← на главную

Политика конфиденциальности

Дата вступления в силу: 07 мая 2026. Версия 1.1

1. Кто мы

Расширение для браузера Google Chrome «ТопСклейка» (далее — «Расширение») разрабатывается частным разработчиком. Контакт: hookfr0mleft889@gmail.com.

2. Какие данные обрабатывает Расширение

2.1 Данные WB-кабинета (только локально)

Расширение получает данные из API Wildberries, используя JWT-токен, который пользователь самостоятельно создаёт в WB-кабинете и вводит в Расширение:

• список карточек кабинета (наименования, артикулы, бренд, категория, характеристики);
• статистика отзывов (агрегированные распределения оценок);
• выкупы (через WB statistics-api/sales) — для построения понедельных графиков «выкупы vs отзывы»;
• публичные рейтинги склеек (через открытые endpoints feedbacks{N}.wb.ru, без авторизации).

Эти данные сохраняются исключительно на устройстве пользователя:

• JWT-токен — chrome.storage.local, зашифрован AES-GCM (Web Crypto API), ключ шифрования также в chrome.storage.local;
• Кэш карточек и рейтингов — chrome.storage.local;
• История изменений рейтинга (snapshots, diffs) — IndexedDB браузера.

Данные WB-кабинета (карточки, отзывы, выкупы, JWT-токен) никогда не передаются на сервера разработчика и третьим лицам. Все запросы к WB API идут напрямую от браузера пользователя к серверам Wildberries по HTTPS.

2.2 Данные, передаваемые на сервер лицензии

Для проверки лицензии (подписки на Telegram-канал) Расширение взаимодействует с сервером разработчика (https://topsklejka.ru). На сервер передаётся минимально необходимое:

• Telegram User ID (числовой публичный идентификатор) — при первой активации, полученный пользователем через бота @topskleika55555_bot;
• Код активации (одноразовый, сгенерированный ботом) — при обмене на session-token;
• Session-token (внутренний идентификатор сессии, не PII) — при каждом heartbeat (раз в 12 часов) для подтверждения, что пользователь по-прежнему подписан на канал.

Сервер хранит: tg_id, tg_username (если установлен публично), время активации, session_token, время последней проверки подписки. Никаких данных WB-кабинета на сервер не уходит.

2.3 Что мы НЕ собираем

• Карточки, артикулы, отзывы и любой контент WB-кабинета — никогда не покидают браузер пользователя.
• WB JWT-токен — никогда не покидает chrome.storage.local пользователя.
• Расширение не использует Google Analytics, Sentry или сторонние трекеры.
• Расширение не читает cookies сторонних сайтов.
• Расширение не модифицирует страницы Wildberries и других сайтов.

3. Telegram-интеграция

Для активации Расширение требует:

1. принятия пользовательского соглашения через Telegram-бота @topskleika55555_bot;
2. подписки на Telegram-канал @just_esta;
3. команды /verify в боте — бот через стандартный Telegram API (getChatMember) подтверждает подписку и выдаёт код активации.

Бот сохраняет: ваш tg_id и публичный tg_username для связи активации с конкретным аккаунтом. Никаких сообщений из Telegram, кроме команд /start, /verify, /help, бот не читает и не сохраняет.

4. Использование WB API

Расширение использует официальный API Wildberries для продавцов (content-api.wildberries.ru, feedbacks-api.wildberries.ru, statistics-api.wildberries.ru, common-api.wildberries.ru). Все запросы идут с устройства пользователя напрямую к WB, под токеном пользователя, по HTTPS.

Рекомендуется создавать токен с правами только на чтение: «Контент», «Статистика», «Отзывы и вопросы», «Аналитика».

5. Безопасность

• WB JWT-токен зашифрован AES-GCM (256 бит) перед записью в chrome.storage.local.
• Сессионный session_token на сервере — secrets.token_urlsafe(32) = 256 бит энтропии.
• Все запросы (к WB и к серверу лицензии) идут только по HTTPS с валидными TLS-сертификатами Let's Encrypt.
• Сервер лицензии защищён rate-limit'ом (slowapi) и не хранит ничего, кроме записей лицензии.
• При удалении Расширения все локальные данные автоматически удаляются Chrome. Чтобы также аннулировать лицензию на сервере — деактивируйте её в Settings или просто отпишитесь от Telegram-канала (через 24 часа сервер автоматически признает сессию недействительной).

6. Права пользователя

Пользователь вправе:

• удалить WB JWT-токен из Расширения (Settings → удалить кабинет);
• деактивировать лицензию (Settings → Деактивировать лицензию) — стирает session_token с устройства, на сервере он становится бесполезен;
• удалить Расширение целиком — это удаляет все локальные данные;
• отозвать WB-токен в WB-кабинете — доступ Расширения к WB API прекратится автоматически;
• отписаться от Telegram-канала — лицензия будет отозвана автоматически в течение 24 часов;
• запросить удаление данных с сервера лицензии — отправить email на hookfr0mleft889@gmail.com с темой «Delete my license data» и указанием Telegram User ID.

7. Хранение и удаление данных на сервере

Сервер лицензии хранит запись о пользователе (tg_id, session_token, время активации) в течение срока действия лицензии (по умолчанию 365 дней с момента активации). После истечения сессия становится недействительной. По письменному запросу запись удаляется в течение 30 дней.

8. Передача данных третьим лицам

Разработчик не передаёт и не продаёт никаких данных пользователей третьим лицам. Единственные внешние взаимодействия Расширения:

• Wildberries (под токеном пользователя — данные не покидают связку «пользователь — WB»);
• Telegram (для проверки подписки на канал через стандартный Bot API).

9. Изменения политики

Разработчик может обновлять политику. Актуальная версия всегда доступна на этой странице. Существенные изменения будут анонсированы в Telegram-канале.

10. Контакт

Вопросы — на hookfr0mleft889@gmail.com или в Telegram-бота @topskleika55555_bot.

Расширение не аффилировано с Wildberries и Telegram.