Москва

Политика использования API на Платформе «Все Свои»

ПОЛИТИКА ИСПОЛЬЗОВАНИЯ API на Платформе «Все Свои»

г. Краснодар «_____» ___________ 2025 года

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика использования API (далее — «Политика») определяет правила и условия использования интерфейсов программирования приложений (API) Платформы «Все Свои».

1.2. API предоставляет разработчикам и партнерам программный доступ к функционалу и данным Платформы для интеграции и создания дополнительных сервисов.

1.3. Политика разработана в соответствии с:

  • Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»
  • Правилами использования Платформы «Все Свои»
  • Международными стандартами информационной безопасности

2. ОПРЕДЕЛЕНИЯ И ТЕРМИНЫ

2.1. Основные понятия:

2.1.1. API (Application Programming Interface) - набор методов, правил и инструментов для взаимодействия программных компонентов.

2.1.2. Ключ API - уникальный идентификатор, предоставляемый для доступа к API.

2.1.3. Разработчик - физическое или юридическое лицо, использующее API для интеграции с Платформой.

2.1.4. Endpoint (конечная точка)- конкретный URL-адрес API, предоставляющий доступ к определенному функционалу.

3. УСЛОВИЯ ПРЕДОСТАВЛЕНИЯ ДОСТУПА

3.1. Требования к разработчикам:

3.1.1. Для физических лиц:

  • Совершеннолетие
  • Верификация учетной записи
  • Согласие с условиями Политики

3.1.2. Для юридических лиц:

  • Действующая регистрация
  • Заключение договора на использование API
  • Назначение ответственного сотрудника

3.2. Процедура получения доступа:

3.2.1. Регистрация заявки:

  • Заполнение формы на портале для разработчиков
  • Описание целей использования API
  • Техническое описание планируемой интеграции

3.2.2. Рассмотрение заявки:

  • Срок рассмотрения: до 5 рабочих дней
  • Проверка соответствия требованиям безопасности
  • Выдача ключа API после одобрения

4. ВИДЫ API И ФУНКЦИОНАЛ

4.1. Публичные API:

4.1.1. Каталог товаров:

  • Получение информации о товарах
  • Поиск по каталогу
  • Фильтрация и сортировка

4.1.2. Информация о продавцах:

  • Рейтинги и отзывы
  • Информация о магазинах
  • История деятельности

4.2. Приватные API:

4.2.1. Управление заказами:

  • Создание и отслеживание заказов
  • Управление статусами
  • История заказов

4.2.2. Работа с товарами:

  • Добавление и обновление товаров
  • Управление остатками
  • Ценообразование

4.2.3. Аналитика и отчетность:

  • Статистика продаж
  • Отчеты по эффективности
  • Данные о клиентах

5. ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

5.1. Протоколы и форматы:

5.1.1. Основные протоколы:

  • REST API
  • HTTPS для всех запросов
  • OAuth 2.0 для аутентификации

5.1.2. Форматы данных:

  • JSON для запросов и ответов
  • UTF-8 кодировка
  • Стандартизированные структуры данных

5.2. Ограничения и лимиты:

5.2.1. Rate Limiting:

  • 1000 запросов в час для публичных API
  • 10000 запросов в час для приватных API
  • Динамическое изменение лимитов при необходимости

5.2.2. Размеры данных:

  • Максимальный размер запроса: 10 МБ
  • Максимальный размер ответа: 50 МБ
  • Ограничение на глубину вложенности данных

6. ТРЕБОВАНИЯ БЕЗОПАСНОСТИ

6.1. Защита данных:

6.1.1. Конфиденциальность:

  • Шифрование передаваемых данных
  • Защита ключей API
  • Регулярная ротация учетных данных

6.1.2. Контроль доступа:

  • Принцип минимальных привилегий
  • Разграничение прав по ролям
  • Ведение журналов доступа

6.2. Обязанности разработчиков:

6.2.1. Защита ключей API:

  • Запрет на передачу третьим лицам
  • Хранение в защищенных хранилищах
  • Немедленная блокировка при компрометации

6.2.2. Обработка данных:

  • Соблюдение законодательства о персональных данных
  • Минимизация собираемой информации
  • Своевременное удаление неиспользуемых данных

7. ИСПОЛЬЗОВАНИЕ И ОГРАНИЧЕНИЯ

7.1. Разрешенное использование:

7.1.1. Коммерческие интеграции:

  • Системы управления продажами
  • Сервисы аналитики и отчетности
  • Мобильные приложения

7.1.2. Некоммерческие проекты:

  • Образовательные программы
  • Исследовательские проекты
  • Персональные проекты

7.2. Запрещенное использование:

7.2.1. Нарушающее законодательство:

  • Обход систем безопасности
  • Нарушение авторских прав
  • Несанкционированный сбор данных

7.2.2. Наносящее ущерб Платформе:

  • DDoS-атаки и нагрузочное тестирование
  • Попытки взлома систем
  • Создание конкурирующих сервисов

8. МОНИТОРИНГ И КОНТРОЛЬ

8.1. Системы мониторинга:

8.1.1. Технический мониторинг:

  • Отслеживание нагрузки на API
  • Выявление аномальной активности
  • Контроль качества обслуживания

8.1.2. Бизнес-мониторинг:

  • Анализ паттернов использования
  • Выявление нарушений Политики
  • Оценка эффективности интеграций

8.2. Процедура проверок:

8.2.1. Плановые проверки:

  • Ежеквартальный аудит безопасности
  • Проверка соответствия обновлениям API
  • Тестирование на уязвимости

8.2.2. Внеплановые проверки:

  • При подозрении на нарушение
  • По запросу правоохранительных органов
  • При обнаружении уязвимостей

9. ОБНОВЛЕНИЯ И ПОДДЕРЖКА

9.1. Жизненный цикл API:

9.1.1. Версионирование:

  • Мажорные версии: поддержка 2 года
  • Минорные версии: поддержка 6 месяцев
  • Уведомление об устаревании за 90 дней

9.1.2. Обратная совместимость:

  • Гарантия обратной совместимости в рамках мажорной версии
  • Уведомление об устаревании (Deprecation notice) для устаревающих методов
  • Миграционные гайды

9.2. Техническая поддержка:

9.2.1. Уровни поддержки:

  • Базовая поддержка: документация и форум
  • Стандартная поддержка: email-поддержка
  • Приоритетная поддержка: телефонная поддержка 24/7

9.2.2. Соглашение об уровне обслуживания - SLA (Service Level Agreement):

  • Доступность API: 99.9%
  • Время ответа на запросы поддержки: 4 часа
  • Решение критических инцидентов: 2 часа

10. ОТВЕТСТВЕННОСТЬ И САНКЦИИ

10.1. Меры воздействия:

10.1.1. За нарушения Политики:

  • Предупреждение за первичное или незначительное нарушение
  • Временное ограничение доступа
  • Блокировка ключа API
  • Расторжение договора

10.1.2. За серьезные нарушения:

  • Взыскание убытков
  • Передача дела в правоохранительные органы
  • Внесение в черный список

10.2. Ответственность разработчиков:

10.2.1. За нарушения безопасности:

  • Компенсация ущерба
  • Возмещение затрат на устранение последствий
  • Административная ответственность

Приложение 1: Техническая документация API Приложение 2: Формы заявок на доступ к API Приложение 3: Политика безопасности при работе с API

ПРИЛОЖЕНИЕ 1 к Политике использования API ТЕХНИЧЕСКАЯ ДОКУМЕНТАЦИЯ API

1. БАЗОВЫЕ ПАРАМЕТРЫ API

1.1. Эндпоинты и версионирование:

1.1.1. Базовый URL:

https://api.vsesvoi.online/v1/

1.1.2. Поддерживаемые методы HTTP:

  • GET - получение данных
  • POST - создание новых записей
  • PUT - полное обновление записей
  • PATCH - частичное обновление записей
  • DELETE - удаление записей

1.1.3. Коды ответов:

  • 200 - Успешный запрос
  • 201 - Ресурс создан
  • 400 - Неверный запрос
  • 401 - Не авторизован
  • 403 - Доступ запрещен
  • 404 - Ресурс не найден
  • 429 - Слишком много запросов
  • 500 - Внутренняя ошибка сервера

1.2. Аутентификация:

1.2.1. Заголовки авторизации:

http

Authorization: Bearer {api_key}

Content-Type: application/json

X-API-Key: your_api_key_here

1.2.2. Получение токена доступа:

http

POST /oauth/token

{

  "grant_type": "client_credentials",

  "client_id": "your_client_id",

  "client_secret": "your_client_secret"

}

2. ОСНОВНЫЕ ЭНДПОЙНТЫ API

2.1. Работа с товарами:

2.1.1. Получение списка товаров:

http

GET /products

Parameters:

  - category_id (optional)

  - limit (default: 50)

  - offset (default: 0)

  - search (optional)

  - sort_by (price, name, rating)

2.1.2. Получение информации о товаре:

http

GET /products/{product_id}

2.1.3. Создание товара:

http

POST /products

{

  "name": "Название товара",

  "description": "Описание товара",

  "price": 1000,

  "category_id": 1,

  "stock_quantity": 10

}

2.2. Управление заказами:

2.2.1. Получение списка заказов:

http

GET /orders

Parameters:

  - status (pending, confirmed, shipped, delivered, cancelled)

  - start_date (YYYY-MM-DD)

  - end_date (YYYY-MM-DD)

2.2.2. Создание заказа:

http

POST /orders

{

  "customer_email": "customer@example.com",

  "items": [

    {

      "product_id": 123,

      "quantity": 2

    }

  ],

  "shipping_address": {

    "address": "ул. Примерная, д. 1",

    "city": "Краснодар",

    "postal_code": "350000"

  }

}

3. ЛИМИТЫ И ОГРАНИЧЕНИЯ

3.1. Rate Limiting:

3.1.1. Лимиты по типам API:

  • Публичные API: 1000 запросов/час
  • Приватные API: 10000 запросов/час
  • Административные API: 50000 запросов/час

3.1.2. Заголовки лимитов:

http

X-RateLimit-Limit: 1000

X-RateLimit-Remaining: 999

X-RateLimit-Reset: 1640995200

ПРИЛОЖЕНИЕ 2 к Политике использования API ФОРМЫ ЗАЯВОК НА ДОСТУП К API

1. ФОРМА ЗАЯВКИ ДЛЯ ФИЗИЧЕСКИХ ЛИЦ

Дата подачи: «__» ________ 202____ г.

1.1. Личные данные:

  • ФИО: _______________
  • Email: _______________
  • Телефон: _______________
  • Дата рождения: _______________

1.2. Информация о проекте:

  • Название проекта: _______________
  • Цель использования API: _______________
  • Описание функционала: _______________
  • Ожидаемое количество запросов/мес: _______

1.3. Технические данные:

  • IP-адреса для белого списка: _______________
  • Callback URL (если требуется): _______________
  • Технологический стек: _______________

Согласия: [ ] Согласен с Политикой использования API [ ] Согласен на обработку персональных данных [ ] Обязуюсь соблюдать лимиты и ограничения

Подпись: ___________________

2. ФОРМА ЗАЯВКИ ДЛЯ ЮРИДИЧЕСКИХ ЛИЦ

Дата подачи: «__» ________ 202 г.

2.1. Данные организации:

  • Наименование: _______________
  • ИНН: _______________
  • ОГРН: _______________
  • Юридический адрес: _______________

2.2. Контактные лица:

  • Руководитель: _______________
  • Технический специалист: _______________
  • Email для уведомлений: _______________

2.3. Бизнес-информация:

  • Сфера деятельности: _______________
  • Количество интеграций: _______
  • Планируемый трафик: _______ запросов/мес

2.4. Технические требования:

  • Необходимые эндпоинты: _______________
  • Требуемый уровень доступа: _______________
  • Часовой пояс для уведомлений: _______________

Подпись руководителя: ___________________ Печать организации


ПРИЛОЖЕНИЕ 1 к Политике использования API ТЕХНИЧЕСКАЯ ДОКУМЕНТАЦИЯ API

1. БАЗОВЫЕ ПАРАМЕТРЫ API

1.1. Эндпоинты и версионирование:

1.1.1. Базовый URL:

https://api.vsesvoi.online/v1/

1.1.2. Поддерживаемые методы HTTP:

  • GET - получение данных
  • POST - создание новых записей
  • PUT - полное обновление записей
  • PATCH - частичное обновление записей
  • DELETE - удаление записей

1.1.3. Коды ответов:

  • 200 - Успешный запрос
  • 201 - Ресурс создан
  • 400 - Неверный запрос
  • 401 - Не авторизован
  • 403 - Доступ запрещен
  • 404 - Ресурс не найден
  • 429 - Слишком много запросов
  • 500 - Внутренняя ошибка сервера

1.2. Аутентификация:

1.2.1. Заголовки авторизации:

http

Authorization: Bearer {api_key}

Content-Type: application/json

X-API-Key: your_api_key_here

1.2.2. Получение токена доступа:

http

POST /oauth/token

{

  "grant_type": "client_credentials",

  "client_id": "your_client_id",

  "client_secret": "your_client_secret"

}

2. ОСНОВНЫЕ ЭНДПОЙНТЫ API

2.1. Работа с товарами:

2.1.1. Получение списка товаров:

http

GET /products

Parameters:

  - category_id (optional)

  - limit (default: 50)

  - offset (default: 0)

  - search (optional)

  - sort_by (price, name, rating)

2.1.2. Получение информации о товаре:

http

GET /products/{product_id}

2.1.3. Создание товара:

http

POST /products

{

  "name": "Название товара",

  "description": "Описание товара",

  "price": 1000,

  "category_id": 1,

  "stock_quantity": 10

}

2.2. Управление заказами:

2.2.1. Получение списка заказов:

http

GET /orders

Parameters:

  - status (pending, confirmed, shipped, delivered, cancelled)

  - start_date (YYYY-MM-DD)

  - end_date (YYYY-MM-DD)

2.2.2. Создание заказа:

http

POST /orders

{

  "customer_email": "customer@example.com",

  "items": [

    {

      "product_id": 123,

      "quantity": 2

    }

  ],

  "shipping_address": {

    "address": "ул. Примерная, д. 1",

    "city": "Краснодар",

    "postal_code": "350000"

  }

}

3. ЛИМИТЫ И ОГРАНИЧЕНИЯ

3.1. Rate Limiting:

3.1.1. Лимиты по типам API:

  • Публичные API: 1000 запросов/час
  • Приватные API: 10000 запросов/час
  • Административные API: 50000 запросов/час

3.1.2. Заголовки лимитов:

http

X-RateLimit-Limit: 1000

X-RateLimit-Remaining: 999

X-RateLimit-Reset: 1640995200


ПРИЛОЖЕНИЕ 2 к Политике использования API ФОРМЫ ЗАЯВОК НА ДОСТУП К API

1. ФОРМА ЗАЯВКИ ДЛЯ ФИЗИЧЕСКИХ ЛИЦ

Дата подачи: «__» ________ 202____ г.

1.1. Личные данные:

  • ФИО: _______________
  • Email: _______________
  • Телефон: _______________
  • Дата рождения: _______________

1.2. Информация о проекте:

  • Название проекта: _______________
  • Цель использования API: _______________
  • Описание функционала: _______________
  • Ожидаемое количество запросов/мес: _______

1.3. Технические данные:

  • IP-адреса для белого списка: _______________
  • Callback URL (если требуется): _______________
  • Технологический стек: _______________

Согласия: [ ] Согласен с Политикой использования API [ ] Согласен на обработку персональных данных [ ] Обязуюсь соблюдать лимиты и ограничения

Подпись: ___________________

2. ФОРМА ЗАЯВКИ ДЛЯ ЮРИДИЧЕСКИХ ЛИЦ

Дата подачи: «__» ________ 202 г.

2.1. Данные организации:

  • Наименование: _______________
  • ИНН: _______________
  • ОГРН: _______________
  • Юридический адрес: _______________

2.2. Контактные лица:

  • Руководитель: _______________
  • Технический специалист: _______________
  • Email для уведомлений: _______________

2.3. Бизнес-информация:

  • Сфера деятельности: _______________
  • Количество интеграций: _______
  • Планируемый трафик: _______ запросов/мес

2.4. Технические требования:

  • Необходимые эндпоинты: _______________
  • Требуемый уровень доступа: _______________
  • Часовой пояс для уведомлений: _______________

Подпись руководителя: ___________________ Печать организации

ПРИЛОЖЕНИЕ 3 к Политике использования API ПОЛИТИКА БЕЗОПАСНОСТИ ПРИ РАБОТЕ С API

1. ТРЕБОВАНИЯ К ХРАНЕНИЮ КЛЮЧЕЙ

1.1. Защита учетных данных:

1.1.1. Хранение ключей API:

  • Запрещено хранить в открытом виде в коде
  • Использовать защищенные хранилища (HashiCorp Vault, AWS Secrets Manager)
  • Регулярная ротация ключей (каждые 90 дней)
  • Раздельное хранение client_id и client_secret

1.1.2. Передача ключей:

  • Только через защищенные каналы (HTTPS, SFTP)
  • Запрещена передача по email в открытом виде
  • Использование временных токенов для разработки

2. ПРОЦЕДУРЫ БЕЗОПАСНОСТИ

2.1. Мониторинг и логирование:

2.1.1. Обязательное логирование:

  • Все запросы к API
  • Попытки неавторизованного доступа
  • Изменения в конфигурации доступа
  • Использование лимитов

2.1.2. Алертинг:

  • Уведомление о подозрительной активности
  • Превышение лимитов запросов
  • Попытки доступа с неразрешенных IP-адресов

2.2. Инцидент-менеджмент:

2.2.1. Действия при компрометации ключа:

  • Немедленная блокировка ключа через панель управления
  • Уведомление службы безопасности Платформы Все Свои
  • Аудит действий, совершенных скомпрометированным ключом
  • Выпуск нового ключа

2.2.2. Процедура восстановления:

  • Подача заявки на перевыпуск ключа
  • Проверка причин компрометации
  • Обновление политик безопасности

3. РЕКОМЕНДАЦИИ ПО РАЗРАБОТКЕ

3.1. Паттерны разработки:

3.1.1. Обработка ошибок:

  • Корректная обработка HTTP статусов
  • Retry logic с экспоненциальной backoff задержкой
  • Ведение журнала ошибок для отладки

3.1.2. Оптимизация запросов:

  • Кэширование часто запрашиваемых данных
  • Пакетные запросы при массовых операциях
  • Использование webhooks для получения обновлений

3.1.3. Пример кода для обработки ошибок:

python

import requests

import time

from typing import Optional

def make_api_request(url: str, api_key: str, max_retries: int = 3) -> Optional[dict]:

    headers = {

        'Authorization': f'Bearer {api_key}',

        'Content-Type': 'application/json'

    }

    

    for attempt in range(max_retries):

        try:

            response = requests.get(url, headers=headers)

            

            if response.status_code == 200:

                return response.json()

            elif response.status_code == 429:

                # Rate limiting - wait and retry

                time.sleep(2 ** attempt)  # Exponential backoff

            else:

                # Log error and break

                print(f"API error: {response.status_code}")

                break

                

        except requests.exceptions.RequestException as e:

            print(f"Request failed: {e}")

            time.sleep(2 ** attempt)

    

    return None