משתמשים ב-Shopify#

Users (משתמשים) ב-Shopify הם האנשים שיש להם גישה לחנות או לארגון. ניהול משתמשים נכון הוא חלק מרכזי באבטחת החנות.

כל משתמש צריך גישה אישית, תפקיד ברור והרשאות שמתאימות למה שהוא באמת עושה. חשבונות משותפים פוגעים בבקרה.

במדריך הזה#

• מה Shopify מתארת במקור
• מונחים ונתונים שצריך לזהות
• לפני שמבצעים שינוי
• שלבי עבודה בסגנון Shopify
• בדיקות אחרי השינוי

מה Shopify מתארת במקור#

במקור של Shopify עבור Managing users, הדגש הוא על פעולה מתוך Shopify admin (אדמין Shopify) ולא על שינוי חיצוני או קיצור דרך. הכתובת הרשמית היא Settings > Users, ולכן כל החלטה תפעולית צריכה להתחיל מהמסך ש-Shopify מציינת, מהתפקיד שמורשה לבצע את הפעולה, ומההשלכות שהמקור מתאר על משתמשים, חנויות, חיוב או גישה.

המשמעות המעשית בעברית היא שלא מתייחסים אל יצירת users (משתמשים), שיוך roles (תפקידים), הרשאות, groups (קבוצות), Collaborators (משתפי פעולה) ובדיקות אבטחה כאל פעולה טכנית קצרה. לפני שלוחצים Save (שמירה), Continue (המשך), Assign (שיוך), Remove (הסרה) או Confirm (אישור), צריך להבין מי הבעלים של הפעולה, איזה חשבון מחובר, באיזו חנות נמצאים, ואילו הרשאות או נתונים יושפעו לאחר השינוי.

מונחים ונתונים שצריך לזהות#

כאשר המסך מציג שמות דומים, חנויות דומות או roles (תפקידים) דומים, אל תסמכו על זיכרון. השתמשו בשם החנות, בכתובת myshopify.com, באימייל המשתמש, בסטטוס, ובאזור Settings (הגדרות) שבו אתם נמצאים. תיעוד קצר של הערכים האלה מונע מצב שבו שינוי נכון נעשה במקום הלא נכון.

לפני שמבצעים שינוי#

לפני יצירת users (משתמשים), שיוך roles (תפקידים), הרשאות, groups (קבוצות), Collaborators (משתפי פעולה) ובדיקות אבטחה, בדקו את מי צריך גישה לאדמין, מי צריך Collaborator account, איזה role מתאים, ואילו permissions?Permissions / הרשאותהרשאות שקובעות אילו משתמשים או אפליקציות יכולים לצפות, לערוך או לבצע פעולות בחנות.פתיחה במילון באמת נדרשות למשימה. ההחלטה צריכה להיות קשורה לצורך עסקי ברור: מי צריך גישה, מי משלם, מי מקבל אחריות, איזה תהליך ייפגע אם הפעולה תיכשל, ומה הדרך לחזור אחורה אם Shopify מאפשרת זאת.

הכלל המרכזי הוא כל משתמש מקבל חשבון אישי ותפקיד לפי עבודה בפועל; אין משתמשים משותפים ואין הרשאות מנהל כברירת מחדל. אם אין אדם כזה, עצרו את הפעולה וקבעו בעלים פנימי לפני שממשיכים. פעולות בחשבון Shopify נראות לפעמים קטנות, אבל הן יכולות להשפיע על checkout?Checkout / תהליך תשלוםשלב התשלום שבו לקוח מזין פרטים, בוחר משלוח ומשלים רכישה.פתיחה במילון (קופה), billing (חיוב), domains (דומיינים), notifications (התראות), users (משתמשים), apps (אפליקציות) ונתוני לקוחות.

שלבי עבודה בסגנון Shopify#

1. עברו ל-Settings > Users ובדקו את רשימת המשתמשים והסטטוסים.
2. צרו או בחרו role (תפקיד) לפי משימות העבודה ולא לפי שם האדם.
3. שייכו permissions?Permissions / הרשאותהרשאות שקובעות אילו משתמשים או אפליקציות יכולים לצפות, לערוך או לבצע פעולות בחנות.פתיחה במילון (הרשאות) רק לאזורים שנדרשים לביצוע העבודה.
4. אם מדובר בספק חיצוני, בדקו האם Collaborator account מתאים יותר ממשתמש צוות רגיל.
5. קבעו תאריך ביקורת, במיוחד למשתמש זמני, ספק, מנהל חדש או משתמש עם הרשאות רחבות.

אחרי השלבים, בצעו בדיקת תוצאה ולא רק בדיקת "הכפתור נלחץ". פתחו מחדש את המסך הרלוונטי, ודאו שהשם, התפקיד, הסטטוס, התוכנית, הכתובת או ההרשאה השתנו כפי שתוכנן, ובדקו משתמש או חנות לדוגמה אם מדובר בשינוי שמשפיע על כמה חנויות או כמה אנשים.

סיכונים נפוצים#

הסיכון המרכזי כאן הוא הרשאות רחבות מדי, משתמשים שנשארו אחרי עזיבה, Collaborators לא מתועדים ותפקידים שלא משקפים עבודה אמיתית. מקור Shopify בדרך כלל מציין מי רשאי לבצע פעולה ומה קורה לאחריה, אבל בתוך צוות ישראלי צריך גם לתרגם את זה לנוהל: מי מאשר, מי מבצע, מי בודק, ומי מקבל הודעה אם יש שינוי בגישה, בחיוב או בבעלות.

אל תבצעו שינוי מתוך חשבון משותף. אם כמה אנשים משתמשים באותו login (כניסה), אי אפשר לדעת מי ביצע שינוי, אי אפשר לנתק אדם אחד בלבד, וקשה להוכיח מה קרה בביקורת. לכל עובד, ספק או מנהל צריך להיות user (משתמש) אישי עם role (תפקיד) שמתאים למשימות שלו.

בדיקות אחרי השינוי#

בדקו את רשימת משתמשים, roles, permissions?Permissions / הרשאותהרשאות שקובעות אילו משתמשים או אפליקציות יכולים לצפות, לערוך או לבצע פעולות בחנות.פתיחה במילון, groups, security settings, CSV?CSV / קובץ ערכים מופרדים בפסיקיםמונח Shopify שמשמעותו בעברית: קובץ ערכים מופרדים בפסיקים. ההקשר המדויק תלוי בעמוד או בתהליך שבו המונח מופיע.פתיחה במילון exports, סטטוסי Pending ו-Active, ומשתפי פעולה. אם הפעולה קשורה למשתמשים, ודאו שאין Pending (בהמתנה) ישנים, שאין משתמשים עם גישה רחבה מדי, ושמי שסיים עבודה הוסר או הושעה. אם הפעולה קשורה לחנות או ארגון, ודאו שהשם, הסימון הפנימי, הבעלות, החיוב והגישה לחנויות ברורים לכל מי שמנהל אותן.

תעדו תאריך, מבצע, מאשר, צילום מסך או מזהה רלוונטי, ותוצאת בדיקה. במסמך פנימי אפשר לציין גם למה הפעולה נעשתה, מה צפוי להיבדק שוב, ואילו צוותים צריכים לדעת. התיעוד הזה חשוב במיוחד כאשר מתחלפים בעלי תפקידים, סוכנות, מנהל כספים או מנהל תפעול.

צ׳קליסט קצר#

• זיהיתי את המסך הרשמי ב-Shopify admin: Settings > Users.
• וידאתי שאני בחנות או בארגון הנכון לפי שם, דומיין וסימונים פנימיים.
• בדקתי שהמשתמש שמבצע את הפעולה מורשה לכך לפי owner, administrator או role מתאים.
• בדקתי את מי צריך גישה לאדמין, מי צריך Collaborator account, איזה role מתאים, ואילו permissions?Permissions / הרשאותהרשאות שקובעות אילו משתמשים או אפליקציות יכולים לצפות, לערוך או לבצע פעולות בחנות.פתיחה במילון באמת נדרשות למשימה לפני שינוי ולא רק אחרי תקלה.
• תיעדתי את רשימת משתמשים, roles, permissions?Permissions / הרשאותהרשאות שקובעות אילו משתמשים או אפליקציות יכולים לצפות, לערוך או לבצע פעולות בחנות.פתיחה במילון, groups, security settings, CSV?CSV / קובץ ערכים מופרדים בפסיקיםמונח Shopify שמשמעותו בעברית: קובץ ערכים מופרדים בפסיקים. ההקשר המדויק תלוי בעמוד או בתהליך שבו המונח מופיע.פתיחה במילון exports, סטטוסי Pending ו-Active, ומשתפי פעולה ואת תוצאת הבדיקה לאחר השינוי.
• קבעתי מועד לביקורת חוזרת אם מדובר בגישה זמנית, ספק חיצוני, שינוי תוכנית או שינוי בעלות.

מה מנהלים#

מנהלים הזמנות משתמשים, תפקידים, קבוצות, הרשאות, אבטחה, חיפוש וסינון משתמשים, וייצוא מידע כשצריך.

שגרת תחזוקה#

עברו על משתמשים אחת לתקופה, במיוחד אחרי עזיבת עובד, שינוי תפקיד, החלפת ספק או אירוע אבטחה.