Москва
Меню
+7(800)-444-51-34Пн-Пт: 9:00-18:00
Заказать звонок

Политика использования API

ПОЛИТИКА ИСПОЛЬЗОВАНИЯ API

на Платформе «Все Свои»

г. Краснодар «30» марта 2026 года

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Назначение Политики

Настоящая Политика использования API (далее — «Политика») определяет правила и условия использования интерфейсов программирования приложений (API) Платформы «Все Свои».

Этот документ — для разработчиков и партнёров, которые хотят интегрировать свои сервисы с нашей Платформой. Здесь описано, как получить доступ, какие есть ограничения, как обеспечить безопасность.

1.2. Что такое API

API предоставляет разработчикам и партнерам программный доступ к функционалу и данным Платформы для интеграции и создания дополнительных сервисов.

API — это способ, при котором ваша программа может общаться с нашей Платформой автоматически. Например, выгружать заказы, обновлять остатки, получать статистику.

1.3. Правовая основа

Политика разработана в соответствии с:

Нормативный акт

Что регулирует

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Защита информации

Правила использования Платформы «Все Свои»

Общие правила работы на Платформе

Международные стандарты информационной безопасности

Дополнительные требования безопасности

Мы работаем по российским законам о защите информации и международным стандартам безопасности.

2. ОПРЕДЕЛЕНИЯ И ТЕРМИНЫ

2.1. Основные понятия

Термин

Что значит

API (Application Programming Interface)

Набор методов, правил и инструментов для взаимодействия программных компонентов

Ключ API

Уникальный идентификатор, предоставляемый для доступа к API

Разработчик

Физическое или юридическое лицо, использующее API для интеграции с Платформой

Endpoint (конечная точка)

Конкретный URL-адрес API, предоставляющий доступ к определенному функционалу

API — это интерфейс для программ. Ключ API — ваш пропуск. Разработчик — тот, кто пишет программу. Endpoint — адрес, по которому можно получить нужные данные.

3. УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ ДОСТУПА

3.1. Требования к разработчикам

Для физических лиц:

  • Совершеннолетие
  • Верификация учетной записи
  • Согласие с условиями Политики

Для юридических лиц:

  • Действующая регистрация
  • Заключение договора на использование API
  • Назначение ответственного сотрудника

Разработчиком может быть как физическое, так и юридическое лицо. Физлицо должно быть совершеннолетним и иметь подтверждённый аккаунт. Юрлицо — заключить договор и назначить ответственного.

3.2. Процедура получения доступа

Регистрация заявки:

  • Заполнение формы на портале для разработчиков
  • Описание целей использования API
  • Техническое описание планируемой интеграции

Рассмотрение заявки:

  • Срок рассмотрения: до 5 рабочих дней
  • Проверка соответствия требованиям безопасности
  • Выдача ключа API после одобрения

Чтобы получить доступ, нужно заполнить заявку: рассказать, зачем вам API, что вы планируете интегрировать. Рассмотрим за 5 дней. Если всё хорошо — выдадим ключ.

4. ВИДЫ API И ФУНКЦИОНАЛ

4.1. Публичные API (доступны всем)

Каталог товаров:

  • Получение информации о товарах
  • Поиск по каталогу
  • Фильтрация и сортировка

Информация о продавцах:

  • Рейтинги и отзывы
  • Информация о магазинах
  • История деятельности

Публичные API доступны всем. Можно получать информацию о товарах, продавцах, рейтингах и отзывах.

4.2. Приватные API (требуют специального доступа)

Управление заказами:

  • Создание и отслеживание заказов
  • Управление статусами
  • История заказов

Работа с товарами:

  • Добавление и обновление товаров
  • Управление остатками
  • Ценообразование

Аналитика и отчетность:

  • Статистика продаж
  • Отчеты по эффективности
  • Данные о клиентах

Приватные API — для тех, кто интегрирует свои системы с Платформой на уровне управления заказами, товарами и аналитикой. Требуют отдельного доступа и договора.

5. ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

5.1. Протоколы и форматы

Основные протоколы:

  • REST API
  • HTTPS для всех запросов
  • OAuth 2.0 для аутентификации

Форматы данных:

  • JSON для запросов и ответов
  • UTF-8 кодировка
  • Стандартизированные структуры данных

*API работает по стандартам REST, все запросы — через защищённый HTTPS, авторизация — по OAuth 2.0. Данные передаём в JSON, кодировка UTF-8.*

5.2. Ограничения и лимиты

Rate Limiting (ограничение частоты запросов):

  • 1000 запросов в час для публичных API
  • 10000 запросов в час для приватных API
  • Динамическое изменение лимитов при необходимости

Размеры данных:

  • Максимальный размер запроса: 10 МБ
  • Максимальный размер ответа: 50 МБ
  • Ограничение на глубину вложенности данных

Чтобы Платформа работала стабильно, мы ограничиваем частоту запросов. Публичные API — 1000 запросов в час, приватные — 10 000. Запросы и ответы имеют ограничения по размеру.

6. ТРЕБОВАНИЯ БЕЗОПАСНОСТИ

6.1. Защита данных

Конфиденциальность:

  • Шифрование передаваемых данных (HTTPS)
  • Защита ключей API
  • Регулярная ротация учетных данных

Контроль доступа:

  • Принцип минимальных привилегий (даём только нужные права)
  • Разграничение прав по ролям
  • Ведение журналов доступа

Данные шифруются при передаче, ключи API защищены, доступ — по принципу «только то, что нужно». Всё логируется.

6.2. Обязанности разработчиков

Защита ключей API:

  • Запрет на передачу третьим лицам
  • Хранение в защищенных хранилищах (не в коде!)
  • Немедленная блокировка при компрометации

Обработка данных:

  • Соблюдение законодательства о персональных данных
  • Минимизация собираемой информации
  • Своевременное удаление неиспользуемых данных

Вы отвечаете за сохранность своего ключа. Не передавайте его никому, не храните в открытом виде в коде. Если ключ скомпрометирован — сразу блокируйте. С данными — по закону.

7. ИСПОЛЬЗОВАНИЕ И ОГРАНИЧЕНИЯ

7.1. Разрешенное использование

Коммерческие интеграции:

  • Системы управления продажами (CRM, ERP)
  • Сервисы аналитики и отчетности
  • Мобильные приложения

Некоммерческие проекты:

  • Образовательные программы
  • Исследовательские проекты
  • Персональные проекты

API можно использовать для коммерческих интеграций (CRM, аналитика, мобильные приложения) и некоммерческих проектов (образование, исследования, личные проекты).

7.2. Запрещенное использование

Нарушающее законодательство:

  • Обход систем безопасности
  • Нарушение авторских прав
  • Несанкционированный сбор данных

Наносящее ущерб Платформе:

  • DDoS-атаки и нагрузочное тестирование
  • Попытки взлома систем
  • Создание конкурирующих сервисов

Нельзя взламывать, обходить защиту, нарушать авторские права, собирать данные без разрешения. Нельзя атаковать Платформу, пытаться её взломать или создавать прямых конкурентов.

8. МОНИТОРИНГ И КОНТРОЛЬ

8.1. Системы мониторинга

Технический мониторинг:

  • Отслеживание нагрузки на API
  • Выявление аномальной активности
  • Контроль качества обслуживания

Бизнес-мониторинг:

  • Анализ паттернов использования
  • Выявление нарушений Политики
  • Оценка эффективности интеграций

Мы следим за нагрузкой, аномалиями, качеством. Анализируем, как используется API, выявляем нарушения, оцениваем эффективность.

8.2. Процедура проверок

Плановые проверки:

  • Ежеквартальный аудит безопасности
  • Проверка соответствия обновлениям API
  • Тестирование на уязвимости

Внеплановые проверки:

  • При подозрении на нарушение
  • По запросу правоохранительных органов
  • При обнаружении уязвимостей

Раз в квартал — плановый аудит. Внепланово — если есть подозрения на нарушение, запрос от органов или обнаружена уязвимость.

9. ОБНОВЛЕНИЯ И ПОДДЕРЖКА

9.1. Жизненный цикл API

Версионирование:

  • Мажорные версии: поддержка 2 года
  • Минорные версии: поддержка 6 месяцев
  • Уведомление об устаревании за 90 дней

Обратная совместимость:

  • Гарантия обратной совместимости в рамках мажорной версии
  • Уведомление об устаревании (Deprecation notice) для устаревающих методов
  • Миграционные гайды

Каждая версия API поддерживается определённое время. Мажорные — 2 года, минорные — 6 месяцев. Об устаревании предупреждаем за 90 дней. Даём инструкции по переходу.

9.2. Техническая поддержка

Уровни поддержки:

  • Базовая поддержка: документация и форум
  • Стандартная поддержка: email-поддержка
  • Приоритетная поддержка: телефонная поддержка 24/7 (по договору)

SLA (Service Level Agreement):

  • Доступность API: 99.9%
  • Время ответа на запросы поддержки: 4 часа
  • Решение критических инцидентов: 2 часа

*Поддержка разного уровня: базовая — документация и форум, стандартная — по email, приоритетная — телефон 24/7. API доступен 99.9% времени.*

10. ОТВЕТСТВЕННОСТЬ И САНКЦИИ

10.1. Меры воздействия

За нарушения Политики:

  • Предупреждение за первичное или незначительное нарушение
  • Временное ограничение доступа
  • Блокировка ключа API
  • Расторжение договора

За серьезные нарушения:

  • Взыскание убытков
  • Передача дела в правоохранительные органы
  • Внесение в черный список

Нарушили правила? Сначала предупреждение. Если серьёзно — ограничим доступ или заблокируем ключ. В крайнем случае — расторжение договора, взыскание убытков, чёрный список.

10.2. Ответственность разработчиков

За нарушения безопасности:

  • Компенсация ущерба
  • Возмещение затрат на устранение последствий
  • Административная ответственность

Если из-за ваших действий пострадала Платформа или пользователи — вы компенсируете ущерб. Возможно привлечение к административной ответственности.

ПРИЛОЖЕНИЕ 1: ТЕХНИЧЕСКАЯ ДОКУМЕНТАЦИЯ API

1. БАЗОВЫЕ ПАРАМЕТРЫ API

Эндпоинты и версионирование:

Поддерживаемые методы HTTP:

Метод

Назначение

GET

Получение данных

POST

Создание новых записей

PUT

Полное обновление записей

PATCH

Частичное обновление записей

DELETE

Удаление записей

Коды ответов:

Код

Значение

200

Успешный запрос

201

Ресурс создан

400

Неверный запрос

401

Не авторизован

403

Доступ запрещен

404

Ресурс не найден

429

Слишком много запросов

500

Внутренняя ошибка сервера

2. АУТЕНТИФИКАЦИЯ

Заголовки авторизации:

text

Authorization: Bearer {api_key}

Content-Type: application/json

X-API-Key: your_api_key_here

Получение токена доступа:

text

POST /oauth/token

{

  "grant_type": "client_credentials",

  "client_id": "your_client_id",

  "client_secret": "your_client_secret"

}

3. ОСНОВНЫЕ ЭНДПОЙНТЫ API

Работа с товарами:

Получение списка товаров:

text

GET /products

Parameters:

- category_id (optional)

- limit (default: 50)

- offset (default: 0)

- search (optional)

- sort_by (price, name, rating)

Получение информации о товаре:

text

GET /products/{product_id}

Создание товара:

text

POST /products

{

  "name": "Название товара",

  "description": "Описание товара",

  "price": 1000,

  "category_id": 1,

  "stock_quantity": 10

}

Управление заказами:

Получение списка заказов:

text

GET /orders

Parameters:

- status (pending, confirmed, shipped, delivered, cancelled)

- start_date (YYYY-MM-DD)

- end_date (YYYY-MM-DD)

Создание заказа:

text

POST /orders

{

  "customer_email": "customer@example.com",

  "items": [

    {

      "product_id": 123,

      "quantity": 2

    }

  ],

  "shipping_address": {

    "address": "ул. Примерная, д. 1",

    "city": "Краснодар",

    "postal_code": "350000"

  }

}

4. ЛИМИТЫ И ОГРАНИЧЕНИЯ

Rate Limiting:

Тип API

Лимит

Публичные API

1000 запросов/час

Приватные API

10 000 запросов/час

Административные API

50 000 запросов/час

Заголовки лимитов:

text

X-RateLimit-Limit: 1000

X-RateLimit-Remaining: 999

X-RateLimit-Reset: 1640995200

ПРИЛОЖЕНИЕ 2: ФОРМЫ ЗАЯВОК НА ДОСТУП К API

1. ФОРМА ЗАЯВКИ ДЛЯ ФИЗИЧЕСКИХ ЛИЦ

Дата подачи: «____» ______________ 202__ г.

1.1. Личные данные:

  • ФИО: __________________________
  • Email: __________________________
  • Телефон: __________________________
  • Дата рождения: __________________________

1.2. Информация о проекте:

  • Название проекта: __________________________
  • Цель использования API: __________________________
  • Описание функционала: __________________________
  • Ожидаемое количество запросов/мес: __________________________

1.3. Технические данные:

  • IP-адреса для белого списка: __________________________
  • Callback URL (если требуется): __________________________
  • Технологический стек: __________________________

Согласия:

  • Согласен с Политикой использования API
  • Согласен на обработку персональных данных
  • Обязуюсь соблюдать лимиты и ограничения

Подпись: __________________________

2. ФОРМА ЗАЯВКИ ДЛЯ ЮРИДИЧЕСКИХ ЛИЦ

Дата подачи: «____» ______________ 202__ г.

2.1. Данные организации:

  • Наименование: __________________________
  • ИНН: __________________________
  • ОГРН: __________________________
  • Юридический адрес: __________________________

2.2. Контактные лица:

  • Руководитель: __________________________
  • Технический специалист: __________________________
  • Email для уведомлений: __________________________

2.3. Бизнес-информация:

  • Сфера деятельности: __________________________
  • Количество интеграций: __________________________
  • Планируемый трафик: __________________________ запросов/мес

2.4. Технические требования:

  • Необходимые эндпоинты: __________________________
  • Требуемый уровень доступа: __________________________
  • Часовой пояс для уведомлений: __________________________

Подпись руководителя: __________________________ Печать организации

ПРИЛОЖЕНИЕ 3: ПОЛИТИКА БЕЗОПАСНОСТИ ПРИ РАБОТЕ С API

1. ТРЕБОВАНИЯ К ХРАНЕНИЮ КЛЮЧЕЙ

Защита учетных данных:

Хранение ключей API:

  • Запрещено хранить в открытом виде в коде
  • Использовать защищенные хранилища (HashiCorp Vault, AWS Secrets Manager, переменные окружения)
  • Регулярная ротация ключей (каждые 90 дней)
  • Раздельное хранение client_id и client_secret

Передача ключей:

  • Только через защищенные каналы (HTTPS, SFTP)
  • Запрещена передача по email в открытом виде
  • Использование временных токенов для разработки

2. ПРОЦЕДУРЫ БЕЗОПАСНОСТИ

Мониторинг и логирование:

Обязательное логирование:

  • Все запросы к API
  • Попытки неавторизованного доступа
  • Изменения в конфигурации доступа
  • Использование лимитов

Алертинг:

  • Уведомление о подозрительной активности
  • Превышение лимитов запросов
  • Попытки доступа с неразрешенных IP-адресов

Инцидент-менеджмент:

Действия при компрометации ключа:

  • Немедленная блокировка ключа через панель управления
  • Уведомление службы безопасности Платформы Все Свои
  • Аудит действий, совершенных скомпрометированным ключом
  • Выпуск нового ключа

Процедура восстановления:

  • Подача заявки на перевыпуск ключа
  • Проверка причин компрометации
  • Обновление политик безопасности

3. РЕКОМЕНДАЦИИ ПО РАЗРАБОТКЕ

Паттерны разработки:

Обработка ошибок:

  • Корректная обработка HTTP статусов
  • Retry logic с экспоненциальной задержкой (exponential backoff)
  • Ведение журнала ошибок для отладки

Оптимизация запросов:

  • Кэширование часто запрашиваемых данных
  • Пакетные запросы при массовых операциях
  • Использование webhooks для получения обновлений

Пример кода для обработки ошибок (Python):

python

import requests

import time

from typing import Optional

 

def make_api_request(url: str, api_key: str, max_retries: int = 3) -> Optional[dict]:

    headers = {

        'Authorization': f'Bearer {api_key}',

        'Content-Type': 'application/json'

    }

   

    for attempt in range(max_retries):

        try: