Saltar al contenido principal
Orvexia
~/amazon-data

▸ /legal · sp-api data protection

Protección de datos de Amazon

Aplicable a Orvexia Repricer · Última actualización: 19 de mayo de 2026

Cómo accedemos, usamos, protegemos, conservamos y eliminamos los datos obtenidos a través de la Amazon Selling Partner API (SP-API), conforme al Acceptable Use Policy y la Data Protection Policy.

Esta política describe cómo Orvexia Repricer (“la Aplicación”) accede, utiliza, almacena, protege, conserva y elimina la información obtenida a través de la Amazon Selling Partner API (SP-API). La Aplicación cumple con el Acceptable Use Policy y la Data Protection Policy del Amazon Selling Partner API.

1. Datos a los que se accede

La Aplicación solo solicita los roles estrictamente necesarios para su función (reprecio automático):

  • Pricing (Precios): precios competitivos y de oferta de los ASIN del vendedor para calcular el nuevo precio.
  • Listings (Listing de producto): SKU, ASIN, título, imagen, precio actual y aplicación del nuevo precio.
  • Identificador del vendedor (Selling Partner ID) y el refresh token de autorización LWA, necesarios para autenticar las llamadas a SP-API en nombre del vendedor.

La Aplicación no accede, almacena ni procesa Información de Identificación Personal (PII) de compradores ni datos de pedidos/clientes. No se delega el acceso a PII a aplicaciones de terceros (TDR no utilizado).

2. Finalidad del uso

Los datos se usan exclusivamente para prestar el servicio de reprecio automático al propio vendedor: leer la competencia, calcular el precio según su estrategia y límites, aplicar el cambio en su catálogo de Amazon y mostrarle su actividad y analíticas. No se usan para ningún otro fin, ni se venden, alquilan ni comparten con terceros con fines publicitarios o comerciales.

3. Cifrado

  • En tránsito: todas las comunicaciones se realizan sobre HTTPS/TLS 1.2 o superior.
  • En reposo: el refresh token de Amazon se almacena cifrado con AES-256-GCM. La base de datos está gestionada por un proveedor con cifrado en reposo.

4. Control de acceso y aislamiento

Cada vendedor solo puede acceder a sus propios datos: las consultas están segmentadas por cuenta de usuario autenticada (multi-tenant aislado). El acceso a los sistemas de producción está restringido al personal autorizado bajo el principio de mínimo privilegio. Las claves y secretos se gestionan como variables de entorno seguras y nunca se exponen en el cliente ni en el repositorio.

5. Conservación y eliminación

El refresh token y la configuración se conservan, cifrados, mientras la cuenta del vendedor esté activa y sea necesario para prestar el servicio. Al desconectar la cuenta de Amazon o solicitar la baja, las credenciales de Amazon dejan de utilizarse y se eliminan. El vendedor puede solicitar en cualquier momento la eliminación completa de sus datos escribiendo al contacto de abajo; se atenderá en un plazo máximo de 30 días. Los datos no se conservan más allá de lo necesario para la finalidad descrita ni más de lo exigido legalmente.

6. Subencargados (sub-procesadores)

La Aplicación se apoya en proveedores de infraestructura que actúan como encargados de tratamiento, bajo acuerdos de protección de datos:

  • Alojamiento y ejecución de la aplicación (proveedor cloud).
  • Base de datos PostgreSQL gestionada (con cifrado en reposo).
  • Pasarela de pago para la suscripción (no recibe datos de Amazon).

Ningún subencargado recibe datos de Amazon salvo el alojamiento y la base de datos estrictamente necesarios para operar el servicio.

7. Registro y detección

Se registran los ciclos de reprecio y errores para diagnóstico y seguridad, sin incluir secretos en claro. Los tokens nunca se escriben en logs.

8. Respuesta a incidentes

Ante una sospecha de acceso no autorizado o brecha de seguridad que afecte a datos de Amazon, la Aplicación: (1) contiene y mitiga el incidente, (2) revoca y rota las credenciales afectadas, (3) notifica a Amazon en un plazo máximo de 24 horas desde su detección y a los vendedores afectados sin dilación indebida, y (4) documenta y aplica medidas correctoras.

9. Cumplimiento

La Aplicación cumple el Acceptable Use Policy y la Data Protection Policy del Amazon Selling Partner API, así como el Reglamento General de Protección de Datos (RGPD) y la normativa española aplicable.

10. Contacto

Para ejercer derechos sobre los datos, solicitar su eliminación o notificar incidencias de seguridad: orvexiaesp@gmail.com.

Este documento puede actualizarse; la fecha de la última revisión figura al inicio.

Tu privacidad, bajo control

Usamos cookies tecnicas para el funcionamiento del sitio y, si aceptas, cookies de analitica y publicidad para mejorar contenidos y medir resultados.

Más información en la política de privacidad y la política de cookies.