Amazon SP-API

Apariencia

Acceso PII y Restricted Data Token (RDT)

Resumen rápido

PII (Personally Identifiable Information) son los datos personales de los compradores: nombre, dirección completa de envío, email, teléfono. Por defecto, Amazon oculta estos datos en las respuestas de la API. Para acceder a ellos, necesitas solicitar permisos especiales y obtener un RDT (Restricted Data Token). El proceso es más difícil para apps públicas que para privadas.

Conceptos importantes

  • PII (Personally Identifiable Information): Información personal identificable. En el contexto de SP-API: nombre del comprador, dirección completa de envío, email, teléfono, datos de pago.
  • RDT (Restricted Data Token): Token especial (diferente al access token normal) que autoriza el acceso a datos restringidos en una solicitud concreta.
  • Restricted operations: Endpoints y parámetros de la API que devuelven datos PII. No funcionan con el access token normal, requieren RDT.
  • Data Protection Policy (DPP): Las políticas de protección de datos de Amazon que debes aceptar y demostrar que cumples.
  • Business Criteria Review: Primera fase del proceso de aprobación de PII público: preguntas sobre el caso de uso de tu app.
  • Information Security Architecture Review: Segunda fase: cuestionario técnico con pruebas documentales (NDAs, políticas internas, tests de penetración).
  • Security Interview: Tercera fase (solo para PII público): entrevista con Amazon o consultores externos para verificar lo declarado.

Cómo funciona

¿Qué datos están restringidos por defecto?

Sin acceso PII, en una respuesta de Orders API recibes:

json
"ShippingAddress": {
  "StateOrRegion": "Madrid",
  "PostalCode": "28001",
  "City": "Madrid",
  "CountryCode": "ES"
}

Con acceso PII (FBM), recibes la dirección completa:

json
"ShippingAddress": {
  "Name": "Juan García",
  "AddressLine1": "Calle Mayor 15, 3º Izda",
  "StateOrRegion": "Madrid",
  "PostalCode": "28001",
  "City": "Madrid",
  "CountryCode": "ES",
  "AddressType": "Residential"
}

Operaciones que requieren PII

  • GetOrders con datos de envío completos (FBM)
  • GetOrder con dirección completa
  • Shipping API (generación de etiquetas de envío)
  • Reports de impuestos y facturación fiscal
  • Informes de devoluciones con datos del comprador

Tipos de acceso PII

PII en app privada:

  • El más accesible.
  • Justificas por qué necesitas los datos (ej: "envío FBM a clientes").
  • Amazon responde relativamente rápido.
  • Proceso: rellenar formulario adicional en Developer Profile.

PII en app pública unlisted:

  • Proceso intermedio.
  • Más preguntas sobre casos de uso y medidas de seguridad.
  • Requiere política de privacidad clara.

PII en app pública listed:

  • El proceso más difícil.
  • Proceso de 3 fases que puede durar hasta 6 meses.
  • Requiere demostrar que tienes:
    • NDAs firmados con empleados que acceden a los datos.
    • Cifrado de datos en reposo y en tránsito.
    • Tests de penetración periódicos.
    • Políticas internas documentadas.
    • Conexiones de red seguras (no usar WiFi doméstica para acceder a datos de producción).
  • La entrevista final puede ser con personal de Amazon o con consultores externos contratados por Amazon.
  • Amazon puede rechazarte múltiples veces (se han reportado casos con 20+ rechazos antes de aprobar).

Consejo práctico

Si necesitas PII para una app pública, empieza siempre por el proceso privado. Desarrolla y testea con una app privada con PII, luego cuando tengas todo listo, inicia el proceso público. Así no bloqueas el desarrollo esperando la aprobación pública.

Pasos prácticos

Solicitar PII para app privada

  1. Seller Central → Apps y Servicios → Desarrollar apps → Ver perfil.
  2. En el formulario del perfil de desarrollador, selecciona los permisos restringidos que necesitas:
    • Direct-to-consumer shipping (envíos FBM directos).
    • Tax invoicing (facturación fiscal).
    • Tax remittance (información de retenciones fiscales).
  3. Responde las preguntas adicionales que aparecen explicando tu caso de uso.
  4. Espera la aprobación de Amazon.

Solicitar PII para app pública

Fase 1 - Business Criteria Review:

  • Preguntas sobre características de la app.
  • ¿Qué marketplaces soportas?
  • ¿Cómo beneficia a los vendedores el acceso a estos datos?
  • ¿Qué medidas de seguridad tienes implementadas?

Fase 2 - Information Security Architecture Review:

  • Amazon te envía un Excel con preguntas técnicas detalladas.
  • Necesitas adjuntar evidencias: capturas de pantalla, documentos de política interna, contratos con empleados, certificados de test de penetración.
  • Tiempo de preparación: semanas o meses.

Fase 3 - Security Interview:

  • Videollamada con Amazon (o consultores externos).
  • Demuestras en vivo que tu sistema cumple lo declarado.
  • Te hacen preguntas sobre tu infraestructura, red, accesos, etc.

Errores comunes

  • Pedir PII público antes de tener la app lista: El proceso es tan exigente que es mejor esperar a tener la app desarrollada y funcionando.
  • Reutilizar exactamente las mismas respuestas en cada intento: Amazon puede detectarlo. Si te rechazan, cambia el texto aunque la información sea similar.
  • No tener política de privacidad actualizada: Amazon la verifica activamente.
  • Usar conexiones domésticas para acceder a datos de producción con PII: Amazon puede rechazarte por esto en la entrevista.
  • No documentar las medidas de seguridad: Aunque tengas todo implementado, si no tienes documentación, Amazon no lo puede verificar.

Qué debo saber antes de programarlo

  • El PII no es obligatorio para la mayoría de integraciones. Solo lo necesitas si envías FBM (necesitas la dirección completa) o para informes fiscales específicos.
  • Si vendes FBA, Amazon gestiona el envío y no necesitas el PII de los compradores.
  • Si tu app es privada y necesitas PII, el proceso es manejable. Planifica unas semanas para la aprobación.
  • Si tu app es pública y necesitas PII, considera si realmente es necesario. Muchas apps de éxito no lo tienen.
  • En las respuestas de la API, el campo email del comprador siempre está hasheado, independientemente de si tienes PII. Amazon no permite acceder al email real para evitar comunicación directa fuera de su plataforma.

Pendiente de revisar

  • ¿Hay alguna vía más rápida de conseguir PII público en 2025/2026?
  • ¿Exactamente qué certificaciones de seguridad acepta Amazon como válidas?
  • ¿El proceso de RDT (generar el token restringido en el código) ha cambiado en las versiones recientes de la API?

Documentación basada en más de 40 tutoriales sobre Amazon SP-API. Actualizada a junio de 2026.

Uso interno — Español de España