Frage zur Ablehnung des Antrags auf erweiterten SP-API-Zugriff
Hallo zusammen,
wir haben kürzlich versucht, den erweiterten Zugriff auf die SP-API zu beantragen, da wir Lobster als neue Softwarelösung verwenden möchten. Leider wurde unser Antrag trotz einer unserer Ansicht nach korrekten, detaillierten und adäquaten Beantwortung der einzelnen Fragen von Amazon abgelehnt. Es wurden die beiden folgenden Punkte bemängelt:
(1) Datennutzung 4.1 - Nutzung personenbezogener Daten:
Amazon verlangt in seinen Richtlinien, dass personenbezogene Daten nur für Versandzwecke oder zur Einhaltung gesetzlicher Vorgaben (wie Steuervorschriften) verwendet werden dürfen.
Unsere Antwort auf diese Frage lautete:
Personenbezogene Daten sind für die gesetzlich vorgeschriebene Rechnungserstellung erforderlich. Wir benötigen Kundeninformationen wie Name und Anschrift, um rechtskonforme Rechnungen zu generieren. Diese Daten sind notwendig für die korrekte Steuerberechnung und -abführung sowie zur Erfüllung unserer buchhalterischen Pflichten. Die Verarbeitung dieser Daten erfolgt ausschließlich im Rahmen der Rechnungserstellung und -übermittlung und unterliegt strengen Datenschutzrichtlinien.
Wir sind der Ansicht, dass wir diese Vorgabe ordnungsgemäß erfüllen, da die Nutzung der Daten ausschließlich im Rahmen der Rechnungserstellung erfolgt. Hat jemand ähnliche Erfahrungen gemacht oder Tipps, wie wir hier besser argumentieren können?
(2) Schwachstellen-Management 2.7 - Sicherheitsanforderungen:
Amazon fragt nach der Vorgehensweise zur Verfolgung der Behebung von Schwachstellen, die durch Scans oder Penetrationstests identifiziert wurden.
Unsere Antwort auf diese Frage lautete:
- Ein zentrales Schwachstellen-Management-System zur Erfassung aller Findings
- Priorisierung der Schwachstellen nach Kritikalität und Risiko
- Automatische Zuweisung an verantwortliche Teams
- Festlegung von Fristen für die Behebung basierend auf Schweregrad
- Regelmäßige Status-Updates/Fortschrittsberichte
- Verifizierung der Behebung durch erneute Scans oder Tests
- Dokumentation aller Schritte/Maßnahmen
- Vierteljährliche Überprüfung offener Schwachstellen durch das Sicherheitsteam.
Für uns ist es unverständlich, warum unsere Antwort hier nicht ausreichend war, da wir glauben, alle relevanten Sicherheitsvorgaben erfüllt zu haben.
Hat jemand bereits einen ähnlichen Antrag gestellt und dabei Erfolg gehabt? Gibt es spezifische Punkte, die wir in unserer Antwort ergänzen sollten, um den Anforderungen von Amazon besser zu entsprechen? Vielleicht kann ein Moderator auch unseren Fall einmal unter die Lupe nehmen und uns Tipps geben.
Die Möglichkeit, Widerspruch einzulegen, scheint nicht wirklich möglich zu sein, da das Verfahren darin besteht, einen neuen Antrag zu stellen (ohne auf den abgelehnten Antrag Bezug nehmen zu können).
Danke im Voraus für die Hilfe!
Frage zur Ablehnung des Antrags auf erweiterten SP-API-Zugriff
Hallo zusammen,
wir haben kürzlich versucht, den erweiterten Zugriff auf die SP-API zu beantragen, da wir Lobster als neue Softwarelösung verwenden möchten. Leider wurde unser Antrag trotz einer unserer Ansicht nach korrekten, detaillierten und adäquaten Beantwortung der einzelnen Fragen von Amazon abgelehnt. Es wurden die beiden folgenden Punkte bemängelt:
(1) Datennutzung 4.1 - Nutzung personenbezogener Daten:
Amazon verlangt in seinen Richtlinien, dass personenbezogene Daten nur für Versandzwecke oder zur Einhaltung gesetzlicher Vorgaben (wie Steuervorschriften) verwendet werden dürfen.
Unsere Antwort auf diese Frage lautete:
Personenbezogene Daten sind für die gesetzlich vorgeschriebene Rechnungserstellung erforderlich. Wir benötigen Kundeninformationen wie Name und Anschrift, um rechtskonforme Rechnungen zu generieren. Diese Daten sind notwendig für die korrekte Steuerberechnung und -abführung sowie zur Erfüllung unserer buchhalterischen Pflichten. Die Verarbeitung dieser Daten erfolgt ausschließlich im Rahmen der Rechnungserstellung und -übermittlung und unterliegt strengen Datenschutzrichtlinien.
Wir sind der Ansicht, dass wir diese Vorgabe ordnungsgemäß erfüllen, da die Nutzung der Daten ausschließlich im Rahmen der Rechnungserstellung erfolgt. Hat jemand ähnliche Erfahrungen gemacht oder Tipps, wie wir hier besser argumentieren können?
(2) Schwachstellen-Management 2.7 - Sicherheitsanforderungen:
Amazon fragt nach der Vorgehensweise zur Verfolgung der Behebung von Schwachstellen, die durch Scans oder Penetrationstests identifiziert wurden.
Unsere Antwort auf diese Frage lautete:
- Ein zentrales Schwachstellen-Management-System zur Erfassung aller Findings
- Priorisierung der Schwachstellen nach Kritikalität und Risiko
- Automatische Zuweisung an verantwortliche Teams
- Festlegung von Fristen für die Behebung basierend auf Schweregrad
- Regelmäßige Status-Updates/Fortschrittsberichte
- Verifizierung der Behebung durch erneute Scans oder Tests
- Dokumentation aller Schritte/Maßnahmen
- Vierteljährliche Überprüfung offener Schwachstellen durch das Sicherheitsteam.
Für uns ist es unverständlich, warum unsere Antwort hier nicht ausreichend war, da wir glauben, alle relevanten Sicherheitsvorgaben erfüllt zu haben.
Hat jemand bereits einen ähnlichen Antrag gestellt und dabei Erfolg gehabt? Gibt es spezifische Punkte, die wir in unserer Antwort ergänzen sollten, um den Anforderungen von Amazon besser zu entsprechen? Vielleicht kann ein Moderator auch unseren Fall einmal unter die Lupe nehmen und uns Tipps geben.
Die Möglichkeit, Widerspruch einzulegen, scheint nicht wirklich möglich zu sein, da das Verfahren darin besteht, einen neuen Antrag zu stellen (ohne auf den abgelehnten Antrag Bezug nehmen zu können).
Danke im Voraus für die Hilfe!
