Amazon SP-API Data Protection and Handling Policy

Organization: Evenus | Website: goldenrod.co.kr | Last updated: 2026-04-28

This policy describes how Evenus collects, processes, stores, uses, shares, protects, and disposes of Amazon Information obtained through Amazon Selling Partner API (“SP-API”). Evenus uses Amazon Information only for its own seller operations, order fulfillment, Korean export declarations, K-Packet shipping, and legal or tax compliance. Amazon Information is not used for marketing, advertising, profiling, resale, unrelated analytics, or any purpose unrelated to fulfillment and statutory compliance.

1. Scope and Purpose

Evenus operates a private, in-house fulfillment automation system for its own Amazon seller account. The system uses SP-API data only to process customer orders, generate required Korean export declaration data, create Korea Post K-Packet shipping labels, update shipment status, and maintain legally required non-PII business records.

The application is not offered to other sellers, and Amazon Information is not sold, rented, disclosed for marketing, used for customer profiling, or used to train AI or machine learning models.

2. Amazon Information Collected

Evenus collects only the minimum Amazon Information required for fulfillment and compliance. Depending on the order and marketplace requirements, this may include:

Amazon order identifier, marketplace, SKU, quantity, and order status.
Recipient name, shipping address, and phone number when provided and required for delivery.
Shipping service requirements, tracking number, and shipment confirmation data.
Information required to prepare Korean export declarations and shipping labels.

Recipient name, shipping address, phone number, and any files containing those values are classified as restricted Amazon PII.

3. Collection Source

Amazon Information is collected only from official Amazon systems authorized for Evenus’s seller account, including SP-API and Seller Central where applicable. Evenus does not retrieve, purchase, scrape, or receive Amazon Information from non-Amazon data brokers, aggregators, unauthorized third parties, or external sources.

4. System Architecture and Data Flow

Evenus uses a Cloudflare and Google Cloud based architecture designed to separate public access controls, application processing, encryption, storage, logging, and operational workflow management.

Identity and Access

Google Workspace is used for the named administrator account.
Security-key MFA is enforced.
Cloudflare Access is connected to Google Workspace as the identity provider.
Only the named administrator account and enrolled company Windows device are allowed.

Endpoint Protection

Microsoft Intune manages the company Windows endpoint.
Microsoft Defender for Endpoint provides EDR and device control.
Microsoft Purview Endpoint DLP blocks unauthorized local export, copy/paste, USB storage, and personal cloud upload.

Edge and API Protection

Cloudflare WAF, API Shield, Access, Gateway, Rate Limiting, and Bot/DDoS protection restrict public access.
mTLS and Cloudflare service tokens are used to protect backend routes.
Cloudflare Workers perform edge validation, request routing, and PII-redacted logging.

Application and Storage

Google Cloud Run operates the SP-API middleware and fulfillment automation backend.
Google Cloud KMS manages encryption keys.
Google Secret Manager stores API credentials and secrets.
Google Firestore stores Amazon PII only as ciphertext.
Google Cloud Storage stores encrypted files, backups, and log archives.
Airtable stores only non-PII workflow status and operational metadata.

5. Processing Activities

When an Amazon order is ready for fulfillment, the backend retrieves the minimum order data required from SP-API. Amazon PII is immediately separated from non-PII operational data, classified as restricted data, and encrypted before storage.

PII is decrypted only in memory by the authorized Google Cloud Run runtime process for the limited purpose of preparing and transmitting export declaration data to uTradeHub/KTNET and shipping data to Korea Post K-Packet over encrypted connections.

Plaintext PII is not made available in Airtable or general workflow tools. In rare fulfillment exception cases, the named administrator may access only the minimum necessary PII through a Cloudflare Access-protected internal console from the enrolled company Windows device. Such access is time-limited, logged, reviewed, and used only to complete shipment or export compliance.

6. Encryption and Key Management

Amazon PII is encrypted before storage using field-level AES-256-GCM encryption. Encryption keys are managed in Google Cloud KMS. Key access is limited to authorized service accounts, and key usage is logged and reviewed. Keys are inventoried, access is restricted by least privilege, and keys are rotated at least annually or immediately upon suspected exposure.

Plaintext encryption keys, SP-API credentials, refresh tokens, uTradeHub credentials, and K-Packet credentials are never stored in source code, Airtable, logs, local files, or unmanaged spreadsheets. Application secrets are stored in Google Secret Manager and accessed only by approved runtime service accounts.

Amazon SP-API credentials, including LWA client secrets and related application credentials, are inventoried and rotated at least annually or immediately upon suspected exposure, personnel change, or abnormal access.

7. Storage and Data Segregation

Google Firestore is the primary operational storage for Amazon PII ciphertext. Firestore access is restricted by Google Cloud IAM to approved Cloud Run service accounts. Firestore is not publicly exposed.

Google Cloud Storage is used for encrypted shipping labels, export declaration files, backups, and log archives. Buckets are private, public access is disabled, and access is limited by IAM.

Airtable is not used as an Amazon PII database. Airtable stores only non-PII workflow status such as internal order key, masked or hashed order reference, production stage, export declaration status, K-Packet status, tracking registration status, error code, retry count, and processing timestamp.

8. Use of Amazon Information

Amazon Information is used only for:

Order fulfillment for Evenus’s own Amazon seller account.
Preparation and submission of Korean export declarations through uTradeHub/KTNET.
Creation of Korea Post K-Packet shipping labels and tracking information.
Shipment confirmation and tracking update to Amazon.
Legal, tax, audit, and regulatory compliance where required.

Amazon Information is not used for marketing, advertising, unrelated analytics, customer profiling, resale, or any purpose unrelated to fulfillment and compliance.

9. Sharing and Approved Subprocessors

Evenus shares Amazon Information only with parties required to host, secure, process, and fulfill orders. Data is shared only over encrypted connections, using TLS 1.2 or higher where applicable, and only the minimum fields required for each purpose are transmitted.

Cloudflare: edge security, WAF, Access, Gateway, Workers, WARP, routing, and log delivery.
Google Workspace: administrator identity, account management, and MFA.
Google Cloud: Cloud Run, Cloud KMS, Secret Manager, Firestore, Cloud Storage, BigQuery, Cloud Logging, and Security Operations.
Microsoft Endpoint Security: Intune, Defender for Endpoint, and Purview Endpoint DLP for endpoint security, USB control, EDR, and DLP.
Airtable: non-PII workflow status, masked or hashed order references, production status, export status, K-Packet status, retry count, and operational metadata only. Airtable is not used to store plaintext Amazon PII.
Korea Post K-Packet: generation of international shipping labels and tracking.
uTradeHub/KTNET and Korean customs-related systems: preparation and submission of required export declaration data.

Evenus does not share Amazon Information with marketing agencies, advertising platforms, analytics resellers, data brokers, or unauthorized third parties.

10. Access Control and Need-to-Know

Amazon Information access is limited to one named administrator using a unique, non-shared Google Workspace account with security-key MFA. Cloudflare Access allows access only from the approved account and enrolled company Windows device.

Access is granted on a least-privilege and need-to-know basis, approved by the Incident Management Point of Contact (“IMPOC”), reviewed quarterly, centrally logged, and removed within 24 hours when no longer required. Service accounts are separate from human accounts, scoped to specific functions, inventoried, and rotated.

11. Personal Device, USB, and Data Loss Prevention Controls

Amazon Information may be accessed only from the enrolled company Windows endpoint. Cloudflare WARP device posture checks block unmanaged devices and cellphones. Microsoft Intune, Microsoft Defender Device Control, and Microsoft Purview Endpoint DLP block USB mass storage, unauthorized local export, copy/paste to unmanaged applications, and personal cloud uploads.

Security events such as USB insertion, file-copy attempts, export attempts, unauthorized device access, unauthorized IP access, failed login attempts, and abnormal data access are logged and alert the IMPOC for investigation.

12. Logging, Monitoring, and Alerting

Security and operational logs are centralized, PII-redacted where possible, and retained for at least 12 months. Cloudflare Logpush sends WAF, Access, Gateway, Workers, and WARP logs to Google Cloud Storage for retention and to BigQuery or Google Security Operations for search, dashboards, alerting, and incident investigation.

Google Cloud Logging and Audit Logs record Cloud Run activity, KMS key usage, Secret Manager access, Firestore read/write activity, Cloud Storage access, and IAM administrative activity. Logs are reviewed at least bi-weekly and alerts are configured for suspicious activity.

Logs must not contain recipient names, full addresses, phone numbers, email addresses, SP-API tokens, refresh tokens, KMS key material, shipping label contents, or export declaration contents.

13. Backups and Recovery

Backups containing Amazon Information are encrypted, access-controlled, and stored in Google Cloud Storage with restricted IAM permissions. Backups follow the same retention and deletion rules as production data. Restore procedures are documented, and recovery testing is performed at least quarterly.

Long-term records are limited to anonymized, masked, or legally required non-PII business records. Amazon PII is not retained in long-term archives except where legally required and only for the legally required purpose.

14. Retention and Disposal

Amazon PII is retained only as long as necessary for order fulfillment, export declaration, shipping label generation, shipment confirmation, and legally required compliance activities. Unless a longer period is legally required, Amazon PII is deleted from production systems and backups no later than 30 days after delivery.

A scheduled deletion job reviews records with expired retention dates and removes Amazon PII ciphertext from Firestore, PII-containing files from Cloud Storage, object versions, backup snapshots, and temporary processing files. Airtable retains only non-PII operational status and masked or hashed references.

Non-PII Amazon Information, including masked or hashed order references and workflow metadata derived from Amazon orders, is retained only as needed for operational, accounting, audit, and compliance purposes and is not retained longer than 18 months unless a longer retention period is legally required.

15. Vulnerability and Change Management

Evenus maintains a vulnerability management process covering source code, dependencies, cloud configuration, and externally exposed endpoints. Evenus uses Snyk, GitHub Advanced Security, and Dependabot to perform dependency, secret, and code vulnerability scans before release. External vulnerability scans are performed at least monthly, and penetration testing is performed at least annually.

Findings are tracked to closure. Critical findings are remediated within 7 days, high-risk findings within 30 days, and lower-risk findings according to documented risk-based timelines. Changes are tested before deployment and approved before production release.

16. Incident Response

Evenus maintains an incident response plan for unauthorized access, database compromise, credential exposure, data leakage, and other incidents involving Amazon Information. The plan includes detection, triage, containment, credential and key rotation, impact analysis, remediation, recovery, and post-incident review.

If an incident involving Amazon Information is detected, the IMPOC investigates the incident and coordinates containment. Amazon will be notified within 24 hours of detection where Amazon Information is involved, in accordance with applicable Amazon SP-API requirements.

17. Contact

For questions about this policy or Amazon Information handling, please contact:

Evenus
Email: support@goldenrod.co.kr
Website: https://www.goldenrod.co.kr

Amazon SP-API 데이터 보호 및 처리 정책

조직명: Evenus | 웹사이트: goldenrod.co.kr | 최종 업데이트: 2026-04-28

본 정책은 Evenus가 Amazon Selling Partner API(“SP-API”)를 통해 취득한 Amazon Information을 어떻게 수집, 처리, 저장, 사용, 공유, 보호 및 폐기하는지 설명합니다. Evenus는 Amazon Information을 자사 판매자 계정 운영, 주문 처리, 한국 수출신고, K-Packet 배송, 법률 및 세금 준수 목적에 한해 사용합니다. Amazon Information은 마케팅, 광고, 고객 프로파일링, 재판매, 무관한 분석, 주문 처리 및 법정 의무 이행과 관련 없는 목적으로 사용하지 않습니다.

1. 적용 범위 및 목적

Evenus는 자사 Amazon 판매자 계정 운영을 위한 내부 전용 주문 처리 자동화 시스템을 운영합니다. 이 시스템은 고객 주문 처리, 한국 수출신고 데이터 생성, Korea Post K-Packet 배송 라벨 생성, 배송 상태 업데이트, 법적으로 필요한 비식별 업무 기록 보관을 위해서만 SP-API 데이터를 사용합니다.

해당 애플리케이션은 다른 판매자에게 제공되지 않으며, Amazon Information은 판매, 임대, 마케팅 목적 제공, 고객 프로파일링, AI 또는 머신러닝 모델 학습에 사용되지 않습니다.

2. 수집하는 Amazon Information

Evenus는 주문 처리와 컴플라이언스에 필요한 최소한의 Amazon Information만 수집합니다. 주문 및 마켓플레이스 요건에 따라 다음 정보가 포함될 수 있습니다.

Amazon 주문 식별자, 마켓플레이스, SKU, 수량, 주문 상태
배송에 필요한 경우 수취인 이름, 배송 주소, 제공된 전화번호
배송 서비스 요건, 운송장 번호, 배송 확인 데이터
한국 수출신고 및 배송 라벨 생성을 위해 필요한 정보

수취인 이름, 배송 주소, 전화번호 및 이러한 값이 포함된 파일은 제한된 Amazon PII로 분류합니다.

3. 수집 출처

Amazon Information은 Evenus 판매자 계정에 대해 승인된 공식 Amazon 시스템에서만 수집합니다. 여기에는 SP-API 및 필요한 경우 Seller Central이 포함됩니다. Evenus는 Amazon 외부의 데이터 브로커, 애그리게이터, 승인되지 않은 제3자 또는 외부 출처로부터 Amazon Information을 검색, 구매, 스크래핑 또는 수신하지 않습니다.

4. 시스템 아키텍처 및 데이터 흐름

Evenus는 공개 접근 통제, 애플리케이션 처리, 암호화, 저장, 로깅, 운영 워크플로우 관리를 분리하기 위해 Cloudflare와 Google Cloud 기반 아키텍처를 사용합니다.

계정 및 접근 관리

Google Workspace를 지정 관리자 계정 관리에 사용합니다.
보안키 기반 MFA를 강제합니다.
Cloudflare Access는 Google Workspace를 ID 공급자로 연동합니다.
지정 관리자 계정과 등록된 회사 Windows 기기만 접근할 수 있습니다.

엔드포인트 보호

Microsoft Intune으로 회사 Windows 기기를 관리합니다.
Microsoft Defender for Endpoint로 EDR 및 장치 제어를 제공합니다.
Microsoft Purview Endpoint DLP로 무단 로컬 내보내기, 복사/붙여넣기, USB 저장장치, 개인 클라우드 업로드를 차단합니다.

엣지 및 API 보호

Cloudflare WAF, API Shield, Access, Gateway, Rate Limiting, Bot/DDoS 보호를 통해 공개 접근을 제한합니다.
mTLS와 Cloudflare service token을 사용해 백엔드 경로를 보호합니다.
Cloudflare Workers는 엣지 검증, 요청 라우팅, PII가 제거된 로깅을 수행합니다.

애플리케이션 및 저장소

Google Cloud Run은 SP-API 미들웨어와 주문 처리 자동화 백엔드를 운영합니다.
Google Cloud KMS는 암호화 키를 관리합니다.
Google Secret Manager는 API 자격증명과 시크릿을 저장합니다.
Google Firestore는 Amazon PII를 암호문 형태로만 저장합니다.
Google Cloud Storage는 암호화된 파일, 백업, 로그 아카이브를 저장합니다.
Airtable은 PII가 아닌 업무 상태와 운영 메타데이터만 저장합니다.

5. 처리 활동

Amazon 주문이 배송 준비 상태가 되면 백엔드는 SP-API에서 필요한 최소 주문 데이터만 가져옵니다. Amazon PII는 비식별 운영 데이터와 즉시 분리되고, 제한 데이터로 분류되며, 저장 전에 암호화됩니다.

PII는 uTradeHub/KTNET에 수출신고 데이터를 전송하고 Korea Post K-Packet에 배송 데이터를 전송하는 제한된 목적에서만 승인된 Google Cloud Run 런타임 프로세스의 메모리 안에서 복호화됩니다.

평문 PII는 Airtable 또는 일반 업무 도구에 제공되지 않습니다. 드문 주문 처리 예외 상황에서는 지정 관리자만 등록된 회사 Windows 기기에서 Cloudflare Access로 보호된 내부 콘솔을 통해 필요한 최소한의 PII에 접근할 수 있습니다. 이러한 접근은 시간 제한, 로그 기록, 검토 절차를 적용하며, 배송 완료 또는 수출 컴플라이언스 이행 목적에만 사용됩니다.

6. 암호화 및 키 관리

Amazon PII는 저장 전에 필드 단위 AES-256-GCM 암호화로 보호됩니다. 암호화 키는 Google Cloud KMS에서 관리합니다. 키 접근은 승인된 서비스 계정으로 제한되며, 키 사용 내역은 기록되고 검토됩니다. 키는 인벤토리화하고 최소권한 원칙에 따라 접근을 제한하며, 최소 연 1회 또는 노출 의심 시 즉시 회전합니다.

평문 암호화 키, SP-API 자격증명, refresh token, uTradeHub 자격증명, K-Packet 자격증명은 소스코드, Airtable, 로그, 로컬 파일 또는 관리되지 않는 스프레드시트에 저장하지 않습니다. 애플리케이션 시크릿은 Google Secret Manager에 저장되며 승인된 런타임 서비스 계정만 접근할 수 있습니다.

LWA client secret 및 관련 애플리케이션 자격증명을 포함한 Amazon SP-API 자격증명은 인벤토리화하고 최소 연 1회 또는 노출 의심, 담당자 변경, 비정상 접근 발생 시 즉시 회전합니다.

7. 저장 및 데이터 분리

Google Firestore는 Amazon PII 암호문의 기본 운영 저장소입니다. Firestore 접근은 Google Cloud IAM을 통해 승인된 Cloud Run 서비스 계정으로 제한됩니다. Firestore는 공개적으로 노출되지 않습니다.

Google Cloud Storage는 암호화된 배송 라벨, 수출신고 파일, 백업, 로그 아카이브를 저장하는 데 사용됩니다. 버킷은 비공개로 설정되며, 공개 접근은 비활성화되고, 접근은 IAM으로 제한됩니다.

Airtable은 Amazon PII 데이터베이스로 사용하지 않습니다. Airtable에는 내부 주문키, 마스킹 또는 해시 처리된 주문 참조값, 제작 단계, 수출신고 상태, K-Packet 상태, 운송장 등록 상태, 오류 코드, 재시도 횟수, 처리 시각 등 PII가 아닌 업무 상태만 저장합니다.

8. Amazon Information 사용 목적

Amazon Information은 다음 목적에 한해 사용됩니다.

Evenus 자사 Amazon 판매자 계정의 주문 처리
uTradeHub/KTNET을 통한 한국 수출신고 준비 및 제출
Korea Post K-Packet 배송 라벨 및 운송장 정보 생성
Amazon에 배송 확인 및 운송장 정보 업데이트
필요한 경우 법률, 세금, 감사 및 규제 준수

Amazon Information은 마케팅, 광고, 무관한 분석, 고객 프로파일링, 재판매 또는 주문 처리 및 컴플라이언스와 관련 없는 목적으로 사용하지 않습니다.

9. 공유 및 승인된 하위처리자

Evenus는 주문을 호스팅, 보호, 처리 및 이행하는 데 필요한 당사자에게만 Amazon Information을 공유합니다. 데이터는 가능한 경우 TLS 1.2 이상의 암호화된 연결을 통해서만 공유되며, 각 목적에 필요한 최소 필드만 전송됩니다.

Cloudflare: 엣지 보안, WAF, Access, Gateway, Workers, WARP, 라우팅 및 로그 전송
Google Workspace: 관리자 신원, 계정 관리 및 MFA
Google Cloud: Cloud Run, Cloud KMS, Secret Manager, Firestore, Cloud Storage, BigQuery, Cloud Logging, Security Operations
Microsoft Endpoint Security: Intune, Defender for Endpoint, Purview Endpoint DLP를 통한 엔드포인트 보안, USB 제어, EDR, DLP
Airtable: PII가 아닌 업무 상태, 마스킹 또는 해시 처리된 주문 참조값, 제작 상태, 수출 상태, K-Packet 상태, 재시도 횟수 및 운영 메타데이터만 저장합니다. Airtable은 평문 Amazon PII 저장소로 사용하지 않습니다.
Korea Post K-Packet: 국제 배송 라벨 및 운송장 생성
uTradeHub/KTNET 및 한국 통관 관련 시스템: 필수 수출신고 데이터 준비 및 제출

Evenus는 Amazon Information을 마케팅 대행사, 광고 플랫폼, 분석 데이터 재판매업체, 데이터 브로커 또는 승인되지 않은 제3자에게 공유하지 않습니다.

10. 접근통제 및 필요 최소 접근

Amazon Information 접근은 보안키 MFA가 적용된 고유한 비공유 Google Workspace 계정을 사용하는 지정 관리자 1명으로 제한됩니다. Cloudflare Access는 승인된 계정과 등록된 회사 Windows 기기에서의 접근만 허용합니다.

접근은 최소권한 및 need-to-know 원칙에 따라 부여되며, 사고관리 담당자(IMPOC)가 승인하고, 분기별로 검토하며, 중앙 로그로 기록하고, 더 이상 필요하지 않은 경우 24시간 이내 제거합니다. 서비스 계정은 사람 계정과 분리하고, 특정 기능에 필요한 범위로 제한하며, 인벤토리화하고 주기적으로 회전합니다.

11. 개인기기, USB 및 데이터 유출 방지 통제

Amazon Information은 등록된 회사 Windows 엔드포인트에서만 접근할 수 있습니다. Cloudflare WARP 장치 상태 검사는 관리되지 않는 기기와 휴대폰 접근을 차단합니다. Microsoft Intune, Microsoft Defender Device Control, Microsoft Purview Endpoint DLP는 USB 대용량 저장장치, 무단 로컬 내보내기, 관리되지 않는 애플리케이션으로의 복사/붙여넣기, 개인 클라우드 업로드를 차단합니다.

USB 삽입, 파일 복사 시도, 내보내기 시도, 승인되지 않은 기기 접근, 승인되지 않은 IP 접근, 로그인 실패, 비정상 데이터 접근과 같은 보안 이벤트는 기록되며 IMPOC에게 알림이 전송되어 조사됩니다.

12. 로깅, 모니터링 및 알림

보안 및 운영 로그는 중앙화하고, 가능한 한 PII를 제거하며, 최소 12개월 이상 보관합니다. Cloudflare Logpush는 WAF, Access, Gateway, Workers, WARP 로그를 보관을 위해 Google Cloud Storage로 전송하고, 검색, 대시보드, 알림, 사고 조사를 위해 BigQuery 또는 Google Security Operations로 전송합니다.

Google Cloud Logging 및 Audit Logs는 Cloud Run 활동, KMS 키 사용, Secret Manager 접근, Firestore 읽기/쓰기, Cloud Storage 접근, IAM 관리자 활동을 기록합니다. 로그는 최소 격주로 검토하며, 의심스러운 활동에 대한 알림을 설정합니다.

로그에는 수취인 이름, 전체 주소, 전화번호, 이메일 주소, SP-API token, refresh token, KMS key material, 배송 라벨 내용, 수출신고 문서 내용이 포함되지 않아야 합니다.

13. 백업 및 복구

Amazon Information이 포함된 백업은 암호화되고 접근통제되며 제한된 IAM 권한이 적용된 Google Cloud Storage에 저장됩니다. 백업은 운영 데이터와 동일한 보관 및 삭제 규칙을 따릅니다. 복구 절차는 문서화하고, 복구 테스트는 최소 분기별로 수행합니다.

장기 기록은 익명화, 마스킹 또는 법적으로 필요한 비식별 업무 기록으로 제한됩니다. Amazon PII는 법적으로 필요한 경우를 제외하고 장기 아카이브에 보관하지 않으며, 보관이 필요한 경우에도 해당 법적 목적 범위에서만 보관합니다.

14. 보관 및 폐기

Amazon PII는 주문 처리, 수출신고, 배송 라벨 생성, 배송 확인 및 법적으로 필요한 컴플라이언스 활동에 필요한 기간 동안만 보관합니다. 법적으로 더 긴 보관이 요구되는 경우를 제외하고, Amazon PII는 배송 완료 후 늦어도 30일 이내 운영 시스템과 백업에서 삭제됩니다.

예약된 삭제 작업은 보관기간이 만료된 레코드를 확인하여 Firestore의 Amazon PII 암호문, Cloud Storage의 PII 포함 파일, 객체 버전, 백업 스냅샷, 임시 처리 파일을 삭제합니다. Airtable에는 비식별 운영 상태와 마스킹 또는 해시 처리된 참조값만 남깁니다.

마스킹 또는 해시 처리된 주문 참조값, Amazon 주문에서 파생된 업무 메타데이터 등 PII가 아닌 Amazon Information은 운영, 회계, 감사 및 컴플라이언스 목적에 필요한 기간 동안만 보관하며, 법적으로 더 긴 보관이 요구되는 경우를 제외하고 18개월을 초과하여 보관하지 않습니다.

15. 취약점 및 변경 관리

Evenus는 소스코드, 의존성, 클라우드 설정, 외부 노출 엔드포인트를 포함하는 취약점 관리 프로세스를 운영합니다. Evenus는 Snyk, GitHub Advanced Security, Dependabot을 사용하여 릴리스 전 의존성, 시크릿, 코드 취약점 스캔을 수행합니다. 외부 취약점 스캔은 최소 월 1회, 침투테스트는 최소 연 1회 수행합니다.

발견사항은 해결될 때까지 추적합니다. Critical 발견사항은 7일 이내, high-risk 발견사항은 30일 이내 조치하며, 그 외 위험도는 문서화된 위험 기반 일정에 따라 처리합니다. 변경사항은 배포 전에 테스트하고 승인 후 운영 환경에 배포합니다.

16. 사고 대응

Evenus는 무단 접근, 데이터베이스 침해, 자격증명 노출, 데이터 유출 및 Amazon Information과 관련된 기타 사고에 대응하기 위한 사고 대응 계획을 유지합니다. 이 계획에는 탐지, 분류, 격리, 자격증명 및 키 회전, 영향 분석, 수정, 복구, 사후 검토가 포함됩니다.

Amazon Information과 관련된 사고가 감지되면 IMPOC가 사고를 조사하고 격리 조치를 조율합니다. Amazon Information이 관련된 사고의 경우, 적용되는 Amazon SP-API 요구사항에 따라 감지 후 24시간 이내 Amazon에 통지합니다.

17. 문의

본 정책 또는 Amazon Information 처리에 관한 문의는 아래로 연락해 주십시오.

Evenus
Email: support@goldenrod.co.kr
Website: https://www.goldenrod.co.kr