Politiche e Dinamiche Ammesse per la Gestione dei dati Sensibili Amazon (PII)

Il presente documento ha l’intento di accumulare ed organizzare le corrette pratiche consentite in merito ai
dati Sensibili provenienti per conto dei nostri Venditori, dal Marketplace Amazon.
Si è resa necessaria la presente policy in seguito alla necessità di poter fornire una più corretta gestione dei
dati sensibili Amazon (da qui in poi PII) a tutti i Dipendenti e/ o Collaboratori di SynchroSystem Labs

Quali Ruoli richiede il Nostro Software Gestionale (da qui in poi PDCOSC) per il collegamento con
Amazon:

- Offerte di prodotti
- Monitoraggio di Ordini e inventario
- Spedizione Diretta al Consumatore
- Fatturazione delle Imposte

Controlli di sicurezza:
Utilizziamo Attenti controlli di sicurezza per proteggere ed impedire l’accesso non autorizzato alle
informazioni Amazon.

Limitiamo l’accesso alle informazioni Amazon in base alle mansioni lavorative e funzioni aziendali dei
Dipendenti e/o Collaboratori e/o Venditori utilizzatori del nostro software.

Eseguiamo Crittografia in movimento delle informazioni Amazon, vedi il documento: Criteri e standard per la
sicurezza delle informazioni e crittografia dei dati.

Inoltre specifichiamo di avere un’adeguato piano di risposta agli incidenti che consenta con sollecitudine la
rilevazione e gestione di problemi di sicurezza, monitoraggio, rilevazione e risposta a potenziali minacce.

E’ aspetto fondamentale analizzare se gli eventuali attacchi e/o minacce minano la sicurezza dei dati
Sensibili Amazon (PII) in tal caso è necessario entro 24 ore avvisare l’azienda Amazon all’email: 3p-security@amazon.com

Il presente avviso va eseguito esclusivamente dal Personale IS o dal Proprietario dell’azienda, debitamente
avvisato entro tempi di massima celerità.
La Synchrosystem Labs non condivide informazioni Amazon con nessuna azienda Esterna, non acquisiamo
da fonti esterne informazioni che otteniamo esclusivamente solo dalle API Amazon MWS e SP-API

Inoltre è data disposizione di conservare i dati relativi alle informazioni personali dei clienti Amazon (PII) per
un periodo inferiore ai 31 giorni dopo la spedizione degli ordinativi.

Precisiamo inoltre che sono disponibili politiche di Privacy sulla gestone dei Dati.
Inoltre tutte le informazioni PII Attive e inattive subiscono un processo di crittografia simmetrica appena
acquisite, inoltre abbiamo un controllo di accessi granulari al fine di limitare l’accesso alle PII ad utenze non
autorizzate.Ogni utenza è identificata da un ID Univoco (Dev-Id) che identifica in modo univoco l'utenza nel sistema e le
loro mansioni.
Le informazioni provenienti da Amazon MWS e SP-API sono disponibili solo ad Account Autorizzati come Sviluppatori
Rivediamo le Credenziali di Accesso ogni 90 Giorni, con eliminazione degli accessi non piu utilizzati.
Analizziamo in modo periodico attività anomale da parte di Account che richiedono accesso a settori non di loro
pertinenza

Procedura di Backup delle PII Amazon e limitatamente ad esse:
Consigliamo a tutti i nostri Dipendenti e/o collaboratori un’attenta lettura sulle nostre Pratiche in merito all’utilizzo di
dispositivi personali dei dipendenti (ad esempio unità flash USB, telefoni cellulari):

Politica di Gestione Degli Accessi Remoti alla rete interna
Tutte le informazioni personali (PII) vengono archiviate già crittografate in fase di acquisizione utilizzando AES-256 con
Codifica Base 64.
Le PII vengono archiviate Per scopi Fiscali, crittografate, su unità offline e Non raggiungibili in modo interattivo via rete o
internet

I Backup avvengono su Server Privati, non Pubblici, Non utilizziamo Cloud, sono protetti da Firewall blocco IP non
Autorizzati, e circoscritti in una DMZ interna aziendale.

Il sistema di Backup limitato alla Gestione delle PII di Amazon si occupa di conservare in forma crittografata utilizzando
AES-256 con Codifica Base 64 gli ordinativi provenienti da Amazon.
Le Tabelle interessate da tale crittografia sono in base all’architettura del nosto PDCOSC le seguenti:

address_book
customers
orders
orders_products
orders_total
orders_status

.) Le suddette tabelle, già crittografate in fase di acquisizione, dopo 30 giorni dall’avvenuto stato di Spedito vengono pulite
dei dati PII (Tabelle coinvolte customers, address_book e orders).

.) Vengono Salvata sotto forma di DUMPS e zippate con password.

.) I File di DUMPS sono su Server Interno aziendale con crittografia completa del disco (Vedi: Criteri e standard per la
sicurezza delle informazioni e crittografia dei dati)

L’eventuale recupero e ripristino (decrittografare) delle informazioni PII per scopi Fiscali (documenti informatici rilevanti
ai fini tributari, prova di ordini online, fatture attive e passive, i documenti di trasporto, i registri IVA e i registri contabili,
essi non sono esonerati dal rispetto delle norme civilistiche (il riferimento è agli articoli 2220, 2214, 2215 bis e 2217 del
codice civile)) può avvenire solo dai responsabili IS o dal Proprietario dell’azienda.
Si ricorda che in caso di controllo fiscale, l’imprenditore o il libero professionista che, anche in assenza di dolo, non ha
conservato le fatture e i documenti contabili obbligatori, impedendo di fatto la ricostruzione del volume d’affari della sua
attività, è responsabile penalmente ed incorre nel reato di distruzione di documenti contabili cosi come stabilito
dalla Corte di Cassazione che con la sentenza n. 6752 del 21 febbraio 2012.
In caso la SynchroSystem Labs dovesse affrontare Hack dei Database, accessi non autorizzati e perdite di dati
facciamo seguito alle dinamiche espresse nel documento: Informativa Sulla Privacy Sicurezza dei Dati e Gestione Degli
Accessi Non Autorizzati.

Per comodità dei nostri Dipendente e/o Collaboratore riassumiamo di seguito le principali pratiche:

- bloccare ogni accesso al server
- bloccare qualsiasi accesso esterno al server
- Cambio immediato di ogni accesso rete, server ed account abilitati
- Verifica Dei Logs di Accesso,
- Verifica di rootkit sui Server e Postazioni di Lavoro
- Controllo di virus o trojan
- Verifica di file e cartelle anomale
- Se Abbiamo avuto un accesso anormale o sono presenti dati non richiesti
- Notifica ad amazon entro 24 ore tramite l'email: 3p-security@amazon.com, indicando il nostro piano di risposta agli
incidenti, quali azioni abbiamo intrapreso, con quale risultato, fornendo una prova ad amazon se richiesto
- Fornire una prova ad Amazon se richiesto

Per i Dipendenti e/ o Collaboratori che Dovessero Violare e/o Sospetatti di Violazione dei Nostri Sistemi
Informatici e/ o violazione Volontaria o Involontaria del Nostri Sistema di Integrazione:
Il mancato rispetto degli standard sulla protezione dei dati può causare danni a individui,
organizzazioni o alla SynchroSystem Labs. L'utilizzo non autorizzato o inaccettabile dei Dati della
Nostra Azienda o Dei Nostri Clienti, incluso il mancato rispetto di tali standard, costituisce una
violazione della politica della SynchroSystem Labs, e poi in diretta violazione il collaboratore che li
dovesse violare, rischiando azioni di Tutela da parte della Synchrosystem Labs fino alla denuncia
penale / civile nel caso si dovessero palesare volontà dirette e volontarie di Dolo nei confronti della
nostra Azienda.

Nel Caso di Rilevazioni di Tali Violazioni l'azienda SynchroSystem Labs si riserva la possibilità di
deferire, licenziare, sospendere il Dipendente e/o Collaboratore che dovesse ritenersi responsabile
Diretto e/o indiretto nella suddetta Violazione.

In ogni caso la SynchroSystem Labs sarà tenuta a sospendere per almeno 3 giorni lavorativi pagati il il
Dipendente e/o Collaboratore, al fine di fare le dovute rilevazioni ed investigazioni nel caso di sospetta
Violazione.

Ogni Azione sarà comunque fatta ed eseguita in concordanza con il Codice Del Lavoro attualmente in
Vigore sul Territorio Nazionale.