- **DO-5 → SSO через Yandex 360** для админов SaaS.
- **Ю-7 → Sentry self-hosted в Yandex Cloud** + **Unisender Go** для email.
- **Биз-5 → JivoSite** для helpdesk-чата на сайте.
Текст ниже остаётся как **обоснование** принятого решения и **референс** для будущих обсуждений (например, если когда-нибудь возникнет вопрос «а может, Selectel?»). Раздел 6 «Рекомендация» теперь — постфактум обоснование, раздел 7 «Влияние на другие документы» — фактический список патчей, которые нужно сделать в v8.4.
---
> **Дисклеймер по ценам.** Цены на облачные сервисы в РФ на момент написания подвижны: Yandex Cloud только что (1 мая 2026) провёл индексацию +5–8% (по некоторым позициям до 10%); MWS Cloud Platform Managed PostgreSQL до 31 марта 2026 был со скидкой 100%; Selectel и VK Cloud дают стартовые бонусы 3000–30000 ₽ новым клиентам. Поэтому ниже даны **порядки величин**, а не точные тарифы — для конечной сметы нужно использовать калькулятор выбранного провайдера в момент закупки.
| Хранение ПДн на серверах в РФ | 152-ФЗ ч.5 ст.18 |
| Уровень защищённости — **УЗ-4** (ожидаемый) | Постановление №1119, ФСТЭК пр. 21 |
| Аттестация платформы провайдера по 152-ФЗ | Облегчает аудит, снимает часть нагрузки с заказчика |
| Tier III ЦОД (минимум) | SLA, отказоустойчивость, репутация перед РКН |
| Сертификация ISO 27001 + ГОСТ Р 57580.1 | Бонус для аудитов клиентов B2B |
> **Ключевой вывод по compliance.** УЗ-4 — низший уровень защищённости по постановлению №1119. Для УЗ-4 **не требуется** размещение в специальном «аттестованном сегменте» провайдера (это премиум-услуга от 30 000 ₽/мес и выше у Selectel; нужна для УЗ-1/2/3 и ГИС). Для УЗ-4 достаточно публичной зоны провайдера, имеющего общий аттестат соответствия 152-ФЗ. **Это экономит ~360 000+ ₽/год** против выбора аттестованного сегмента «по умолчанию».
### 1.3. Что НЕ является критерием
- **Реестр Минцифры на отечественное ПО** — относится к закупкам в госсекторе/ГИС. Для коммерческой SaaS-платформы — не блокер.
- **Реестр аккредитованных IT-компаний Минцифры** — это про **самого заказчика-разработчика** (для льготы по страховым взносам и отсрочки от армии у разработчиков), не про провайдера.
- **Бренд/имя провайдера** — для тенантов важна **итоговая цена тарифа** и **uptime платформы**, конкретный облачный провайдер ниже видимости.
---
## 2. Шорт-лист
Из README архива (§22.9.4) предложены три кандидата: Yandex Cloud, VK Cloud, Selectel. Дополнительно рассматриваю Cloud.ru (бывший SberCloud) как четвёртого крупного игрока с УЗ-1.
| **Yandex Cloud** | ООО «ЯНДЕКС.ОБЛАКО» | Москва, Владимир, Рязань, Калуга | до **УЗ-1** | ✅ + версия для 1С | ✅ | ✅ Object Storage |
| **VK Cloud** | ООО «Цифровое Облако» | Москва, СПб | до **УЗ-1** | ✅ MySQL/PG/ClickHouse | ✅ | ✅ |
| **Selectel** | АО «Селектел» | 6 ЦОД: Москва, СПб, Лен.обл. (+ партнёр Новосибирск) | до **УЗ-1** | ✅ + версия для 1С | ✅ | ✅ |
| **Cloud.ru** | ООО «Облачные технологии» | Москва, СПб | до **УЗ-1** | ✅ Evolution Managed PostgreSQL | ✅ | ✅ |
> **Вывод по compliance.** Все четверо имеют общий аттестат соответствия до **УЗ-1** ФСТЭК — то есть с запасом покрывают наш ожидаемый УЗ-4. Различие сводится к **набору сервисов, ценам, удобству, tooling**.
- **С 1 мая 2026 цены повышены на 5–10%** по группам Compute, Network, Платформа данных. Это первое повышение с конца 2022.
- Самый дорогой из трёх по compute — компенсируется скидками CVoS (commitment 6/12 мес — до 22%).
- Нет независимости от экосистемы: продукт активно интегрирован с Yandex 360, Yandex Metrika и т.п. — это плюс для интеграций, минус для тех, кто хочет «нейтральное» облако.
**Стартовая стоимость (ориентир, prod-конфигурация на 100–500 тенантов, без CVoS):**
- **Уже́ ассортимент managed-сервисов** vs Yandex: нет Kafka, OpenSearch (по состоянию на сейчас Kafka и OpenSearch появились — но позже Yandex'a), нет нативного аналога Lockbox (используют HashiCorp Vault).
- **Нет нативного CDN** в виде managed-сервиса (есть partner-интеграции). Под Ю-6 потребуется отдельный CDN-провайдер (например, NGENIX, EdgeЦентр, CDNVideo).
- Нет нативной платформы для AI/ML (нам это не нужно на MVP, но в перспективе — минус).
**Стартовая стоимость (ориентир, аналогичная конфигурация):**
- **«Сберовское наследие»**: платформа Evolution относительно молодая (отделили от прежнего SberCloud в 2022–2023), миграционные истории и инциденты ещё свежи в памяти рынка.
- Документация и community меньше, чем у Yandex.
- Часть сервисов с приставкой «Evolution» — указатель на относительную новизну.
- Сложнее найти разработчиков с опытом эксплуатации именно Cloud.ru, чем Yandex/Selectel.
**Стартовая стоимость:** сопоставимо с Yandex (немного дешевле), но менее предсказуемо.
Подходит, если есть тенант-крупняк, который требует Astra Linux. В нашем продуктовом сегменте (CRM для лидов) — маловероятный сценарий.
---
## 6. Рекомендация
### Основная рекомендация: **Yandex Cloud** (сценарий 5.1)
**Обоснование:**
1.**Минимизация DevOps-нагрузки на старте** (наш ресурс — 0.5 FTE по §27.3). Yandex Cloud даёт самый полный набор готовых сервисов, что критично для команды без выделенного SRE.
2.**Lockbox + Yandex CDN** закрывают сразу два открытых вопроса (`secrets management` из §22.7 и **Ю-6**: «российский CDN взамен Cloudflare»). У Selectel оба требуют отдельной интеграции.
3.**Управление через Terraform** + документация на русском с примерами под Laravel/PHP — снижает риск ошибок при настройке инфраструктуры в спринтах 0–2.
4.**Грант Cloud Boost** (потенциально до 1 млн ₽ для стартапов) при подаче заявки в первые 2–3 спринта может покрыть **первые 12+ месяцев эксплуатации** — нивелирует ценовую разницу с Selectel.
5.**Совместимость с разделом §22.9.4 narrative** — Yandex Cloud упомянут первым в списке РФ-датацентров, что соответствует исходным предположениям при проектировании.
**Конкретный план для DO-1:**
- **DO-1.1** (P0, до спринта 0): Зарегистрировать аккаунт в Yandex Cloud на юр. лицо заказчика (после Б-1).
- **DO-1.2** (P0, до спринта 0): Подать заявку в **Cloud Boost** (программа грантов для стартапов). Срок рассмотрения — 2–4 недели; даже частичный грант снижает TCO на старте.
- **DO-1.3** (P0, до спринта 0): Создать через Terraform базовый prod-окружение: Managed PG (master + replica), Managed Redis (Sentinel), Object Storage, 5 VM. Сохранить tfstate в Object Storage.
- **DO-1.4** (P1, до спринта 2): Настроить Lockbox для секретов; подключить Yandex CDN перед Nginx LB; настроить выгрузку метрик в Prometheus + Grafana.
- **DO-1.5** (P1, до спринта 2): Подписать **DPA (Соглашение об обработке ПДн)**с Yandex Cloud — обязательно для нашей роли как оператора ПДн (152-ФЗ ст.6 ч.3). Шаблон DPA выложен на странице соответствия Yandex Cloud.
| `CRM_bp-gr_Инструкция_v8_2_1.md` §22.9.4 | Зафиксировать конкретного провайдера: «Серверная инфраструктура — в Yandex Cloud (зона ru-central1, Москва)». Удалить альтернативы или оставить как «возможный вариант B — Selectel». |
| `CRM_bp-gr_Инструкция_v8_2_1.md` §23.3.1 | Уточнить продукты: `Yandex Managed Service for PostgreSQL`, `Yandex Managed Service for Redis (Valkey)`, `Yandex Object Storage`, `Yandex CDN`, `Yandex Lockbox`. |
| `Uvedomlenie_RKN_v8_1.md` пункт 9 (адрес ЦОД) | Подставить конкретный адрес ЦОД Yandex Cloud (Москва — ул. Льва Толстого, 16; Владимир — ул. Полины Осипенко, 36; и т.п. — уточнить через DPA / договор). |
| `Uvedomlenie_RKN_v8_1.md` пункт 11 (УЗ-4) | Привести модель угроз с учётом конкретной платформы Yandex Cloud (упрощается за счёт публичной модели угроз провайдера). |
| `Открытые_вопросы_v8_2_1.md` — DO-1 | Перевести в ✅ с записью «Решение DO-1: Yandex Cloud, зона ru-central1». |
| `Открытые_вопросы_v8_2_1.md` — Ю-6 (CDN) | Перевести из P1 в ✅ — Yandex CDN решает требование «российский CDN». |
| `Runbook_ekspluatatsii_v8_1.md` | Уточнить команды диагностики под Yandex Cloud (например, `yc managed-postgresql cluster get` вместо абстрактного `pg_isready`). |
**Декомпозиция бюджета** (для Б-1 и спринта 0):
- Месячная стоимость инфры на старте: **~40–55 тыс ₽/мес** в Yandex Cloud (или **~30–40 тыс ₽/мес** в Selectel + ~5 тыс ₽ CDN).
- Годовой бюджет на инфру: **~500–700 тыс ₽** в первый год (при отсутствии гранта).
- При получении гранта Cloud Boost — **первые 12 месяцев бесплатно** до исчерпания гранта.
---
## 8. Открытые вопросы
| ID | Вопрос | Адресат | Приор. | Примечание |
|----|--------|---------|--------|-----------|
| **OPEN-К-1** | Подавать ли заявку на Cloud Boost (Yandex)? | бизнес | P0 | До 1 млн ₽ грантовых средств для стартапов; срок рассмотрения 2–4 недели |
| **OPEN-К-2** | Принимаем ли план A (Yandex) или план B (Selectel)? | заказчик + CTO | **P0** | До спринта 0 — главный блокер этого приложения |
| **OPEN-К-3** | Многозональное развёртывание сразу или один регион на MVP? | DevOps + CTO | P1 | Yandex: ru-central1-a/b/c; цена x2–3 за multi-AZ. Рекомендуется одна зона на MVP, multi-AZ на этапе ≥1000 тенантов |
| **OPEN-К-4** | Backup-стратегия: внутри провайдера + внешний (cross-cloud) бэкап? | DevOps + CTO | P1 | Защита от единой точки отказа провайдера; 2-й бэкап в S3 другого провайдера = ~1500–3000 ₽/мес |
| **OPEN-К-5** | Какой именно российский CDN для статики (если выберем Selectel)? | DevOps | P1 | NGENIX / EdgeЦентр / CDNVideo / Cloud.ru CDN |
| **OPEN-К-6** | Получение DPA (Data Processing Agreement) с провайдером | юрист + DevOps | P1 | Обязательно для нас как оператора ПДн (152-ФЗ ст.6 ч.3); шаблоны есть у каждого провайдера, юрист проверяет |
| **OPEN-К-7** | Резервирование ресурсов CVoS (commitment) после стабилизации нагрузки | DevOps + бухгалтер | P2 | Скидка до 22% Yandex CVoS, аналог в Selectel — годовая предоплата. Активировать на спринте 12+ |
## 9. Что обновить в смежных документах при принятии решения
После утверждения OPEN-К-2 заказчиком — патч-сессия в одном проходе:
1. Главный narrative `CRM_bp-gr_Инструкция_v8_2_1.md` — §22.9.4, §23.3.1, §22.7 (секреты).
2.`Uvedomlenie_RKN_v8_1.md` — пункты 9 и 11.
3.`Открытые_вопросы_v8_2_1.md` — DO-1 → ✅, Ю-6 → ✅, добавить OPEN-К-1..8 в раздел DevOps.
4.`Runbook_ekspluatatsii_v8_1.md` — диагностические команды под выбранного провайдера.
5.`README_АРХИВ_v8_2.md` — добавить шифр **К**, описать назначение Приложения К.
Размер патч-сессии — оценочно 20–40 минут работы.
---
## 10. Резюме для занятого читателя
- Все 4 рассмотренных провайдера (Yandex Cloud, Selectel, VK Cloud, Cloud.ru) аттестованы ФСТЭК до **УЗ-1**, что **с запасом** покрывает наш ожидаемый **УЗ-4**. Для УЗ-4 не нужен «аттестованный сегмент» — это сэкономит 360+ тыс ₽/год.
- **Рекомендация: Yandex Cloud** — за счёт максимального набора managed-сервисов (Lockbox + CDN + 1С-PG + расширенная PaaS-экосистема), что критично при ограниченном DevOps-ресурсе (0.5 FTE).
- **Альтернатива: Selectel** — если приоритет «не запираться в Яндекс» и есть готовность к +0.3 FTE DevOps + интеграции внешнего CDN.
- **VK Cloud, Cloud.ru** — не оптимальны для нашего профиля задачи на MVP.
- **Стартовый бюджет инфры:** ~40–55 тыс ₽/мес (Yandex) или ~30–40 тыс ₽/мес (Selectel + CDN). Грант Cloud Boost у Yandex может покрыть первый год.
- **DO-1 закрывается** при ответе заказчика на **OPEN-К-2** (выбор плана A или B). После этого — патч-сессия по 5 документам, 20–40 минут.