Política de Privacidade e Proteção de Dados (Amazon SP-API)

Última atualização: 05 de Novembro de 2025

1. Objetivo e Escopo

Esta Política de Privacidade descreve como o HUB4ALL (doravante “nós”) coleta, usa, armazena, protege, compartilha e exclui informações, com foco específico nas Informações Pessoalmente Identificáveis (PII) recebidas de vendedores da Amazon (“Vendedores”) através da API de Parceiro de Vendas (SP-API).

Esta política cumpre integralmente os requisitos da Política de Proteção de Dados (DPP) da Amazon e se aplica a todos os Vendedores que utilizam nossa integração.

2. Coleta e Uso de Informações

Coletamos dados da Amazon SP-API com o único propósito de fornecer nossas funcionalidades de integração de HUB ao Vendedor. Os dados PII são usados estritamente para as seguintes finalidades essenciais:

1. Faturamento de Impostos (Emissão de NF-e): Utilizamos dados do comprador (nome, CPF/CNPJ, endereço) para preencher e emitir a Nota Fiscal Eletrônica (NF-e), um requisito legal e fiscal obrigatório no Brasil.
2. Envio Direto (Etiquetas de Envio): Utilizamos dados de envio do comprador (nome, endereço, telefone) para solicitar e baixar as etiquetas de envio da Amazon (FBM) ou gerenciar planos de envio (FBA).

Não utilizamos dados PII da Amazon para nenhuma outra finalidade, como marketing, análise de perfil, enriquecimento de dados ou revenda. O acesso é restrito ao vendedor e limitado ao contexto do pedido.

3. Armazenamento, Criptografia e Proteção

Levamos a segurança dos dados a sério e implementamos as seguintes medidas técnicas e organizacionais:

• Infraestrutura: Nossa aplicação (desenvolvida em Laravel) e banco de dados (MySQL) estão hospedados na DigitalOcean, em uma rede privada (VPC) sem exposição pública.
• Proteção de Borda: Utilizamos o WAF (Web Application Firewall) da Cloudflare para proteger contra ataques (DDOS, SQL Injection, XSS) e garantir que todo o tráfego seja via HTTPS (TLS 1.3).
• Criptografia em Repouso: Todos os dados PII armazenados em nosso banco de dados MySQL são criptografados usando o padrão AES-256.
• Criptografia em Trânsito: Todas as comunicações entre nosso HUB, a Amazon SP-API e os usuários são criptografadas via HTTPS/TLS.
• Gerenciamento de Credenciais: Chaves de API, tokens e segredos são armazenados fora do controle de versão (em arquivos .env protegidos) e criptografados.

4. Controle de Acesso

O acesso aos dados PII da Amazon é restrito com base no princípio de “necessidade de conhecimento”:

• Funcionários: Cada funcionário possui credenciais individuais. O acesso a sistemas de produção requer conexão via VPN e Autenticação Multifator (MFA). O acesso a PII é registrado (logado) e revisado.
• Dispositivos Pessoais (BYOD): Implementamos controles técnicos (MDM e VPN) que impedem o acesso a sistemas de produção e dados PII a partir de dispositivos pessoais não autorizados (celulares, USBs), conforme nossa política interna. Tentativas de acesso indevido geram alertas.

5. Compartilhamento de Dados

Compartilhamos informações da Amazon apenas quando estritamente necessário para a conclusão do fluxo do pedido, conforme autorizado pelo Vendedor:

• Sistemas de NF-e: As informações do pedido (incluindo PII do comprador) são enviadas via API segura ao sistema ERP do próprio Vendedor ou a um emissor de Nota Fiscal parceiro, com a única finalidade de gerar a NF-e obrigatória.
• Não compartilhamos dados PII da Amazon com nenhuma outra parte externa para nenhuma outra finalidade.

6. Retenção e Exclusão de Dados

Seguimos uma política de retenção de dados rigorosa para minimizar a exposição de PII:

• Retenção: Mantemos os dados PII da Amazon (nome, endereço, e-mail, telefone) em nossos sistemas de produção por um período máximo de 7 dias após a emissão das notas fiscais e reconciliação contábil, necessários para garantir a conclusão do fluxo.
• Exclusão: Após este período, um processo automatizado exclui permanentemente os dados PII dos registros do banco de dados de produção e de backups. Mantemos apenas metadados não identificáveis para fins de relatórios.

7. Resposta a Incidentes de Segurança

Possuímos um Plano de Resposta a Incidentes (baseado no framework NIST) para lidar com qualquer suspeita de acesso não autorizado ou vazamento de dados. As etapas incluem: (1) Detecção e Análise, (2) Contenção imediata do sistema, (3) Erradicação da causa raiz, (4) Recuperação segura dos serviços e (5) Notificação pós-incidente às partes afetadas, incluindo a Amazon (via 3p-security@amazon.com), conforme exigido pela DPP.

8. Contato

Para qualquer dúvida sobre esta política ou nossas práticas de segurança de dados da Amazon, entre em contato conosco:

Sce Sistemas Computacionais e Engenharia LTDA
29.262.102/0001-67
Email: gerson@scesistemas.com.br
Website: https://sceweb.com.br / https://scesistemas.com.br/