Усиливаем безопасность на портале.Добавляем новые функции и разделы, например, дополнительное подтверждение критичных действий и раздел с проверенными сервисами.
Внедряем новые методы работы. Улучшаем скорость и качество реагирования поддержки, тестируем приложения WB на уязвимости, развиваем системы обнаружения вредоносной активности.
Защита персональных данных
Персональные данные — это любая информация о конкретном человеке, например, ФИО, место жительства, номер телефона, адрес электронной почты.
Работать с персональными данными нужно по правилам, чтобы они не попали в чужие руки и не были использованы против владельца, в том числе при попытке мошенничества.
Правила работы с персональными данными определяются Федеральным законом «О персональных данных» от 27 июля 2006 года № 152-ФЗ, а также внутренними документами каждой компании. За нарушение правил предусмотрена административная и уголовная ответственность.
Полный доступ по всем функциям и разделам на портале есть только у владельца личного кабинета. Он может подключить других пользователей и ограничить им доступ к некоторым разделам портала — например, к управлению ценами и скидками на товары. Если не ограничивать доступ, у новых пользователей будут открыты все разделы, но некоторые действия в любом случае доступны только владельцу. Рекомендуем следить за актуальностью списка пользователей и их правами.
номера телефона и кода, который приходит в СМС или уведомлении в приложении Wildberries;
токена API.
Если данные для доступа к профилю или токенам API попадут к мошенникам, они смогут нанести ущерб вашему магазину. При этом все действия будут совершены от вашего имени.
Никогда не передавайте шестизначный код для входа в профиль и токены API другим людям, если не уверены в их надёжности
Двухфакторная аутентификация
Для усиления безопасности профиля рекомендуем настроить двухфакторную аутентификацию (2FA). Тогда для входа нужно будет вводить два кода подтверждения вместо одного — второй код будет приходить по электронной почте.
Если вам нужно зайти на портал с чужого устройства, после окончания работы обязательно выйдите из своего профиля. Как это сделать:
Наведите курсор на название вашей организации в правом верхнем углу.
Нажмите «Выход» в открывшемся окне.
Карантин при смене телефона владельца профиля
Личный кабинет продавца нельзя передать другому владельцу — он закреплен за ИНН и номером телефона, указанным при регистрации. У владельца есть особые права доступа: некоторые действия в личном кабинете можно подтвердить только через номер телефона владельца. Например, на него приходят коды и уведомления для подтверждения важных изменений.
Если в профиле сменился номер телефона владельца личного кабинета, автоматически запускается 5-дневный карантин (120 часов). В это время для нового владельца временно ограничены такие действия:
оформление возврата товара или изменение адреса ПВЗ для возврата;
создание или изменение карточек товаров;
удаление пользователя или добавление нового.
Сами пользователи, включая нового владельца, также не смогут удалить себя из личного кабинета во время карантина.
Ограничения коснутся только нового владельца. Все остальные пользователи профиля продолжат работать без изменений
Если вы используете API-интеграции, обратите внимание: после смены номера телефона все действующие токены и сервисы, в числе подключенные через OAuth 2.0, тоже перейдут в режим карантина. Интеграции продолжат работать, но запросы к основным категориям данных будут выполняться с ошибками. Это связано с дополнительной проверкой прав владельца личного кабинета.
Рекомендуем как можно быстрее перевыпустить токены и заново подключить нужные интеграции. В разделе Интеграции по API появится предупреждение с датой отключения токенов. За 3 дня до окончания карантина владелец кабинета также получит уведомление об этом.
После завершения карантина все токены, выпущенные до смены номера телефона владельца, будут автоматически отозваны, а интеграции — отключены. Если не обновить подключения заранее, сервисы перестанут работать.
После завершения 5-дневного карантина все функции становятся доступными для нового владельца в полном объёме. Эта мера безопасности нужна, чтобы убедиться, что права владельца профиля переданы именно самим продавцом, а не посторонним лицом, и исключить возможность мошенничества.
Что делать, если профиль взломали
Если у вас есть доступ к профилю
Завершите все сеансы на портале:
Профиль → Настройки → Безопасность → Завершить все сеансы.
Проверьте всех пользователей, подключённых к профилю. Если появились новые или ваш специалист оказался мошенником, удалите соответствующих пользователей.
