El responsable del tratamiento de los datos recabados en este sitio web y a través de integraciones conectadas (incluida la Amazon Selling Partner API) es:
Razón social: Tiendamanilla S.L.
CIF: B55481766
Domicilio social: Polígono Abra Industrial, 1.4.2, Abanto-Zierbana, 48500 Bizkaia
En Tiendamanilla S.L. tratamos la información que nos facilitan las personas interesadas (y la obtenida a través o en nombre de marketplaces integrados como Amazon.es, Miravia, ManoMano o Shopify) con el siguiente fin administrativo y operativo:
En ningún caso se creará de forma desautorizada un perfil comercial sobre la base de la información facilitada.
De conformidad estricta a nuestra arquitectura tecnológica interna y en cumplimiento con los requisitos de la Política de Protección de Datos (DPP) y de Uso Aceptable (AUP) de Amazon, la Información de Identificación Personal (PII), que comprende el Nombre Completo, la Dirección Física y el Número de Teléfono, es tratada temporalmente bajo el principio de minimización de datos.
Nuestra infraestructura ejecutará una purga y eliminación automática de estos datos pasados un período máximo de 90 días naturales computables desde la expedición física del pedido.
Cumplido este ciclo de vida de 90 días, el pedido dentro de nuestra base de datos (PostgreSQL/Supabase) quedará permanentemente anonimizado, destruyendo la PII y conservando exclusivamente líneas de control logístico o contable exento de datos nominativos del cliente.
Tiendamanilla S.L. no vende ni cede datos a terceros no autorizados. Las únicas comunicaciones y accesos de terceros a la información procesada tendrán lugar bajo relaciones contractuales de encargado de tratamiento, tales como:
Todos los accesos operarios a los paneles de gestión se limitan a través del enfoque "Zero-Trust" mediante conexiones Secure Sockets Layer (SSL / HTTPS) y mecanismos criptográficos de Row Level Security gestionados de base (RLS). Nuestro personal interno está condicionado al Protocolo de Mínimo Privilegio: únicamente los trabajadores con el Rol habilitado para expedición logística tendrán la capacidad de visualizar la dirección de envío o datos personales de los clientes, habiéndose revocado capacidades de descarga o exportación masiva local. Todo nuestro software y entorno (Serverless) se revisa y corrige regularmente.
Cualquier persona tiene derecho constitucional y derivado del Reglamento General de Protección de Datos a obtener confirmación sobre si en Tiendamanilla S.L. estamos tratando datos personales que les conciernan o no.
Para ejercer los derechos de Acceso, Rectificación, Limitación, Portabilidad u Oposición (especialmente en transacciones donde se hayan recopilado los datos fuera de terceras plataformas), se debe dirigir una comunicación formal por escrito al Domicilio Fiscal reseñado en el Punto 1 (Polígono Abra Industrial).
Le damos la bienvenida a la Política de protección de datos ("DPP"), que establece los requisitos para los proveedores de soluciones, desarrolladores y proveedores de servicios externos (en conjunto, "proveedores de soluciones"), en relación con la recepción, el almacenamiento, el uso, la transferencia y la eliminación de la información, incluidos todos los datos a los que se accede a través de la API de Amazon Services Europe. Esta política regula la forma de gestionar los datos por parte de los proveedores de soluciones, con el fin de garantizar la protección de los vendedores y proveedores de Amazon ("socios de Amazon") y la información de sus clientes.
Esta política se aplica a todos los sistemas que almacenan, procesan o gestionan de otro modo los datos vendidos y recuperados de la API de Amazon Services Europe. Esta política complementa el Acuerdo de los proveedores de soluciones de Amazon y las Condiciones de uso aceptable. El incumplimiento de la presente política de protección de datos puede dar lugar a la suspensión o revocación del acceso a la API de Amazon Services Europe de conformidad con el Acuerdo para desarrolladores de la API de Amazon Services Europe.
De conformidad con la seguridad líder en la industria, el Proveedor de soluciones mantendrá salvaguardias físicas, administrativas y técnicas, y otras medidas de seguridad (i) para mantener la seguridad y confidencialidad de la información a la que un Proveedor de soluciones acceda o que recopile, utilice, almacene o transmita, y (ii) para proteger la información de amenazas o peligros conocidos o razonablemente anticipados para su seguridad e integridad, pérdida accidental, alteración, divulgación y todas las demás formas ilícitas de procesamiento. El Proveedor de soluciones cumplirá, entre otros, con los siguientes requisitos:
Los Proveedores de soluciones deben implementar controles de protección de red (por ejemplo, cortafuegos de red y listas de control de acceso a la red) para denegar el acceso a direcciones IP no autorizadas. Los Proveedores de soluciones deben implementar la segmentación de la red, mecanismos de detección y prevención de intrusiones (incluidos métodos de defensa exhaustivos para complementar los conjuntos de reglas de un firewall y el uso de mecanismos basados en patrones de firma de sistema de detección de intrusiones o sistema de prevención de intrusiones para identificar y prevenir el comportamiento malicioso en la red) y herramientas antivirus y antimalware de forma periódica (al menos una vez al mes). El Proveedor de soluciones debe implementar controles para evitar que los empleados desactiven cualquier software antivirus en sus sistemas. El Proveedor de soluciones debe restringir el acceso a los sistemas solo a los empleados internos aprobados que tengan responsabilidades relacionadas con la codificación y el desarrollo, y que hayan completado previamente formaciones sobre protección de datos y seguridad de TI ("Usuarios aprobados"). El Proveedor de soluciones debe mantener prácticas de codificación seguras y realizar formaciones sobre protección de datos y seguridad de TI para los Usuarios aprobados al menos una vez al año.
El Proveedor de soluciones debe establecer un proceso formal de registro de acceso de los usuarios para asignar los derechos de acceso a todos los tipos de usuarios y servicios, asegurándose de que se asigna una identificación única a cada persona con acceso informático a la información. El Proveedor de soluciones no debe crear ni usar credenciales de inicio de sesión ni cuentas de usuario genéricas, compartidas o predeterminadas e impedir que se compartan las cuentas de usuario. El Proveedor de soluciones debe implementar mecanismos de referencia para garantizar que en todo momento sólo las cuentas de usuario requeridas accedan a la Información. El Proveedor de soluciones debe restringir a los empleados y contratistas el almacenamiento de Información en dispositivos personales. El Proveedor de soluciones mantendrá y aplicará el "bloqueo de cuentas" detectando patrones de uso e intentos de inicio de sesión anómalos, y desactivarán las cuentas con acceso a la Información. Las cuentas de usuario deben bloquearse después de 10 o menos intentos fallidos de inicio de sesión. El Proveedor de soluciones debe revisar al menos trimestralmente la lista de personas y servicios con acceso a la Información. El Proveedor de soluciones debe asegurarse de que el acceso de los empleados despedidos se desactive o se elimine en un plazo de 24 horas.
El Proveedor de soluciones debe implementar mecanismos de control de acceso detallados para poder conceder derechos a cualquier parte que utilice la Aplicación y los operadores autorizados de la Aplicación siguiendo el principio del privilegio mínimo. El acceso a la Información debe concederse sobre la base de "necesidad de conocer".
El Proveedor de soluciones debe establecer requisitos mínimos de contraseña para el personal y los sistemas con acceso a la Información. Los requisitos de la contraseña deben ser de un mínimo de doce (12) caracteres, sin incluir ninguna parte del nombre del usuario, con una combinación de letras mayúsculas, minúsculas, números y caracteres especiales, con los requisitos mínimos para cada uno de ellos. El Proveedor de soluciones debe establecer un periodo mínimo de 1 día para cambiar la contraseña y un periodo de caducidad de la contraseña de 365 días como máximo para todos los usuarios. Se debe mantener el historial de contraseñas para evitar la reutilización de las últimas 10 contraseñas. El Proveedor de soluciones debe asegurarse de que se requiere la autenticación multifactor (MFA) para todas las cuentas de usuario. El Proveedor de soluciones debe asegurarse de que las claves de la API proporcionadas por Amazon estén cifradas y de que solo los empleados necesarios tengan acceso a ellas. Las claves de API y las credenciales asociadas deben cambiarse como mínimo una vez cada 12 meses.
El Proveedor de soluciones debe cifrar toda la Información en tránsito con protocolos seguros como TLS 1.2+, SFTP y SSH-2. El Proveedor de soluciones debe implementar este control de seguridad en todos los extremos internos y externos aplicables. El Proveedor de soluciones debe utilizar el cifrado a nivel de mensajes de datos (por ejemplo, mediante el protocolo TLS) donde el cifrado de canales termine en un hardware multiinquilino que no sea fiable (por ejemplo, proxies que no sean de confianza).
El Proveedor de soluciones debe tener un proceso de evaluación y gestión de riesgos que los altos directivos del Proveedor de soluciones revisen anualmente y que incluya, entre otros aspectos, la evaluación de las amenazas y vulnerabilidades potenciales, así como la probabilidad y el impacto, para hacer un seguimiento de los riesgos conocidos. El Proveedor debe crear y mantener un plan o runbook para detectar y controlar los Incidentes de seguridad. Dichos planes deben identificar las funciones y responsabilidades de respuesta a incidentes, además de definir los tipos de incidentes que puedan afectar a Amazon, los procedimientos de respuesta a incidentes para tipos de incidentes concretos y una ruta de remisión a una instancia superior, así como establecer los procedimientos necesarios para hacer llegar los Incidentes de seguridad a Amazon. El Proveedor de soluciones debe revisar y verificar el plan cada seis (6) meses y después de cualquier cambio de infraestructura o sistema, incluidos cambios en el sistema, los controles, los entornos operativos, los niveles de riesgo y la cadena de suministro. El Proveedor de soluciones debe notificar a Amazon (por correo electrónico a security@amazon.com) durante las 24 horas siguientes a la detección de un incidente de seguridad. Es responsabilidad exclusiva del Proveedor de soluciones informar a las agencias gubernamentales o reguladoras pertinentes según lo exijan las leyes locales aplicables. El Proveedor de soluciones debe investigar cada Incidente de seguridad y documentar la descripción del incidente, las acciones de corrección y los controles del sistema o los procesos correctivos asociados que se hayan implementado para evitar que se repita en el futuro. El Proveedor de soluciones debe mantener la cadena de custodia de todas las pruebas o registros recopilados, y dicha documentación debe ponerse a disposición de Amazon si así se solicita (si procede). Si se produce un incidente de seguridad, el Proveedor de soluciones no pueden representar ni hablar en nombre de Amazon ante ninguna autoridad reguladora, ni a ningún cliente, a menos que Amazon se lo solicite específicamente por escrito. El Proveedor de soluciones debe identificar y designar un punto de contacto que supervise la gestión de incidentes (IMPOC), con quien se puede contactar en caso de que surja alguno, como filtraciones de datos o brechas de seguridad.
El Proveedor de soluciones deberá eliminar la información de forma permanente y segura en el momento en que Amazon les notifique que deben eliminarla en un plazo de 30 días a partir de las solicitudes de Amazon, a menos que los datos sean necesarios para cumplir requisitos legales, incluidos los fiscales o reglamentarios. El Proveedor de soluciones debe eliminar los datos que no sean de identificación personal en un plazo de 18 meses, a menos que las leyes o reglamentos aplicables exijan una retención mayor. La eliminación segura debe realizarse de acuerdo con los procesos de saneamiento estándares del sector, por ejemplo, el NIST 800-88. El Proveedor de soluciones también debe eliminar de forma permanente y segura todas las instancias activas (accesibles a través de Internet o de la red) de la información en un plazo de 90 días a partir de la notificación de Amazon. Si Amazon lo solicita, el Proveedor de soluciones certificará por escrito que toda la información se ha destruido de forma segura.
El Proveedor de soluciones debe almacenar la Información en una base de datos independiente o implementar un mecanismo para etiquetar e identificar el origen de todos los datos en cualquier base de datos que contenga Información.
Se deben cumplir los siguientes requisitos de seguridad adicionales para la Información de identificación personal. La Información de identificación personal se concede al Proveedor de soluciones para determinados fines fiscales y de envíos autogestionados, siempre que sea imprescindible. Si una API de Amazon Services Europe contiene Información de identificación personal, o la Información de identificación personal se combina con información que no sea Información de identificación personal, todos los datos almacenados deben cumplir con los siguientes requisitos:
El Proveedor de soluciones conservará la información de identificación personal durante un máximo de 30 días después de la entrega del pedido y solo con el propósito de, y siempre que sea necesario, (i) gestionar los pedidos, (ii) calcular y enviar impuestos, (iii) producir facturas fiscales y otros documentos legalmente requeridos, y (iv) cumplir con los requisitos legales, incluidos los requisitos fiscales o normativos. El Proveedor de soluciones puede conservar los datos durante un periodo superior a 30 días tras el envío del pedido sólo si lo exige la ley y únicamente a efectos de cumplir con dicha ley. Según las secciones 1.5 ("Cifrado en tránsito") y 2.4 ("Cifrado de información inactiva"), en ningún momento se debe transmitir o almacenar información de identificación personal sin protección.
El Proveedor de soluciones debe crear una política de privacidad y de tratamiento y gestión de datos para sus aplicaciones o servicios, documentarla y cumplir con ella. Esta política debe regir la conducta apropiada y los controles técnicos que deben aplicarse en la gestión y protección de los activos de información. Debe mantenerse un registro de las actividades de procesamiento de datos, como los campos de datos específicos y cómo se recopilan, procesan, almacenan, utilizan, comparten y eliminan para toda la Información de identificación personal con el fin de establecer mecanismos de rendición de cuentas y de cumplimiento de las leyes. El Proveedor de soluciones debe establecer un mecanismo para detectar los requisitos normativos y leyes de privacidad y seguridad aplicables a su negocio, y cumplir con ellos, así como conservar pruebas documentadas de su cumplimiento. El Proveedor de soluciones debe establecer y respetar su política de privacidad sobre los derechos de los datos y el consentimiento del cliente para acceder, rectificar, eliminar o dejar de compartir o procesar su información cuando proceda, o cuando lo requiera la normativa de privacidad de datos. El Proveedor de soluciones debe contar con procesos y sistemas técnicos y organizativos para asistir a los usuarios autorizados en sus solicitudes de acceso a los datos. El Proveedor de soluciones debe incluir disposiciones contractuales en los contratos de trabajo con los empleados que procesan la información de identificación personal para mantener la confidencialidad de la misma.
El Proveedor de soluciones debe mantener una configuración estándar básica para los sistemas de información e instalar parches, actualizaciones, correcciones de defectos y mejoras de forma regular. El Proveedor de soluciones debe mantener y actualizar trimestralmente un inventario preciso del software y los activos físicos (por ejemplo, ordenadores y dispositivos móviles) con acceso a la información de identificación personal. Este inventario debe incluir todos los dispositivos del entorno del Proveedor de soluciones junto con el estado de mantenimiento de cada dispositivo para garantizar el cumplimiento con respecto a la línea de base. El Proveedor de soluciones debe mantener un proceso de gestión de cambios para todos los sistemas de información, de modo que el software y el hardware con acceso a la información de identificación personal se prueben, verifiquen y aprueben, con una separación de funciones entre los aprobadores de cambios y los que prueban los cambios antes de la implementación. Los activos físicos que almacenen, procesen o gestionen la información de identificación personal deben cumplir todos los requisitos establecidos en esta política. El Proveedor de soluciones no debe almacenar Información de identificación personal en medios extraíbles, dispositivos personales o aplicaciones en la nube pública no seguras (por ejemplo, enlaces públicos disponibles a través de Google Drive) a menos que esté encriptada utilizando al menos claves AES-128 o RSA-2048 bits o superior. El Proveedor de soluciones debe eliminar de forma segura cualquier documento impreso que contenga información de identificación personal. El Proveedor de soluciones debe implementar controles de prevención de pérdida de datos (DLP) para supervisar y detectar el movimiento no autorizado de datos.
El Proveedor de soluciones debe cifrar toda la Información de identificación personal inactiva utilizando al menos AES-128 o RSA con un tamaño de clave de 2048 bits o superior. Los materiales criptográficos (por ejemplo, claves de cifrado y descifrado) y las capacidades criptográficas (por ejemplo, demonios que implementan módulos virtuales de plataformas seguras y proporcionan diferentes API de cifrado y descifrado) utilizados para el cifrado de información de identificación personal inactiva solo deben ser accesibles para los procesos y los servicios del Proveedor de soluciones. El Proveedor de soluciones debe implementar un sistema de gestión de claves (KMS, por sus siglas en inglés) que abarque la gestión completa del ciclo de vida de las claves, incluida la generación, el intercambio, el almacenamiento seguro y los procesos de revocación y rotación de claves, de acuerdo con las prácticas recomendadas del sector.
El Proveedor de soluciones no debe codificar credenciales confidenciales en su código, incluidas claves de cifrado, claves de acceso secretas o contraseñas. Las credenciales confidenciales no deben estar expuestas en repositorios de código público. El Proveedor de soluciones debe mantener entornos de prueba y producción separados.
El Proveedor de soluciones debe recopilar registros para detectar eventos relacionados con la seguridad a sus aplicaciones y sistemas, incluidos si el evento se ha llevado a cabo de forma correcta o no, la fecha y hora, los intentos de acceso, los cambios en los datos y los errores del sistema. El Proveedor de soluciones debe implementar este mecanismo de registro en todos los canales (por ejemplo, las API de servicio, las API de capa de almacenamiento, los paneles administrativos, etc.) que proporcionen acceso a la información. El Proveedor de soluciones debe revisar los registros en tiempo real (por ejemplo, la herramienta SIEM) o cada dos semanas. Todos los registros deben tener controles de acceso para evitar cualquier acceso no autorizado y manipulación a lo largo de su ciclo de vida. Los registros no deben contener información de identificación personal a menos que dicha información sea necesaria para cumplir con los requisitos legales, incluidos los requisitos fiscales o normativos. A menos que la ley aplicable exija lo contrario, los registros deben conservarse durante al menos 12 meses como referencia en el caso de un Incidente de seguridad. El Proveedor de soluciones debe crear mecanismos para supervisar los registros y todas las actividades del sistema a fin de activar alarmas de investigación sobre acciones sospechosas (por ejemplo, múltiples llamadas no autorizadas, ritmo de solicitudes y volumen de recuperación de datos inesperados, o accesos a registros de datos de valor controlado). El Proveedor de soluciones debe implementar alarmas y procesos de supervisión para detectar si la información se extrae o se puede encontrar más allá de sus límites protegidos (por ejemplo, la dark web). El Proveedor de soluciones debe realizar una investigación cuando se activen las alarmas de supervisión y esto debe documentarse en su plan de respuesta a incidentes.
El Proveedor de soluciones debe crear y mantener un plan o runbook para detectar y corregir vulnerabilidades. El Proveedor de soluciones puede proteger los soportes físicos que contienen Información de identificación personal de las vulnerabilidades técnicas realizando análisis de vulnerabilidades y aplicando las correcciones de forma adecuada. El Proveedor de soluciones debe realizar un análisis de vulnerabilidad al menos cada 30 días y una prueba de penetración al menos cada 365 días, y analizar el código en busca de vulnerabilidades antes de cada nueva versión. Cualquier vulnerabilidad crítica debe corregirse en un plazo de 7 días y las de alto riesgo en un plazo de 30 días tras su descubrimiento. El Proveedor de soluciones debe tener procedimientos y planes adecuados para restablecer la disponibilidad y el acceso a la Información de identificación personal de manera oportuna en caso de un incidente físico o técnico. El Proveedor de soluciones debe mantener un sitio secundario o de respaldo separado geográficamente para garantizar la restauración oportuna (RTO/RPO) del acceso y la disponibilidad de la PII en caso de que se produzca un incidente físico o técnico.
El Proveedor de soluciones debe realizar anualmente evaluaciones de riesgo periódicas externas de los proveedores o subcontratistas antes de concederles acceso a los datos de Amazon.
El Proveedor de soluciones debe mantener todos los libros y registros apropiados y razonablemente necesarios para verificar el cumplimiento de las Condiciones de uso aceptable, de esta información de identificación personal y del Acuerdo para Desarrolladores de la API de Amazon Services Europe durante el periodo de este acuerdo y durante los 12 meses posteriores. Cuando Amazon así lo solicite por escrito, el Proveedor de soluciones deberá certificar por escrito a Amazon que cumple con estas políticas.
Cuando así se lo solicite, Amazon, o una empresa de contabilidad pública, certificada e independiente seleccionada por Amazon, podrá auditar, evaluar e inspeccionar los libros, los registros, las instalaciones, las operaciones y la seguridad de todos los sistemas relacionados con la Aplicación de un Proveedor de soluciones que recuperen, almacenen o procesen la Información. Amazon, sus afiliados, agentes, representantes, contratistas o subcontratistas mantendrá la confidencialidad de cualquier información no pública revelada por un Proveedor de soluciones como parte de esta auditoría, evaluación o inspección que sea designada como confidencial o que, dada la naturaleza de la información o las circunstancias que rodean su divulgación, deba razonablemente considerarse confidencial. El Proveedor de soluciones debe cooperar con Amazon o con las filiales, los agentes, los representantes, los contratistas o los subcontratistas de Amazon en relación con la auditoría o evaluación, que puede tener lugar en las instalaciones del Proveedor de soluciones o en las instalaciones de los subcontratistas. Si la auditoría o evaluación revela deficiencias, infracciones o fallas en el cumplimiento de nuestros términos, condiciones o políticas, el Proveedor de soluciones debe, por su cuenta y riesgo, tomar todas las acciones razonablemente necesarias para remediar esas deficiencias dentro de un plazo acordado. Previa solicitud, el Proveedor de soluciones debe proporcionar pruebas de corrección en el formulario solicitado por Amazon (que puede incluir, entre otros, políticas, documentos, capturas de pantalla o uso compartido de pantalla de cambios en la aplicación o la infraestructura) y obtener la aprobación por escrito de Amazon sobre las pruebas presentadas antes del cierre de la auditoría o evaluación.
Última actualización: Abril 2026. Este documento se encuentra expuesto públicamente garantizando el derecho a la información previsto por ley.