CGV Amazon

 Politique de protection des données

    La présente Politique de protection des données (« PPD ») régit la réception, le stockage, l'utilisation, le transfert et la destruction des Informations, incluant les données vendues et extraites via l'API Amazon Services (y compris l'API Marketplace Web Service). Cette politique s'applique à tous les systèmes qui stockent, gèrent ou traitent de toute autre manière les données extraites et vendues de l'API Amazon Services. Cette Politique complète le Contrat de développeur de l'API Amazon Services et la Politique d'utilisation acceptable.
    
    1. Exigences générales en matière de sécurité
    
    Conformément aux mesures de sécurité de pointe, les Développeurs conserveront des mesures de protection physiques, administratives et techniques, ainsi que d'autres mesures de sécurité (i) pour préserver la sécurité et la confidentialité des Informations consultées, collectées, utilisées, stockées ou transmises par un Développeur, et (ii) pour protéger ces Informations contre des menaces ou des dangers connus ou raisonnablement anticipés pour leur sécurité et leur intégrité, la perte accidentelle, l'altération, la divulgation et toute autre forme illégale de traitement. Le Développeur se conformera aux exigences suivantes, sans toutefois s'y limiter :
    
    1.1 Protection du réseau. Les Développeurs doivent mettre en œuvre des contrôles de protection du réseau (pare-feu réseau, listes de contrôle de l'accès réseau, etc.) pour refuser l'accès aux adresses IP non autorisées. Les Développeurs doivent mettre en place une segmentation du réseau, mais aussi installer des logiciels antivirus et anti-logiciels malveillants sur les appareils des utilisateurs finaux. Les Développeurs doivent limiter l'accès public aux seuls utilisateurs approuvés et dispenser une formation sur la protection des données et la sécurité informatique à toute personne ayant accès au système.
     
    1.2 Gestion des accès. Les Développeurs doivent établir un processus officiel d'inscription des accès des utilisateurs afin d'attribuer des droits d'accès pour tous les types d'utilisateurs et de services, en s'assurant qu'un identifiant unique est affecté à chaque personne ayant un accès informatique aux Informations. Les Développeurs ne doivent pas créer ou utiliser d'identifiants de connexion ou de comptes utilisateur génériques, partagés ou par défaut. Les Développeurs doivent empêcher le partage des comptes utilisateur. Les Développeurs doivent mettre en œuvre des mécanismes de référence pour s'assurer qu'à tout moment, seuls les comptes utilisateurs requis peuvent accéder aux Informations. Les Développeurs doivent empêcher les salariés et les prestataires de stocker des Informations sur des appareils personnels. Les Développeurs maintiendront et appliqueront le « blocage de compte » en détectant les habitudes d'utilisation et les tentatives de connexion anormales, ainsi qu'en désactivant les comptes ayant accès aux Informations. Les Développeurs doivent vérifier la liste des personnes et des services ayant accès aux Informations au moins une fois par trimestre. Les Développeurs doivent s'assurer que l'accès est désactivé et/ou supprimé dans les 24 heures pour les salariés ayant été licenciés.
     
    1.3 Principe de moindre privilège. Les Développeurs doivent mettre en œuvre des mécanismes de contrôle d'accès précis pour permettre l'octroi de droits à toute partie utilisant l'Application et aux opérateurs de l'Application autorisés, conformément au principe de moindre privilège. L'accès aux Informations doit être accordé selon le principe du « besoin de connaître ».
     
    1.4 Gestion des identifiants. Les Développeurs doivent établir des exigences minimales en matière de mot de passe pour le personnel et les systèmes ayant accès aux Informations. Les mots de passe doivent comporter un minimum de douze (12) caractères, n'inclure aucune partie du nom de l'utilisateur, être composés de lettres majuscules, de lettres minuscules, de chiffres et de caractères spéciaux, et respecter les exigences minimales pour chacun. Les Développeurs doivent prévoir une date d'expiration minimale de 1 jour et maximale de 365 jours pour les mots de passe de tous les utilisateurs. Les Développeurs doivent veiller à ce que l'authentification multifacteur soit obligatoire pour tous les comptes utilisateurs. Les Développeurs doivent s'assurer que les clés API fournies par Amazon soient chiffrées et que seuls les salariés concernés y aient accès.
     
    1.5 Chiffrement des Informations en transit. Les Développeurs doivent chiffrer toutes les Informations en transit à l'aide de protocoles sécurisés, tels que TLS 1.2+, SFTP et SSH-2. Les Développeurs doivent appliquer ce contrôle de sécurité sur tous les points de terminaison internes et externes applicables. Les Développeurs doivent utiliser le chiffrement des données au niveau des messages lorsque le chiffrement des canaux (p. ex., à l'aide de TLS) prend fin dans du matériel multiutilisateur non approuvé (p. ex., des proxys non approuvés).
     
    1.6 Plan de gestion des risques et de réponse aux incidents. Les Développeurs doivent établir un processus d'évaluation et de gestion des risques revu annuellement par le responsable du Développeur. Ce processus doit inclure, sans s'y limiter, l'évaluation des menaces et des vulnérabilités potentielles, ainsi que la probabilité et l'impact de ces attaques afin de suivre les risques connus. Les Développeurs doivent créer et tenir à jour un plan et/ou un runbook en vue de détecter et gérer les Incidents de sécurité. Ces plans doivent identifier les rôles et les responsabilités en matière de réponse aux incidents, définir les types d'incidents susceptibles d'affecter Amazon, définir des procédures de réponse aux incidents pour les types d'incidents établis, mais aussi définir un chemin et des procédures de remontées permettant de signaler les Incidents de sécurité à Amazon. Les Développeurs doivent examiner et vérifier le plan tous les six (6) mois et après toute modification majeure de l'infrastructure ou du système, y compris en cas de modifications apportées au système, aux contrôles, aux environnements opérationnels, aux niveaux de risque et à la chaîne d'approvisionnement. Les Développeurs doivent informer Amazon (par e-mail à l'adresse 3p-security@amazon.com) dans les 24 heures suivant la détection d'un Incident de sécurité. Il incombe exclusivement aux Développeurs d'informer les agences gouvernementales ou réglementaires concernées, comme l'exigent les lois locales en vigueur. Les Développeurs doivent enquêter sur chaque Incident de sécurité et documenter la description de l'incident, ainsi que les actions correctives et les contrôles du système et des processus correctifs associés mis en œuvre pour empêcher qu'il ne se reproduise. Les Développeurs doivent conserver la chaîne de contrôle de l'ensemble des preuves ou enregistrements collectés, et cette documentation doit être mise à la disposition d'Amazon sur demande (le cas échéant). En cas d'Incident de sécurité, les Développeurs ne peuvent s'adresser à aucune autorité de réglementation ni à des clients en tant que représentants d'Amazon ou au nom d'Amazon, sauf si Amazon le leur demande expressément par écrit.
     
    1.7 Demande de suppression. Les Développeurs doivent supprimer définitivement et de manière sécurisée les Informations, conformément à l'avis d'Amazon exigeant la suppression des Informations dans les 30 jours suivant la demande d'Amazon, à moins que les données ne soient requises pour répondre à des exigences légales, notamment des exigences fiscales ou réglementaires. La suppression sécurisée doit s'effectuer conformément aux processus de nettoyage standard du secteur, tel que NIST 800-88. Les Développeurs doivent également supprimer définitivement et de manière sécurisée l'intégralité des instances en direct (accessibles en ligne ou en réseau) des Informations dans les 90 jours suivant l'avis d'Amazon. Sur demande d'Amazon, le Développeur devra attester par écrit que toutes les Informations ont été détruites en toute sécurité.
    
    1.8 Attribution des données. Les Développeurs doivent conserver les Informations dans une base de données distincte ou mettre en œuvre un mécanisme permettant de marquer et d'identifier l'origine des données dans toute base de données contenant des Informations.
    
    2. Exigences de sécurité supplémentaires propres aux informations d'identification personnelles
    
    Les exigences de sécurité supplémentaires suivantes doivent être respectées pour les informations d'identification personnelles (« IIP »). Les IIP sont accessibles par les Développeurs à des fins fiscales et d'expédition Expédié par le vendeur, sur la base du « besoin de connaître ». Si une API Amazon Services contient des IIP, ou que des IIP sont associées à des informations qui ne sont pas des IIP, l'intégralité du stockage des données doit répondre aux exigences suivantes :
    
    2.1 Conservation des données. Les Développeurs conserveront les IIP pendant un maximum de 30 jours après la livraison de la commande et uniquement dans le but de, et aussi longtemps que nécessaire pour (i) traiter des commandes ; (ii) calculer et verser des impôts ; (iii) produire des factures fiscales et autres documents requis par la loi ; et (iv) répondre aux exigences légales, notamment fiscales ou réglementaires. Les Développeurs peuvent conserver les données pendant plus de 30 jours après la livraison de la commande uniquement si la loi l'exige et uniquement dans le but de se conformer à la loi en question. Conformément aux sections 1.5 (« Chiffrement des Informations en transit ») et 2.4 (« Chiffrement des Informations au repos »), les IIP ne doivent à aucun moment être transmises ou stockées sans protection.
     
    2.2 Gouvernance des données. Les Développeurs doivent élaborer, documenter et se conformer à une politique de confidentialité, de traitement et de classification des données pour leurs Applications ou services. Celle politique régit la conduite appropriée et les contrôles techniques à appliquer dans la gestion et la protection des ressources d'information. Un registre des activités de traitement des données (tel que des champs de données spécifiques et la façon dont elles sont collectées, traitées, stockées, utilisées, partagées et supprimées pour toutes les IIP) doit être tenu à jour afin d'établir la responsabilité et la conformité aux règlements. Les Développeurs doivent établir un processus afin de détecter et respecter les exigences réglementaires en matière de confidentialité et de sécurité applicables à leur entreprise et conserver des preuves documentées de leur conformité. Les Développeurs doivent établir et respecter leur politique de confidentialité en ce qui concerne le consentement des clients et les droits relatifs aux données pour consulter, rectifier, effacer ou cesser de partager/traiter leurs informations, le cas échéant, ou lorsque la réglementation en matière de confidentialité des données l'exige. Les Développeurs doivent mettre en place des processus et des systèmes techniques et organisationnels pour assister les Utilisateurs autorisés dans leurs demandes d'accès aux données des personnes concernées. Les Développeurs doivent inclure des dispositions contractuelles dans les contrats de travail avec les salariés qui gèrent les IIP afin de maintenir la confidentialité de ces dernières.
     
    2.3 Gestion des ressources. Les Développeurs doivent maintenir une configuration standard de base pour le système d'information, mais aussi tenir un inventaire des logiciels et des ressources physiques (p. ex., ordinateurs, appareils mobiles) ayant accès aux PII, et le mettre à jour tous les trimestres. Les ressources physiques qui stockent, traitent ou manipulent d'une autre manière les IIP doivent respecter toutes les exigences énoncées dans la présente politique. Les Développeurs ne doivent pas stocker d'IIP dans des supports amovibles, des appareils personnels ou des applications de cloud public non sécurisées (p. ex., les liens publics mis à disposition via Google Drive), à moins qu'ils ne soient chiffrés au minimum à l'aide des clés de chiffrement AES-128 ou RSA-2048 bits ou supérieure. Les Développeurs doivent détruire de manière sécurisée tous les documents imprimés contenant des IIP. Les Développeurs doivent mettre en place des contrôles de prévention des pertes de données pour surveiller et détecter les mouvements non autorisés des données.
    
    2.4 Chiffrement des Informations au repos. Les Développeurs doivent chiffrer toutes les IIP au repos en utilisant au minimum le chiffrement AES-128 ou RSA avec une taille de clé de 2 048 bits ou supérieure. Les éléments cryptographiques (p. ex., les clés de chiffrement et de déchiffrement) et les capacités cryptographiques (p. ex., les démons mettant en œuvre des TPM [Trusted Platform Modules] virtuels et fournissant des API de chiffrement/déchiffrement) utilisés pour le chiffrement des IIP au repos doivent être accessibles uniquement aux processus et services du Développeur.
     
    2.5 Pratiques de codage sécurisé. Les Développeurs ne doivent pas coder en dur les identifiants sensibles dans leur code, y compris les clés de chiffrement, les clés d'accès secrètes ou les mots de passe. Les identifiants sensibles ne doivent pas être exposés dans les répertoires de code publics. Les Développeurs doivent maintenir des environnements de test et de production distincts.
     
    2.6 Consignation des Informations et suivi. Les Développeurs doivent collecter des journaux pour détecter les événements liés à la sécurité de leurs Applications et systèmes, ce qui inclut le succès ou l'échec de l'événement, la date et l'heure, les tentatives d'accès, les modifications de données et les erreurs système. Les Développeurs doivent mettre en place ce mécanisme de journalisation sur tous les canaux (p. ex., les API de service, les API de couche de stockage, les tableaux de bord administratifs) donnant accès aux Informations. Les Développeurs doivent examiner les journaux en temps réel (p. ex., outil SIEM) ou toutes les deux semaines. Tous les journaux doivent comporter des contrôles d'accès visant à empêcher tout accès non autorisé et toute falsification tout au long de leur cycle de vie. Les journaux ne doivent pas contenir d'IIP sauf si les IIP sont nécessaires pour répondre aux exigences légales, notamment les exigences fiscales ou réglementaires. Sauf exigence contraire des lois en vigueur, les journaux doivent être conservés pendant au moins 90 jours afin de pouvoir être consultés en cas d'Incident de sécurité. Les Développeurs doivent mettre en place des mécanismes pour surveiller les journaux et toutes les activités du système afin de déclencher des alarmes d'enquête sur les actions suspectes (p. ex., plusieurs appels non autorisés, des taux de demandes et un volume de récupération des données inattendu et l'accès aux enregistrements de données Canary). Les Développeurs doivent mettre en place des alertes et des processus de surveillance pour détecter si des Informations sont extraites ou présentes en dehors des limites protégées. Lorsque des alarmes de surveillance sont déclenchées, les Développeurs doivent mener une enquête qui doit être consignée dans le plan d'intervention en cas d'incident du Développeur.
     
    2.7 Gestion des vulnérabilités. Les Développeurs doivent créer et maintenir un plan et/ou un runbook pour détecter et corriger les vulnérabilités. Les Développeurs doivent protéger le matériel physique contenant des informations d'identification personnelles contre les vulnérabilités techniques en effectuant des analyses de vulnérabilité et en y remédiant de manière appropriée. Les Développeurs doivent effectuer des tests d'analyse de vulnérabilité au moins tous les 180 jours ou des tests de pénétration au moins tous les 365 jours. Ils doivent aussi rechercher les éventuelles vulnérabilités dans le code avant la publication de chaque nouvelle version. En outre, les Développeurs peuvent contrôler les modifications apportées au matériel de stockage en testant, en vérifiant et en approuvant toutes les modifications, et en limitant l'accès aux personnes et entités qui peuvent effectuer ces actions. Les Développeurs doivent établir des procédures et des plans appropriés pour restaurer la disponibilité des IIP et l'accès à ces IIP en temps voulu en cas d'incident physique ou technique.
    
    3. Audit et évaluation
    
    Les Développeurs doivent conserver tous les livres et registres appropriés raisonnablement nécessaires pour vérifier la conformité à la Politique d'utilisation acceptable, à la Politique de protection des données et au Contrat de Développeur de l'API Amazon Services pendant la durée de ce contrat, ainsi que les 12 mois suivants. Sur demande écrite d'Amazon, les Développeurs doivent attester par écrit à Amazon de leur respect de ces politiques.
    
    Sur demande, Amazon ou un cabinet indépendant d'experts-comptables certifié désigné par Amazon, peut auditer et inspecter les livres, les registres, les installations, les opérations et la sécurité de tous les systèmes impliqués dans la récupération, le stockage ou le traitement des Informations sur l'Application d'un Développeur. Amazon assurera la confidentialité de toute information non publique divulguée par un Développeur dans le cadre de cet audit, de cette évaluation ou de cette inspection, qui est qualifiée de confidentielle ou qui, compte tenu de la nature des informations ou des circonstances entourant leur divulgation, devrait raisonnablement être considérée comme confidentielle. Les Développeurs doivent coopérer avec Amazon ou l'auditeur d'Amazon dans le cadre de l'audit ou de l'évaluation, qui peut avoir lieu dans les locaux du Développeur et/ou de sous-traitants. Si l'audit ou l'évaluation révèlent des lacunes, des violations et/ou des manquements à nos conditions générales ou politiques, le Développeur doit, à ses frais et dépens exclusifs, prendre toutes les actions nécessaires pour remédier à ces lacunes dans un délai convenu. Sur demande, le Développeur doit fournir des preuves de correction sous la forme demandée par Amazon (qui peut inclure des politiques, des documents, des captures d'écran ou le partage d'écran des modifications apportées à l'application ou à l'infrastructure) et obtenir l'approbation écrite des preuves soumises auprès d'Amazon avant la clôture de l'audit.
    
    4. Définitions
    
    « API Amazon Services » désigne toute interface de programmation d'application (API) proposée par Amazon dans le but d'aider les Utilisateurs autorisés Amazon à échanger des données par programmation.
    
    « Composants de l'API » désigne les composants liés à l'API Amazon Services que nous mettons à disposition, y compris les API, la documentation, les spécifications, les bibliothèques logicielles, les kits de développement logiciel et d'autres documents de support, quel que soit leur format.
    
    « Application » désigne une application logicielle ou un site Web qui s'interface avec l'API Amazon Services ou les Composants de l'API.
    
    « Utilisateur autorisé » désigne un utilisateur des systèmes ou services Amazon qui a été spécifiquement autorisé par Amazon à utiliser les systèmes ou services applicables.
    
    « Client » désigne toute personne ou entité ayant acheté des articles ou des services sur les sites Web publics d'Amazon.
    
    « Développeur » désigne toute personne ou entité (y compris vous, le cas échéant) qui utilise l'API Amazon Services ou les Composants de l'API pour une Utilisation autorisée au nom d'un Utilisateur autorisé.
    
    « Informations » désigne toute information révélée par l'intermédiaire de l'API Amazon Services, des portails Amazon ou des sites Web publics d'Amazon. Ces données, qui peuvent être publiques ou non, comprennent les informations d'identification personnelles des Clients Amazon.
    
    Les « informations d'identification personnelles » (« IIP ») désignent les informations qui peuvent être utilisées seules ou en combinaison avec d'autres informations pour identifier, contacter, identifier en contexte ou localiser un Client ou un Utilisateur autorisé Amazon. Ces informations incluent, sans toutefois s'y limiter, le nom, l'adresse, l'adresse e-mail, le numéro de téléphone, le contenu des messages cadeaux, les réponses aux sondages, les informations de paiement, les achats, les cookies, les empreintes digitales numériques (p. ex., navigateur, appareil utilisateur), l'adresse IP, la géolocalisation ou l'identifiant du produit de l'appareil connecté à Internet d'un Client ou d'un Utilisateur autorisé.
    
    « Incident de sécurité » désigne toute consultation, collecte, acquisition, utilisation, transmission, divulgation, corruption ou perte d'Informations non autorisée, présumée ou avérée, ou toute violation d'environnement contenant des Informations.

Ce site utilise des cookies pour vous garantir la meilleure expérience sur notre site.

MENU

Connexion

Votre panier

Il n'y a aucun produit dans votre panier