Ananas Connect

Безбедност

Безбедноста на Ananas Connect е изградена на три столба: минимален пристап, ревидирани операции и шифрирано управување со тајни.

Последно ажурирање: Јуни 2026. Содржината е информативна; препорачуваме финален правен преглед.

Чување на API креденцијали

API клучевите и тајните на продавачот (clientId, clientSecret) се чуваат шифрирано во AWS Secrets Manager. По внесувањето, тие никогаш не се логираат, не се испраќаат на клиентот и не се видливи во UI. Само системот за синхронизација може да ги чита за извршување на API повиците.

Контрола на пристап

  • Администраторскиот пристап бара автентикација — само овластениот тим може да управува со продавачи.
  • Продавачкиот онбординг се изведува преку еднократни токени за покана — секој токен е валиден само еднаш и има рок на истекување.
  • Секој merchant Dashboard е достапен само со верифицирана е-пошта и Merchant ID.

Одвоени средини

Staging и production средините се целосно одвоени. Staging API клучевите не можат да го достигнат production API-то. Системот автоматски ги препознава и ги насочува кон правилната средина.

Ревизорски записник

  • Сите административни акции се снимаат со временски печат и идентитет на актерот: ажурирање на креденцијали, деактивација на продавач, рачно активирање на синхронизација, промена на распоред.
  • Ревизорскиот записник не може да се уредува или брише.

Пренос на податоци

Сите API повици кон Ananas Developer API и кон изворните системи на продавачите се изведуваат преку HTTPS/TLS 1.2 или понова верзија. Комуникацијата во незашифрирана форма не е дозволена.

Одговор при инциденти

Проблемите кои ја блокираат продукцијата се адресираат во рок од 4 работни часа. Критичните безбедносни инциденти се ескалираат веднаш без оглед на работното време.

Пријавување на ранливости

За пријавување на безбедносен проблем, пишете на security@ananas.rs. Не го откривајте јавно пред да добиете потврда дека проблемот е решен.

Препораки за продавачи

  • Не ги споделувајте вашите API клучеви со трети лица.
  • Не ги внесувајте во код, документи или чат пораки.
  • Ако сметате дека клучевите се компромитирани, веднаш контактирајте нè преку тикет.