Amazon Developer Amazon SPAPI アプリケーションライセンス：詳細ガイドと実践的なヒント

Amazon PII 開発者ロールの応募に関する質問のリスト:
Amazon PII 許可アプリケーション、PII、パブリック PII

1. 要求された役割の機能を使用して構築する予定のアプリケーションまたは機能について説明します。
2. アプリケーションや機能を構築するために個人を特定できる情報が必要な理由を説明します
3. アプリケーションまたは機能が承認されたユーザーにどのようなメリットをもたらすかを説明します。
4. あなたの新しい機能アプリは、このカテゴリの他のアプリとどのように異なりますか?
5. 提供している国固有の機能について説明してください。
6. アプリまたは機能でサポートする予定の Amazon プログラムをリストしてください。
7. 代理店が Amazon 情報を共有しているすべての外部関係者をリストし、組織がこの情報をどのように共有しているかを説明します。
8. Amazon 情報の取得中に見つかった Amazon 以外の MWS ソースをすべてリストします。
9. 組織が Amazon 情報にアクセスできる従業員をどのように個別に特定し、従業員の Amazon 情報へのアクセスを必要に応じて制限しているかを説明してください
10. 従業員の個人用デバイス (USB フラッシュドライブ、携帯電話など) から Amazon 情報へのアクセスを監視および防止するために組織が導入しているメカニズムと、そのようなインシデントが発生した場合にどのように警告されるかを説明してください。
11. Amazon データがどのように収集、処理、保存、使用、共有、廃棄されるかを説明する組織のプライバシーおよびデータ処理ポリシーを提供します。この情報は、公開 Web サイトの URL の形式で提供できます。
12. 貴機関が Amazon 情報を保存する場所を説明し、使用されている暗号化アルゴリズムの詳細を提供します
13. 組織が Amazon 情報をどのようにバックアップまたはアーカイブしているかを説明し、使用されている暗号化アルゴリズムの詳細を提供します
14. 組織がアプリケーション内の悪意のあるアクティビティをどのように監視、検出、ログに記録しているかを説明します
15. データベース侵入、不正アクセス、データ侵害に対処するために組織がインシデント対応計画で実施した手順を要約します。
16. 必要なパスワードの長さ、複雑さ (大文字/小文字、数字、特殊文字)、有効期限の観点から、これらのパスワード管理慣行を組織全体にどのように適用していますか?
17. テスト中に個人を特定できる情報 (PII) を保護する方法
18. 認証情報の漏洩を防ぐためにどのような対策が講じられていますか?
19. 脆弱性スキャンや侵入テスト中に発見された問題の修復の進行状況をどのように追跡しますか?
20. 開発ライフサイクル中および運用中に発見されたコードの脆弱性にどのように対処しますか? 21. 変更管理の責任者は誰ですか? タイトルを指定してください。

----------------------------------20230416----------- -- ---------------------
多くの人が遭遇する可能性のある拒否の理由は次のとおりです。
例1
提供された情報を確認した結果、アプリケーションに基づいて制限付き SP-API ロールへのアクセスは付与されないことが判明しました。現時点では、制限付き SP-API を要求するすべてのパブリック開発者アプリケーションを評価します。アクセスには、発売準備状況、公開 Web サイトで閲覧できる提供サービス、サポートされている地域など、さまざまな技術的およびビジネス基準が含まれますが、これらに限定されません。
すでにアクセス権を持っている SP-API ロールを使用して公開アプリケーションを構築する場合は、Amazon 販売パートナー ネットワークにリストされる必要があります。新しいリスト フォームを送信するか、既存のリストを編集できます。デベロッパー セントラル内:
お客様から提供された情報を検討した結果、お客様のリクエストに基づいて制限付き SP-API ロールへのアクセスは許可されないと判断しました。 現時点では、SP-API アクセスに変更はありません。 当社は、制限付き SP-API アクセスを要求するすべての公開開発者アプリケーションを、発売の準備状況、公開 Web サイトで閲覧できるサービスの提供、サポートされる地域などを含む (ただしこれらに限定されない) さまざまな技術的基準およびビジネス基準に基づいて評価します。 すでにアクセス権を持っている SP-API ロールを使用して、一般公開されているアプリケーションを構築する場合は、そのアプリケーションを Amazon 販売パートナー ネットワークにリストする必要があります。 新しいリスト フォームを送信したり、デベロッパー セントラルで既存のリストを編集したりできます。

例2
APP 公開時の返信質問の例: 販売パートナー Appstore リスト フォームを送信していただきありがとうございます。
出品フォームの詳細を確認したところ、ご提出いただいた内容に注意が必要な次の問題があることが判明しました。
機能: あなたが選択した機能は、Web サイトに表示されているサービスに対応している必要があります。カテゴリ [プロモーション、自動価格設定、資金調達とクレジット、製品リサーチとスカウト、購入者/販売者のメッセージング] を追加しましたが、これらに関する詳細が見つかりません。アプリケーション サービスが完全に起動され、Web サイトにアプリの価格情報、機能の詳細、その他の機能に関する情報が表示される必要があります。それに応じて機能を編集するか、Web サイトの各機能に対して提供するサービスに関する情報を含めてください。
説明: アプリの送信に指定した説明が送信言語と一致していません。Amazon 販売者に最高のカスタマー エクスペリエンスを提供するために、説明で使用されている言語と一致するように送信言語を調整してください。アプリケーションが Amazon 販売者に提供するサービスに関する情報。
必要な更新に対処し、アプリケーションを公開するには、このケースを再度送信しないでください。アプリを編集し、ここで新しいアプリ リクエストを送信してください。販売パートナー アプリストア リスト フォームを送信していただきありがとうございます。
出品フォームの詳細を確認していたところ、送信内容に注意が必要な次の問題が見つかりました。
機能: 選択した機能は、Web サイトに表示されるサービスに対応している必要があります。 カテゴリ [プロモーション、自動価格設定、資金調達とクレジット、製品リサーチとスカウト、バイヤー/セラーのニュース] を追加しましたが、サイトではこれらに関する詳細が見つかりません。 アプリケーション サービスが完全に起動され、Web サイトにアプリケーションの価格情報、機能の詳細、その他の機能に関する情報が表示される必要があります。 それに応じて機能を編集するか、各機能に対して提供するサービスに関する情報を Web サイトに含めてください。
説明: アプリの提出で指定した説明が提出言語と一致しません。 Amazon の出品者に最高の顧客体験を提供するには、説明で使用されている言語と一致するように送信言語を調整してください。 これらの説明には、アプリが Amazon 販売者に提供するサービスの詳細が記載されていることを確認してください。
必要な更新を解決してアプリケーションを公開するために、このケースを再度開かないでください。 ここで申請書を編集し、新しい申請リクエストを送信して、新しいケースを送信してください。
例3
当社は評価を完了し、お客様が制限付き SP-API の要件を満たしていないと判断しました。Amazon の顧客を保護するために、Amazon とは大きく異なる機能を提供するサードパーティ開発者との顧客データの共有 (「制限付きアクセス」) のみを検討します。これらの基準を満たす開発者は、Amazon による厳格なセキュリティ審査を受ける必要があります。評価が完了し、制限付き SP-API の要件を満たしていないと判断されました。 Amazon の顧客を保護するために、当社は既存のアプリケーションとは異なる機能 (「アクセス制限」) を提供するサードパーティ開発者との顧客データの共有のみを検討します。 これらの基準を満たす開発者は、Amazon の厳格なセキュリティ審査に合格する必要があります。
提供された情報を確認した結果、アプリケーションに基づいて制限付き SP-API ロールへのアクセスは付与されないことが判明しました。現時点では、制限付き SP-API を要求するすべてのパブリック開発者アプリケーションを評価します。アクセスには、発売準備状況、公開 Web サイトで閲覧できる提供サービス、サポートされている地域など、さまざまな技術的およびビジネス基準が含まれますが、これらに限定されません。
お客様から提供された情報を検討した結果、お客様のリクエストに基づいて制限付き SP-API ロールへのアクセスは許可されないと判断しました。 現時点では、SP-API アクセスに変更はありません。 当社は、制限付き SP-API アクセスを要求するすべての公開開発者アプリケーションを、発売準備状況、公開 Web サイトで閲覧できるサービスの提供、サポートなどのさまざまな技術的およびビジネス基準に基づいて評価します。
地理上の位置。

例4
Amazon 販売パートナー API (SP-API) 開発者プロフィールを更新していただきありがとうございます。

あなたの回答を確認した後、このケースに直接返信してください。次のポリシーに関する詳細情報を提供するために 5 暦日以内に返信する必要があります。

AUP - 利用規約

• 税金の送金では次のことは行われません。
  • セラーセントラルの税金設定構成が課税の必要性を十分に満たさない理由を説明します。
  • 税金の計算が政府の報告基準に対して信頼できることをどのように確認したかについて言及します。
  • 生成する税務報告書の名前と、そこに含める PII の詳細を含めます。

• 税金の請求書発行では次のことは行われません。
  • 税金請求書を生成する注文の種類を指定します。
  • セラーセントラルを通じてすでに利用できるもの以外の税金請求書発行メカニズムが必要な理由を説明します。
  • 税請求書を作成するために準拠する必要がある地方税要件について言及します。

回答を提供すると、このケース内の新しい連絡として投稿され、レビューが行われます。

5 暦日以内にご返信がない場合は、このケースを解決させていただきます。

利用規約: https://sellercentral.amazon.com/mws/static/policy?documentType=AUP&locale=en_US
データ保護ポリシー: https://sellercentral.amazon.com/mws/static/policy?documentType=DPP&locale=en_US

よくある質問: https://developer.amazonservices.com/

Amazon 販売パートナー API (SP-API) 開発者プロフィールを更新していただきありがとうございます。

ご回答を確認した後、さらに詳しい情報をお送りいただく必要があります。 この件については直接ご対応ください。 評価を継続するには、次のポリシーに関する詳細情報を提供するために 5 暦日以内にご返信ください。

AUP - 利用規約

• 税金の送金。 あなたのユースケースでは次のことは行われません。
  • セラーセントラルの税金設定構成が税金のニーズを満たさない理由を説明します。
  • 税金の計算が政府の報告基準に対して信頼できることをどのように確認したかについて言及します。
  • 生成する税務報告書の名前と、そこに含める PII の詳細を含めます。

• 税の請求書。 あなたのユースケースでは次のことは行われません。
  • 税請求書を生成する注文タイプを指定します。
  • セラーセントラルですでに利用可能なものとは異なる税金請求メカニズムが必要な理由を説明します。
  • 税請求書を作成するために準拠する必要がある地域の税要件について言及します。

回答を提供すると、この場合はレビューのために新しい通信として投稿されます。

5 暦日以内にご返信がない場合は、問題を解決させていただきます。

利用規約: https://sellercentral.amazon.com/mws/static/policy?documentType=AUP&locale=en_US
データ保護ポリシー: https://sellercentral.amazon.com/mws/static/policy?documentType=DPP&locale=en_US

よくある質問: https://developer.amazonservices.com/

上記は、より一般的なコールバックの問題のリストにすぎず、状況は人それぞれ異なります。
----------------------------------20230507----------- -- ---------------------
監査とリモート
最後のヒット
すべての問題が解決されると、新たな監査とリモート デモが行われます。
こんにちは、このプロセスでのご回答とご協力に感謝いたします。制限された SP-API ロールを使用して公開アプリケーションを構築したいすべての開発者は、ソリューション アーキテクト チームによるアーキテクチャ レビューを通過する必要があります。これには、アプリケーション データの詳細な説明が必要です。フロー、個人識別情報 (PII) のデータ保護コントロールの後に画面共有によるデモを行います。添付文書に記載されている質問については、書面による説明またはスクリーンショットを提供するようお願いします。Excel ファイルには 14 個の質問があります。 5 営業日以内にご返信いただく必要があります。ご返信がない場合は、この通信に含まれる「SA+review_Pre-review+Doc.xlsx」という名前のファイルを参照して評価を続行します。署名の下にあるセラーセントラル/デベロッパーセントラルのケースリンクを使用してください。Amazon、Amazon.comセラーサポートで販売していただきありがとうございます。
このプロセスにおけるご対応とご協力に感謝いたします。 制限された SP-API ロールを使用して公開アプリケーションを構築したいすべての開発者は、ソリューション アーキテクトのチームによるアーキテクチャ レビューを受ける必要があります。 これには、アプリケーションのデータ フロー、個人識別情報 (PII) のデータ保護制御の詳細な説明が必要であり、その後、画面共有によるデモンストレーションが必要になります。 添付ファイルに記載されている問題については、書面による説明またはスクリーンショットの提供をお願いいたします。 Excel ファイルで 14 個の質問に答える必要があることに注意してください。 5営業日以内にご返信ください。 ご返答がない場合は、入手可能な情報に基づいて評価を続行します。 この通信に含まれる「SA+review_Pre-review+Doc.xlsx」という名前のファイルを表示するには、署名の下にあるセラーセントラル/デベロッパーセントラルのケースリンクを使用してください。 Amazon、Amazon.comセラーサポートを通じて販売していただきありがとうございます
以下は Excel からのすべての質問のリストです
Q1: ネットワークとデータ フロー図を提供してください。
Q2: PII データを処理するシステム コンポーネントの相互作用のシーケンスを確認してください。
Q3. データ ガバナンス - 従業員はプライバシーとデータ処理ポリシーを認識する必要がありますか?セキュリティ意識向上トレーニングは実施されていますか?データ処理、NDA、許容される使用などの問題に対処する従業員契約を提供してください。
Q4. 安全なコーディングの実践 - テストから本番までの SDLC プロセスについて説明してください。エンコードは社内で行われますか?以下を提供してください: - ダミー データを含むテスト環境のスクリーンショット - SDLC ポリシーを提供します - リリース前にコードがどのようにレビューされるかのプロセスを説明します - 各リリース前にコードの脆弱性をスキャンする例を提供します
Q5. 資産管理 – ソフトウェアおよび物理資産の在庫を維持および更新しますか?変更管理の責任者（具体的な役職）を教えてください。 - 資産インベントリ (ラップトップやソフトウェアなどのハードウェアを追跡する方法) を共有してください。 - 変更管理の責任者は誰ですか?
Q6. ネットワーク保護 - Web層、アプリケーション層、データベース層のネットワーク制御構成について教えてください。 - 適切なネットワーク保護ツールを導入していることを示すスクリーンショットの証拠を含めてください (例: [ファイアウォール、VPN、ACL、セキュリティ グループ、DDOS などのネットワーク攻撃に対する保護])。 AWS の場合、これは VPC 構成、WAF、シールド、セキュリティ グループ ルール、ACL 構成などになります)
Q6. 転送中の暗号化 - 内部データ転送と外部データ転送の違いは何ですか?それらをどのように監視しますか? - TLS 証明書などを介して、アプリケーションが HTTPS (最低 TLS 1.2 以上) 経由で通信するように構成されていることを示す証拠を提供してください。 AWS の場合、これは、CloudFront がサポートするように構成されている最小の SSL/TLS プロトコルによって示されます。 AWS Certificate Manager を介して。 -
Q7. 保存時の暗号化 – Amazon データはどこに保存しますか (特に 30 日以上経過した場合)。暗号化の設定について説明してもらえますか? - PII データが保存時に少なくとも AES 256 レベルの保護で暗号化されていることを示すデータベース構成 (システム設定やスクリプトなど) を提供してください。
Q8. アクセス管理 - あなたの組織に合わせてアクセス管理がどのように設計されているかの概要を教えてください。たとえば、各ユーザーの認証と認可、または権限の決定はどのように行うのでしょうか?アクセス権はどれくらいの頻度でレビューされますか? - アクセス制御ポリシーを提供してください - ユーザー マップ/組織図またはアクセス コントロール マトリックスを提供してください - ユーザー アクセス レビューを提供してください (例: 定期的な会議の議事録/メモ、または実行されたスケジュールされたアクセス レビューを追跡するその他の手段)
Q9. 最小権限の原則 - 各ユーザーの権限をどのように決めているか教えてください。ユーザーが割り当てられた役割以外の機能を実行しようとするとどうなりますか? - アプリケーションがユーザーに割り当てられた固有のロールと権限を持っていることを示してください。
Q10. MWS/SP-API との統合のために実装された認可モデルは何ですか?ネットワークおよびアプリケーション環境に対してどのように認証しますか? - アプリケーションとネットワークのパスワード設定のスクリーンショットを提供してください。 - さらに、接続を確立するための安全な方法の証拠も提供してください (VPN、MFA、サーバーへの SSH 接続など) - アプリを認証するための販売者設定ガイドを提供してもらえますか?ケースに連結したり取り付けたりすることができます。
Q