本数据处理附录(Data Processing Addendum, "DPA")适用于上海寰创宇科技有限公司("我们")为客户提供极链海外仓管理系统及相关技术服务时的数据处理活动,作为双方主合同的数据保护补充条款。
1. 角色与定义
在一般场景下,客户作为数据控制方(Controller),我们作为数据处理方(Processor)按客户指令处理数据。涉及 Amazon SP-API 数据时,双方应同时遵循 Amazon 开发者政策与适用法律要求。
2. 处理目的与范围
- 订单拉取与同步、库存同步、发货回传、售后与报表分析;
- 仓储管理、履约追踪、权限审计与系统运维;
- 仅在客户授权范围内处理 Amazon SP-API 与相关业务数据。
3. 数据主体与数据类型
数据主体可能包括店铺操作人员、收件人/联系人、客户员工。处理数据可能包括订单信息、商品信息、库存信息、PII(姓名/地址/电话/邮箱)以及必要的系统日志。
4. 客户义务
- 确保已获得合法授权并具备处理相关数据的合法基础;
- 妥善保管 Amazon 授权凭据、API 密钥、令牌及账号权限;
- 及时告知权限变化、撤销需求或合规限制要求。
5. 我们的处理承诺
- 仅按合同及客户书面指令处理数据,不作超范围用途;
- 不出售 Amazon API 数据或客户数据,不用于无关广告营销;
- 对接触数据人员施加保密义务并进行必要访问控制。
6. 安全措施
- 采用 HTTPS/TLS 等加密通信机制;
- 执行最小权限、角色分离与审计日志;
- 对敏感数据采取脱敏、加密或访问限制;
- 定期执行备份、恢复演练与安全基线检查。
7. 委托处理安排
如需使用受托处理组件,我们将确保其承担不低于本 DPA 的保密与安全义务,并在合理范围内提供相关说明。
8. 跨境传输与存储位置
数据处理与存储位置取决于部署模式(SaaS 或私有化)及客户选择。若涉及跨境传输,双方应依据适用法律与合同条款实施合规保障措施。
9. 安全事件响应与通知
发生疑似数据安全事件时,我们将及时启动应急响应并采取隔离、调查、修复措施;在法律或合同要求范围内通知客户并提供必要协助。
10. 数据主体请求协助
对于访问、更正、删除、限制处理、导出等请求,我们将根据客户指令在合理范围内提供技术与流程协助。
11. 保留期限、返还与删除
除非法律另有要求,服务终止或客户撤销授权后,我们将按合同约定协助数据导出,并在约定周期内执行删除或匿名化处理(含备份轮转清理)。
12. 审计与证明
在不影响其他客户安全与商业机密前提下,我们可通过安全说明、合规问卷、审计摘要等方式提供合理证明材料,支持客户完成 Amazon PII 审核或内部合规检查。
13. 与主合同冲突处理
若本 DPA 与主合同冲突,就数据保护事项以本 DPA 约定为准;未尽事项按主合同及适用法律执行。联系邮箱:support@hcytechsoft.com