多店一多,最危险的事不是上错价,而是你不知道谁、在什么时间、用哪把钥匙动了账户。投流、改价、绑卡、下活动、下 API、拉海外仓面单,任何一环共享「万能密码」式的登录,出事故时全组集体失忆。这篇按「人—机—法」把账号隔离、权限与审计说透:给人最小够用权限,给机器单独密钥,给法务与财务一条可导出的时间线。平台与支付机构的具体规则以官方为准;涉及劳动合同与资损定责的,以贵司制度与律师意见为准。
一、人:一岗一主号,兼职与外包要「借」不要「送」
为每个常登后台的同事建独立子账号,与姓名、工号、邮箱在 HR 与 IT 三处可对应。代运营/外包在合同里写清:使用哪个主体开出的 limited 子账号、能改哪些页、月结时如何交还。忌用个人微信扫码绑定的主号交给「全团队公用」——人走了号还在、广告在烧却找不到授权链,是纠纷高发点。离职工单里把关店/解绑/回收 API列成必勾项,和归还电脑同一优先级。
二、机:把「人」和「系统」的钥匙分开
自研或对接 OMS/ERP 时,为 Open API 与 Webhook 使用独立 app id / client id、环境隔离(预发/生产),并为每个对接系统一张密钥表:谁申请、谁保管、谁轮换。禁止把生产密钥写进群文件或共享网盘。轮密钥当天同步仓配与投流,避免半夜一边断单一边在群里猜是不是「昨天谁改了回调 URL」。
三、权:用「动作」定权限,不用职位头衔糊弄
在权限表上,把动作拆到能改价、能下广告、能改收款、能导用户数据、能批量发券等原子级。主管岗不等于自动拥有金库钥匙;可设双人复核或金额阈值(例如改价 > X% 需第二人点确认)。大促前冻结权限变更大窗口,和冻结主数据同步写进日历。审计上最怕「口头授权」,一律落在工单或邮件。
四、证:出事了要能导出时间线,而不是群聊长截图
至少每月抽查一次:关键动作在后台是否都有日志(操作者 id、时间、IP、对象 id、改前值/改后值)。和仓、承运对赌 SLA 时,用同一套时区。若多店矩阵跨新加坡与其他国家,注意数据出境与留痕在制度上的要求,别把「方便」建立在灰色地带。发现异常登录(异地、高频失败)有自动提醒与强改密流程。
五、和体积重、对账的衔接
下一篇 008 会细讲海外仓的体积重与实重。权限角度只需补一句:能改SKU 主数据尺寸的人,和能点对账通过的人,不要是同一人,避免「既造数又认数」。
收束:多店矩阵的护城河,是可追责,不是屏幕上的店多。下篇我们抓海外仓计费的肉搏战——体积重与实重谁说了算。
