iSync

App para Amazon (SP-API)

iSync utiliza exclusivamente roles SP-API no restringidos para optimizar Amazon Vendor Central: procesamiento de Purchase Orders, análisis de catálogo, gestión de inventario y reportes comerciales sin acceso a PII de compradores.

🎯 Roles SP-API actuales (NO restringidos)

iSync está diseñado específicamente para roles SP-API no restringidos. Nuestras funcionalidades aprovechan únicamente datos comerciales y metadatos de producto, sin acceso a información personal de compradores:

Rol SP-API Finalidad en iSync Datos accedidos ¿Contiene PII?
Catalog/Products
✅ No restringido		 Sincronización de catálogo completo, gestión de inventario centralizada, cálculo automatizado de márgenes por SKU ASIN, títulos, dimensiones, pesos, categorías NO - Solo metadatos de producto
Reports/Analytics
✅ No restringido		 Análisis detallado de ventas por SKU, optimización automática de márgenes basada en tendencias, reportes de performance comercial Datos agregados de ventas, unidades, ingresos NO - Datos comerciales agregados
Pricing/Offers
✅ No restringido		 Validación automática de precios vs costes, alertas inteligentes de cambios de ofertas, análisis de competitividad por categoría Precios actuales, ofertas, promociones NO - Solo información comercial
🔒 Garantía de privacidad: Con los roles actuales, iSync NO accede a nombres, direcciones, teléfonos ni datos personales de compradores de Amazon. Solo procesamos información comercial (SKU, precios, ventas agregadas).

⚡ Funciones futuras condicionales (requieren RDA aprobado)

IMPORTANTE: Estas funcionalidades NO están implementadas ni activas. Solo las desarrollaremos SI Amazon aprueba nuestra solicitud RDA futura con justificaciones específicas:

Rol futuro (RDA) Funcionalidad condicional PII requerida Controles adicionales
Orders/Shipping
⚠️ Requeriría RDA		 Generación etiquetas envío, ASN con direcciones Nombre, dirección, teléfono destinatario RDT, retención ≤30 días, MFA obligatoria
Tax/Invoices
⚠️ Requeriría RDA + justificación específica		 Cálculo automático de impuestos multi-jurisdiccionales para Vendor Central Europa (Seller Central no cubre operaciones Vendor) Datos fiscales comprador (procesamiento transitorio ≤30 días) RDT + Validación gobierno + Auditoría fiscal + Certificación contable
📋 Proceso condicional: Si algún cliente necesitara estas funciones, (1) solicitaríamos RDA a Amazon, (2) implementaríamos Restricted Data Tokens (RDT), (3) aplicaríamos controles reforzados documentados en nuestras páginas de Seguridad y Gobernanza.

📋 Documentación específica para Amazon

📊 Justificación COMPLETA: Tax Payment + Tax Invoicing + Tax Remittance + Professional Services

Análisis técnico detallado de TODOS los roles restringidos solicitados vs limitaciones de Seller Central + programas Amazon soportados

📝 Respuestas públicas para Amazon (AUP/DPP)

AUP 4.1 – Data usage (PII)

We do not require buyer PII to deliver our core features. We operate with non-restricted SP-API data (catalog, offers, reports without PII, order summaries without personal attributes) and files provided by the selling partner (Vendor Central and Amazon Ads spreadsheets). If a future feature requires PII, we will request Restricted Data Access and use Restricted Data Tokens (RDT) with enhanced controls.

DPP 2.2 – Data Governance

Our public Privacy and Data Governance pages explain how Amazon data is collected (OAuth/SP-API, VC Excel, Holded API), processed (validation, margin computation, stock coverage, manufacturing planning), stored (MySQL with replication, encrypted in transit, backups 30-day retention), used (only to deliver contracted features), shared (no sale; essential sub-processors under DPAs), and disposed (automated deletion; 12 months for non-restricted, 30 days for PII if enabled, 90 days for logs). Access is role-based, least-privilege.

DPP 2.6 – Logging & Monitoring

ARCHITECTURAL GUARANTEE: NO PII IN ANY LOGS. Centralized, time-synced logs (app/access/API/security/audit) contain ONLY: timestamp, anonymous actor/service IDs, IP addresses (not linked to identities), user-agent strings, endpoint paths, API scopes, HTTP result codes, system performance metrics. EXPLICITLY EXCLUDED from ALL logs: names, addresses, emails, phone numbers, payment details, personal identifiers. Append-only, access-controlled, 90-day retention. Anomaly detection (excessive failures, rate spikes, geo-impossible logins), alerting via Teams/email, IP throttling, token revocation. Events follow our Incident Response Plan with certified PII-free logging architecture validated by third-party security audits.

DPP 1.4 – Credential Management

Password policy: min 16 chars, ALL 4 required (2+ upper/2+ lower/2+ number/2+ special chars), lockout progressive (3→15min, 5→2h, 8→24h, 10→manual review), prevent reuse of last 24; expiry 45 days (15 for admins, 7 for super-admin); UNIVERSAL MFA required (TOTP + backup codes). Passwords hashed with bcrypt cost 14+ with unique salts. Secrets stored in secure vault, rotated every 30 days (15 for API tokens, 90 for encryption keys). Service accounts use least privilege and key-based auth; no secrets in code. Triple breach detection via 600M+ compromised password database + internal patterns + dictionary attacks.

🔐 Controles de acceso y revocación

Cómo gestionar permisos

  • Autorización inicial: OAuth estándar desde tu cuenta Amazon Developer
  • Permisos granulares: Solo roles específicos que actives
  • Revisión periódica: Puedes revisar permisos en cualquier momento
  • Revocación inmediata: Cancela acceso desde tu cuenta Amazon

Desinstalar/revocar acceso

1

Desde Amazon Developer Console

Ve a tu cuenta Amazon Developer → Applications → iSync → Revoke Access

2

Desde iSync (opcional)

Configuración → Integraciones → Amazon → Desconectar

3

Exportar datos

Antes de revocar, exporta tus datos desde Dashboard → Exportar → Todos los datos

📞 Soporte revocación: Si tienes problemas revocando acceso, contacta privacidad@isync.app para ayuda inmediata y borrado de datos.

🛡️ Protección de datos Amazon

🔐

Cifrado total

TLS 1.3 en tránsito, AES-256 en reposo. Headers seguros (HSTS/CSP) en producción.

👤

Acceso restringido

Principio menor privilegio, MFA para admins, logs de auditoría sin PII.

📍

Ubicación UE

Servidores en Frankfurt (Arsys), backups UE, sin transferencias fuera Europa.

Retención limitada

Datos no restringidos: 12-24 meses. PII (si futuro): máximo 30 días.

📋 Documentación completa

Política de Privacidad Controles de Seguridad Gobernanza de Datos Casos de Uso