1. Назначение
1.1. Заказчик добровольно подключает API своего магазина для автоматического получения FBS-заданий, статусов, товарных идентификаторов и макетов этикеток, а также для отправки тех статусов, которые прямо нужны для согласованной операции.
1.2. Подключение не передаёт Исполнителю права собственности на кабинет, товарные карточки, контент, деньги или клиентскую базу и не образует полномочия агента за пределами технических операций.
2. Полномочия Заказчика
Заказчик подтверждает, что вправе подключить магазин и выдать токен; соблюдает договор и документацию площадки; получил необходимые согласия сотрудников; не подключает чужой магазин; не использует интеграцию для обхода ограничений.
3. Минимальные права
Разрешаются только доступы к заказам FBS, остаткам в необходимой части, поставкам, печати/получению этикеток и подтверждению согласованных статусов. Доступ к финансам, выплатам, созданию пользователей, рекламе, ставкам, изменению реквизитов, цен и контента по умолчанию не запрашивается.
Если площадка не позволяет технически разделить права, Исполнитель сообщает об избыточном объёме до подключения. Заказчик принимает решение отдельно; Исполнитель обязан организационно ограничить фактическое использование необходимыми методами.
4. Передача и хранение секрета
4.1. Токен вводится только в защищённой форме кабинета. Его нельзя отправлять в мессенджер, таблицу, комментарий к заказу или по телефону.
4.2. Токен хранится в зашифрованном виде; пользователю и сотруднику отображаются только последние четыре символа. Секрет не включается в обычные журналы, уведомления и резервные выгрузки в открытом виде.
4.3. Системный ключ шифрования хранится отдельно от базы. Доступ к операции расшифрования ограничивается серверным процессом и уполномоченными лицами для восстановления/инцидента.
5. Использование API
Исполнитель вызывает методы только для конкретной цели, учитывает лимиты, проверяет идентификатор магазина, не пытается получить недоступные данные и не использует API для обучения моделей, рекламы или аналитики чужих продаж. Кэш и журналы минимизируются.
Исполнитель может временно остановить интеграцию при аномальном ответе, подозрении на компрометацию, несоответствии магазина аккаунту, массовой ошибке этикеток или запрете площадки.
6. Обязанности Заказчика
- выдать отдельный токен с минимальным сроком и правами;
- проверить выбранный магазин и схему FBS;
- сразу отозвать токен при увольнении ответственного, потере устройства или подозрительной активности;
- не менять SKU и баркоды в период сборки без синхронизации;
- контролировать лимиты, статусы и уведомления площадки;
- периодически ротировать токен и отключить его после прекращения договора.
7. Ошибки и изменение API
Маркетплейс может изменить методы, формат, лимит или доступность без согласования с Исполнителем. Исполнитель разумно адаптирует интеграцию и сообщает о существенном перерыве. Срок задания продлевается на фактический период недоступности, если безопасный ручной способ не согласован.
При конфликте данных операция блокируется. Автоматическая повторная отправка не должна создавать дубликаты; для значимых операций используется уникальный идентификатор и проверка результата.
8. Этикетки
Макет площадки хранится только для печати, доказательства операции и обработки претензии. Исполнитель не изменяет штрихкод площадки. Внутренний штрихкод печатается на отдельной этикетке 58 × 40 мм или в иной согласованной форме и не должен перекрывать обязательные поля.
Заказчик проверяет корректность SKU, товара и кабинета. Исполнитель отвечает за соответствие напечатанного файла фактически полученному/выбранному заданию, но не за ошибку, содержащуюся в данных площадки или карточке Заказчика.
9. Инцидент
При подозрении на утечку Исполнитель блокирует использование токена, уведомляет Заказчика через кабинет/подтверждённый контакт и сообщает, какой токен следует отозвать. Заказчик без промедления отзывает ключ на стороне маркетплейса. Стороны сохраняют журналы и не публикуют сам секрет.
Заказчик разрешает экстренное отключение без предварительного согласования, если продолжение создаёт существенный риск. Отключение не считается нарушением при добросовестном и соразмерном реагировании.
10. Отключение и удаление
Заказчик может использовать предусмотренную функцию кабинета, когда она доступна, либо направить подтверждённое распоряжение. Исполнитель прекращает новые обращения и удаляет зашифрованный токен из активной базы; технические резервные копии перезаписываются по циклу, а журналы без секрета сохраняются в срок Политики.
Удаление у Исполнителя не отзывает токен на стороне площадки. Заказчик обязан отозвать его в кабинете маркетплейса самостоятельно.
11. Ответственность
Сторона отвечает за доказанный ущерб из-за нарушения своих обязанностей безопасности. Исполнитель не отвечает за использование токена лицом, которому Заказчик сам его передал, за избыточные права, оставленные вопреки предупреждению, и за инцидент внутри инфраструктуры площадки; однако обязан принять относящиеся к нему меры по ограничению последствий.