Integração Amazon Selling Partner API

1. Visão geral

A HAP Tecnologia LTDA (CNPJ 51.577.892/0001-29), sediada em Apucarana - PR, opera o Hap ERP, uma plataforma de gestão empresarial em nuvem utilizada por sellers brasileiros. O módulo Marketplaces do Hap ERP se conecta à Amazon Selling Partner API (SP-API) para automatizar a operação de venda dos sellers Amazon: sincronização de catálogo, preços e estoque, importação de pedidos, emissão de nota fiscal eletrônica (NF-e) correspondente e atualização de status logístico.

Esta política específica deve ser lida em conjunto com a Política de Privacidade Geral da HAP. Em caso de divergência, esta prevalece sobre a Geral exclusivamente quanto a dados oriundos da Amazon SP-API.

2. Informações coletadas via Amazon SP-API

Coletamos exclusivamente as informações estritamente necessárias para as finalidades descritas nesta política, conforme as roles solicitadas e aprovadas pela Amazon. As categorias de dados incluem:

• Informações da conta do seller (sellerId, marketplaceId, regiões habilitadas);
• Catálogo e listings: SKU, ASIN, título, descrição, atributos, imagens, preços, estoque, variações e dados de classificação fiscal;
• Pedidos: AmazonOrderId, itens, valores, descontos, frete, status, datas e canal de venda;
• Informações do comprador (PII), exclusivamente quando necessárias à emissão de nota fiscal eletrônica brasileira ou ao despacho da mercadoria: nome do comprador, CPF/CNPJ, e-mail (quando disponível via SP-API), telefone e endereço de entrega completo;
• Dados financeiros e de liquidação: relatórios de repasse (settlement reports), taxas Amazon, comissões, reembolsos e ajustes;
• Métricas operacionais: tempos de envio, status de fulfillment, mensagens do comprador (quando aplicáveis ao suporte de venda).

3. Finalidade do tratamento

As informações obtidas via SP-API são utilizadas exclusivamente para os seguintes propósitos, todos ligados à operação do seller que autorizou a integração:

• importar e processar pedidos da Amazon no ERP do seller;
• emitir nota fiscal eletrônica brasileira (NF-e) com os dados fiscais do comprador, em cumprimento à legislação tributária (Lei 9.532/97, RICMS, Ajuste SINIEF 07/05);
• gerar etiquetas de despacho e cumprir prazos logísticos exigidos pela Amazon;
• sincronizar catálogo, preços e estoque do ERP para a Amazon;
• conciliar repasses financeiros e gerar relatórios consolidados para o seller;
• responder a auditorias fiscais e legais, quando exigido por autoridade competente.

A HAP Tecnologia não utiliza dados Amazon para nenhuma finalidade não autorizada, incluindo marketing direto, perfilamento de consumidores, treinamento de modelos de IA, criação de produtos concorrentes, revenda de dados ou agregação com dados de outros sellers.

4. Armazenamento e segurança

As informações obtidas via SP-API são armazenadas em datacenter corporativo localizado no Brasil, com controles físicos (controle de acesso, vigilância 24/7, redundância de energia e refrigeração, links de internet redundantes), borda protegida por Cloudflare (DNS, WAF e mitigação de DDoS) e arquivos não estruturados (relatórios, anexos) em Amazon Web Services S3 (sa-east-1, São Paulo). Aplicamos os seguintes controles:

• Criptografia em repouso: AES-256 nos volumes do banco de dados PostgreSQL e nos buckets AWS S3 (SSE-S3/SSE-KMS); AES-GCM em nível de aplicação para credenciais OAuth e refresh tokens da SP-API armazenados no banco;
• Criptografia em trânsito: TLS 1.2 ou superior em todas as comunicações com a SP-API, entre componentes da plataforma e na borda Cloudflare;
• Gestão de chaves: chaves de aplicação armazenadas fora do código-fonte, em variáveis de ambiente protegidas, segregadas por ambiente (produção/homologação) e rotacionadas periodicamente;
• Controle de acesso: banco de dados em rede privada sem exposição pública, firewall corporativo com regras restritivas, acessos administrativos via VPN com MFA obrigatório, RBAC com aprovação formal e revisão periódica;
• Segregação: ambientes de produção, homologação e desenvolvimento estritamente segregados; ambientes não-produtivos utilizam apenas dados sintéticos ou anonimizados;
• Backups: rotinas automáticas diárias criptografadas (AES-256), com retenção e separação geográfica em relação ao site primário, RPO de 24h e RTO de 4h, com restore validado periodicamente;
• Auditoria: trigger nativo de auditoria no banco registra toda alteração com timestamp, usuário e payload, retido por 5 anos;
• Monitoramento: monitoramento de infraestrutura 24/7 do datacenter, logs centralizados de aplicação e alertas para picos de download de dados, acessos fora do padrão, autenticação anormal e acessos administrativos.

5. Compartilhamento de dados Amazon

Os dados obtidos via SP-API não são compartilhados com terceiros para fins próprios da HAP. Há compartilhamento mínimo, finalístico e contratualmente protegido apenas com:

• SEFAZ (Secretarias da Fazenda estaduais) via webservice oficial — somente campos fiscais exigidos por lei para a emissão da NF-e do pedido Amazon;
• Gateways homologados de NF-e — sob contrato com cláusulas LGPD, atuando como operadores subcontratados para transmissão de documentos fiscais à SEFAZ;
• Transportadoras contratadas pelo próprio seller (Correios, Jadlog etc.) — apenas dados mínimos de entrega (nome, endereço, telefone do destinatário);
• Amazon Web Services (S3 sa-east-1) — armazenamento de arquivos não estruturados, atuando como sub-operador sob seu próprio compromisso contratual de proteção de dados (DPA);
• Cloudflare — proteção de borda (DNS, WAF, mitigação DDoS), sob DPA próprio.

Dados Amazon não são vendidos, alugados, licenciados, expostos publicamente nem usados para qualquer finalidade fora do escopo descrito na seção 3.

6. Retenção e descarte

Mantemos os dados obtidos via SP-API pelo tempo necessário ao cumprimento das finalidades descritas e às obrigações fiscais brasileiras, especialmente:

• Documentos fiscais (NF-e, repasses, conciliações): 5 anos contados do exercício tributário, conforme art. 173 do CTN;
• Logs de aplicação e auditoria: 5 anos;
• Tokens de acesso OAuth: revogados imediatamente ao encerramento da conta do seller ou após 30 dias de inatividade da integração;
• Dados PII transitórios (cache, filas, dados intermediários): descartados em até 30 dias após processamento.

Encerrada a relação contratual com o seller, os dados são anonimizados ou eliminados de forma segura, ressalvados aqueles sujeitos a obrigação legal de retenção.

7. Direitos do titular (LGPD)

Compradores Amazon cujos dados sejam tratados via esta integração podem exercer os direitos previstos no art. 18 da LGPD (confirmação, acesso, correção, eliminação, portabilidade etc.).

Como a HAP atua, em regra, como operadora em nome do seller (controlador dos dados de seus compradores), a solicitação será encaminhada ao seller responsável. Solicitações podem ser enviadas para dpo@haptecnologia.com.br e serão respondidas no prazo legal de 15 dias.

8. Resposta a incidentes

A HAP mantém plano formal de resposta a incidentes de segurança contemplando: detecção via alertas centralizados, contenção (revogação de tokens e isolamento de hosts), erradicação, recuperação a partir de backups validados e notificação à Amazon dentro do prazo de 24 horas (conforme Amazon Data Protection Policy), à ANPD e aos titulares afetados em até 48 horas, conforme art. 48 da LGPD.

Ponto de Contato de Gerenciamento de Incidentes (IMPOC): incidentes@haptecnologia.com.br

9. Subcontratados (sub-operadores)

A HAP utiliza os seguintes sub-operadores para a operação da integração Amazon SP-API, todos sob obrigações contratuais compatíveis com LGPD e com a Amazon Data Protection Policy:

• Datacenter corporativo (Brasil) — hospedagem dos servidores de aplicação e banco de dados;
• Cloudflare — DNS, WAF e mitigação de DDoS na borda;
• Amazon Web Services (S3 sa-east-1) — armazenamento de arquivos não estruturados;
• Gateway homologado de NF-e/NFS-e — para transmissão de documentos fiscais à SEFAZ.

10. Alterações

Esta política pode ser atualizada para refletir mudanças na integração, em provedores subcontratados ou na legislação. A versão vigente é sempre a publicada nesta URL, identificada pela data de "Última atualização" no topo.

11. Contato

• Encarregado de Proteção de Dados (DPO): dpo@haptecnologia.com.br
• Equipe de Segurança da Informação: seguranca@haptecnologia.com.br
• Ponto de Contato de Incidentes (IMPOC): incidentes@haptecnologia.com.br
• Endereço postal: Rua Professor João Cândido Ferreira, 709 - Centro - Apucarana/PR, CEP 86.800-100, Brasil
• Telefone/WhatsApp: (43) 99168-0212