Pobranie danych w celu zmiany dostawcy możliwa jest w każdym momencie działalności sklepu. Dane przechowywane są w postaci encji w bazie danych MySQL, do której merchant nie posiada dostępu. W celu eksportu danych należy odwołać się do API, do którego dostęp merchant może samodzielnie skonfigurować z poziomu panelu administracyjnego. W tym celu można użyć gotowe integracje i narzędzia oferowane przez firmy trzecie lub samodzielnie stworzyć konektor dla danych udostępnianych przez API. Dokumentacja API stworzona jest w formacie OpenAPI, które jest jednym z wiodących standardów branżowych. W ramach samej struktury danych udostępniane są kategorie:

OMS – dane dotyczące zamówień, zwrotów i reklamacji. W tym także informacje szczegółowe o produktach dodanych do zamówień, płatnościach, danych klientów i adresów dostaw oraz wystawionych dokumentach.

CRM – dane dotyczące klientów w tym dane bilingowe, dane adresów dostaw, dane statystyczne, ustawienia rabatów i punktów lojalnościowych, ustawieniach konta z wyłączeniem danych autoryzacyjnych (haseł)

PIM – dane dotyczące oferty produktowej, w tym podstawowe informacje o towarach, ustawieniach parametrów towarów, cen, ustawień atrybutów pomocniczych (kategoria, marka, seria)

WMS – dane dotyczące gospodarki magazynowej i stanów magazynowych towarów

Szczegółowy opis formatu wymiany danych poszczególnych bramek znajduje się na stronie dokumentacji: https://idosell.readme.io/reference

Każda z bramek posiada swoje indywidualne limity danych, które może zwrócić. Maksymalnie w jednym requescie można pobrać 100 rekordów, chyba że dane bramka jasno definiuje inną wartość. Przy synchronicznym, jednowątkowym pobieraniu danych nie występują limity liczby requestów do API. Przy pracy asynchronicznej obowiązują limity ustawione w zabezpieczeniach i filtrach panelu (zabezpieczenie antyDOS).

Infrastruktura ICT wykorzystywana przez organizację podlega jurysdykcji Unii Europejskiej, w szczególności prawu polskiemu. Dane są przede wszystkim przetwarzane w systemach IT zlokalizowanych w Polsce (Poznań, Warszawa). W przypadku korzystania z usług chmurowych lub narzędzi podmiotów trzecich wybieramy wyłącznie dostawców gwarantujących zgodność z RODO oraz lokalizację danych w Europejskim Obszarze Gospodarczym. Ewentualne transfery do państw trzecich odbywają się wyłącznie zgodnie literą prawa i mają ograniczony charakter.

Stosowane środki zapobiegające nieuprawnionemu międzynarodowemu dostępowi do danych przechowywanych w UE zawierają między innymi:

  • szyfrowanie danych w tranzycie, firewalle i segmentacja sieci, MFA i RBAC, VPN dla pracy zdalnej, stałe aktualizacje i testy bezpieczeństwa, kopie zapasowe i odtwarzanie w UE, monitoring/DLP.
  • polityka czystego biurka oraz czystego pulpitu, kontrola fizycznego dostępu do biur, system uprawnień wg zasady najmniejszych uprawnień, szkolenia pracowników, rejestr czynności przetwarzania, procedury reagowania na incydenty.
  • umowy powierzenia zgodne z art. 28 RODO, standardowe klauzule umowne przy transferach do państw trzecich, prawa audytu oraz obowiązek informowania o żądaniach organów.

Dane nieosobowe ani osobowe przechowywane w UE nie mogą być ujawniane organom spoza UE, jeżeli takie ujawnienie naruszałoby prawo UE lub prawo polskie; żądania takich organów są weryfikowane i w razie kolizji prawa odrzucane lub kwestionowane, z odesłaniem do właściwych kanałów międzynarodowej pomocy prawnej.