Как проверить безопасность и условия оплаты мобильного приложения для бизнеса перед покупкой лицензии
Перед покупкой лицензии на B2B-приложение проверьте три ключевых блока: документацию по безопасности (сертификаты, шифрование, политика обработки данных), юридические аспекты (владелец прав, соглашение об обработке
Почему стандартного демо недостаточно: риски покупки непроверенного софта
Демо-версия демонстрирует интерфейс и базовые функции, но не раскрывает реальных рисков. Клиент видит красивый продукт, но не понимает, что происходит с его данными, как организована поддержка при сбоях и какие затраты возникнут через полгода эксплуатации.
Что скрывается за красивым демо:
Рекламная версия может работать на тестовых серверах с минимальной нагрузкой. При пиковом количестве пользователей в рабочей среде продукт покажет другие характеристики: скорость отклика упадёт, интеграции с 1С или ERP дадут сбои, а база данных не выдержит заявленного объёма транзакций. Компания Discover Financial Services в 2019 году потеряла 140 миллионов долларов из-за уязвимости в ПО, которую не выявили на этапе пилотного запуска.
Больше материалов по смежной теме — разборы: цифровые сервисы.
Финансовая модель в демо часто занижает реальную стоимость владения. Базовый тариф обещает 50 000 рублей в месяц, но при масштабировании на 200 пользователей включаются дополнительные модули: аналитика, CRM-интеграция, усиленная защита. Итоговая сумма может превысить первоначальный расчёт в 2,5–3 раза. К моменту обнаружения компания уже инвестировала время в интеграцию и обучение персонала.
Безопасность не видна в интерфейсе. Серверное ПО может содержать уязвимости, о которых не пишут в маркетинговых материалах. Отсутствие сертификации по ISO 27001, нешифрованная передача данных, хранилище паролей в открытом виде — всё это невозможно оценить по скриншотам демо.
Договор в демо-режиме подписать нельзя, поэтому юридические риски остаются за кадром. Владелец прав на продукт, юрисдикция споров, процедура обработки персональных данных — эти вопросы требуют отдельной проверки до подписания контракта.
Для похожих разборов смотрите — инструкции: цифровые сервисы.
---
Технический аудит безопасности: на что смотреть в документации и архитектуре
Техническая проверка — это изучение документации и архитектурных решений до подписания договора. Запросите у вендора Security White Paper, документацию по архитектуре и описание инфраструктуры. Если продавец не предоставляет эти материалы до сделки — это причина насторожиться.
Сертификации и стандарты безопасности
Запросите подтверждение следующих сертификаций:
ISO 27001 — международный стандарт управления информационной безопасностью. Сертификат подтверждает, что компания-разработчик выстроила процессы защиты данных, регулярно проводит аудит и управляет рисками. Срок действия сертификата — три года с ежегодным подтверждением. Проверить подлинность можно на сайте аккредитованного органа по сертификации.
SOC 2 Type II — отчёт о соответствии системы контролям безопасности, доступности, целостности обработки, конфиденциальности и приватности. Type II означает, что аудитор проверил работу системы за период от шести месяцев. Для стартапов без SOC 2 запросите результаты пентеста (теста на проникновение), выполненного в последние 12 месяцев.
PCI DSS — требуется, если приложение обрабатывает данные банковских карт.level 1 — самый строгий, требует ежегодного аудита внешним QSA-аудитором.level 4 подходит для небольших объёмов транзакций и допускает самопроверку.
Шифрование данных
Проверьте следующие параметры:
Транспортное шифрование: TLS 1.2 или выше обязательно. Запросите результаты теста на SSL Labs (https://www.ssllabs.com/ssltest/), чтобы убедиться в правильной конфигурации. Сертификат с оценкой ниже B — красный флаг.
Шифрование на стороне сервера: данные клиента должны шифроваться алгоритмами AES-256 или RSA-4096. Уточните, используется ли шифрование данных в резервных копиях и на резервных носителях.
Управление ключами: узнайте, где хранятся ключи шифрования, кто имеет к ним доступ, как организована ротация. Использование облачных сервисов (AWS KMS, Azure Key Vault) — стандарт отрасли.
Архитектура и сетевая безопасность
Запросите схему архитектуры приложения. Обратите внимание на следующие элементы:
Сегментация сети: разделение на публичную и внутреннюю зоны, использование DMZ для веб-серверов, изоляция баз данных от периметра.
Защита от DDoS: большинство облачных провайдеров (AWS Shield, Azure DDoS Protection) предоставляют базовую защиту. Уточните, включена ли она и какие пороговые значения установлены.
Мониторинг и логирование: система должна вести логи доступа, ошибок и изменений конфигурации. Срок хранения логов — минимум 90 дней для событий безопасности.
Политика обработки данных
Убедитесь, что вендор предоставляет:
Политику конфиденциальности с указанием категорий собираемых данных, целей обработки, сроков хранения и процедуры удаления.
Соглашение об обработке данных (DPA — Data Processing Agreement), если компания обрабатывает персональные данные клиентов или их сотрудников. GDPR (Европа) и ФЗ-152 (Россия) требуют заключения DPA с любым обработчиком данных.
Отчёт о результатах последнего пентеста: действителен в течение 12 месяцев, должен содержать устранённые уязвимости и остаточные риски.
---
Юридическая чистота и прозрачность финансовых условий
Юридическая проверка охватывает договорную документацию, финансовые условия и репутацию вендора. Этот этап нельзя пропускать, даже если техническая часть выглядит безупречно.
Проверка правового статуса
Убедитесь, что компания-разработчик является правообладателем или имеет лицензию на программный продукт. Запросите:
Свидетельство о регистрации программы для ЭВМ в Роспатенте. Это подтверждает, что компания может продавать лицензии на данный продукт. Без этого документа сделка может быть оспорена третьей стороной.
Выписку из ЕГРЮЛ с указанием юридического адреса и данных о руководителях. Проверьте компанию через сервис ФНС (egrul.nalog.ru), чтобы убедиться в отсутствии ликвидации, банкротства или судебных процессов.
Доверенность на подписание договора, если договор подписывает представитель, а не генеральный директор.
Анализ договора
Перед подписанием запросите проект договора и изучите:
Условия расторжения. Минимальный срок уведомления о расторжении — 30 дней. Штрафы за досрочное расторжение не должны превышать стоимость непогашенных обязательств. Условие автоматического продления с невозможностью отказаться — красный флаг.
Ответственность вендора. Проверьте, прописана ли ответственность за утечку данных, время простоя и упущенную выгоду. Ответственность должна быть соразмерна стоимости контракта, но не символической. Сный подход — ограничение ответственности на уровне годовой стоимости лицензии.
Условия обслуживания (SLA). Внимательно изучите:
- Время реакции на инциденты: критические — 1 час, высокие — 4 часа, средние — 8 часов, низкие — 24 часа.
- Время восстановления сервиса: для критических сбоев — не более 4 часов.
- Компенсация за нарушение SLA: обычно в виде скидки на следующий период или кредита.
- Исключения: плановые работы, форс-мажор, действия третьих лиц.
Право собственности на данные. Убедитесь, что после расторжения договора компания получает полный экспорт своих данных в стандартном формате (CSV, JSON, XML) в течение 30 дней. Удаление данных вендором — не позднее 90 дней после расторжения.
Финансовая прозрачность
Проанализируйте тарифную сетку и дополнительные платежи:
Базовый тариф может составлять от 50 000 до 300 000 рублей в год в зависимости от функциональности и количества пользователей. Сравните предложения минимум трёх вендоров на сопоставимый функционал.
Автопродление — проверьте, за сколько дней до окончания срока приходит уведомление. Минимально приемлемый срок — 14 рабочих дней. Автопродление без уведомления — нарушение прав потребителя.
Скрытые платежи:
- Стоимость API-вызовов сверх лимита: от 0,001 до 0,05 рубля за запрос в зависимости от сервиса
- Оплата хранилища данных: от 0,05 до 0,3 рубля за ГБ в месяц
- Передача данных между серверами (egress): от 0,05 до 0,15 рубля за ГБ
- Дополнительные пользователи: разовая оплата или ежемесячная надбавка
- Обучение и внедрение: от 100 000 до 500 000 рублей, если не включено в тариф
Индексация цен. Проверьте, привязана ли стоимость к индексу инфляции или валюте. Российские вендоры обычно фиксируют цены в рублях, международные — привязывают к доллару США с пересчётом по курсу на дату выставления счёта.
---
Таблица проверки: критические параметры перед подписанием договора
| Параметр | Что проверять | Документ или источник | Приемлемый результат |
|---|---|---|---|
| Сертификация безопасности | Наличие ISO 27001 или SOC 2 | Сертификат или отчёт аудитора | Действительный, не старше 12 месяцев |
| Шифрование данных | TLS-версия, алгоритмы | SSL Labs тест, документация | TLS 1.2+, AES-256 |
| Правообладание | Регистрация в Роспатенте | Свидетельство о регистрации ПО | Компания-разработчик указана как правообладатель |
| Обработка персональных данных | DPA, соответствие ФЗ-152 | Договор с разделом об обработке данных | DPA подписан до начала обработки |
| SLA | Время реакции и восстановления | Приложение к договору | Реакция на критические — не более 1 часа |
| Ответственность | Лимиты и компенсации | Договор | Ответственность не менее стоимости годового контракта |
| Экспорт данных | Формат, сроки | Договор | Стандартный формат, до 30 дней |
| Автопродление | Срок уведомления | Договор | Не менее 14 рабочих дней |
| Индексация цен | Привязка к валюте или инфляции | Тарифная сетка | Фиксированные цены или ограниченный процент роста |
| Судебная история | Арбитражные дела, банкротство | Картотека арбитражных дел (kad.arbitr.ru) | Отсутствие активных споров по аналогичным договорам |
---
Когда стоит отказаться от сделки: красные флаги в предложении разработчика
Не все риски можно устранить на этапе переговоров. Существуют ситуации, когда от покупки стоит отказаться вовсе.
Абсолютные красные флаги
Отказ предоставить документацию. Если вендор не показывает проект договора, политику конфиденциальности или сертификаты безопасности до подписания — это признак того, что документы содержат невыгодные условия. Компания с прозрачной репутацией всегда готова показать шаблон договора на этапе предпродажной проверки.
Юридическое лицо в процессе ликвидации или банкротства. Проверьте компанию через ЕГРЮЛ и картотеку арбитражных дел. Сделка с компанией в стадии ликвидации несёт риск потери поддержки и обновлений в ближайшие месяцы.
Стоимость значительно ниже рынка. Если тариф на 40–50% ниже, чем у конкурентов с сопоставимым функционалом, это может указывать на незрелый продукт, отсутствие поддержки или намерение привлечь клиентов с последующим повышением цен.
Условия, исключающие возврат данных. Если в договоре указано, что данные клиента не подлежат экспорту или удаляются немедленно при расторжении — это нарушение прав потребителя и риск потери бизнес-критичной информации.
Автопродление с невозможностью отказа. Скрытое продление без уведомления или автоматическое продление с привязкой к банковской карте без возможности отказаться — нарушение ФЗ-152 о защите прав потребителей.
Условные риски, требующие дополнительных гарантий
Молодой продукт (менее 2 лет на рынке). Запросите список из пяти клиентов сопоставимого масштаба, свяжитесь с ними напрямую и узнайте реальный опыт использования. Потребуйте расширенные гарантии в договоре: возможность расторжения без штрафа в первые 6 месяцев.
Недостаточное покрытие SLA. Если вендор предлагает реакцию на критические инциденты в течение 24 часов, а бизнес-процессы компании не могут терпеть простой более 4 часов — это неприемлемый уровень сервиса. Требуйте выделенного менеджера и гарантированного времени восстановления.
Отсутствие сертификаций. Продукт без ISO 27001 и SOC 2 можно использовать для внутренних процессов с низким уровнем риска. Для обработки персональных данных клиентов или финансовых операций требуйте сертификацию или результаты независимого аудита безопасности.
---