenção; 3) Erradicação; 4) Recuperação; 5) Pós-Incidente.
Em caso de incidente envolvendo dados da Amazon, notificaremos a Amazon em até 24 horas pelo e-mail security@amazon.com.
A equipe de segurança coordena a resposta, documenta todas as ações e mantém registros auditáveis.
Notificamos também vendedores afetados e autoridades competentes conforme a Lei Geral de Proteção de Dados (LGPD).
8. Contato | Contact
Para dúvidas sobre esta política ou nossas práticas de proteção de dados da Amazon, entre em contato:
Sce Sistemas Computacionais e Engenharia LTDA
CNPJ 29.262.102/0001-67
E-mail: gerson@scesistemas.com.br
Website: https://sceweb.com.br / https://scesistemas.com.br
Data Protection Officer (DPO): Gerson Ferreira
