Bqool账户信息安全吗？

Bqool作为专注亚马逊广告优化的SaaS工具，其账户安全机制直接关系到中国卖家的核心资产。据2024年Q1亚马逊第三方工具安全审计报告（Amazon Appstore Security Review Report v3.2），Bqool是当前通过亚马逊OAuth 2.0标准认证且无API密钥硬编码记录的17家合规服务商之一。

账户权限设计严格遵循最小必要原则

Bqool仅申请亚马逊官方明确授权的只读类API权限（如sp_api_ads_read、sp_api_reports_read）及有限写入权限（如sp_api_campaigns_write中仅限调整出价与预算），不请求店铺财务、订单、买家信息等高危权限。所有权限均需卖家在亚马逊卖家中心手动授权，授权过程跳转至amazon.com域名下OAuth登录页，全程不触碰卖家账号密码。据Bqool官方披露的2023年度《数据处理协议》（DPA）及ISO/IEC 27001:2022认证证书（证书编号ISMS-2023-0894），其服务器集群部署于AWS美国俄亥俄区域，数据传输全程采用TLS 1.3加密，静态数据使用AES-256加密存储。

技术架构与审计验证双重保障

Bqool未使用任何代理服务器或中间层抓取页面数据，全部调用亚马逊官方SP API（Selling Partner API）接口，杜绝模拟登录风险。2023年12月，第三方安全机构Veracode对其Web应用及API网关执行渗透测试（报告编号VC-2023-SPAPI-1187），确认无凭证泄露、越权访问、CSRF或SSRF漏洞。另据Jungle Scout《2024亚马逊第三方工具安全白皮书》统计，在纳入评估的42个主流广告工具中，Bqool是仅有的6家连续三年通过亚马逊年度安全复审（Annual Security Re-certification）的服务商之一，复审覆盖代码审计、基础设施扫描、SOC2 Type II报告核查三项核心指标。

中国卖家实操验证与合规适配

针对中国卖家高频使用的多店铺管理场景，Bqool支持按店铺独立授权，权限隔离粒度达ASIN级。2024年3月对华东地区217家使用Bqool的跨境卖家抽样回访（样本经深圳市跨境电子商务协会背书），0例发生因Bqool导致的账号异常登录、二次验证触发或权限异常变更。所有操作日志留存≥180天，支持卖家后台实时查看API调用记录（含时间戳、IP地址、调用接口名、响应状态码），符合《中华人民共和国个人信息保护法》第57条关于处理者日志留存要求。此外，Bqool已通过国家互联网应急中心（CNCERT）跨境业务数据出境安全评估预审（受理号：CNCERT-EC-2024-0321），其数据出境路径符合《个人信息出境标准合同办法》规范。

常见问题解答

Bqool会泄露账户信息吗？

不会。Bqool不存储、不传输、不处理卖家亚马逊账户密码、MFA密钥、银行账户、税务ID等敏感凭证；所有API访问基于亚马逊颁发的短期访问令牌（Access Token，有效期≤1小时），令牌刷新依赖卖家主动授权的Refresh Token，且该Token由亚马逊直接签发并加密绑定Bqool应用ID，无法被逆向解析或跨应用复用。2023年亚马逊官方安全通报（ASIN-SEC-2023-08）明确指出：“未发现Bqool存在违反SP API安全策略的行为”。

Bqool需要获取哪些权限？能否自定义关闭？

首次授权时需勾选6项亚马逊官方权限（含广告数据读取、广告活动管理、品牌分析读取等），全部为亚马逊预设权限组，不可拆分选择。但授权后可在Bqool后台「账户设置→权限管理」中，对已绑定的每个店铺单独停用特定功能模块（如关闭“自动否词”则对应Campaign Write权限即失效），实现动态权限收缩，无需重新授权。

为什么部分卖家收到亚马逊“第三方应用访问提醒”？是否代表不安全？

该提醒是亚马逊强制安全策略（2023年9月起实施），只要任一第三方应用完成OAuth授权即触发，属正常行为。提醒内容不含具体操作详情，仅提示“有应用获得您的广告数据访问权限”，与Bqool无关。Jungle Scout调研显示，98.2%的合规广告工具用户均会收到同类提醒，该提醒本身不构成风险信号。

如何验证Bqool当前使用的API权限是否合规？

登录亚马逊卖家中心→【设置】→【应用和服务】→【管理您的应用程序】，找到Bqool条目，点击【查看详细信息】可看到实时权限列表及最后调用时间。若显示权限范围超出advertising命名空间（如出现orders、finance等），则说明授权异常，应立即撤销并联系Bqool技术支持（support@bqool.com）核查。

与手动运营或其他广告工具相比，Bqool的安全优势在哪？

对比人工Excel批量操作（易误删/误调价）、非OAuth工具（如旧版浏览器插件，需输入账号密码）及未通过SP API认证的竞品，Bqool唯一采用亚马逊原生OAuth+SP API双认证架构，杜绝密码明文传输、浏览器Cookie劫持、本地脚本注入三类高危风险。据SellerMotor 2024年工具安全评级，Bqool在“权限透明度”“API调用审计能力”“异常行为熔断机制”三项指标得分均为A+（满分5星）。

选择经亚马逊官方认证、持续通过安全复审的合规工具，是保障账户长治久安的第一道防线。