Партнер - человек, который имеет СВОЙ магазин в нашей системе.

Каждый партнер может делать со своим магазином что угодно, в том числе интегрироваться в роситат. Мы сделаем возможность интеграции магазинов партнеров с системой роистат.

Получается, что партнер будет флудить свой магазин, но так как он в общей системе(на наших серверах), то ущерб понесет система в целом, а не партнер.

У нас достаточно большая партнерская программа, в которой может зарегистрироваться практически каждый. Любой партнер может получить токен, и интегрироваться в систему роистат под своим аккаунтом. Дальше можно сделать то, что я написал ранее.
Ну и вообще это немного не по стандарту.

"Обычно" не внушает уверености. При желании(если цель не получать данные, а принести вред сайту), можно передать любую дату. Даже если ограничить возможность выгрузки до 2-х месяцев(Максимальный период, как говорил Ваш менеджер), то объем данных достаточно большой.

При всем этом, щлоумышленик может сам наделать кучу заказов с помощью самого простого скрипта, или тулы, за один день, за тем отправить запросы на выгрузку всех заказов за сегодня/вчера.

Достаточно простой сценарий вывода из работы сервера, поэтому лучше такую возможность учитывать