Доверие и приватность
Безопасность данных и API-ключей
Как VelesRadar работает с вашими API-доступами Ozon и Wildberries: шифрование AES-256-GCM, только чтение, отзыв доступа в любой момент.
| ✓ Что мы делаем | ✗ Чего НЕ делаем |
|---|---|
| Читаем заказы, продажи, остатки, рекламу через API | Не меняем цены, остатки и карточки в ваших магазинах |
| Шифруем ключ AES-256-GCM, секрет — только в env | Не храним ключ в открытом виде и не пишем в логи |
| В UI показываем только маску — последние 4 символа | Не передаём ваши данные третьим лицам и не продаём их |
| По запросу удаляем аккаунт и связанные данные (152-ФЗ) | Не используем ваши продажи для обучения сторонних моделей |
| Поддерживаем отзыв доступа в ЛК маркетплейса в любой момент | Не связываемся с вашими покупателями |
Зачем сервису API-ключ
Аналитика, которую делает VelesRadar — чистая прибыль с учётом себестоимости, комиссий и логистики, остатки в разрезе складов, рекламные расходы по дням — собирается из официальных API маркетплейсов. Без ключа можно показать только публичные данные: цены и рейтинги карточек конкурентов. Чтобы посчитать ваши заказы, возвраты, удержания и реальную маржу, сервису нужен read-доступ к продавцовому API.
Какие права мы запрашиваем
Ozon — связка Client-Id + Api-Key из раздела «Настройки → Seller API» в личном кабинете. Сервис использует только endpoints на чтение:
- заказы FBO/FBS и их статусы;
- финансовые отчёты (комиссии, удержания, выплаты);
- аналитика воронки и конверсии;
- карточки товаров и атрибуты (только чтение);
- остатки на складах Ozon;
- рекламные кампании Performance — отдельная связка
Client ID+Client Secretдля кабинета Performance.Ozon (ОЗК — оплата за клик, ОЗЗ — оплата за заказ).
Wildberries — JWT-токен с галочками доступа, который вы выпускаете в «Настройки → Доступ к API»:
- Статистика — продажи, заказы, отчёты о реализации;
- Аналитика — воронка, регионы, динамика спроса;
- Контент (только чтение) — карточки, атрибуты, цены;
- Продвижение — реклама и автокампании, статистика расходов.
Какие права нам НЕ нужны
VelesRadar — аналитический сервис, а не панель управления магазином. Мы не запрашиваем и не используем следующие возможности API:
- смена цен и скидок;
- изменение остатков и резервов;
- создание, редактирование и удаление карточек;
- отгрузка, поставки, маршрутные листы;
- доступ к выводу денежных средств;
- создание и редактирование рекламных кампаний.
Если в будущем какая-то функция потребует write-доступа, мы запросим отдельное согласие перед её включением — а не «по умолчанию».
Как хранятся ключи
- Все API-ключи шифруются алгоритмом AES-256-GCM перед записью в базу. В открытом виде ключ существует только в оперативной памяти процесса — на время одного запроса к API маркетплейса.
- Мастер-ключ шифрования хранится в переменных окружения сервера и никогда не попадает в базу данных, бэкапы и репозиторий.
- В интерфейсе ключ всегда показывается маской — видны только последние 4 символа. Полностью ключ нельзя вытащить ни через UI, ни через выгрузку.
- Ключи не пишутся в логи: HTTP-клиенты замаскированы, а заголовки авторизации вырезаются на уровне логгера.
Чего мы не делаем
- не передаём данные третьим лицам и не продаём их;
- не используем ваши продажи для обучения сторонних моделей;
- не связываемся с вашими покупателями;
- не агрегируем данные в отчёты, где можно было бы узнать конкретного селлера.
Что вы можете в любой момент
- Отозвать ключ в личном кабинете маркетплейса — VelesRadar моментально потеряет доступ.
- Удалить магазин в кабинете VelesRadar — связанные ключи и кешированные данные стираются.
- Удалить аккаунт — по 152-ФЗ это ваше право, мы обязаны его выполнить. Выгрузку данных перед удалением можно запросить на support@velesradar.ru.
- Экспортировать данные в Excel/CSV из любой таблицы — себестоимость, продажи, остатки.
Где отозвать ключ
- Ozon: «Настройки → Seller API» в кабинете продавца — кнопка удалить рядом с ключом. Для рекламных доступов — «Performance.Ozon → API → Удалить клиент».
- Wildberries: «Настройки → Доступ к API» — кнопка «Удалить» рядом с активным токеном. Доступ прекращается сразу.
Соответствие 152-ФЗ
VelesRadar внесён в реестр операторов персональных данных Роскомнадзора: регистрационный номер №100301439. Условия обработки данных описаны в политике конфиденциальности и соглашении об обработке ПД.
Что делать, если ключ скомпрометирован
- Зайдите в личный кабинет Ozon или Wildberries и удалите скомпрометированный ключ. Это обрывает доступ для всех — для нас, для злоумышленника, для любых других сервисов.
- Создайте новый ключ с теми же правами и обновите его в кабинете VelesRadar: «Магазины → ваш магазин → Обновить API-ключ».
- Напишите нам на support@velesradar.ru — поможем убедиться, что в базе остался только новый ключ, и ответим на любые вопросы по логам доступа.
Связанные документы
- Как подключить Ozon и Wildberries по API — пошаговая инструкция и список endpoints.
- Политика конфиденциальности — цели и сроки обработки данных.
- Соглашение об обработке ПД — договорные обязательства как оператора.