Procedimento operacional

Procedimento Operacional Amazon SP-API

Este procedimento orienta o ciclo de vida de acesso, uso, armazenamento, monitoramento e resposta a incidentes para Amazon Information utilizada em painéis e rotinas internas da ARFEL TRADE.

Dono do processo
Operações ARFEL
Aplicação
Painel interno
Revisão
Semestral
Vigência
13 de maio de 2026

1. Responsabilidades

Funções internas no uso da Amazon SP-API
Função Responsabilidade
Responsável de operações Aprovar finalidade de uso, perfis de acesso, relatórios internos e revisões periódicas.
Administrador do sistema Configurar acessos, proteger credenciais, revisar logs e aplicar controles de segurança.
Usuário autorizado Utilizar Amazon Information apenas para atividades aprovadas e reportar anomalias.
Líder de incidente Conduzir contenção, comunicação, evidências, remediação e notificação à Amazon quando aplicável.

2. Concessão e remoção de acesso

  1. Registrar a necessidade operacional do usuário, função e dados necessários.
  2. Aprovar o acesso pelo responsável de operações antes de qualquer liberação.
  3. Conceder apenas o menor nível de permissão necessário para a função.
  4. Exigir MFA e senha com pelo menos 12 caracteres, caracteres especiais e rotação anual.
  5. Remover acesso imediatamente em desligamentos, mudança de função ou perda de necessidade operacional.
  6. Revisar acessos periodicamente e sempre que houver alteração relevante de processo.

3. Uso operacional aprovado

O painel interno deve usar os papéis mínimos necessários da Selling Partner API para monitorar estoque, pedidos, listagens, FBA, insights e relatórios financeiros. Cada consulta, exportação ou relatório deve estar associado a uma finalidade operacional legítima.

  • Conferir inventário e fulfillment para reposição, planejamento e preparação de envios.
  • Monitorar pedidos e status operacionais sem expor informações fora do time autorizado.
  • Atualizar ou revisar listagens apenas nos fluxos internos aprovados.
  • Consolidar dados financeiros para conciliação, contabilidade e tomada de decisão interna.
  • Usar insights para planejamento comercial interno, sem redistribuir Amazon Information.

4. Credenciais, tokens e segredos

  1. Armazenar senhas, chaves de acesso, tokens, encryption keys e secret access keys apenas em locais aprovados e protegidos.
  2. Nunca registrar segredos em código-fonte, templates, repositórios, planilhas públicas, tickets abertos ou mensagens sem controle.
  3. Rotacionar credenciais quando houver suspeita de exposição, troca de fornecedor, mudança de administrador ou exigência contratual.
  4. Revogar tokens não utilizados e remover credenciais de pessoas que não tenham mais necessidade operacional.
  5. Validar que logs e mensagens de erro não exibam tokens, senhas, payloads sensíveis ou chaves secretas.

5. Armazenamento, backup e compartilhamento

Amazon Information deve permanecer em ambientes autorizados, com controles de acesso, proteção contra exposição pública e retenção limitada à necessidade operacional. Backups em provedores aprovados, como Hostinger, Locaweb ou Google Drive restrito, devem manter acesso limitado a pessoal autorizado.

Qualquer solicitação de compartilhamento externo deve ser negada quando envolver revenda, redistribuição, uso comercial por terceiros, publicação pública ou finalidade não autorizada. Quando um provedor de infraestrutura precisar processar dados para hospedagem, armazenamento ou backup, o uso deve ficar limitado ao suporte operacional interno.

6. Procedimento de resposta a incidentes

  1. Identificar o evento, horário de detecção, sistemas afetados e possível relação com Amazon Information.
  2. Conter o incidente com bloqueio de acessos, revogação de tokens, isolamento de sistemas ou interrupção de integrações quando necessário.
  3. Preservar evidências essenciais sem expor dados sensíveis em canais públicos ou não autorizados.
  4. Avaliar impacto, dados envolvidos, usuários afetados, origem provável e medidas imediatas.
  5. Reportar incidentes envolvendo Amazon Information para security@amazon.com em até 24 horas após a detecção.
  6. Corrigir a causa raiz, validar a recuperação, documentar ações tomadas e revisar controles preventivos.

7. Revisão, auditoria e melhoria

  • Revisar este procedimento e o plano de resposta a incidentes pelo menos a cada 6 meses.
  • Atualizar o procedimento quando houver novos papéis da SP-API, novas fontes de dados, novo provedor ou mudança operacional relevante.
  • Registrar decisões de acesso, remoções, incidentes, rotações de credenciais e exceções aprovadas.
  • Executar smoke checks dos endpoints públicos de política e procedimento após alterações de conteúdo ou template.

Documento relacionado: Política de Proteção de Dados da Amazon SP-API.