Security
Безопасность и доступ
Рекомендации по безопасной работе: API-ключи, IP white-list, роли, аудит и регламенты.
API-ключи
- Секрет хранится только на вашей стороне (не отправляется в поддержку).
- Подпись запросов HMAC, контроль целостности.
- Регулярная ротация ключей по регламенту.
Рекомендуем: хранить секреты в Vault/ENV и ограничивать доступ по принципу минимальных прав.
IP white-list и webhooks
- Ограничьте входящие запросы к API по IP (если возможно).
- Для webhooks используйте подпись/секрет и проверку источника.
- Логи webhooks сохраняйте для расследований спорных кейсов.
Роли и аудит
- Разделяйте доступ: admin ≠ операторы ≠ партнёры.
- Любые изменения настроек и ручные действия фиксируйте в audit log.
- Используйте отдельные учётки для сотрудников.
Операционные регламенты
- Регламент обработки high-risk (manual review).
- Регламент возвратов и спорных ситуаций.
- Контроль лимитов и мониторинг аномалий.