docs(brain): brain dashboard implementation plan

13 tasks across 3 phases — static server + topology extraction + 4 views (Карта / Разбор / Лента / Агрегат). TDD on dashboard-core.js, smoke on UI. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
docs(brain): brain dashboard design spec
2026-05-19 15:04:09 +03:00 · 2026-05-19 14:22:05 +03:00
286 changed files with 2047 additions and 36812 deletions
@@ -1,43 +0,0 @@
---
-name: billing-audit
-description: Аудит денежной корректности биллинг-кода Лидерры — money-инварианты при правке/ревью списаний, тарифов и баланса. Используй при «проверь списание», «аудит биллинга», «не теряются ли копейки», «идемпотентно ли списание», «корректна ли тарифная ступень», «что значит дрейф CsvReconcile», «провенанс charge_source». НЕ для моделирования процесса (process-modeling), поиска узких мест (process-analysis), security-аудита (D3), РСБУ/налогов (ru-tax-accounting), метрик выручки (product-management).
---
-
-# Billing Audit — аудит денежной корректности биллинга Лидерры
-
-Проектный скил раздела C6 карты «Финансы — биллинг и тарификация». Проверяет
-**денежные инварианты** биллинг-подсистемы при правке или ревью кода. Объект —
-корректность *начисления* (не процесс, не безопасность, не учёт/налоги).
-
-## Когда использовать
-
- Правка/ревью кода в `app/app/Services/Billing/**`, `app/app/Jobs/Supplier/CsvReconcileJob.php`,
-  моделей `PricingTier`/`LeadCharge`, контроллеров биллинга.
- Вопрос «безопасно ли это денежно?» по списанию, тарифу, балансу, сверке.
-
-## Процедура аудита (5 инвариантов)
-
-Полный чек-лист с проверками и ссылками на файлы — `references/invariants.md`.
-
-1. **Сохранение суммы** — все денежные операции через `bcmath` (bcadd/bcsub/bcmul/bcdiv,
-   scale фиксирован), никаких float; prepaid→₽ конвертация без потери копеек.
-2. **Идемпотентность списания** — один лид = одно списание; повтор/ретрай джоба
-   не дублирует начисление (проверить уникальный ключ / advisory-lock / upsert).
-3. **Корректность тарифной ступени** — `PricingTierResolver` выбирает верную из 7
-   ступеней по объёму; границы ступеней (включительно/исключительно) однозначны.
-4. **Дрейф сверки** — `CsvReconcileJob` порог >5%: что сравнивается, что значит дрейф,
-   куда смотреть (рассинхрон поставки vs ошибка тарифа).
-5. **Провенанс charge_source** — каждое списание имеет прослеживаемый источник
-   (`charge_source`); ручные/авто/CSV-восстановленные различимы.
-
-## Границы
-
- ≠ `process-modeling` #52 / `process-analysis` #53 — те про *поток/процесс*; billing-audit про *деньги в коде*.
- ≠ D3 audit-security (#39/#40) — те про *безопасность*; billing-audit про *денежную корректность*.
- ≠ `ru-tax-accounting` #63 — тот про *учёт/налоги* (выход биллинга → налоговая база); billing-audit про *начисление*.
- ≠ `product-management:metrics-review` #42 — тот про *метрики выручки*; billing-audit про *корректность*.
-
-## Связано
-
- Reuse: Boost #10 (модели), Pest #18 (тесты инвариантов), Larastan #12 (bcmath/без float), Sentry #34 / Redis #35 (runtime/очередь).
- ADR-012 (граница finance-tooling C6/C7).
@@ -1,22 +0,0 @@
-{
-  "skill": "billing-audit",
-  "positive": [
-    "проверь корректность списания за лид",
-    "аудит денежной логики биллинга",
-    "не теряются ли копейки в prepaid→рублёвом балансе",
-    "идемпотентно ли списание при ретрае",
-    "правильно ли резолвится тарифная ступень",
-    "что значит дрейф >5% в CsvReconcile",
-    "проверь провенанс charge_source",
-    "ревью PricingTierResolver на ошибки округления",
-    "ledger двойной баланс — где может утечь сумма",
-    "audit charge invariants before merge"
-  ],
-  "near_miss": [
-    {"prompt": "смоделируй BPMN процесса списания", "expect": "process-modeling #52"},
-    {"prompt": "где узкое место в воронке оплат", "expect": "process-analysis #53"},
-    {"prompt": "security-аудит платёжного эндпоинта", "expect": "D3 audit-security / Semgrep"},
-    {"prompt": "посчитай РСБУ-проводки по выручке", "expect": "ru-tax-accounting #63"},
-    {"prompt": "метрика MRR за месяц", "expect": "product-management metrics-review #42"}
-  ]
-}
@@ -1,46 +0,0 @@
-# Денежные инварианты биллинга Лидерры — чек-лист аудита
-
-Объект-файлы (на момент 20.05.2026):
-
- `app/app/Services/Billing/PricingTierResolver.php` — резолюция 7 ступеней (pure).
- `app/app/Services/Billing/LedgerService.php` — двойной баланс prepaid→₽ (bcmath).
- `app/app/Services/Billing/BillingTopupService.php` — пополнение.
- `app/app/Services/Billing/ChargeResult.php` — DTO результата списания.
- `app/app/Models/PricingTier.php`, `app/app/Models/LeadCharge.php`.
- `app/app/Repositories/PricingTierRepository.php`.
- `app/app/Jobs/Supplier/CsvReconcileJob.php` — hourly сверка, алерт дрейфа >5%.
- `app/app/Http/Controllers/Api/{AdminPricingTiersController,AdminBillingController,BillingController,TenantChargesController}.php`.
-
-## I1. Сохранение суммы (bcmath, без float)
-
- [ ] Все арифметические операции с деньгами — `bcadd`/`bcsub`/`bcmul`/`bcdiv`/`bccomp` с явным `scale`.
- [ ] Нет `+`/`-`/`*`/`/` над денежными значениями (Larastan/grep на float-арифметику в Billing).
- [ ] prepaid→₽: конвертация округляет детерминированно (TRUNC/округление вниз в пользу tenant — свериться с кодом), сумма prepaid + ₽ не «исчезает».
- [ ] Денежные колонки — целочисленные копейки или DECIMAL, не float/double.
-
-## I2. Идемпотентность списания
-
- [ ] Один лид → одно списание: уникальность по (lead_id) или advisory-lock в `LedgerService`.
- [ ] Ретрай `ImportLeadsJob`/`CsvReconcileJob` не создаёт дубль `lead_charges`.
- [ ] Транзакция + `lockForUpdate` на балансе при мутации (TOCTOU — см. Sprint 3 lockForUpdate).
-
-## I3. Корректность тарифной ступени
-
- [ ] `PricingTierResolver` выбирает ступень по объёму `delivered_in_month` верно на границах.
- [ ] Границы ступеней непрерывны (нет дыр/перекрытий между 7 ступенями).
- [ ] Pest покрывает граничные значения (ступень N → N+1).
-
-## I4. Дрейф сверки CsvReconcile
-
- [ ] Порог >5% — что сравнивается (поставка поставщика vs начислено) → `supplier_csv_reconcile_log`.
- [ ] Дрейф = рассинхрон поставки (норм) ИЛИ ошибка тарифа (баг) — различить по `charge_source`.
-
-## I5. Провенанс charge_source
-
- [ ] Каждое `lead_charges.charge_source` заполнено и прослеживаемо.
- [ ] Авто/ручное/CSV-восстановленное (`recovered_from_csv_at`) различимы.
-
-## Reuse-инструменты
-
-Boost #10 (Eloquent-introspection), Pest #18 + pest-parallel-debugger (тесты + race),
-Larastan #12 (статанализ bcmath), Sentry MCP #34 (runtime списаний), Redis MCP #35 (очередь сверки), context7 #60 (доки bcmath).
@@ -24,12 +24,11 @@ Aggregator over observer evidence. Reads JSONL + optional MD notes, surfaces can
 1. **Determine period**: ask user «за какой период» or default to «since last brain-retro» (find latest `docs/observer/notes/YYYY-MM-DD-brain-retro-*.md`).
 2. **Read evidence**: glob `docs/observer/episodes-YYYY-MM.jsonl` for the period; read all lines as JSON.
 3. **Read optional notes**: glob `docs/observer/notes/*.md` filtered by date.
-4. **Update read-counter**: run `node tools/observer-of-observer.mjs record`. This atomically bumps `docs/observer/.read-counter.json` `last_read_at` to now and increments `read_count_last_period`. (Side-effect — used by C3 observer-of-observer for 54-week self-prune detection.)
+4. **Update read-counter**: bump `docs/observer/.read-counter.json` `last_read_at` to now, increment `read_count_last_period`. (Side-effect — used by C3 observer-of-observer.)
 5. **Run the deterministic analyzer**: `node tools/brain-retro-analyzer.mjs docs/observer/episodes-YYYY-MM.jsonl` (pass every monthly file in the period). It returns JSON with `episodeCount`, `observerErrorCount`, `tasks` (episodes grouped into tasks), `causalChains` (error→fix candidates) and `factorMatrix` (outcome distribution per factor). The analyzer deduplicates the routing-gate double-write and infers the true `outcome` of each episode from the next episode's `prompt_signal` — never trust the stored `outcome` (it is `unknown` at write time).
 6. **Aggregate** per `references/aggregation-template.md` — fill the Factor analysis matrix from the analyzer's `factorMatrix`, the task groups from `tasks`, the causal-chain candidates from `causalChains`.
 7. **Propose candidates** — clearly separated section «Candidates for owner review». Each candidate has rationale + suggested edit + rejection-option.
 8. **Save retro note**: `docs/observer/notes/YYYY-MM-DD-brain-retro.md` with full aggregation.
-8a. **Refresh STATUS.md**: `node tools/status-md-generator.mjs` — auto-rebuild dashboard so it reflects the just-finished retro (`Last /brain-retro: 0 day(s) ago`, current episode count, refreshed C1–C5 controller statuses). Without this, STATUS.md only updates on the next git commit.
 9. **Report to user**: high-signal summary.

 ## Output anatomy
@@ -38,7 +37,5 @@ See `references/aggregation-template.md`.

 ## Behavioral rule reminders

- **«Не использован ≠ проблема» (условное, Pravila §16.4 v1.36)** — when reporting node usage counts, distinguish two cases:
-  1. **Unused + no profile task in episodes** → capability-readiness, do NOT flag.
-  2. **Unused + profile task present (missed activation)** → mandatory section in the report. Cite `tools/observer-classification-map.json` for the classification→node mapping and `tools/.node-dormancy.json` for DEFERRED exclusions. NEVER mark unused-by-design nodes as «zombie» / «removal candidate».
+- **«Не использован ≠ проблема»** — when reporting node usage counts, NEVER mark unused nodes as «zombie» / «removal candidate». Cite `memory/feedback_brain_unused_tools_not_problem.md`.
 - **No auto-edit** — every regulatory suggestion is a candidate, not an action.
@@ -55,32 +55,6 @@ For each factor below, render a table: factor value × outcome counts

 (one table each — same columns)

-## Missed Activations (Pravila §16.4 v1.36)
-
-Surface candidates where a profile-classified task ran with `node_chosen === 'direct'` and at least one non-dormant recommended node was available. The analyzer returns `missedActivations: { totalMissed, byNode, byClassification }` — render the two breakdowns below.
-
-**Source:** `analyze(episodes, { classificationMap, dormancy }).missedActivations`.
-
-### By node
-
-| Node | Episodes missed | Classifications hit |
-|---|---|---|
-| #NN | N | refactor (a), bugfix (b) |
-
-### By classification
-
-| Classification | Missed episodes | Top recommended nodes (non-dormant) |
-|---|---|---|
-| refactor | N | #11, #12, #43 |
-
-**Interpretation guide:**
-
- High count on one node → router-miss pattern. Suggest updating `tools/observer-classification-map.json` or a workflow nudge.
- Spread across many nodes with classification leaning to `other` → the classification dictionary may need refinement (separate concern, not a missed activation).
- All zero → either no profile work this period, or the router is operating cleanly.
-
-**NOT to be auto-applied:** these are candidates for human review in retro, not commits or hook blocks.
-
 ## Episodes → tasks (from analyzer `tasks`)

 | task_ref | episodes | turns that are rework |
@@ -96,14 +70,10 @@ Surface candidates where a profile-classified task ran with `node_chosen === 'di
 - `observerErrorCount` from the analyzer — observer_error markers in the period.
  Non-zero = the observer failed silently somewhere; investigate.

-## Canonical chains L1–L13+ hit rate (from analyzer `factorMatrix.chain_ref`)
+## Canonical chains L1–L12 hit rate

-| chain | times | outcome split | notes |
-|---|---|---|---|
-
-Each node may belong to several L (a multi-chain episode is counted in each).
-`null` = episodes outside any chain (`direct` + nodes not in L1–L13+) — **not a
-problem** per `memory/feedback_brain_unused_tools_not_problem`.
+| chain | times | notes |
+|---|---|---|

 ## Improvised chains (path_type=improvised, repeated ≥2)

@@ -139,4 +109,4 @@ problem** per `memory/feedback_brain_unused_tools_not_problem`.
 ## Informational metrics (NOT alerts)

 - Nodes used at least once this period: K / 60+
- Nodes never used since beginning of observer logs: L / 67 — **not a problem if there was no profile task** per Pravila §16.4 v1.36 and [feedback_brain_unused_tools_not_problem](../../../memory/feedback_brain_unused_tools_not_problem.md). See `## Missed Activations` above for profile-task-present cases.
+- Nodes never used since beginning of observer logs: L / 60+ — **not a problem** per [feedback_brain_unused_tools_not_problem](../../../memory/feedback_brain_unused_tools_not_problem.md)
@@ -1,62 +0,0 @@
---
-name: laravel-backend-patterns
-description: Backend-конвенции Лидерры (Laravel 13) — как писать controller→service→job, RLS-aware Eloquent, деньги через bcmath/LedgerService, идемпотентные джобы, partition-aware запросы. Используй при «как писать backend в Лидерре», «паттерн контроллера/сервиса/джоба», scaffolding новой backend-фичи. НЕ для generic-паттернов (architecture-patterns #38), аудита денег (billing-audit #62), РСБУ/налогов (ru-tax-accounting), security-аудита (D3).
---
-
-# Laravel Backend Patterns — конвенции backend-кода Лидерры
-
-Проектный скил, который описывает **как здесь пишут backend**, а не как рекомендует generic-Laravel.
-При scaffolding новой фичи или ревью кода — сверяться с пятью конвенциями ниже.
-Детальные примеры с образцами кода и антипаттернами — в `references/conventions.md`.
-
-## 1. Слоистость: Controller → FormRequest → Service → Job
-
-Контроллер тонкий: принимает FormRequest, делегирует Service, возвращает JSON-ответ.
-Бизнес-логика — в Service; асинхронная работа — в Job.
-Слои зафиксированы в `app/deptrac.yaml` (13 слоёв, pre-commit gate job 10).
-
-Подробнее: `references/conventions.md` §1.
-
-## 2. RLS-aware Eloquent и middleware `tenant`
-
-Middleware `SetTenantContext` оборачивает HTTP-запрос в транзакцию и выполняет
-`SET LOCAL app.current_tenant_id = X`, обеспечивая RLS-изоляцию между tenant'ами.
-**КРИТИЧНО**: очередные джобы выполняются под ролью `crm_supplier_worker` (BYPASSRLS),
-поэтому RLS не фильтрует. Каждый запрос в джобе **обязан** содержать явный
-`where('tenant_id', $tenantId)` или устанавливать `SET LOCAL` вручную внутри транзакции.
-
-Подробнее: `references/conventions.md` §2.
-
-## 3. Деньги — только через bcmath и LedgerService
-
-Все денежные операции — `bcadd` / `bcsub` / `bcmul` / `bcdiv` / `bccomp` со строковыми операндами
-и фиксированным `scale`. Никаких операторов `+` / `-` / `*` / `/` над деньгами, никакого `float`.
-Точка входа для биллингового списания — `LedgerService::chargeForDelivery()`.
-Аудит денежных инвариантов кода — скил `billing-audit` (#62); здесь — только конвенция написания.
-
-Подробнее: `references/conventions.md` §3.
-
-## 4. Идемпотентные джобы через advisory lock
-
-Повторный запуск джоба не должен дублировать результат.
-Паттерн: `pg_advisory_xact_lock(composite_bigint)` внутри транзакции — сериализует
-конкурентные обработки одного (tenant_id, source_crm_id). Дополнительно: `lockForUpdate`
-на строку Tenant защищает баланс от TOCTOU при конкурентных списаниях.
-
-Подробнее: `references/conventions.md` §4.
-
-## 5. Partition-aware запросы для `deals` и `supplier_lead_costs`
-
-Таблицы `deals` и `supplier_lead_costs` секционированы по `RANGE (received_at)`.
-Запросы к этим таблицам должны включать условие по `received_at` (или `created_at`
-для `supplier_lead_costs`) — это включает pruning и предотвращает full-scan всех партиций.
-
-Подробнее: `references/conventions.md` §5.
-
-## Связано
-
- `billing-audit` #62 — аудит денежной корректности (I1–I5 инварианты).
- `architecture-patterns` #38 — общие паттерны архитектуры (не Лидерра-специфика).
- Boost #10 — Eloquent introspection, документация Laravel 13.
- Larastan #12 — статанализ PHP (ловит float-арифметику на деньгах).
- ADR-005 — deptrac architecture-fitness gate.
@@ -1,10 +0,0 @@
-{
-  "skill": "laravel-backend-patterns",
-  "cases": [
-    {"prompt": "как написать контроллер для новой backend-фичи в Лидерре", "should_trigger": true},
-    {"prompt": "как правильно списать деньги в джобе под crm_supplier_worker", "should_trigger": true},
-    {"prompt": "проверь, не теряются ли копейки в списании", "should_trigger": false, "expected": "billing-audit"},
-    {"prompt": "опиши Clean Architecture в общем", "should_trigger": false, "expected": "architecture-patterns"},
-    {"prompt": "учёт выручки по РСБУ", "should_trigger": false, "expected": "ru-tax-accounting"}
-  ]
-}
@@ -1,280 +0,0 @@
-# Backend-конвенции Лидерры — детальный справочник
-
-Образцы ниже — реальный код из `app/` (Laravel 13, PHP 8.3).
-Указаны конкретные `file:line` на момент 20.05.2026.
-
---
-
-## §1. Слоистость: Controller → FormRequest → Service → Job
-
-### Правило
-
-Контроллер принимает FormRequest (валидация), делегирует Service (бизнес-логика),
-при необходимости Service dispatch'ит Job (асинхрон). Контроллер не содержит бизнес-логики.
-Слои задокументированы в `app/deptrac.yaml` — 13 слоёв:
-Controller, Request, Resource, Middleware, Service, Job, Console, Repository,
-Model, Mail, Rule, Exception, Provider.
-Допустимые направления зависимостей — только вниз по иерархии (deptrac gate, lefthook job 10).
-
-### Образец из кода
-
-`app/app/Http/Controllers/Api/ProjectController.php:87–90` — контроллер тонкий:
-
-```php
-/** POST /api/projects */
-public function store(StoreProjectRequest $request): JsonResponse
-{
-    $project = $this->projects->create($request->user()->tenant, $request->validated());
-
-    return response()->json(['data' => new ProjectResource($project)], 201);
-}
-```
-
-`app/app/Http/Requests/StoreProjectRequest.php:18–44` — вся валидация в FormRequest:
-
-```php
-public function rules(): array
-{
-    $base = [
-        'name'               => ['required', 'string', 'max:255'],
-        'signal_type'        => ['required', Rule::in(['site', 'call', 'sms'])],
-        'daily_limit_target' => ['required', 'integer', 'min:1', 'max:10000'],
-        'regions'            => ['present', 'array'],
-        'regions.*'          => ['integer', 'between:1,89'],
-        'delivery_days_mask' => ['required', 'integer', 'min:1', 'max:127'],
-    ];
-    // ... conditional rules by signal_type
-    return $base;
-}
-```
-
-`app/app/Services/Billing/LedgerService.php` — бизнес-логика в Service.
-`app/app/Jobs/ProcessWebhookJob.php` — асинхрон в Job.
-
-### Антипаттерн
-
-```php
-// ПЛОХО: бизнес-логика в контроллере
-public function store(Request $request): JsonResponse
-{
-    $tier = PricingTier::where('min_leads', '<=', $count)->orderBy('min_leads', 'desc')->first();
-    $price = $tier->price_per_lead_kopecks * $count;  // float-арифметика + логика тира прямо здесь
-    Deal::create([...]);
-    return response()->json(['ok' => true]);
-}
-```
-
---
-
-## §2. RLS-aware Eloquent и middleware `tenant`
-
-### Правило
-
-Middleware `SetTenantContext` (`app/app/Http/Middleware/SetTenantContext.php`) оборачивает
-каждый HTTP-запрос в транзакцию и выполняет `SET LOCAL app.current_tenant_id = X`,
-после чего RLS-политики PostgreSQL автоматически фильтруют строки по tenant.
-
-**КРИТИЧНО для джобов**: очередные джобы Laravel выполняются в отдельном процессе вне
-HTTP-стека. Роль `crm_supplier_worker` (connection `pgsql_supplier`) имеет атрибут
-BYPASSRLS — RLS-политики для неё **не применяются**. Любой запрос в таком джобе без
-явного `where('tenant_id', $tenantId)` вернёт строки всех tenant'ов.
-
-Правило: в каждом джобе либо устанавливай `SET LOCAL` внутри транзакции (паттерн
-`ProcessWebhookJob`/`ImportLeadsJob`), либо добавляй явный `where('tenant_id', ...)`.
-
-### Образец из кода
-
-`app/app/Http/Middleware/SetTenantContext.php:36–43` — HTTP-путь:
-
-```php
-DB::beginTransaction();
-try {
-    DB::statement('SET LOCAL app.current_tenant_id = ' . $tenantId);
-    $response = $next($request);
-    DB::commit();
-    return $response;
-} catch (\Throwable $e) {
-    DB::rollBack();
-    throw $e;
-}
-```
-
-`app/app/Jobs/ImportLeadsJob.php:92–96` — джоб устанавливает `SET LOCAL` вручную:
-
-```php
-return DB::transaction(function (): ?ImportLog {
-    DB::statement('SET LOCAL app.current_tenant_id = ' . $this->tenantId);
-    return ImportLog::query()->find($this->importLogId);
-});
-```
-
-`app/app/Jobs/ProcessWebhookJob.php:80–86` — аналогичный паттерн в webhook-джобе:
-
-```php
-DB::transaction(function () use ($duplicateDetector): void {
-    DB::statement('SET LOCAL app.current_tenant_id = ' . $this->tenantId);
-    $tenant = Tenant::query()
-        ->whereKey($this->tenantId)
-        ->lockForUpdate()
-        ->first();
-```
-
-### Антипаттерн
-
-```php
-// ПЛОХО: джоб под crm_supplier_worker без SET LOCAL и без where tenant_id
-// → вернёт все строки всех tenant'ов (BYPASSRLS не фильтрует)
-public function handle(): void
-{
-    $logs = ImportLog::query()->where('status', 'pending')->get(); // ВСЕ tenant'ы!
-}
-```
-
---
-
-## §3. Деньги — только через bcmath и LedgerService
-
-### Правило
-
-Все арифметические операции с деньгами (рубли, копейки) — исключительно через
-функции `bcmath` с явным `scale`. Операнды передаются строками.
-Никаких PHP `float`, никакого `+` / `-` / `*` / `/` над денежными значениями.
-
-Точка входа для списания за лид — `LedgerService::chargeForDelivery()`.
-Этот метод реализует dual-balance flow (prepaid-лиды → `balance_leads`, рубли → `balance_rub`).
-Вызывается **внутри открытой транзакции** с `lockForUpdate(Tenant)` — см. §4.
-
-Аудит денежных инвариантов (I1–I5) — скил `billing-audit` (#62). Здесь — конвенция написания.
-
-### Образец из кода
-
-`app/app/Services/Billing/LedgerService.php:64–65` — конвертация копеек в рубли:
-
-```php
-$amountRub = bcdiv((string) $priceKopecks, '100', 2);
-$newBalanceRub = bcsub((string) $lockedTenant->balance_rub, $amountRub, 2);
-```
-
-`app/app/Services/Billing/LedgerService.php:124–125` — сравнение балансов:
-
-```php
-$balanceKopecks = bcmul((string) $tenant->balance_rub, '100', 0);
-if (bccomp($balanceKopecks, (string) $priceKopecks, 0) >= 0) {
-    return 'rub';
-}
-```
-
-### Антипаттерн
-
-```php
-// ПЛОХО: float-арифметика теряет копейки
-$price = $tier->price_per_lead_kopecks / 100;  // float
-$newBalance = $tenant->balance_rub - $price;    // потеря точности при накоплении
-```
-
---
-
-## §4. Идемпотентные джобы через advisory lock
-
-### Правило
-
-Повторный запуск джоба (ретрай, краш, дубль cron) не должен создавать дублирующие
-записи. Паттерн: `pg_advisory_xact_lock(bigint)` внутри транзакции сериализует все
-конкурентные обработки одного (tenant_id, source_crm_id).
-
-Дополнительно для мутаций баланса: `lockForUpdate` на строку Tenant — защита от
-TOCTOU (между чтением баланса и его обновлением другой воркер не должен изменить значение).
-
-### Образец из кода
-
-`app/app/Jobs/ProcessWebhookJob.php:293–296` — advisory lock перед upsert:
-
-```php
-// pg_advisory_xact_lock(bigint): верхние 32 бита = tenant_id, нижние 32 = source_crm_id
-$lockKey = (($tenant->id & 0xFFFFFFFF) << 32) | ($sourceCrmId & 0xFFFFFFFF);
-DB::statement('SELECT pg_advisory_xact_lock(?)', [$lockKey]);
-```
-
-`app/app/Services/Import/HistoricalImportService.php:145–147` — тот же паттерн в сервисе:
-
-```php
-// advisory lock (tenant_id, source_crm_id) — сериализует upsert (§6.5)
-$lockKey = (($tenantId & 0xFFFFFFFF) << 32) | ($row->sourceCrmId & 0xFFFFFFFF);
-DB::statement('SELECT pg_advisory_xact_lock(?)', [$lockKey]);
-```
-
-`app/app/Jobs/RouteSupplierLeadJob.php:210–213` — lockForUpdate на Tenant перед списанием:
-
-```php
-$tenant = Tenant::query()
-    ->whereKey($project->tenant_id)
-    ->lockForUpdate()
-    ->firstOrFail();
-```
-
-Для overlap-защиты долгоживущих джобов (cron) — `Cache::lock` (Redis):
-`app/app/Jobs/Supplier/CsvReconcileJob.php:69–74`:
-
-```php
-$lock = $lockStore->lock(self::LOCK_NAME, self::LOCK_TTL_SECONDS);
-if (! $lock->get()) {
-    Log::info('csv_reconcile.skipped_overlap');
-    return;
-}
-```
-
-### Антипаттерн
-
-```php
-// ПЛОХО: нет lock — два конкурентных воркера создают два deal для одного vid
-$existing = Deal::where('source_crm_id', $vid)->where('tenant_id', $tenantId)->first();
-if (!$existing) {
-    Deal::create([...]); // race condition: оба воркера видят null и оба создают
-}
-```
-
---
-
-## §5. Partition-aware запросы для `deals` и `supplier_lead_costs`
-
-### Правило
-
-Таблицы `deals` и `supplier_lead_costs` секционированы по `PARTITION BY RANGE (received_at)`.
-Запросы должны содержать условие по `received_at` (ключ партиционирования) — это позволяет
-PostgreSQL выполнять partition pruning и не сканировать все партиции.
-Запрос без `WHERE received_at ...` делает full-scan всех партиций.
-
-### Образец из кода
-
-`db/schema.sql:1658` — партиционирование `deals`:
-
-```sql
-) PARTITION BY RANGE (received_at);
-```
-
-`db/schema.sql:2361` — партиционирование `supplier_lead_costs`:
-
-```sql
-) PARTITION BY RANGE (received_at);
-```
-
-`app/app/Services/DuplicateDetector.php:49` — запрос к `deals` с ключом партиции:
-
-```php
->where('received_at', '>=', $windowStart)
-```
-
-`app/app/Jobs/Supplier/CsvReconcileJob.php:113` — запрос к `supplier_leads` с ключом:
-
-```php
->where('received_at', '>=', $windowStart)
-```
-
-### Антипаттерн
-
-```php
-// ПЛОХО: запрос к deals без received_at — full-scan всех партиций
-$deals = Deal::where('tenant_id', $tenantId)
-    ->where('phone', $phone)
-    ->get(); // сканирует deals_2026_05, deals_2026_06, ... все партиции
-```
@@ -1,66 +0,0 @@
---
-name: pdn-152fz-audit
-description: Аудит защиты персональных данных Лидерры и соответствие 152-ФЗ. Режим 1 — техника (где лежат ПДн в схеме/коде, RLS, маскирование pg_anonymizer, утечки в логах/Sentry/CSV-экспортах, шифрование). Режим 2 — закон (хранение в РФ, согласия, сроки/удаление, реестр обработки, уведомление РКН, права субъекта pd_subject_request). Используй при «проверь ПДн», «утекают ли персональные данные», «соответствие 152-ФЗ», «где хранятся телефоны лидов», «маскируются ли данные в дампах». НЕ для денежной корректности (billing-audit), security-аудита кода (D3/Semgrep), юридического оформления договоров/политик (D2 право), generic-угроз (threat-model #72).
---
-
-# ПДн 152-ФЗ Аудит — защита персональных данных Лидерры
-
-Проектный скил раздела A8 карты «Информационная безопасность». Проверяет
-**защиту персональных данных** и соответствие Федеральному закону №152-ФЗ
-«О персональных данных» для SaaS-портала, обрабатывающего телефоны лидов
-и данные клиентов-компаний перед выходом в продакшен.
-
-## Когда использовать
-
- Вопрос «не утекают ли ПДн в логи / Sentry / CSV-экспорты?»
- Проверка технической защиты ПДн перед запуском (RLS, маскирование, шифрование).
- Оценка соответствия 152-ФЗ: хранение в РФ, согласия, права субъекта, реестр.
- Ревью кода, затрагивающего `deals`, `users`, `pd_subject_requests`,
-  `pd_processing_log`, `supplier_leads` или CSV-импорт/экспорт лидов.
-
-## Два режима
-
-### Режим 1 — Технический аудит ПДн
-
-Проверяет, что персональные данные физически защищены в коде и схеме БД.
-
-Вопросы:
-
- Какие таблицы/колонки содержат ПДн? Под RLS ли они?
- Маскируются ли ПДн в дампах (pg_anonymizer)?
- Не утекают ли phone/email/ФИО в Laravel-логи, Sentry, `activity_log.context`,
-  `auth_log`, `supplier_leads.raw_payload`?
- Зашифрованы ли чувствительные поля в покое (totp_secret)?
- Защищены ли CSV-экспорты лидов (signed URL + аудит в `pd_processing_log`)?
-
-**Запустить:** пройти по чек-листу `references/checklist.md` → Раздел 1.
-
-### Режим 2 — Соответствие 152-ФЗ
-
-Проверяет правовую и процессную сторону обработки ПДн.
-
-Вопросы:
-
- Хранятся ли ПДн на территории РФ?
- Зафиксированы ли согласия субъектов ПДн (`tenant_consents`)?
- Есть ли механизм обращений субъектов (`pd_subject_requests` + дедлайн 30 дней)?
- Ведётся ли журнал обработки ПДн (`pd_processing_log`)?
- Уведомлен ли РКН? Есть ли реестр обработки?
- Реализовано ли право на ограничение обработки (`processing_restricted`)?
-
-**Запустить:** пройти по чек-листу `references/checklist.md` → Раздел 2.
-
-## Границы
-
- ≠ `billing-audit` #62 — тот про *денежную корректность начислений*; pdn-152fz-audit про *персональные данные*.
- ≠ D3 «audit-security» (#39/#40 Trail of Bits / Semgrep) — те про *security-уязвимости кода*; pdn-152fz-audit про *данные субъектов ПДн*.
- ≠ D2 «Право / договоры» — там юридическое оформление (политика обработки, договор с оператором); pdn-152fz-audit про *технику и процедуры*.
- ≠ `threat-model` #72 — тот про *моделирование угроз*; pdn-152fz-audit про *конкретные ПДн в конкретных таблицах*.
-
-## Связано
-
- Reuse: Boost #10 (SQL-запросы к схеме), Semgrep #25 (статанализ кода на утечки),
-  Sentry MCP #34 (проверка runtime-маскирования), pg_anonymizer #29 (дампы).
- ADR-013 (infosec-tooling A8).
- Нормативная основа: ФЗ-152 ст.18 (уведомление РКН), ст.21 ч.5 (ограничение
-  обработки), ст.22 (реестр операторов), ст.14 (права субъекта).
@@ -1,10 +0,0 @@
-{
-  "skill": "pdn-152fz-audit",
-  "cases": [
-    {"prompt": "проверь, не утекают ли телефоны лидов в логи", "should_trigger": true},
-    {"prompt": "соответствует ли портал 152-ФЗ перед запуском", "should_trigger": true},
-    {"prompt": "проверь, не теряются ли копейки в списании", "should_trigger": false, "expected": "billing-audit"},
-    {"prompt": "смоделируй угрозы при выходе портала в интернет", "should_trigger": false, "expected": "threat-model"},
-    {"prompt": "составь договор обработки персональных данных", "should_trigger": false, "expected": "D2 право"}
-  ]
-}
@@ -1,202 +0,0 @@
-# ПДн 152-ФЗ — чек-лист аудита Лидерры
-
-Основан на реальных артефактах проекта (db/schema.sql v8.26, 21.05.2026).
-
-## Таблицы-носители ПДн (инвентарь)
-
-| Таблица | ПДн-колонки | Тип субъекта |
-|---|---|---|
-| `deals` | `phone`, `phones` (JSONB), `contact_name`, `city` | лид (физлицо) |
-| `supplier_leads` | `phone`, `raw_payload` (JSONB — весь payload поставщика) | лид (физлицо) |
-| `users` | `email`, `first_name`, `last_name`, `phone`, `totp_secret` | пользователь-клиент |
-| `tenants` | `contact_email`, `organization_name` | организация-клиент |
-| `auth_log` | `email` (при login_failed для неизвестного пользователя) | пользователь |
-| `pd_subject_requests` | `subject_email`, `subject_phone`, `subject_full_name` | субъект ПДн |
-| `impersonation_tokens` | косвенно (связь user — admin) | пользователь |
-| `import_log` | `filename`, `file_path` (может содержать имя файла с ПДн) | лид (косвенно) |
-
---
-
-## Раздел 1 — Технический аудит ПДн
-
-### Т1. RLS на таблицах-носителях ПДн
-
- [ ] `deals` — `ENABLE ROW LEVEL SECURITY` ✅ (подтверждено schema.sql:2780).
-  Проверить: `FORCE ROW LEVEL SECURITY` не выставлен (только у `lead_charges`
-  — там сильнее). Убедиться, что `crm_app_user` не BYPASSRLS.
- [ ] `users` — RLS включён (schema.sql:2778). Политика `tenant_isolation` по
-  `tenant_id`. Проверить: нет прямого SELECT * без `SET LOCAL app.current_tenant_id`.
- [ ] `supplier_leads` — **RLS не включён** (таблица SaaS-уровня, schema.sql:1948).
-  Это осознанное решение. Проверить: доступ только из воркера
-  (`crm_supplier_worker` BYPASSRLS) с явным `WHERE tenant_id`.
- [ ] `pd_subject_requests` — **RLS не включён** намеренно (saas-уровневая,
-  schema.sql:2483). Доступ только через `crm_admin_user` BYPASSRLS.
-  Проверить: tenant-приложение к таблице не обращается.
- [ ] `auth_log` — RLS включён (schema.sql:2810). Политика `tenant_isolation`.
-  Проверить: поле `email` в строке `login_failed` — не утекает ли email
-  несуществующего пользователя в посторонний тенант.
- [ ] `import_log` — RLS включён (schema.sql:2790).
-
-### Т2. Маскирование ПДн в дампах (pg_anonymizer #29)
-
- [ ] **Проверить вручную:** OPEN-И-24 (schema.sql:113) — «pg_anonymizer процедура,
-  документация в Прил. И, без изменений схемы». Расширение ставится в фазе 3
-  (db/CHANGELOG_schema.md:625). На момент аудита — **расширение может быть не
-  установлено**. Выполнить: `psql -c "SELECT extname FROM pg_extension WHERE extname='anon';"`.
- [ ] Если pg_anonymizer установлен: проверить наличие `SECURITY LABEL` /
-  `anon.mask_column` на колонках `deals.phone`, `deals.contact_name`,
-  `users.email`, `users.first_name`, `users.last_name`.
- [ ] Если pg_anonymizer **не установлен**: дампы (`pg_dump`) содержат ПДн в открытом
-  виде — критический риск перед продакшеном. Требуется: либо установить
-  расширение и настроить маски, либо запретить дампы с ПДн вне зашифрованного
-  хранилища.
-
-### Т3. Утечки ПДн в логи и Sentry
-
- [ ] **Sentry PII-scrubbing** (OPEN-И-16, schema.sql:68): конфигурация в
-  `app/config/sentry.php` (narrative §22 «Sentry PII-scrubbing»).
-  Проверить: whitelist событий задан; regex-маска `phone`/`email`/`password`/
-  `secret`/`token`/`api_key` включена. Тест: намеренно вызвать ошибку с
-  телефоном в payload и проверить Sentry-событие.
- [ ] **Laravel-логи (`storage/logs/`)**: нет ли `Log::info`/`Log::debug` с
-  `$deal->phone`, `$lead->phone`, `request()->all()` в необработанном виде.
-  Grep: `Log::` + `phone\|email\|contact_name` в `app/app/`.
- [ ] **`activity_log.context`** (JSONB, schema.sql:1775): поле `context` журнала
-  действий по сделкам. Проверить: не пишется ли туда `phone`/`contact_name`
-  полностью (должны быть только ID и маскированные значения).
- [ ] **`supplier_leads.raw_payload`** (JSONB, schema.sql:1966): хранит весь
-  webhook-payload от поставщика, включая телефон. Это осознанное хранение
-  (нужно для дебага/реконсайла). Проверить: доступ ограничен только
-  `crm_supplier_worker` + `crm_admin_user`; не отдаётся в tenant API.
- [ ] **`auth_log.email`** (schema.sql:1458): email попадает в лог при `login_failed`
-  для неизвестного адреса. Проверить: колонка не индексируется publicly,
-  доступна только под RLS tenant-политикой.
-
-### Т4. Шифрование чувствительных полей в покое
-
- [ ] **`users.totp_secret`** (schema.sql:723): комментарий «ШИФРУЕТСЯ `Crypt::encrypt`».
-  Проверить: в коде Laravel используется `Crypt::encrypt`/`decrypt`, не plain TEXT.
-  Grep: `totp_secret` в моделях/сервисах — нет ли прямого assignment без encrypt.
- [ ] **`tenants.webhook_token`** (schema.sql:628): хранится в открытом виде как
-  уникальный токен. Допустимо (по дизайну — это API-ключ, не пароль), но
-  проверить: не логируется ли при ротации (`webhook_token_rotated_at`).
- [ ] **Encryption at rest (диск/облако)**: Yandex Cloud `ru-central1` — проверить,
-  включено ли шифрование диска/объектного хранилища на уровне YC-консоли.
-  Это вне кода, но обязательно для 152-ФЗ.
-
-### Т5. CSV-экспорт лидов и signed URL
-
- [ ] **`report_jobs`** (schema.sql:2313): `file_path` = `s3://bucket/path/file.xlsx`.
-  Триггер `trg_report_jobs_export_log` (schema.sql:3096) автоматически пишет
-  запись в `pd_processing_log` при INSERT. Проверить: триггер активен в prod.
-  SQL: `SELECT tgname, tgenabled FROM pg_trigger WHERE tgname = 'trg_report_jobs_export_log';`
- [ ] **Signed URL TTL**: schema.sql:3182 — «доступ через signed URL TTL 1 ч».
-  Проверить в коде: `Storage::temporaryUrl(...)` с `now()->addHour()`.
-  Файлы экспорта не доступны без аутентификации.
- [ ] **`report_jobs.expires_at`**: автоудаление файла. Проверить: есть ли
-  scheduled command / cleanup job, удаляющий S3-файл и обнуляющий `file_path`
-  после `expires_at`.
-
-### Т6. CSV-импорт исторических лидов
-
- [ ] **`import_log.file_path`** (schema.sql:1544): путь к загруженному CSV-файлу с
-  ПДн. Проверить: файл хранится во временном/приватном location, не в
-  публично доступном URL; удаляется после обработки.
- [ ] **Проверить вручную:** содержит ли исторический CSV телефоны лидов в открытом
-  виде в `storage/`? Если да — нужен cleanup после импорта.
-
---
-
-## Раздел 2 — Соответствие 152-ФЗ
-
-### З1. Хранение ПДн на территории РФ (ст.18.1 152-ФЗ)
-
- [ ] Облако: Yandex Cloud, регион `ru-central1` (Москва) — **✅ РФ**.
-  Подтверждено в CLAUDE.md §2.
- [ ] S3-хранилище файлов экспорта (`report_jobs.file_path`): убедиться, что
-  Yandex Object Storage используется (не AWS S3 / GCS). Проверить
-  `app/config/filesystems.php`.
- [ ] Self-hosted Sentry: Yandex Cloud `ru-central1` — ✅ РФ (CLAUDE.md §2).
-  Проверить: Sentry не проксирует события в eu.sentry.io / sentry.io (US).
- [ ] Unisender Go (email): **Проверить вручную** — уточнить у Unisender
-  расположение серверов; письма с ПДн (email адреса) передаются провайдеру.
-
-### З2. Согласия субъектов ПДн (ст.6, ст.9 152-ФЗ)
-
- [ ] **`tenant_consents`** (schema.sql:2430): таблица согласий. Проверить:
-  при регистрации тенанта записывается `consent_type='pd_processing'` с
-  `document_version`, `ip_address`, `user_agent`, `given_at`.
- [ ] Проверить: согласие на обработку ПДн лидов (телефоны физлиц) — не пользователя-
-  клиента, а лидов. Лиды приходят от поставщика (crm.bp-gr.ru) — проверить
-  договор с поставщиком (правовое основание обработки ст.6 ч.1 п.5 или п.4).
-  **Проверить вручную** — вне schema (юридический документ).
- [ ] `consent_type` значения: `pd_processing`, `marketing`, `oferta_v1` — убедиться,
-  что consent_type='pd_processing' обязателен при регистрации (нет bypass).
-
-### З3. Сроки хранения и удаление (ст.21 152-ФЗ)
-
- [ ] **Soft-delete в `deals`** (schema.sql:1648 `deleted_at`): после soft-delete
-  данные остаются. Проверить: есть ли политика retention (hard-delete или
-  анонимизация `phone`/`contact_name` через N дней после `deleted_at`).
-  **Проверить вручную:** scheduled command для hard-delete сделок.
- [ ] **`users.deleted_at`** (schema.sql:751): комментарий «soft delete + анонимизация».
-  Проверить в коде: при soft-delete пользователя анонимизируются ли
-  `email`/`first_name`/`last_name`/`phone`? Grep: `UserObserver` / `UserService`
-  метод delete/anonymize.
- [ ] **Право на удаление** (ст.21): обращение типа `request_type='deletion'` в
-  `pd_subject_requests`. Проверить: есть ли процедура исполнения (скрипт/ручной
-  процесс) удаления ПДн конкретного субъекта по `subject_phone`/`subject_email`
-  из `deals`, `supplier_leads`, `activity_log`.
-
-### З4. Журнал обработки ПДн (ст.18.1 152-ФЗ)
-
- [ ] **`pd_processing_log`** (schema.sql:2449): таблица журнала. RLS включён
-  (schema.sql:2806), политика `tenant_isolation` (schema.sql:2846).
-  Проверить: `subject_type`, `action`, `purpose` заполняются при
-  ключевых операциях (просмотр сделки, экспорт, удаление).
- [ ] **Триггер экспорта** `trg_report_jobs_export_log` (schema.sql:3096): AFTER
-  INSERT на `report_jobs` → INSERT `pd_processing_log` с `action='exported'`.
-  Закрывает требование ст.18 (учёт трансграничной передачи / выгрузки).
- [ ] **Append-only hash chain** (schema.sql:63): `log_hash BYTEA` + триггеры
-  `BEFORE UPDATE/DELETE` с `RAISE EXCEPTION`. Проверить: цепочка целостна.
-  SQL: `SELECT id, log_hash IS NULL AS broken FROM pd_processing_log ORDER BY id DESC LIMIT 10;`
-
-### З5. Обращения субъектов ПДн (ст.14 152-ФЗ)
-
- [ ] **`pd_subject_requests`** (schema.sql:2491): таблица обращений. Поля:
-  `subject_email`, `subject_phone`, `subject_full_name`, `request_type`
-  (`access`/`rectification`/`deletion`/`objection`), `deadline_at` (30 дней),
-  `processing_restricted`.
- [ ] **Триггер дедлайна** `trg_pd_subject_requests_deadline` (schema.sql:3165):
-  функция `set_pd_subject_request_deadline()` заполняет `deadline_at =
-  received_at + INTERVAL '30 days'` при INSERT/UPDATE.
-  Проверить: `SELECT COUNT(*) FROM pd_subject_requests WHERE deadline_at IS NULL;`
-  — должно быть 0.
- [ ] **`processing_restricted`** (schema.sql:2514, ст.21 ч.5): при `TRUE`
-  `ProcessingRestrictedException` блокирует операции с ПДн субъекта.
-  Проверить в коде: `ProcessingRestrictionGuard` вызывается в сервисах
-  перед mutable-операциями с `deals`/`users`.
- [ ] Индекс (schema.sql:2519): `idx_pd_requests_restricted` — эффективный поиск
-  активных ограничений. Проверить: он используется в `ProcessingRestrictionGuard`.
-
-### З6. Уведомление РКН и реестр обработки (ст.22 152-ФЗ)
-
- [ ] **Проверить вручную:** подана ли заявка оператора в реестр Роскомнадзора
-  на сайте pd.rkn.gov.ru? Это организационная мера, вне кода.
- [ ] **Проверить вручную:** составлен ли внутренний реестр обработки ПДн
-  (перечень категорий субъектов, целей, сроков, мер защиты)?
-  Требование ст.22.1 ФЗ-152.
- [ ] **`incidents_log`** (schema.sql:2535): при утечке ПДн — поле
-  `related_pd_subject_request_ids BIGINT[]`. Проверить: есть ли внутренняя
-  процедура уведомления РКН в течение 24 ч (ст.21.1, с 01.03.2023)?
-
-### З7. Передача ПДн третьим лицам
-
- [ ] **Поставщик crm.bp-gr.ru**: получает запросы с телефонами лидов обратно
-  при синхронизации статусов (`supplier_sync_log`). Проверить наличие договора
-  на обработку ПДн по поручению (ст.6 ч.3 152-ФЗ).
-  **Проверить вручную** — юридический документ.
- [ ] **Unisender Go** (email-рассылки с именами пользователей):
-  **Проверить вручную** — договор поручения на обработку ПДн.
- [ ] **JivoSite** (helpdesk): передаются ли туда email/ФИО клиентов?
-  **Проверить вручную**.
@@ -1,43 +0,0 @@
---
-name: ru-tax-accounting
-description: Контекст РСБУ и налогов РФ (НК РФ, НДС/УСН) применительно к SaaS-выручке Лидерры за лиды. Используй при «учёт выручки по РСБУ», «НДС или УСН», «налоговая база по выручке», «налогооблагаемое событие», «выгрузка для бухгалтера», «проводки РСБУ». НЕ для денежной корректности кода (billing-audit), US-GAAP-отчётности (finance plugin), договоров (D1 право), ПДн (D2), сверки с банком (finance reconciliation).
---
-
-# RU Tax & Accounting — РСБУ/НК РФ контекст для выручки Лидерры
-
-Проектный скил раздела C7 карты «Финансы — бухгалтерия и налоги». Переводит
-billing-выручку (выход C6) в **российский учётно-налоговый контекст** (РСБУ + НК РФ).
-Закрывает gap, который US-GAAP-плагин `finance` (#61) не покрывает.
-
-## Когда использовать
-
- Вопрос «как это учесть/обложить по РФ-правилам?» по выручке/пополнениям/возвратам.
- Подготовка выгрузок/пояснений для бухгалтера из billing-данных.
- Определение налогооблагаемого события и налоговой базы.
-
-## Содержание (см. references/ru-tax-context.md)
-
-1. **Налоговые режимы РФ** — НДС (ОСНО) vs УСН (доходы / доходы-расходы); что применимо к SaaS за лиды.
-2. **Налогооблагаемое событие** — пополнение баланса (аванс) vs списание за лид (реализация) vs возврат.
-3. **Маппинг billing→база** — `lead_charges`/`LedgerService` → выручка → налоговая база; роль `charge_source`.
-4. **РСБУ vs управленческий** — отличие от US-GAAP-отчётов плагина finance; первичка/документы.
-5. **Выгрузки для бухгалтера** — какие данные и в каком разрезе извлечь (Boost/Pest как инструменты выгрузки).
-
-## Границы
-
- ≠ `billing-audit` #62 — тот про *корректность начисления в коде*; ru-tax про *учёт/налог результата*.
- ≠ `finance` plugin #61 — тот US-GAAP-механика (проводки/отчёты/сверка); ru-tax — РФ-специфика РСБУ/НК.
- ≠ D1 «Юриспруденция/договорная» — там договоры/право; ru-tax — налоги.
- ≠ D2 «Защита ПДн (152-ФЗ)» — там персональные данные; ru-tax — налоги.
-
-## Ограничение
-
-Бухгалтерия компании ведётся вне dev-репо (1С/аутсорс). Скил даёт **контекст и выгрузки**,
-не заменяет бухгалтера и не является налоговой консультацией. Реальный платёжный
-провайдер — DEFERRED (Б-1).
-
-## Связано
-
- Вход: выручка из C6 (`lead_charges`, `LedgerService`).
- Reuse: data-scientist #49 (финмодели), Boost #10 / Pest #18 (выгрузка), finance plugin #61 (US-механика).
- ADR-012 (граница finance-tooling C6/C7).
@@ -1,21 +0,0 @@
-{
-  "skill": "ru-tax-accounting",
-  "positive": [
-    "как учесть выручку за лиды по РСБУ",
-    "НДС или УСН для SaaS-выручки",
-    "переведи billing-выручку в налоговую базу",
-    "какое налогооблагаемое событие при пополнении баланса",
-    "выгрузка lead_charges для бухгалтера",
-    "проводки по РСБУ за списания",
-    "налоговый режим для подписочной выручки портала",
-    "что с НДС при возврате на баланс tenant",
-    "налоговая база УСН доходы по выручке за лиды"
-  ],
-  "near_miss": [
-    {"prompt": "проверь идемпотентность списания", "expect": "billing-audit #62"},
-    {"prompt": "US-GAAP financial statement", "expect": "finance plugin #61 financial-statements"},
-    {"prompt": "договор с поставщиком лидов", "expect": "D1 юриспруденция"},
-    {"prompt": "обработка ПДн при выгрузке", "expect": "D2 ПДн 152-ФЗ"},
-    {"prompt": "сверка ledger с банком", "expect": "finance plugin #61 reconciliation"}
-  ]
-}
@@ -1,40 +0,0 @@
-# РСБУ / НК РФ — контекст для выручки Лидерры за лиды
-
-> Не налоговая консультация. Контекст для подготовки данных бухгалтеру.
-
-## 1. Налоговые режимы РФ
-
- **ОСНО + НДС (НК РФ гл. 21)** — НДС 20% на реализацию услуг РФ. Электронные/рекламные
-  услуги — проверить место реализации и применимые льготы.
- **УСН (НК РФ гл. 26.2)** — «доходы» (6%) или «доходы минус расходы» (15%). Без НДС
-  (кроме исключений). Типичный режим для раннего SaaS.
- Применимый режим зависит от регистрации ООО (Б-1) — до закрытия Б-1 фиксируем как параметр.
-
-## 2. Налогооблагаемое событие
-
- **Пополнение баланса** = аванс (предоплата). По НДС — момент определения базы может
-  возникать на аванс; по УСН-доходы — доход по поступлению (кассовый метод).
- **Списание за лид** = реализация услуги (закрытие аванса).
- **Возврат на баланс / с баланса** = корректировка базы.
- Различать по `lead_charges.charge_source` и операциям `LedgerService`.
-
-## 3. Маппинг billing → налоговая база
-
-| Billing-сущность | Учётный смысл |
-|---|---|
-| Пополнение (`BillingTopupService`) | Аванс / поступление |
-| Списание (`LedgerService`, `lead_charges`) | Реализация (выручка) |
-| `delivered_in_month` (`tenants`) | Объём для tier — не налог напрямую |
-| Возврат | Корректировка |
-
-## 4. РСБУ vs управленческий / US-GAAP
-
- РСБУ — российский план счетов, первичные документы (акт/УПД), кассовый/начисление.
- US-GAAP-скилы плагина `finance` (#61) — иная форма (income statement / balance sheet);
-  применимы для *внутренней управленки*, не для РФ-отчётности.
-
-## 5. Выгрузки для бухгалтера
-
- Реестр списаний за период: `lead_charges` (period, tenant, сумма, charge_source).
- Реестр пополнений: операции `LedgerService` / `BillingTopupService`.
- Инструменты выгрузки: Boost #10 (Eloquent/SQL), Pest #18 (фикстуры/проверки), `BillingSummaryProvider` (готовый отчёт-провайдер).
@@ -1,68 +0,0 @@
---
-name: security-go-live
-description: Единый go-live security-gate Лидерры перед публикацией в интернете — один воспроизводимый прогон всех проверок безопасности и вердикт «можно/нельзя в прод». Оркеструет ZAP (#68), Nuclei (#69), Ward (#70), pdn-152fz-audit (#71), threat-model (#72) + Semgrep #25 / Trivy #26 / gitleaks #8 / Trail of Bits #39. Используй при «прогон безопасности перед релизом», «можно ли выкатывать», «go-live security check», «финальная проверка безопасности». НЕ для полного 14-фазного аудита портала (audit-portal), отдельной проверки ПДн (pdn-152fz-audit #71) или угроз (threat-model #72).
---
-
-# Security Go-Live — единый gate безопасности перед публикацией
-
-Проектный скил раздела A8 карты «Информационная безопасность». Запускает
-**один воспроизводимый прогон всех security-проверок** и выдаёт вердикт
-**GO / NO-GO** перед тем, как портал Лидерры становится доступным из интернета.
-
-## Когда использовать
-
- «Прогони все проверки безопасности перед релизом»
- «Можно ли выкатывать портал в прод по безопасности?»
- «Go-live security check» / «финальная проверка безопасности»
- «Готов ли портал к публикации со стороны ИБ?»
-
-## Что это и чем НЕ является
-
-**Это:** операционный gate — воспроизводимый чек-лист, который прогоняется
-каждый раз перед go-live и выдаёт конкретный вердикт с перечнем блокеров.
-
-**Это НЕ:**
-
- ≠ `audit-portal` — тот 14-фазный сквозной аудит качества всего портала
-  (статанализ, тесты, схема БД, UI-smoke, a11y, coverage, bundle и пр.);
-  security-go-live — security-only срез, занимает часть дня, не несколько дней.
- ≠ `pdn-152fz-audit` #71 — тот глубокий аудит персональных данных и 152-ФЗ;
-  security-go-live вызывает его как один шаг, не заменяет.
- ≠ `threat-model` #72 — тот строит модель угроз как документ (STRIDE, карта
-  точек входа); security-go-live проверяет, что выявленные угрозы ЗАКРЫТЫ.
-
-## Порядок прогона
-
-Полная процедура — `references/gate.md`. Кратко:
-
-1. **Статика** — gitleaks, Semgrep, Ward (config/env/deps/code), Trail of Bits.
-2. **ПДн / 152-ФЗ** — вызвать `pdn-152fz-audit` #71.
-3. **Угрозы** — вызвать `threat-model` #72, убедиться что топ-угрозы закрыты.
-4. **Динамика (локальная цель по умолчанию)** — Nuclei (`bin/nuclei.exe`),
-   затем ZAP (spider + active scan). Боевой сервер — только по явной команде.
-5. **Вердикт** — GO / NO-GO с явным списком блокеров.
-
-## Выход
-
-```
-=== SECURITY GO-LIVE REPORT ===
-Дата: YYYY-MM-DD
-Версия схемы: <schema-version>
-Commit: <HEAD>
-
-[ШАГИ 1-4 — результаты по каждому инструменту]
-
-=== ВЕРДИКТ: GO ✅ / NO-GO ❌ ===
-Блокеры (critical/high): <список или "нет">
-Предупреждения (medium): <список или "нет">
-=== END ===
-```
-
-## Связано
-
- `references/gate.md` — подробная процедура прогона + формат вердикта.
- `pdn-152fz-audit` #71, `threat-model` #72 — вызываются как подшаги.
- ZAP #68 (OWASP, DAST), Nuclei #69 (CLI `bin/nuclei.exe`), Ward #70 (Go CLI).
- gitleaks #8, Semgrep #25, Trivy #26, Trail of Bits #39 — статика.
- ADR-013 (infosec-tooling A8), `docs/security/nuclei-setup.md`,
-  `docs/security/infosec-vet.md`.
@@ -1,10 +0,0 @@
-{
-  "skill": "security-go-live",
-  "cases": [
-    {"prompt": "прогони все проверки безопасности перед релизом", "should_trigger": true},
-    {"prompt": "можно ли выкатывать портал в прод по безопасности", "should_trigger": true},
-    {"prompt": "проведи полный аудит портала", "should_trigger": false, "expected": "audit-portal"},
-    {"prompt": "проверь только персональные данные", "should_trigger": false, "expected": "pdn-152fz-audit"},
-    {"prompt": "смоделируй угрозы", "should_trigger": false, "expected": "threat-model"}
-  ]
-}
@@ -1,241 +0,0 @@
-# Security Go-Live Gate — процедура прогона и формат вердикта
-
-Подробная пошаговая процедура для скила `security-go-live` (#73).
-Цель — один воспроизводимый прогон перед каждым выходом портала в интернет.
-
---
-
-## Гарды
-
-**IS8 — цель по умолчанию локальная.** Все динамические проверки (Nuclei, ZAP)
-направляются на локальную или тестовую копию портала (`127.0.0.1`). Боевой
-(`crm.bp-gr.ru` или любой публичный IP) — только по явной команде заказчика:
-«сканируй прод» / «сканируй боевой».
-
-**IS7 — граница с `audit-portal`.** `security-go-live` — security-only gate:
-выдаёт GO/NO-GO по безопасности. Он не заменяет 14-фазный `audit-portal`
-(тесты, схема, UI-smoke, a11y, coverage, bundle и пр.). Перед первым
-production-деплоем рекомендуется прогнать `audit-portal` **и** `security-go-live`
-как два отдельных прогона; при плановых go-live (хотфикс/фича) — достаточно
-`security-go-live`.
-
---
-
-## Шаг 1 — Статика (static analysis)
-
-Запустить последовательно. Каждый инструмент фиксирует результат в разделе
-отчёта.
-
-### 1.1 gitleaks — поиск секретов в истории
-
-```powershell
-# Полная история
-.\bin\gitleaks.exe detect --source . --log-opts "--all"
-# Только staged/unstaged (перед коммитом)
-.\bin\gitleaks.exe protect --staged
-```
-
-Ожидаемо: **0 утечек**. Любой leak = NO-GO (critical).
-
-### 1.2 Semgrep — статический анализ кода
-
-```powershell
-npm run sast
-```
-
-Ожидаемо: **0 critical/high**. Medium — предупреждение (не блокер).
-
-### 1.3 Ward — Laravel config / env / deps / code
-
-Ward (#70) — Go-бинарь, замена заброшенного Enlightn. Сканирует:
-`.env` (8 проверок), `config/*.php` (13 проверок), зависимости Composer
-(через OSV.dev), код (секреты, injection, XSS, debug-артефакты, crypto,
-CORS/CSRF/mass-assignment, auth).
-
-```powershell
-# Если Ward установлен (pending — нет тегов-релизов, pin по commit SHA)
-.\bin\ward.exe scan --path app/
-```
-
-Если Ward **не установлен** (pending `docs/security/ward-setup.md`) — отметить
-в отчёте как `PENDING` и продолжить. Ward — не блокер установки gate,
-но должен быть установлен до первого реального go-live.
-
-Ожидаемо: **0 critical**. High — разобрать вручную. Ошибки конфигурации
-(APP_DEBUG=true, слабые ключи, открытые CORS) = NO-GO если critical.
-
-### 1.4 Trail of Bits — глубокий on-demand аудит (#39)
-
-Вызывается вручную перед первым публичным релизом или при значительных
-изменениях security-периметра. Не требуется при каждом хотфиксе.
-
-```
-/differential-review:diff-review   # если ревьюим конкретный diff
-/audit-context-building:audit-context   # для supply-chain аудита
-```
-
-Результаты фиксируются в `docs/security/trail-of-bits-YYYY-MM-DD.md`.
-
---
-
-## Шаг 2 — ПДн / 152-ФЗ
-
-Вызвать скил `pdn-152fz-audit` (#71).
-
-```
-/pdn-152fz-audit
-```
-
-Прогнать оба режима:
-
- **Режим 1 (технический):** RLS на таблицах ПДн, маскирование pg_anonymizer,
-  отсутствие phone/email в логах, pg_anonymizer в дампах.
- **Режим 2 (соответствие 152-ФЗ):** хранение в РФ, согласия, права субъекта
-  (`pd_subject_requests`), журнал обработки (`pd_processing_log`), уведомление РКН.
-
-Итог: список нарушений (если есть). Нарушения Режима 1 уровня critical (ПДн
-в открытых логах/Sentry) = NO-GO.
-
---
-
-## Шаг 3 — Угрозы (threat model)
-
-Вызвать скил `threat-model` (#72) или открыть последний файл
-`docs/security/threat-model-YYYY-MM-DD.md`.
-
-Цель: убедиться, что **топ-приоритетные угрозы из STRIDE** закрыты контрмерами
-(rate-limit на login, HMAC на webhook, Sanctum token-auth, CSRF, RLS).
-
-Если актуальная модель угроз отсутствует (нет файла за последние 30 дней) —
-запустить `threat-model` перед динамикой.
-
---
-
-## Шаг 4 — Динамика (dynamic analysis, локальная цель)
-
-> **IS8:** по умолчанию цель — локальная копия. Убедиться, что приложение
-> запущено: `php artisan serve` → `http://127.0.0.1:8000`.
-
-### 4.1 Nuclei — широкое сканирование (#69)
-
-Nuclei установлен как CLI-бинарь `bin/nuclei.exe` (MIT, projectdiscovery,
-v3.8.0). **Не MCP-сервер.**
-
-**Квирки native-Windows (обязательно соблюдать):**
-
-1. **Цель — `127.0.0.1`, НЕ `localhost`.** Резолвер Nuclei не разрешает
-   `localhost` на этой машине — цель будет пропущена (квирк зафиксирован в
-   `docs/security/nuclei-setup.md`).
-2. **Низкий rate-limit для dev-сервера.** `php artisan serve` однопоточный;
-   без ограничений Nuclei перегружает его ложными connection-ошибками.
-   Всегда использовать `-rate-limit 20 -c 5`.
-
-```powershell
-# Стандартный прогон (medium+)
-bin\nuclei.exe -u "http://127.0.0.1:8000" `
-  -rate-limit 20 -c 5 -timeout 5 -duc `
-  -severity medium,high,critical
-
-# Только технологический стек (быстрый smoke)
-bin\nuclei.exe -u "http://127.0.0.1:8000" -tags tech `
-  -rate-limit 20 -c 5 -timeout 5 -duc
-```
-
-Если `bin/nuclei.exe` отсутствует — отметить `PENDING` и продолжить.
-Детали установки: `docs/security/nuclei-setup.md`.
-
-Ожидаемо: **0 critical/high**. Medium — разобрать вручную.
-
-### 4.2 ZAP — глубокое DAST (#68)
-
-ZAP (#68) — официальный MCP add-on (`zaproxy/zap-extensions`, Apache-2.0),
-alpha v0.1.0. Требует Java 17+ и запущенного ZAP-демона.
-
-Если ZAP **не установлен** (pending Java) — отметить `PENDING` и продолжить.
-Детали: `docs/security/zap-setup.md` (когда будет создан).
-
-```
-# Через ZAP MCP (когда ZAP установлен)
-# 1. Запустить ZAP-демон: zaproxy -daemon -port 8080 -config api.key=<key>
-# 2. Spider
-ZapStartSpiderTool(url="http://127.0.0.1:8000", contextId=...)
-# 3. Active scan
-ZapStartActiveScanTool(url="http://127.0.0.1:8000", contextId=...)
-# 4. Отчёт
-ZapGenerateReportTool(...)
-```
-
-Ожидаемо: **0 critical/high**. Medium — разобрать вручную.
-Critical/high из ZAP active scan = NO-GO.
-
---
-
-## Шаг 5 — Сбор находок и вердикт
-
-### Severity → статус
-
-| Severity | Источник | Статус gate |
-|---|---|---|
-| critical | любой инструмент | **NO-GO** (блокер) |
-| high | любой инструмент | **NO-GO** (блокер) |
-| medium | любой инструмент | Предупреждение (не блокирует go-live, фиксируется) |
-| low / info | любой инструмент | Информационно |
-| PENDING | ZAP / Ward / Nuclei не установлены | Условный GO — инструменты должны быть установлены до публичного деплоя |
-
-### Формат отчёта
-
-```
-=== SECURITY GO-LIVE REPORT ===
-Дата: YYYY-MM-DD
-Версия схемы: vX.XX
-Commit: <git rev-parse HEAD>
-Цель: http://127.0.0.1:<port> (локальная копия)
-
--- ШАГ 1: СТАТИКА ---
-gitleaks: OK (0 утечек) / FAIL (<N> утечек)
-Semgrep:  OK (0 critical/high) / FAIL (<список>)
-Ward:     OK / FAIL (<список>) / PENDING (не установлен)
-Trail of Bits: OK / SKIP (не применимо к этому прогону)
-
--- ШАГ 2: ПДн / 152-ФЗ ---
-pdn-152fz-audit Режим 1: OK / FAIL (<список>)
-pdn-152fz-audit Режим 2: OK / ПРЕДУПРЕЖДЕНИЯ (<список>)
-
--- ШАГ 3: УГРОЗЫ ---
-threat-model: ЗАКРЫТЫ (файл docs/security/threat-model-YYYY-MM-DD.md)
-Незакрытые топ-угрозы: <список или "нет">
-
--- ШАГ 4: ДИНАМИКА ---
-Nuclei:   OK (0 critical/high) / FAIL (<список>) / PENDING (не установлен)
-ZAP:      OK (0 critical/high) / FAIL (<список>) / PENDING (не установлен)
-
-=== ВЕРДИКТ: GO ✅ / NO-GO ❌ ===
-Блокеры (critical/high):
-  - <инструмент>: <описание> — <рекомендация>
-  (или "Блокеров нет")
-
-Предупреждения (medium):
-  - <инструмент>: <описание>
-  (или "Предупреждений нет")
-
-PENDING-инструменты (должны быть закрыты до публичного деплоя):
-  - Ward #70: установка — docs/security/ward-setup.md
-  - ZAP #68: установка — docs/security/zap-setup.md (pending Java)
-  (или "Все инструменты установлены")
-=== END ===
-```
-
---
-
-## Типичные блокеры и действия
-
-| Находка | Источник | Действие |
-|---|---|---|
-| APP\_DEBUG=true | Ward / Semgrep | Исправить `.env` перед деплоем |
-| Секрет в git-истории | gitleaks | Rotate + `git filter-repo`; НЕ деплоить |
-| ПДн в логах Laravel | pdn-152fz-audit | Убрать из LogChannel + Sentry scrubbing |
-| CSRF отключён | Ward | Проверить `VerifyCsrfToken` middleware |
-| Слабый APP\_KEY | Ward | `php artisan key:generate` |
-| Критическая CVE в зависимости | Semgrep / Ward | `composer update` или `npm update` |
-| SQL injection / XSS | ZAP / Nuclei | Исправить код, перепрогнать |
-| Незакрытая STRIDE-угроза | threat-model | Реализовать контрмеру или принять риск с заказчиком |
@@ -1,66 +0,0 @@
---
-name: threat-model
-description: Моделирование угроз портала Лидерра по STRIDE — карта точек входа, что меняется при выходе в интернет, приоритизация защиты. Используй при «смоделируй угрозы», «откуда могут атаковать», «что защищать в первую очередь перед публикацией», «карта точек входа», «threat model / STRIDE». НЕ для аудита ПДн/152-ФЗ (pdn-152fz-audit #71), статического security-аудита кода (D3/Semgrep/Trail of Bits), generic архитектурных паттернов (architecture-patterns), go-live прогона (security-go-live #73).
---
-
-# Threat Model — моделирование угроз портала Лидерра
-
-Проектный скил раздела A8 карты «Информационная безопасность». Применяет методологию
-**STRIDE** к реальным точкам входа портала и отвечает на главный вопрос перед
-публикацией: **что именно меняется, когда в систему может зайти любой из интернета**.
-
-## Когда использовать
-
- «Смоделируй угрозы» / «откуда могут атаковать» / «что защищать в первую очередь»
- Подготовка к go-live — составление модели угроз как артефакта (отдельно от
-  чек-листа запуска, который — в `security-go-live #73`)
- Анализ конкретного эндпоинта: «насколько опасен открытый `/api/webhook/{token}`?»
- Ответ на вопрос заказчика / регулятора «покажи модель угроз»
-
-## Процедура STRIDE для Лидерры
-
-Полный разбор точек входа и таблица угроз — `references/stride-portal.md`.
-
-### Шаги
-
-1. **Определить периметр** — что сейчас открыто наружу vs что будет открыто после
-   публикации. Основа: список точек входа в `references/stride-portal.md`.
-2. **Пройти по STRIDE для каждой точки** — заполнить 6 строк (S/T/R/I/D/E).
-   Опираться на таблицу в `references/stride-portal.md`; при новых эндпоинтах
-   добавлять строки по тому же шаблону.
-3. **Оценить вероятность × ущерб** — приоритизировать по матрице из `references/stride-portal.md`.
-4. **Сформировать список контрмер** — что уже есть (RLS, HMAC, Sanctum, rate-limit),
-   чего не хватает (rate-limit на login, WAF, 2FA enforcement, и т.д.).
-5. **Сохранить результат** в `docs/security/threat-model-YYYY-MM-DD.md`.
-
-## Выход
-
-Файл `docs/security/threat-model-<дата>.md` со структурой:
-
- Область действия (дата, версия схемы, commit)
- Карта точек входа (таблица)
- STRIDE по каждой точке
- Дельта «был закрытый круг → стал интернет»
- Приоритизированный список рисков с контрмерами
-
-## Границы
-
- ≠ `pdn-152fz-audit` #71 — тот про *персональные данные и 152-ФЗ* (конкретные
-  таблицы, согласия, права субъекта); threat-model про *вектора атак и защиту
-  эндпоинтов*.
- ≠ D3 audit-security (#39/#40 Trail of Bits / Semgrep) — те про *статический
-  анализ кода на уязвимости*; threat-model про *архитектурную карту угроз*.
- ≠ `architecture-patterns` #38 — тот generic-паттерны; threat-model — конкретный
-  портал, конкретные маршруты.
- ≠ `security-go-live` #73 — тот *прогоняет конкретный чек-лист* перед релизом
-  (Nmap, заголовки, CVE, gitleaks, DAST); threat-model *строит модель угроз как
-  документ* (вход для чек-листа и приоритизации работ).
-
-## Связано
-
- `references/stride-portal.md` — детальная карта точек входа и STRIDE-таблица.
- `pdn-152fz-audit` #71 — смежный аудит ПДн; часто запускается вместе с threat-model.
- `security-go-live` #73 — операционный прогон после threat-model завершён.
- D3 / Semgrep #25 / Trail of Bits #39 — статический анализ; дополняет threat-model
-  на уровне кода.
- ADR-013 (infosec-tooling A8).
@@ -1,13 +0,0 @@
-{
-  "skill": "threat-model",
-  "cases": [
-    {"prompt": "смоделируй угрозы при выходе портала в интернет", "should_trigger": true},
-    {"prompt": "что защищать в первую очередь перед публикацией", "should_trigger": true},
-    {"prompt": "откуда могут атаковать портал", "should_trigger": true},
-    {"prompt": "составь карту точек входа", "should_trigger": true},
-    {"prompt": "сделай threat model по STRIDE", "should_trigger": true},
-    {"prompt": "проверь соответствие 152-ФЗ", "should_trigger": false, "expected": "pdn-152fz-audit"},
-    {"prompt": "прогони все проверки безопасности перед релизом", "should_trigger": false, "expected": "security-go-live"},
-    {"prompt": "просканируй код на уязвимости семгрепом", "should_trigger": false, "expected": "D3/Semgrep"}
-  ]
-}
@@ -1,198 +0,0 @@
-# STRIDE — карта угроз портала Лидерра
-
-Основан на реальных маршрутах `app/routes/web.php` (v8.26, 21.05.2026).
-Стек: Laravel 13 + Vue 3 + PostgreSQL 16 RLS + Redis, Yandex Cloud `ru-central1`.
-
---
-
-## Карта точек входа
-
-| # | Точка входа | Маршрут(ы) | Аутентификация |
-|---|---|---|---|
-| E1 | Вход / регистрация | `POST /api/auth/login`, `POST /api/auth/register` | Публичный |
-| E2 | 2FA и коды восстановления | `POST /api/auth/2fa/verify`, `POST /api/auth/2fa/recovery-use` | Публичный (pending-session) |
-| E3 | Сброс пароля | `POST /api/auth/forgot`, `POST /api/auth/reset-password` | Публичный |
-| E4 | Входящий webhook поставщика | `POST /api/webhook/supplier/{secret}` | URL-secret + IP-allowlist |
-| E5 | Входящий webhook тенанта | `POST /api/webhook/{token}` | URL-token + (prod: HMAC X-Webhook-Signature + rate-limit) |
-| E6 | API сделок | `GET/POST/PATCH/DELETE /api/deals`, `/api/deals/export`, `/api/deals/transition`, `/api/deals/restore` | Sanctum SPA + tenant |
-| E7 | API проектов | `GET/POST/PATCH/DELETE /api/projects/{id}`, `/api/projects/bulk`, `/api/projects/{id}/sync` | Sanctum SPA + tenant |
-| E8 | API импорта CSV | `POST /api/imports`, `GET /api/imports/{importLog}`, `/api/imports/unknown-statuses` | Sanctum SPA + tenant |
-| E9 | Lookup-эндпоинты | `GET /api/managers`, `GET /api/lead-statuses` | **Без auth** (открытые) |
-| E10 | Биллинг тенанта | `POST /api/billing/topup`, `GET /api/billing/wallet`, `/transactions`, `/invoices` | Sanctum SPA + tenant |
-| E11 | Charges ledger | `GET /api/billing/charges`, `POST /api/billing/charges/export` | Sanctum SPA + tenant |
-| E12 | API-ключи тенанта | `GET /api/api-keys`, `POST /api/api-keys/regenerate` | Sanctum SPA + tenant |
-| E13 | Webhook-настройки тенанта | `GET/PUT /api/tenants/me/webhook-settings`, `POST /api/webhooks/test` | Sanctum SPA + tenant |
-| E14 | Напоминания | `GET/POST/PATCH/DELETE /api/reminders/{id}` | Sanctum SPA + tenant |
-| E15 | Уведомления | `GET/PATCH/POST/DELETE /api/notifications/{id}` | Sanctum SPA + tenant |
-| E16 | Отчёты | `GET/POST/DELETE /api/reports/jobs/{id}`, `POST /{id}/retry`, `POST /{id}/cancel` | Sanctum SPA + tenant |
-| E17 | Скачивание отчёта | `GET /api/reports/jobs/{id}/file` | Signed URL (без Sanctum) |
-| E18 | Дашборд | `GET /api/dashboard/summary` | **Без auth** (MVP-заглушка) |
-| E19 | Профиль / уведомления-настройки | `GET/PATCH /api/auth/me`, `PATCH /api/auth/me/notification-preferences` | Sanctum SPA |
-| E20 | SaaS-admin: тенанты, биллинг, инциденты, система | `GET/PATCH /api/admin/**` | `saas-admin` middleware |
-| E21 | SaaS-admin: импersonation | `POST /api/admin/impersonation/init`, `/verify`, `/end` | `saas-admin` middleware |
-| E22 | SaaS-admin: supplier-integration | `GET/POST /api/admin/supplier-integration/**` | `saas-admin` middleware |
-| E23 | 2FA setup (авторизованный) | `POST /api/2fa/init`, `/confirm`, `/disable`, `/regenerate-recovery-codes` | Sanctum SPA |
-| E24 | SPA-оболочка | `GET /`, `/login`, `/register`, `/deals`, … (20+ маршрутов) | Без auth (Vue shell) |
-
---
-
-## Дельта «закрытый круг → интернет»
-
-До публикации портал доступен только команде (VPN или фиксированные IP).
-После публикации **любой актор из интернета** может обратиться к каждому публичному
-эндпоинту. Критические изменения:
-
-| Изменение | Затронутые точки | Почему важно |
-|---|---|---|
-| Брутфорс и credential stuffing | E1 (login) | Нет rate-limit на `/api/auth/login` (на момент анализа) |
-| Энумерация пользователей | E1, E3 | Разные ответы на «существующий / несуществующий email» создают oracle |
-| Replay и forgery webhook | E4, E5 | Secret в URL виден в логах прокси/nginx; HMAC на E5 — «prod» (не в dev) |
-| Открытые lookup-эндпоинты | E9 | `GET /api/managers`, `GET /api/lead-statuses` без auth — раскрывают ФИО менеджеров |
-| Открытый дашборд | E18 | `GET /api/dashboard/summary` без auth — раскрывает KPI текущего тенанта |
-| DoS на artisan-сервере | Все | `php artisan serve` не держит нагрузку; нужен nginx/Octane |
-| SSRF через webhook-test | E13 | `POST /api/webhooks/test` отправляет запрос на URL из тела — риск SSRF во внутреннюю сеть YC |
-| Impersonation без prod-auth | E21 | `saas-admin` middleware в dev-режиме пропускает без проверки (`SAAS_ADMIN_TEST_BYPASS`) |
-| Signed URL без срока инвалидации | E17 | Отчёт с ПДн доступен 24 ч по ссылке без повторной аутентификации |
-
---
-
-## STRIDE по точкам входа
-
-### E1 — Вход / Регистрация (`POST /api/auth/login`, `POST /api/auth/register`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **S** Spoofing | Брутфорс пароля, credential stuffing | Bcrypt-хеш пароля | Нет rate-limit на login |
-| **T** Tampering | Подмена `tenant_id` в теле запроса | `tenant_id` берётся из `auth()->user()`, не из тела | — |
-| **R** Repudiation | Отрицание входа | `auth_log` пишет login/logout | Нет IP + User-Agent в каждой записи |
-| **I** Info disclosure | Энумерация email через разные ответы | Unified-ответ на forgot (E3) | Login может раскрывать «нет такого пользователя» |
-| **D** DoS | Флуд регистраций, засорение БД | — | Нет captcha / email-верификации на register |
-| **E** Elevation | Регистрация с `is_admin=true` в теле | Mass-assignment guard (fillable) | Проверить `$fillable` в `User` — нет ли `role` |
-
-### E2 — 2FA (`POST /api/auth/2fa/verify`, `POST /api/auth/2fa/recovery-use`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **S** Spoofing | Брутфорс 6-значного TOTP | TOTP 30-сек окно | Нет rate-limit на `/2fa/verify` |
-| **T** Tampering | Подмена `pending_user_id` в session | Серверная session | Проверить изоляцию session между тенантами |
-| **R** Repudiation | Использование кода восстановления | `auth_log` | Фиксируется ли `recovery_used` событие? |
-| **I** Info disclosure | Тайминг-атака на сравнение TOTP | TOTP библиотека (constant-time?) | Проверить реализацию `verifyTwoFactor` |
-| **D** DoS | Флуд на `/2fa/verify` истощает session-store | — | Нет rate-limit |
-| **E** Elevation | Обход 2FA через `recovery-use` | Коды — одноразовые, хранятся hashed | Если коды в открытом виде — критично |
-
-### E3 — Сброс пароля (`POST /api/auth/forgot`, `POST /api/auth/reset-password`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **S** Spoofing | Захват аккаунта через сброс пароля чужого email | Токен по email | Нет rate-limit на `/forgot` |
-| **T** Tampering | Подмена токена сброса | Cryptographic token (Laravel default) | Проверить срок жизни токена (1 ч?) |
-| **R** Repudiation | — | — | — |
-| **I** Info disclosure | Энумерация email через тайминг ответа | Unified-ответ задокументирован в роутах | Проверить фактическую реализацию ответа |
-| **D** DoS | Флуд `/forgot` → очередь email | — | Нет rate-limit → перегрузка Unisender Go |
-| **E** Elevation | — | — | — |
-
-### E4 — Webhook поставщика (`POST /api/webhook/supplier/{secret}`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **S** Spoofing | Подделка запроса от crm.bp-gr.ru | URL-secret + IP allowlist (`system_settings.supplier_ip_allowlist`) | Secret виден в логах nginx/прокси |
-| **T** Tampering | Подмена payload (телефон, стоимость лида) | — | Нет HMAC на тело; только secret в URL |
-| **R** Repudiation | Отрицание доставки лида | `supplier_leads.raw_payload` | Нет timestamp-подписи для доказательства |
-| **I** Info disclosure | Secret в URL → в access-логах сервера | IP allowlist сужает круг | Ротация secret при компрометации? |
-| **D** DoS | Флуд поддельных лидов → списание баланса | IP allowlist | Если allowlist обходится (SSRF) |
-| **E** Elevation | Подмена `tenant_id` в payload | Берётся из `system_settings` глобально | Архитектурно корректно; проверить lookup |
-
-### E5 — Webhook тенанта (`POST /api/webhook/{token}`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **S** Spoofing | Запрос от неавторизованного источника | URL-token из `tenants.webhook_token`; HMAC X-Webhook-Signature (prod) | HMAC только в prod; dev уязвим |
-| **T** Tampering | Изменение payload в transit | HMAC-валидация (prod) | В dev отключена — нельзя тестировать на prod-данных |
-| **R** Repudiation | — | `supplier_leads.raw_payload` | — |
-| **I** Info disclosure | Token в URL виден в логах | Per-token rate-limit | Нет ротации token при смене API-ключа |
-| **D** DoS | Replay flood | Per-token rate-limit (prod) | Нет в dev |
-| **E** Elevation | Лид с завышенной ценой | Стоимость берётся из `PricingTierResolver`, не из payload | Архитектурно защищено |
-
-### E9 — Открытые lookup-эндпоинты (`GET /api/managers`, `GET /api/lead-statuses`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **S** Spoofing | — | — | — |
-| **T** Tampering | — | — | — |
-| **R** Repudiation | — | — | — |
-| **I** Info disclosure | ФИО менеджеров без аутентификации | — | **Нет auth** — любой из интернета получает список менеджеров |
-| **D** DoS | Флуд запросами | — | Нет rate-limit |
-| **E** Elevation | — | — | — |
-
-### E18 — Дашборд без auth (`GET /api/dashboard/summary`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **I** Info disclosure | KPI, баланс, активность тенанта без аутентификации | — | **MVP-заглушка**: auth не включён; в prod обязателен |
-| **D** DoS | Тяжёлый агрегационный запрос без auth | — | Доступен без токена |
-
-### E20 — SaaS-admin (`GET/PATCH /api/admin/**`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **S** Spoofing | Доступ к admin-панели без Yandex 360 SSO | `saas-admin` middleware (fail-closed 503 в prod) | SSO не реализован до Б-1; `SAAS_ADMIN_TEST_BYPASS` в prod = полный доступ |
-| **T** Tampering | Изменение тарифа, статуса тенанта без аудита | `saas_admin_audit_log` | — |
-| **R** Repudiation | Отрицание действий admin | `saas_admin_audit_log` | Нет подписи/2FA для деструктивных операций |
-| **I** Info disclosure | Данные всех тенантов | `saas-admin` middleware | SAAS_ADMIN_TEST_BYPASS=true в production = полный дамп |
-| **D** DoS | Bulk-delete тенантов | — | Нет подтверждения для деструктивных bulk-операций |
-| **E** Elevation | Impersonation любого тенанта | `saas-admin` middleware | Та же уязвимость через bypass |
-
-### E21 — Impersonation (`POST /api/admin/impersonation/init`, `/verify`, `/end`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **S** Spoofing | Имперсонация без реального admin-права | `saas-admin` middleware | Bypass в dev/test режиме |
-| **T** Tampering | Изменение `admin_user_id` в токене | Token-based flow | Проверить, что token не forgeble |
-| **R** Repudiation | Отрицание сессии имперсонации | `impersonation_tokens` логирует | Нет нотификации целевому тенанту |
-| **E** Elevation | Получение прав тенанта через impersonation | Scope ограничен tenant-контекстом | Если RLS bypass во время импersонации |
-
-### E13 — SSRF через webhook-test (`POST /api/webhooks/test`)
-
-| Угроза | Описание | Текущий контроль | Пробел |
-|---|---|---|---|
-| **T** Tampering | Отправка запроса на внутренний адрес YC | — | **Нет фильтрации URL** — SSRF во внутреннюю сеть Yandex Cloud (metadata service 169.254.169.254) |
-| **I** Info disclosure | YC instance metadata (IAM-токен, настройки сети) | — | Критично: SSRF → metadata API → IAM credentials |
-
---
-
-## Приоритизация рисков
-
-Матрица: **Вероятность** (В — высокая / С — средняя / Н — низкая) ×
-**Ущерб** (К — критический / В — высокий / С — средний / Н — низкий).
-
-| Приоритет | Риск | Точка | Вероятность | Ущерб | Контрмера |
-|---|---|---|---|---|---|
-| 🔴 P0 | SAAS_ADMIN_TEST_BYPASS=true в prod | E20, E21 | В | К | Убедиться, что флаг false в `.env.production`; fail-closed middleware |
-| 🔴 P0 | SSRF через `/api/webhooks/test` | E13 | С | К | Валидировать URL: запрещать RFC1918 + link-local + metadata-IP; использовать DNS-rebind защиту |
-| 🔴 P0 | `GET /api/dashboard/summary` без auth | E18 | В | В | Добавить `auth:sanctum + tenant` middleware до prod |
-| 🔴 P0 | `GET /api/managers`, `GET /api/lead-statuses` без auth | E9 | В | С | Добавить `auth:sanctum + tenant` |
-| 🟠 P1 | Нет rate-limit на login / forgot / 2fa/verify | E1, E2, E3 | В | В | Laravel Throttle middleware (e.g. `throttle:5,1`) |
-| 🟠 P1 | URL-secret поставщика виден в access-логах | E4 | С | В | Перевести на HMAC-заголовок; ротировать secret; закрыть логи |
-| 🟠 P1 | Флуд поддельных лидов → списание баланса | E4, E5 | С | В | IP allowlist жёсткий; HMAC на тело (E4); idempotency-key |
-| 🟡 P2 | Энумерация email на login (не только forgot) | E1 | В | С | Unified-ответ на login тоже |
-| 🟡 P2 | Флуд регистраций без email-верификации | E1 | С | С | Email verification или captcha |
-| 🟡 P2 | Signed URL отчёта 24 ч без аутентификации | E17 | Н | С | Сократить TTL; добавить revocation при logout |
-| 🟡 P2 | Нет нотификации тенанту при impersonation | E21 | Н | С | Email/in-app уведомление при входе admin |
-| 🟢 P3 | Тайминг-атака на TOTP | E2 | Н | С | Проверить constant-time compare в TwoFactorController |
-| 🟢 P3 | Тайминг-атака на email в forgot | E3 | Н | Н | Unified-ответ + jitter sleep |
-
---
-
-## Что уже защищает портал (baseline)
-
- **RLS PostgreSQL** — 39 политик; кросс-tenant утечка через SQL закрыта.
- **Sanctum SPA auth** — все бизнес-эндпоинты под `auth:sanctum + tenant`.
- **Per-token rate-limit** — на входящих webhook'ах тенанта (E5).
- **IP allowlist** — на webhook поставщика (E4).
- **HMAC X-Webhook-Signature** — на E5 в prod (не в dev).
- **`auth_log`** — фиксирует login/logout события.
- **`saas_admin_audit_log`** — фиксирует admin-действия.
- **Bcrypt** — хеш пароля; коды восстановления 2FA — hashed.
- **`saas-admin` middleware** — fail-closed 503 в prod (если `SAAS_ADMIN_TEST_BYPASS=false`).
- **Signed URL** — для скачивания отчётов (E17).
- **gitleaks** — pre-commit/pre-push; секреты не должны попасть в репозиторий.
@@ -98,10 +98,7 @@ paths = [
  # Vitest-тесты с assertion на mock-данные (mock-телефоны из mockDeals)
  '''app/tests/Frontend/.*\.(spec|test)\.ts''',
  # Settings-вкладки с фиктивными mock-данными (профиль/сессии — UI-разводка)
-  '''app/resources/js/views/settings/.*\.vue''',
-  # Test fixtures for the observer PII filter — contains synthetic JWT / AWS /
-  # Yandex tokens that the filter is supposed to redact. Not real secrets.
-  '''tools/observer-pii-filter\.test\.mjs'''
+  '''app/resources/js/views/settings/.*\.vue'''
 ]
 regexTarget = "match"
 regexes = [
@@ -1,26 +0,0 @@
-# gitleaks false-positive allowlist (fingerprints).
-# Format: one fingerprint per line. `gitleaks detect --report-format json` outputs them.
-
-# Nuclei docs `-u http://...` — nuclei's -u flag is "target URL", not curl basic-auth.
-# Rule `curl-auth-user` matches the pattern but it's not authentication.
-f696ca50266eb1c2974b5fc89f6fa585edaf4b6b:docs/security/nuclei-setup.md:curl-auth-user:27
-
-# 2026-05-22 evening — rt-add-project-form.yml в stash (untracked файл captured при stash push -u
-# до checkout main). Стэш не пушится, но gitleaks-full-history сканит refs/stash. Эти телефоны —
-# реальные данные supplier-формы, не наша утечка; rt-add-project-form.yml в .gitignore.
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:912
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:921
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:941
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:950
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:970
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:979
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:3811
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:3820
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:3840
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:3849
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:3869
-229beb2d4ef190f6e29dd9ad31a642535601154f:rt-add-project-form.yml:ru-phone-unmasked:3878
-
-# 2026-05-22 — nuclei-setup.md curl-auth-user тот же FP что и раньше (f696ca5),
-# но коммит другой (05437ba) — параллельная сессия пере-коммитила тот же файл.
-05437ba79a26a7a7bbbe0ffb2f2573c432a9a4d1:docs/security/nuclei-setup.md:curl-auth-user:27
@@ -1,85 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Console\Commands;
-
-use App\Models\User;
-use App\Services\Supplier\Import\SupplierProjectImporter;
-use Illuminate\Console\Command;
-
-/**
- * Разовый импорт активных проектов поставщика (аккаунт lkomega) как проектов
- * Лидерры под тенантом владельца. По умолчанию dry-run (печатает план, ничего
- * не пишет). С --commit пишет в БД через pgsql_supplier (BYPASSRLS), портал НЕ
- * трогает. Идемпотентна.
- *
- * Plan: docs/superpowers/plans/2026-05-22-supplier-projects-import-lkomega.md
- */
-class ImportSupplierProjectsCommand extends Command
-{
-    protected $signature = 'supplier:import-projects
-        {--tenant= : email пользователя тенанта (напр. info@lkomega.ru)}
-        {--commit : выполнить запись (без флага — только dry-run)}';
-
-    protected $description = 'Усыновить активные проекты поставщика как проекты Лидерры под тенантом (dry-run по умолчанию)';
-
-    public function handle(SupplierProjectImporter $importer): int
-    {
-        $email = (string) $this->option('tenant');
-        if ($email === '') {
-            $this->error('Укажите --tenant=<email>');
-
-            return self::FAILURE;
-        }
-
-        $tenantId = User::on('pgsql_supplier')->where('email', $email)->value('tenant_id');
-        if ($tenantId === null) {
-            $this->error("Тенант для email '{$email}' не найден.");
-
-            return self::FAILURE;
-        }
-
-        $plan = $importer->buildPlan((int) $tenantId);
-
-        $this->info(sprintf('Тенант %s (id=%d). К созданию: %d проектов. Пропущено строк/групп: %d.',
-            $email, $tenantId, count($plan['planned']), count($plan['skipped'])));
-
-        $this->table(
-            ['Тип', 'Идентификатор', 'Тег', 'Регионы', 'Лимит', 'Площадки (external_id)'],
-            array_map(fn (array $p): array => [
-                $p['signal_type'],
-                $this->mask($p['signal_identifier'] ?? ($p['sms_senders'][0] ?? '')),
-                mb_substr((string) $p['tag'], 0, 30),
-                $p['regions'] === [] ? 'вся РФ' : implode(',', $p['regions']),
-                (string) $p['daily_limit_target'],
-                collect($p['platforms'])->map(fn (array $pl): string => $pl['platform'].':'.$pl['external_id'])->implode(' '),
-            ], $plan['planned']),
-        );
-
-        if ($plan['skipped'] !== []) {
-            $this->warn('Пропуски:');
-            foreach ($plan['skipped'] as $s) {
-                $this->line(sprintf('  - [%s] %s', $s['reason'], $this->mask($s['label'])));
-            }
-        }
-
-        if (! $this->option('commit')) {
-            $this->comment('DRY-RUN: ничего не записано. Повторите с --commit для реальной записи.');
-
-            return self::SUCCESS;
-        }
-
-        $result = $importer->commit($plan, (int) $tenantId);
-        $this->info(sprintf('Создано: проектов=%d, supplier_projects=%d, связок=%d.',
-            $result['created_projects'], $result['created_supplier_projects'], $result['created_links']));
-
-        return self::SUCCESS;
-    }
-
-    /** Маскирует цифровые хвосты (телефоны) для вывода (152-ФЗ). */
-    private function mask(string $value): string
-    {
-        return (string) preg_replace_callback('/\d{4,}/', static fn (array $m): string => substr($m[0], 0, 2).str_repeat('*', max(0, strlen($m[0]) - 4)).substr($m[0], -2), $value);
-    }
-}
@@ -5,7 +5,6 @@ declare(strict_types=1);
 namespace App\Console\Commands;

 use App\Models\ReportJob;
-use App\Services\Pd\PdAuditLogger;
 use Illuminate\Console\Command;
 use Illuminate\Support\Carbon;
 use Illuminate\Support\Facades\Storage;
@@ -70,16 +69,6 @@ class ReportsCleanupExpired extends Command

            if (! $dryRun) {
                Storage::disk('local')->delete($job->file_path);
-                app(PdAuditLogger::class)->record(
-                    action: 'deleted',
-                    subjectType: 'lead',
-                    subjectId: null,
-                    purpose: 'report_cleanup_expired_'.$job->id,
-                    tenantId: $job->tenant_id,
-                    actorTenantUserId: null,
-                    actorAdminUserId: null,
-                    ip: null,
-                );
                $job->update(['file_path' => null]);
            }
            $count++;
@@ -10,9 +10,6 @@ use App\Models\Project;
 use App\Models\SupplierManualSyncQueue;
 use App\Models\SupplierProject;
 use App\Services\Supplier\Channel\SupplierProjectChannel;
-use App\Services\Supplier\SupplierExportMode;
-use App\Services\Supplier\SupplierPortalClient;
-use App\Support\RussianRegions;
 use Illuminate\Http\JsonResponse;
 use Illuminate\Http\Request;
 use Illuminate\Support\Facades\DB;
@@ -145,114 +142,4 @@ final class AdminSupplierIntegrationController extends Controller

        return response()->json(['resolved' => true, 'external_id' => $found]);
    }
-
-    /**
-     * Глобальный режим экспорта проектов поставщику (Plan 4 Task 1).
-     * Spec: docs/superpowers/specs/2026-05-20-project-migration-redesign-design.md §4.1.
-     */
-    public function getExportMode(): JsonResponse
-    {
-        return response()->json(['mode' => SupplierExportMode::current()]);
-    }
-
-    public function setExportMode(Request $request): JsonResponse
-    {
-        $data = $request->validate([
-            'mode' => ['required', 'in:online,batch'],
-        ]);
-
-        DB::table('system_settings')->updateOrInsert(
-            ['key' => 'supplier_export_mode'],
-            ['value' => $data['mode'], 'type' => 'string', 'updated_at' => now()],
-        );
-
-        return response()->json(['mode' => $data['mode']]);
-    }
-
-    /**
-     * Plan 4 Task 2: список supplier_projects + кто заказывал (через pivot →
-     * projects → tenants) + дата последней поставки лида.
-     */
-    public function projectsIndex(): JsonResponse
-    {
-        $rows = DB::table('supplier_projects as sp')
-            ->select([
-                'sp.id',
-                'sp.platform',
-                'sp.signal_type',
-                'sp.unique_key',
-                'sp.subject_code',
-                'sp.supplier_external_id',
-                'sp.current_limit',
-                'sp.inactive_since',
-            ])
-            ->orderBy('sp.unique_key')
-            ->orderBy('sp.subject_code')
-            ->orderBy('sp.platform')
-            ->get();
-
-        $projects = $rows->map(function ($sp): array {
-            $orderers = DB::table('project_supplier_links as psl')
-                ->join('projects as p', 'p.id', '=', 'psl.project_id')
-                ->join('tenants as t', 't.id', '=', 'p.tenant_id')
-                ->where('psl.supplier_project_id', $sp->id)
-                ->distinct()
-                ->pluck('t.organization_name')
-                ->all();
-
-            $lastDelivery = DB::table('supplier_leads')
-                ->where('supplier_project_id', $sp->id)
-                ->max('received_at');
-
-            $subjectCode = $sp->subject_code !== null ? (int) $sp->subject_code : null;
-
-            return [
-                'id' => (int) $sp->id,
-                'platform' => $sp->platform,
-                'signal_type' => $sp->signal_type,
-                'unique_key' => $sp->unique_key,
-                'subject_code' => $subjectCode,
-                'subject_name' => $subjectCode !== null
-                    ? (RussianRegions::CODE_TO_NAME[$subjectCode] ?? null)
-                    : 'РФ',
-                'current_limit' => (int) $sp->current_limit,
-                'supplier_external_id' => $sp->supplier_external_id,
-                'inactive_since' => $sp->inactive_since,
-                'orderers' => $orderers,
-                'last_delivery_at' => $lastDelivery,
-            ];
-        });
-
-        return response()->json(['projects' => $projects->all()]);
-    }
-
-    /**
-     * Plan 4 Task 2: bulk-delete выбранных supplier_projects.
-     * Сначала на портале (deleteProject), затем локально (pivot снимается CASCADE).
-     * Сбой по строке — не прерывает batch, копится в failures[].
-     */
-    public function projectsDestroy(Request $request, SupplierPortalClient $client): JsonResponse
-    {
-        $data = $request->validate([
-            'ids' => ['required', 'array', 'min:1'],
-            'ids.*' => ['integer'],
-        ]);
-
-        $deleted = 0;
-        $failures = [];
-
-        foreach (SupplierProject::whereIn('id', $data['ids'])->get() as $sp) {
-            try {
-                if ($sp->supplier_external_id !== null) {
-                    $client->deleteProject((int) $sp->supplier_external_id);
-                }
-                $sp->delete();
-                $deleted++;
-            } catch (\Throwable $e) {
-                $failures[] = ['id' => $sp->id, 'error' => $e->getMessage()];
-            }
-        }
-
-        return response()->json(['deleted' => $deleted, 'failures' => $failures]);
-    }
 }
@@ -4,7 +4,6 @@ declare(strict_types=1);

 namespace App\Http\Controllers\Api;

-use App\Http\Controllers\Concerns\WritesAuthLog;
 use App\Http\Controllers\Controller;
 use App\Http\Requests\Auth\LoginRequest;
 use App\Http\Requests\Auth\RegisterRequest;
@@ -48,8 +47,6 @@ use Illuminate\Support\Facades\RateLimiter;
 */
 class AuthController extends Controller
 {
-    use WritesAuthLog;
-
    /** Лимит попыток входа в окне (ТЗ §22.4.4 + system_settings.login_max_attempts=5). */
    private const LOGIN_MAX_ATTEMPTS = 5;

@@ -81,7 +78,7 @@ class AuthController extends Controller

        if (! $user || ! Hash::check($credentials['password'], $user->password_hash)) {
            RateLimiter::hit($throttleKey, self::LOGIN_DECAY_SECONDS);
-            $this->logAuthEvent('login_failed', $user?->id, $user?->tenant_id, $credentials['email'], $ip, $request->userAgent(),
+            $this->logAuthEvent('login_failed', $user, $credentials['email'], $ip, $request->userAgent(),
                $user ? 'invalid_password' : 'unknown_email');
            $this->maybeNotifySuspiciousLogin($user, $ip);

@@ -93,7 +90,7 @@ class AuthController extends Controller

        if (! $user->is_active) {
            RateLimiter::hit($throttleKey, self::LOGIN_DECAY_SECONDS);
-            $this->logAuthEvent('login_failed', $user->id, $user->tenant_id, $credentials['email'], $ip, $request->userAgent(),
+            $this->logAuthEvent('login_failed', $user, $credentials['email'], $ip, $request->userAgent(),
                'account_locked');

            return response()->json([
@@ -123,7 +120,7 @@ class AuthController extends Controller

        $user->update(['last_login_at' => now()]);

-        $this->logAuthEvent('login_success', $user->id, $user->tenant_id, $user->email, $ip, $request->userAgent(), null);
+        $this->logAuthEvent('login_success', $user, $user->email, $ip, $request->userAgent(), null);

        return response()->json([
            'user' => $this->userResource($user),
@@ -155,8 +152,6 @@ class AuthController extends Controller
        Auth::login($user);
        $request->session()->regenerate();

-        $this->logAuthEvent('register_success', $user->id, $user->tenant_id, $user->email, $request->ip(), $request->userAgent(), null);
-
        return response()->json([
            'user' => $this->userResource($user),
            'requires_2fa' => false,
@@ -175,17 +170,11 @@ class AuthController extends Controller

    public function logout(Request $request): JsonResponse
    {
-        $userId = $request->user()?->id;
-        $tenantId = $request->user()?->tenant_id;
-        $email = $request->user()?->email;
-
        Auth::guard('web')->logout();

        $request->session()->invalidate();
        $request->session()->regenerateToken();

-        $this->logAuthEvent('logout', $userId, $tenantId, $email, $request->ip(), $request->userAgent(), null);
-
        return response()->json(['message' => 'Вы вышли из системы.']);
    }

@@ -322,6 +311,34 @@ class AuthController extends Controller
        }
    }

+    /**
+     * Запись события auth_log.
+     *
+     * Через DB::table — auth_log имеет hash-chain trigger BEFORE INSERT,
+     * который заполняет log_hash. Eloquent-модели для этой таблицы нет.
+     * RLS USING без WITH CHECK — INSERT не фильтруется.
+     */
+    private function logAuthEvent(
+        string $event,
+        ?User $user,
+        ?string $email,
+        ?string $ip,
+        ?string $userAgent,
+        ?string $failureReason,
+    ): void {
+        DB::table('auth_log')->insert([
+            'actor_type' => 'tenant_user',
+            'tenant_id' => $user?->tenant_id,
+            'user_id' => $user?->id,
+            'email' => $email,
+            'event' => $event,
+            'ip_address' => $ip,
+            'user_agent' => $userAgent,
+            'failure_reason' => $failureReason,
+            'created_at' => now(),
+        ]);
+    }
+
    /** 429 Too Many Requests + Retry-After header (секунды до следующей попытки). */
    private function lockoutResponse(string $throttleKey): JsonResponse
    {
@@ -28,9 +28,10 @@ class DashboardController extends Controller

    public function summary(Request $request): JsonResponse
    {
-        // Go-live (audit J3): tenant_id из authed-user (auth:sanctum + tenant
-        // middleware), НЕ из параметра запроса — закрывает кросс-tenant утечку KPI.
-        $tenantId = (int) $request->user()->tenant_id;
+        $tenantId = (int) $request->query('tenant_id', '0');
+        if ($tenantId < 1) {
+            return response()->json(['message' => 'Параметр tenant_id обязателен.'], 422);
+        }

        $tenant = Tenant::find($tenantId);
        if ($tenant === null) {
@@ -73,6 +74,7 @@ class DashboardController extends Controller
            // --- active projects ---
            $activeProjects = DB::table('projects')
                ->where('tenant_id', $tenantId)
+                ->whereNull('archived_at')
                ->where('is_active', true)
                ->count();
            $maxProjects = (int) (($tenant->limits['max_projects'] ?? 0));
@@ -64,7 +64,7 @@ class DealBulkActionController extends Controller
            ], 422);
        }

-        $updated = DB::transaction(function () use ($validated, $tenantId, $request) {
+        $updated = DB::transaction(function () use ($validated, $tenantId) {
            DB::statement('SET LOCAL app.current_tenant_id = '.$tenantId);

            // Фаза 1: SELECT — нужны id и предыдущий status для каждой строки,
@@ -98,7 +98,7 @@ class DealBulkActionController extends Controller
            // напрямую. Триггер audit_chain_hash() заполнит log_hash на уровне БД.
            $logRows = $changed->map(fn (Deal $d) => [
                'tenant_id' => $tenantId,
-                'user_id' => (int) $request->user()->id,
+                'user_id' => null,
                'deal_id' => $d->id,
                'event' => ActivityLog::EVENT_DEAL_STATUS_CHANGED,
                'context' => json_encode([
@@ -106,8 +106,6 @@ class DealBulkActionController extends Controller
                    'to' => $validated['status'],
                    'source' => 'bulk',
                ], JSON_UNESCAPED_UNICODE),
-                'ip_address' => $request->ip(),
-                'user_agent' => $request->userAgent(),
                'created_at' => $now,
            ])->all();

@@ -142,7 +140,7 @@ class DealBulkActionController extends Controller

        $tenantId = (int) $request->user()->tenant_id;

-        $deleted = DB::transaction(function () use ($validated, $tenantId, $request) {
+        $deleted = DB::transaction(function () use ($validated, $tenantId) {
            DB::statement('SET LOCAL app.current_tenant_id = '.$tenantId);

            // SELECT id'шников живых сделок tenant'а из ids — для bulk-INSERT
@@ -171,12 +169,10 @@ class DealBulkActionController extends Controller

            $logRows = array_map(fn (int $id) => [
                'tenant_id' => $tenantId,
-                'user_id' => (int) $request->user()->id,
+                'user_id' => null,
                'deal_id' => $id,
                'event' => ActivityLog::EVENT_DEAL_DELETED,
                'context' => json_encode(['source' => 'bulk'], JSON_UNESCAPED_UNICODE),
-                'ip_address' => $request->ip(),
-                'user_agent' => $request->userAgent(),
                'created_at' => $now,
            ], $targetIds);

@@ -206,7 +202,7 @@ class DealBulkActionController extends Controller

        $tenantId = (int) $request->user()->tenant_id;

-        $restored = DB::transaction(function () use ($validated, $tenantId, $request) {
+        $restored = DB::transaction(function () use ($validated, $tenantId) {
            DB::statement('SET LOCAL app.current_tenant_id = '.$tenantId);

            // withTrashed обходит SoftDeletes global scope; whereNotNull —
@@ -237,12 +233,10 @@ class DealBulkActionController extends Controller

            $logRows = array_map(fn (int $id) => [
                'tenant_id' => $tenantId,
-                'user_id' => (int) $request->user()->id,
+                'user_id' => null,
                'deal_id' => $id,
                'event' => ActivityLog::EVENT_DEAL_RESTORED,
                'context' => json_encode(['source' => 'bulk'], JSON_UNESCAPED_UNICODE),
-                'ip_address' => $request->ip(),
-                'user_agent' => $request->userAgent(),
                'created_at' => $now,
            ], $targetIds);

@@ -10,7 +10,6 @@ use App\Models\Deal;
 use App\Models\Project;
 use App\Models\SupplierLeadCost;
 use App\Models\User;
-use App\Services\Pd\PdAuditLogger;
 use App\Services\SupplierResolver;
 use Illuminate\Http\JsonResponse;
 use Illuminate\Http\Request;
@@ -242,7 +241,7 @@ class DealController extends Controller
     * RLS-обёртка + defense-in-depth `where(tenant_id)`. Если сделка не
     * принадлежит tenant'у (или не существует) — 404.
     */
-    public function show(Request $request, int $id, PdAuditLogger $pdLog): JsonResponse
+    public function show(Request $request, int $id): JsonResponse
    {
        $tenantId = (int) $request->user()->tenant_id;

@@ -275,17 +274,6 @@ class DealController extends Controller
            return response()->json(['message' => 'Сделка не найдена.'], 404);
        }

-        $pdLog->record(
-            action: 'viewed',
-            subjectType: 'lead',
-            subjectId: $deal->id,
-            purpose: 'lead_card_view',
-            tenantId: (int) $request->user()->tenant_id,
-            actorTenantUserId: (int) $request->user()->id,
-            actorAdminUserId: null,
-            ip: $request->ip(),
-        );
-
        return response()->json([
            'deal' => [
                'id' => $deal->id,
@@ -398,12 +386,10 @@ class DealController extends Controller
                $deal->comment = $validated['comment'];
                ActivityLog::create([
                    'tenant_id' => $tenantId,
-                    'user_id' => request()->user()?->id,
+                    'user_id' => null,
                    'deal_id' => $deal->id,
                    'event' => 'deal.commented',
                    'context' => ['text' => $validated['comment'] ?? ''],
-                    'ip_address' => request()->ip(),
-                    'user_agent' => request()->userAgent(),
                ]);
            }

@@ -413,12 +399,10 @@ class DealController extends Controller
                $deal->assigned_at = $validated['manager_id'] !== null ? now() : null;
                ActivityLog::create([
                    'tenant_id' => $tenantId,
-                    'user_id' => request()->user()?->id,
+                    'user_id' => null,
                    'deal_id' => $deal->id,
                    'event' => ActivityLog::EVENT_DEAL_ASSIGNED,
                    'context' => ['from' => $previousManager, 'to' => $validated['manager_id']],
-                    'ip_address' => request()->ip(),
-                    'user_agent' => request()->userAgent(),
                ]);
            }

@@ -427,12 +411,10 @@ class DealController extends Controller
                $deal->status = $validated['status'];
                ActivityLog::create([
                    'tenant_id' => $tenantId,
-                    'user_id' => request()->user()?->id,
+                    'user_id' => null,
                    'deal_id' => $deal->id,
                    'event' => ActivityLog::EVENT_DEAL_STATUS_CHANGED,
                    'context' => ['from' => $previousStatus, 'to' => $validated['status'], 'source' => 'manual'],
-                    'ip_address' => request()->ip(),
-                    'user_agent' => request()->userAgent(),
                ]);
            }

@@ -466,7 +448,7 @@ class DealController extends Controller
    }

    /** POST /api/deals — manual create */
-    public function store(Request $request, PdAuditLogger $pdLog): JsonResponse
+    public function store(Request $request): JsonResponse
    {
        $validated = $request->validate([
            'project_name' => 'required|string|max:255',
@@ -540,24 +522,15 @@ class DealController extends Controller

            ActivityLog::create([
                'tenant_id' => $tenantId,
-                'user_id' => request()->user()?->id,
+                'user_id' => null, // на prod — request()->user()->id
                'deal_id' => $deal->id,
                'event' => ActivityLog::EVENT_DEAL_CREATED,
                'context' => ['source' => 'manual'],
-                'ip_address' => request()->ip(),
-                'user_agent' => request()->userAgent(),
            ]);

            return $deal;
        });

-        $pdLog->record(
-            action: 'created', subjectType: 'lead', subjectId: $deal->id,
-            purpose: 'lead_create_manual', tenantId: (int) $deal->tenant_id,
-            actorTenantUserId: (int) $request->user()->id,
-            actorAdminUserId: null, ip: $request->ip(),
-        );
-
        return response()->json([
            'deal' => [
                'id' => $deal->id,
@@ -6,7 +6,6 @@ namespace App\Http\Controllers\Api;

 use App\Http\Controllers\Controller;
 use App\Models\Deal;
-use App\Services\Pd\PdAuditLogger;
 use Illuminate\Http\Request;
 use Illuminate\Support\Carbon;
 use Illuminate\Support\Facades\DB;
@@ -56,17 +55,6 @@ class DealExportController extends Controller
        $to = isset($validated['received_to']) && $validated['received_to'] !== ''
            ? Carbon::parse($validated['received_to'])->addDay()->startOfDay() : null;

-        app(PdAuditLogger::class)->record(
-            action: 'exported',
-            subjectType: 'lead',
-            subjectId: null,
-            purpose: 'deals_export_'.$format,
-            tenantId: $tenantId,
-            actorTenantUserId: (int) $request->user()->id,
-            actorAdminUserId: null,
-            ip: $request->ip(),
-        );
-
        $filename = 'deals_export_'.now()->format('Y-m-d').'.'.$format;
        $headers = $format === 'xlsx'
            ? [
@@ -7,9 +7,9 @@ namespace App\Http\Controllers\Api;
 use App\Http\Controllers\Controller;
 use App\Models\ImpersonationToken;
 use App\Models\Tenant;
-use App\Services\Pd\ImpersonationAuditService;
 use Illuminate\Http\JsonResponse;
 use Illuminate\Http\Request;
+use Illuminate\Support\Facades\DB;
 use Illuminate\Support\Facades\Hash;

 /**
@@ -39,20 +39,10 @@ class ImpersonationController extends Controller

    private const MAX_FAILED_ATTEMPTS = 5;

-    /**
-     * SaaS-admin — кросс-тенантная зона: запросы к impersonation_tokens / tenants
-     * идут через BYPASSRLS-подключение pgsql_supplier (роль crm_supplier_worker).
-     * Иначе на проде (роль crm_app_user, RLS on) без выставленного GUC
-     * app.current_tenant_id запрос падает SQLSTATE 42704 — у saas-admin нет
-     * tenant-контекста (middleware 'tenant' на /api/admin/* не висит). На dev
-     * pgsql_supplier = fallback на postgres-superuser, поведение идентично.
-     */
-    private const DB_CONNECTION = 'pgsql_supplier';
-
    /** GET /api/admin/impersonation/active — активные сессии (used_at != null AND session_ended_at == null) */
    public function active(): JsonResponse
    {
-        $rows = ImpersonationToken::on(self::DB_CONNECTION)
+        $rows = ImpersonationToken::query()
            ->whereNotNull('used_at')
            ->whereNull('session_ended_at')
            ->with(['tenant'])
@@ -77,7 +67,7 @@ class ImpersonationController extends Controller
    /** GET /api/admin/impersonation/recent — последние 20 завершённых */
    public function recent(): JsonResponse
    {
-        $rows = ImpersonationToken::on(self::DB_CONNECTION)
+        $rows = ImpersonationToken::query()
            ->whereNotNull('used_at')
            ->whereNotNull('session_ended_at')
            ->with(['tenant'])
@@ -102,7 +92,7 @@ class ImpersonationController extends Controller
    }

    /** POST /api/admin/impersonation/init */
-    public function init(Request $request, ImpersonationAuditService $audit): JsonResponse
+    public function init(Request $request): JsonResponse
    {
        $tenantId = (int) $request->input('tenant_id');
        $requestedBy = (int) $request->input('requested_by'); // TODO: $request->user()->id когда saas-admin auth готов
@@ -115,7 +105,7 @@ class ImpersonationController extends Controller
            ], 422);
        }

-        $tenant = Tenant::on(self::DB_CONNECTION)->find($tenantId);
+        $tenant = Tenant::find($tenantId);
        if (! $tenant) {
            return response()->json(['message' => 'Тенант не найден.'], 404);
        }
@@ -123,7 +113,7 @@ class ImpersonationController extends Controller
        // 6-значный код. Числа от 100000 до 999999.
        $plainCode = (string) random_int(100_000, 999_999);

-        $token = ImpersonationToken::on(self::DB_CONNECTION)->create([
+        $token = ImpersonationToken::create([
            'tenant_id' => $tenant->id,
            'requested_by' => $requestedBy,
            'code_hash' => Hash::make($plainCode),
@@ -132,8 +122,6 @@ class ImpersonationController extends Controller
            'expires_at' => now()->addMinutes(self::TOKEN_TTL_MINUTES),
        ]);

-        $audit->recordInit($token, adminId: $requestedBy, ip: $request->ip());
-
        // TODO: отправить email на $tenant->contact_email с $plainCode.
        $payload = [
            'token_id' => $token->id,
@@ -153,12 +141,12 @@ class ImpersonationController extends Controller
    }

    /** POST /api/admin/impersonation/verify */
-    public function verify(Request $request, ImpersonationAuditService $audit): JsonResponse
+    public function verify(Request $request): JsonResponse
    {
        $tokenId = (int) $request->input('token_id');
        $code = $request->string('code')->toString();

-        $token = ImpersonationToken::on(self::DB_CONNECTION)->find($tokenId);
+        $token = ImpersonationToken::find($tokenId);
        if (! $token) {
            return response()->json(['message' => 'Токен не найден.'], 404);
        }
@@ -176,13 +164,12 @@ class ImpersonationController extends Controller
        }

        if (! Hash::check($code, $token->code_hash)) {
-            // increment атомарен на уровне SQL, а isUsable() независимо гейтит
-            // failed_attempts >= 5 — поэтому отдельная транзакция не нужна
-            // (и ломала бы общий PDO в тестах под SharesSupplierPdo).
-            $token->increment('failed_attempts');
-            if ($token->failed_attempts >= self::MAX_FAILED_ATTEMPTS) {
-                $token->update(['invalidated_at' => now()]);
-            }
+            DB::transaction(function () use ($token) {
+                $token->increment('failed_attempts');
+                if ($token->failed_attempts >= self::MAX_FAILED_ATTEMPTS) {
+                    $token->update(['invalidated_at' => now()]);
+                }
+            });

            return response()->json([
                'message' => 'Неверный код.',
@@ -196,8 +183,6 @@ class ImpersonationController extends Controller
            'used_at' => now(),
        ]);

-        $audit->recordVerify($token, adminId: (int) $token->requested_by, ip: $request->ip());
-
        return response()->json([
            'token_id' => $token->id,
            'tenant_id' => $token->tenant_id,
@@ -207,11 +192,11 @@ class ImpersonationController extends Controller
    }

    /** POST /api/admin/impersonation/end */
-    public function end(Request $request, ImpersonationAuditService $audit): JsonResponse
+    public function end(Request $request): JsonResponse
    {
        $tokenId = (int) $request->input('token_id');

-        $token = ImpersonationToken::on(self::DB_CONNECTION)->find($tokenId);
+        $token = ImpersonationToken::find($tokenId);
        if (! $token) {
            return response()->json(['message' => 'Токен не найден.'], 404);
        }
@@ -230,8 +215,6 @@ class ImpersonationController extends Controller

        $token->update(['session_ended_at' => now()]);

-        $audit->recordEnd($token, adminId: (int) $token->requested_by, ip: $request->ip());
-
        // TODO: уведомление клиенту по email о завершении (как и в init flow).

        return response()->json([
@@ -5,6 +5,7 @@ declare(strict_types=1);
 namespace App\Http\Controllers\Api;

 use App\Http\Controllers\Controller;
+use App\Models\Tenant;
 use App\Models\User;
 use Illuminate\Http\JsonResponse;
 use Illuminate\Http\Request;
@@ -22,18 +23,20 @@ class ManagerController extends Controller
    /** GET /api/managers?tenant_id={id} */
    public function index(Request $request): JsonResponse
    {
-        // Go-live: tenant_id из authed-user (auth:sanctum + tenant middleware),
-        // НЕ из параметра запроса — закрывает кросс-tenant утечку списка пользователей.
-        $tenantId = (int) $request->user()->tenant_id;
+        $tenantId = (int) $request->query('tenant_id', '0');
+        if ($tenantId < 1) {
+            return response()->json(['message' => 'Параметр tenant_id обязателен.'], 422);
+        }
+
+        $tenant = Tenant::find($tenantId);
+        if ($tenant === null) {
+            return response()->json(['message' => 'Тенант не найден.'], 404);
+        }

        $users = DB::transaction(function () use ($tenantId) {
            DB::statement('SET LOCAL app.current_tenant_id = '.$tenantId);

-            // Явный where(tenant_id) — defense-in-depth поверх RLS: роли с
-            // BYPASSRLS (crm_supplier_worker / dev-superuser) RLS не применяют,
-            // поэтому tenant-scope нельзя оставлять только на SET LOCAL.
            return User::query()
-                ->where('tenant_id', $tenantId)
                ->whereNull('deleted_at')
                ->where('is_active', true)
                ->orderBy('first_name')
@@ -4,7 +4,6 @@ declare(strict_types=1);

 namespace App\Http\Controllers\Api;

-use App\Http\Controllers\Concerns\WritesAuthLog;
 use App\Http\Controllers\Controller;
 use App\Http\Requests\Auth\ForgotPasswordRequest;
 use App\Http\Requests\Auth\ResetPasswordRequest;
@@ -30,8 +29,6 @@ use Illuminate\Support\Facades\RateLimiter;
 */
 class PasswordResetController extends Controller
 {
-    use WritesAuthLog;
-
    /** Лимит попыток в окне (ТЗ §22.4.4 + system_settings.login_max_attempts=5). */
    private const LOGIN_MAX_ATTEMPTS = 5;

@@ -72,17 +69,6 @@ class PasswordResetController extends Controller

        Password::sendResetLink(['email' => $email]);

-        $userId = User::where('email', $email)->value('id');
-        $this->logAuthEvent(
-            'password_reset_requested',
-            $userId,
-            null,
-            $email,
-            $request->ip(),
-            $request->userAgent(),
-            $userId === null ? 'unknown_email' : null,
-        );
-
        // Unified ответ независимо от наличия user'а.
        return response()->json([
            'message' => 'Если такой email зарегистрирован — мы отправили ссылку для сброса пароля.',
@@ -134,33 +120,12 @@ class PasswordResetController extends Controller
        if ($status !== Password::PASSWORD_RESET) {
            RateLimiter::hit($throttleKey, self::LOGIN_DECAY_SECONDS);

-            $this->logAuthEvent(
-                'password_reset_failed',
-                null,
-                null,
-                $email,
-                $request->ip(),
-                $request->userAgent(),
-                (string) $status,
-            );
-
            return response()->json([
                'message' => 'Ссылка для сброса недействительна или истекла. Запросите новую.',
                'errors' => ['email' => ['Ссылка для сброса недействительна или истекла.']],
            ], 422);
        }

-        $completedUserId = User::where('email', $email)->value('id');
-        $this->logAuthEvent(
-            'password_reset_completed',
-            $completedUserId,
-            null,
-            $email,
-            $request->ip(),
-            $request->userAgent(),
-            null,
-        );
-
        RateLimiter::clear($throttleKey);

        return response()->json([
@@ -52,12 +52,16 @@ class ProjectController extends Controller

        // Фильтр по статусу жизненного цикла
        $status = $request->query('status');
-        if ($status === 'active') {
-            $query->where('is_active', true);
+        if ($status === 'archived') {
+            $query->archived();
+        } elseif ($status === 'active') {
+            $query->active()->where('is_active', true);
        } elseif ($status === 'paused') {
-            $query->where('is_active', false);
+            $query->active()->where('is_active', false);
+        } else {
+            // По умолчанию: все не архивированные (active + paused)
+            $query->active();
        }
-        // default → no extra filter

        // Поиск по name и signal_identifier
        if ($search = $request->query('search')) {
@@ -107,11 +111,11 @@ class ProjectController extends Controller
        return response()->json(['data' => new ProjectResource($project)]);
    }

-    /** DELETE /api/projects/{id} — hard delete (guard по сделкам: 422 если есть сделки) */
+    /** DELETE /api/projects/{id} — soft-archive (sets archived_at, is_active=false) */
    public function destroy(Request $request, int $id): JsonResponse
    {
        $project = Project::where('tenant_id', $request->user()->tenant_id)->findOrFail($id);
-        $this->projects->delete($project);
+        $this->projects->archive($project);

        return response()->json(null, 204);
    }
@@ -135,7 +139,7 @@ class ProjectController extends Controller
        return response()->json(['data' => new ProjectResource($project->fresh())]);
    }

-    /** POST /api/projects/bulk — batch pause/resume/delete/update_regions/update_days/update_limit */
+    /** POST /api/projects/bulk — batch pause/resume/archive/update_regions/update_days/update_limit */
    public function bulk(BulkProjectActionRequest $request): JsonResponse
    {
        $tenantId = $request->user()->tenant_id;
@@ -8,7 +8,6 @@ use App\Http\Controllers\Controller;
 use App\Jobs\GenerateReportJob;
 use App\Models\ReportJob;
 use App\Models\User;
-use App\Services\Pd\PdAuditLogger;
 use Illuminate\Http\JsonResponse;
 use Illuminate\Http\Request;
 use Illuminate\Support\Carbon;
@@ -306,12 +305,12 @@ class ReportJobController extends Controller
    /**
     * DELETE /api/reports/jobs/{id} — удалить terminal job + файл.
     */
-    public function destroy(Request $request, int $id, PdAuditLogger $pdLog): JsonResponse
+    public function destroy(Request $request, int $id): JsonResponse
    {
        /** @var User $user */
        $user = $request->user();

-        return DB::transaction(function () use ($user, $id, $request, $pdLog): JsonResponse {
+        return DB::transaction(function () use ($user, $id): JsonResponse {
            DB::statement('SET LOCAL app.current_tenant_id = '.(int) $user->tenant_id);

            $job = ReportJob::query()
@@ -336,16 +335,6 @@ class ReportJobController extends Controller

            if ($job->file_path !== null) {
                Storage::disk('local')->delete($job->file_path);
-                $pdLog->record(
-                    action: 'deleted',
-                    subjectType: 'lead',
-                    subjectId: null,
-                    purpose: 'report_file_'.$job->id,
-                    tenantId: (int) $job->tenant_id,
-                    actorTenantUserId: (int) $user->id,
-                    actorAdminUserId: null,
-                    ip: $request->ip(),
-                );
            }
            $job->delete();

@@ -4,7 +4,6 @@ declare(strict_types=1);

 namespace App\Http\Controllers\Api;

-use App\Http\Controllers\Concerns\WritesAuthLog;
 use App\Http\Controllers\Controller;
 use App\Http\Requests\Auth\UseRecoveryCodeRequest;
 use App\Http\Requests\Auth\VerifyTwoFactorRequest;
@@ -33,8 +32,6 @@ use PragmaRX\Google2FA\Google2FA;
 */
 class TwoFactorController extends Controller
 {
-    use WritesAuthLog;
-
    /** Лимит попыток в окне (ТЗ §22.4.4 + system_settings.login_max_attempts=5). */
    private const LOGIN_MAX_ATTEMPTS = 5;

@@ -73,16 +70,6 @@ class TwoFactorController extends Controller
        if (! $valid) {
            RateLimiter::hit($throttleKey, self::LOGIN_DECAY_SECONDS);

-            $this->logAuthEvent(
-                '2fa_verify_failed',
-                $user->id,
-                $user->tenant_id,
-                $user->email,
-                $request->ip(),
-                $request->userAgent(),
-                'invalid_code',
-            );
-
            return response()->json([
                'message' => 'Неверный код. Проверьте время на устройстве и попробуйте снова.',
                'errors' => ['code' => ['Неверный код.']],
@@ -98,16 +85,6 @@ class TwoFactorController extends Controller

        $user->update(['last_login_at' => now()]);

-        $this->logAuthEvent(
-            '2fa_verify_success',
-            $user->id,
-            $user->tenant_id,
-            $user->email,
-            $request->ip(),
-            $request->userAgent(),
-            null,
-        );
-
        return response()->json([
            'user' => $this->userResource($user),
            'requires_2fa' => false,
@@ -174,16 +151,6 @@ class TwoFactorController extends Controller
        if (! $matched) {
            RateLimiter::hit($throttleKey, self::LOGIN_DECAY_SECONDS);

-            $this->logAuthEvent(
-                '2fa_recovery_failed',
-                $user->id,
-                $user->tenant_id,
-                $user->email,
-                $request->ip(),
-                $request->userAgent(),
-                'invalid_or_used',
-            );
-
            return response()->json([
                'message' => 'Резервный код недействителен или уже использован.',
                'errors' => ['code' => ['Резервный код недействителен или уже использован.']],
@@ -201,16 +168,6 @@ class TwoFactorController extends Controller

        $user->update(['last_login_at' => now()]);

-        $this->logAuthEvent(
-            '2fa_recovery_used',
-            $user->id,
-            $user->tenant_id,
-            $user->email,
-            $request->ip(),
-            $request->userAgent(),
-            null,
-        );
-
        // Кол-во оставшихся неиспользованных кодов — для UI-warning'а
        // ("осталось 3 из 8 — рекомендуем перегенерировать").
        $remaining = UserRecoveryCode::query()
@@ -4,7 +4,6 @@ declare(strict_types=1);

 namespace App\Http\Controllers\Api;

-use App\Http\Controllers\Concerns\WritesAuthLog;
 use App\Http\Controllers\Controller;
 use App\Models\UserRecoveryCode;
 use Illuminate\Http\JsonResponse;
@@ -27,8 +26,6 @@ use PragmaRX\Google2FA\Google2FA;
 */
 class TwoFactorSetupController extends Controller
 {
-    use WritesAuthLog;
-
    private const RECOVERY_CODES_COUNT = 8;

    /**
@@ -57,9 +54,6 @@ class TwoFactorSetupController extends Controller

        $request->session()->put('auth.pending_totp_secret', $secret);

-        $this->logAuthEvent('2fa_setup_init', $user->id, $user->tenant_id, $user->email,
-            $request->ip(), $request->userAgent(), null);
-
        // QR-URL формата `otpauth://totp/...` — user сканирует через приложение.
        // По стандарту RFC 6238: issuer + label + secret + period.
        $qrUrl = $google2fa->getQRCodeUrl(
@@ -127,9 +121,6 @@ class TwoFactorSetupController extends Controller

        $request->session()->forget('auth.pending_totp_secret');

-        $this->logAuthEvent('2fa_setup_confirmed', $user->id, $user->tenant_id, $user->email,
-            $request->ip(), $request->userAgent(), null);
-
        return response()->json([
            'recovery_codes' => $plainCodes,
            'message' => '2FA включена. Сохраните резервные коды — они показываются один раз.',
@@ -148,9 +139,6 @@ class TwoFactorSetupController extends Controller

        $password = $request->string('password')->toString();
        if ($password === '' || ! Hash::check($password, $user->password_hash)) {
-            $this->logAuthEvent('2fa_disable_failed', $user->id, $user->tenant_id, $user->email,
-                $request->ip(), $request->userAgent(), 'invalid_password');
-
            return response()->json([
                'message' => 'Неверный пароль.',
                'errors' => ['password' => ['Неверный пароль.']],
@@ -166,9 +154,6 @@ class TwoFactorSetupController extends Controller
            UserRecoveryCode::query()->where('user_id', $user->id)->delete();
        });

-        $this->logAuthEvent('2fa_disabled', $user->id, $user->tenant_id, $user->email,
-            $request->ip(), $request->userAgent(), null);
-
        return response()->json(['message' => '2FA отключена.']);
    }

@@ -202,9 +187,6 @@ class TwoFactorSetupController extends Controller
            return $this->generateRecoveryCodes($user->id);
        });

-        $this->logAuthEvent('2fa_recovery_regenerated', $user->id, $user->tenant_id, $user->email,
-            $request->ip(), $request->userAgent(), null);
-
        return response()->json([
            'recovery_codes' => $plainCodes,
            'message' => 'Резервные коды перегенерированы.',
@@ -6,13 +6,11 @@ namespace App\Http\Controllers\Api;

 use App\Http\Controllers\Controller;
 use App\Models\OutboundWebhookSubscription;
-use App\Support\WebhookUrlGuard;
 use Illuminate\Http\JsonResponse;
 use Illuminate\Http\Request;
 use Illuminate\Support\Facades\Hash;
 use Illuminate\Support\Facades\Http;
 use Illuminate\Support\Str;
-use Illuminate\Validation\ValidationException;
 use Symfony\Component\HttpFoundation\Response;

 /**
@@ -55,16 +53,6 @@ class WebhookSettingsController extends Controller
            'target_url' => ['required', 'string', 'url', 'max:2048', 'starts_with:https://'],
        ]);

-        // SSRF-гард на сохранении: не даём записать URL во внутреннюю/служебную
-        // сеть — тогда любой будущий потребитель (test() + будущая outbound-доставка
-        // событий) читает из БД только безопасные адреса. NB: будущая доставка
-        // обязана ВДОБАВОК звать WebhookUrlGuard перед отправкой (защита от
-        // DNS-rebinding: хост сохранён публичным, позже переразрешается в приватный).
-        $blockReason = WebhookUrlGuard::blockReason($validated['target_url']);
-        if ($blockReason !== null) {
-            throw ValidationException::withMessages(['target_url' => [$blockReason]]);
-        }
-
        $sub = $this->currentSubscription($request);
        $plainSecret = null;

@@ -107,25 +95,14 @@ class WebhookSettingsController extends Controller
            ], Response::HTTP_UNPROCESSABLE_ENTITY);
        }

-        // SSRF-гард: target_url задаёт админ тенанта; блокируем адреса во
-        // внутренней/зарезервированной сети (cloud-metadata 169.254.169.254,
-        // loopback, RFC1918), которые https://-валидация на сохранении не ловит.
-        $blockReason = WebhookUrlGuard::blockReason($sub->target_url);
-        if ($blockReason !== null) {
-            return response()->json([
-                'ok' => false,
-                'status' => null,
-                'message' => $blockReason,
-            ], Response::HTTP_UNPROCESSABLE_ENTITY);
-        }
-
        $testPayload = [
            'event' => 'webhook.test',
            'sent_at' => now()->toIso8601String(),
            'message' => 'Тестовая доставка webhook от Лидерра.',
        ];

-        // Unsigned connectivity-проверка (HMAC-подписанная доставка — отдельный эпик).
+        // MVP: unsigned connectivity-проверка. SSRF-харднинг (блок приватных
+        // IP) — пост-MVP security-review; URL уже ограничен https:// валидацией.
        try {
            $response = Http::timeout(10)
                ->withHeaders(['X-Webhook-Event' => 'webhook.test'])
@@ -1,44 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Http\Controllers\Concerns;
-
-use Illuminate\Support\Facades\DB;
-
-/**
- * Запись в auth_log (защищён hash-chain тригером).
- * Используется в AuthController, TwoFactorController,
- * TwoFactorSetupController, PasswordResetController — единственная
- * точка записи auth-событий.
- *
- * Канонические event-strings (расширяемо):
- *   login_success, login_failed, logout, register_success,
- *   2fa_verify_success, 2fa_verify_failed, 2fa_recovery_used, 2fa_recovery_failed,
- *   2fa_setup_init, 2fa_setup_confirmed, 2fa_disabled, 2fa_recovery_regenerated,
- *   password_reset_requested, password_reset_completed, password_reset_failed
- */
-trait WritesAuthLog
-{
-    protected function logAuthEvent(
-        string $event,
-        ?int $userId,
-        ?int $tenantId,
-        ?string $email,
-        ?string $ip,
-        ?string $userAgent,
-        ?string $failureReason,
-    ): void {
-        DB::table('auth_log')->insert([
-            'actor_type' => 'tenant_user',
-            'tenant_id' => $tenantId,
-            'user_id' => $userId,
-            'email' => $email,
-            'event' => $event,
-            'ip_address' => $ip,
-            'user_agent' => $userAgent,
-            'failure_reason' => $failureReason,
-            'created_at' => now(),
-        ]);
-    }
-}
@@ -20,7 +20,7 @@ class BulkProjectActionRequest extends FormRequest

        $rules = [
            'action' => ['required', Rule::in([
-                'pause', 'resume', 'delete',
+                'pause', 'resume', 'archive',
                'update_regions', 'update_days', 'update_limit',
            ])],
            'ids' => ['nullable', 'array', 'max:500'],
@@ -28,7 +28,7 @@ class BulkProjectActionRequest extends FormRequest
            'scope' => ['nullable', 'array'],
            'scope.filter' => ['nullable', 'array'],
            'scope.filter.signal_type' => ['nullable', 'string', Rule::in(['site', 'call', 'sms'])],
-            'scope.filter.status' => ['nullable', 'string', Rule::in(['active', 'paused'])],
+            'scope.filter.status' => ['nullable', 'string', Rule::in(['active', 'paused', 'archived'])],
            'scope.filter.search' => ['nullable', 'string', 'max:255'],
        ];

@@ -13,6 +13,9 @@ class ProjectResource extends JsonResource
 {
    public function toArray(Request $request): array
    {
+        /** @var Project $project */
+        $project = $this->resource;
+
        return [
            'id' => $this->id,
            'name' => $this->name,
@@ -25,6 +28,7 @@ class ProjectResource extends JsonResource
            'delivered_today' => $this->delivered_today,
            'delivered_in_month' => $this->delivered_in_month,
            'is_active' => $this->is_active,
+            'archived_at' => $project->archived_at?->toIso8601String(),
            'region_mask' => $this->region_mask,
            'region_mode' => $this->region_mode,
            'regions' => $this->regions,
@@ -15,7 +15,6 @@ use App\Models\SystemSetting;
 use App\Models\Tenant;
 use App\Services\DuplicateDetector;
 use App\Services\NotificationService;
-use App\Services\Pd\PdAuditLogger;
 use App\Services\SupplierResolver;
 use Illuminate\Bus\Queueable;
 use Illuminate\Contracts\Queue\ShouldQueue;
@@ -156,12 +155,6 @@ class ProcessWebhookJob implements ShouldQueue
            ],
            'created_at' => now(),
        ]);
-
-        app(PdAuditLogger::class)->record(
-            action: 'created', subjectType: 'lead', subjectId: $deal->id,
-            purpose: 'lead_create_webhook', tenantId: (int) $deal->tenant_id,
-            actorTenantUserId: null, actorAdminUserId: null, ip: null,
-        );
    }

    private function logRejection(Tenant $tenant, string $reason): void
@@ -245,12 +238,6 @@ class ProcessWebhookJob implements ShouldQueue
            'created_at' => now(),
        ]);

-        app(PdAuditLogger::class)->record(
-            action: 'created', subjectType: 'lead', subjectId: $deal->id,
-            purpose: 'lead_create_webhook', tenantId: (int) $deal->tenant_id,
-            actorTenantUserId: null, actorAdminUserId: null, ip: null,
-        );
-
        // Уведомление о новом лиде (ТЗ §18.5). Отправляется ПОСЛЕ всех записей
        // в БД, чтобы при ошибке отправки транзакция уже была зафиксирована.
        // NotificationService сам ловит Throwable от Mail::send и логирует —
@@ -12,11 +12,8 @@ use App\Models\SupplierLead;
 use App\Models\Tenant;
 use App\Services\Billing\LedgerService;
 use App\Services\DuplicateDetector;
-use App\Services\LeadDistributor;
 use App\Services\LeadRouter;
 use App\Services\NotificationService;
-use App\Services\Pd\PdAuditLogger;
-use App\Services\RegionTagResolver;
 use App\Services\SupplierProjects\SupplierProjectResolver;
 use Illuminate\Bus\Queueable;
 use Illuminate\Contracts\Queue\ShouldQueue;
@@ -89,23 +86,8 @@ class RouteSupplierLeadJob implements ShouldQueue
        DuplicateDetector $duplicateDetector,
        NotificationService $notifier,
        LedgerService $ledger,
-        LeadDistributor $distributor,
-        RegionTagResolver $tagResolver,
    ): void {
-        $lead = SupplierLead::find($this->supplierLeadId);
-
-        // Терминальный случай: лид удалён/не существует — это НЕ транзиентная ошибка,
-        // повтор бессмыслен. НЕ бросаем ModelNotFoundException: иначе queue->failed()
-        // пишет строку в failed_webhook_jobs, а RetryFailedSupplierJobsCommand
-        // бесконечно перезапускает job (retry-шторм, инцидент 21-22.05.2026 —
-        // 25k+ записей по удалённому лиду №1).
-        if ($lead === null) {
-            Log::warning('supplier_lead.not_found_terminal', [
-                'supplier_lead_id' => $this->supplierLeadId,
-            ]);
-
-            return;
-        }
+        $lead = SupplierLead::findOrFail($this->supplierLeadId);

        // Idempotency guard для retry-сценария ($tries = 3).
        // Если лид уже обработан — выходим, не создаём ghost duplicate'ы deal'ов.
@@ -126,19 +108,20 @@ class RouteSupplierLeadJob implements ShouldQueue
        $supplier = $resolver->resolveOrStub($platform, $signalType, $identifier);
        $lead->update(['supplier_project_id' => $supplier->id]);

-        $matched = $router->matchEligibleProjects($supplier);
-        $selected = $distributor->selectRecipients($matched); // cap=3 случайных
-
-        $subjectCode = $tagResolver->resolve((string) ($lead->raw_payload['tag'] ?? ''));
+        $matched = $router->matchEligibleProjects($supplier, (string) $lead->phone);

        $createdCount = 0;
        $failures = [];
-        foreach ($selected as $project) {
+        foreach ($matched as $project) {
            try {
-                if ($this->createDealCopyForProject($lead, $project, $duplicateDetector, $notifier, $ledger, $subjectCode)) {
+                if ($this->createDealCopyForProject($lead, $project, $duplicateDetector, $notifier, $ledger)) {
                    $createdCount++;
                }
            } catch (Throwable $e) {
+                // Per-Project failure isolation (Plan 2 code-review Important).
+                // Sharing-model: один сбой проекта не должен абортить routing других tenant'ов.
+                // Логируем и продолжаем; final failed() callback зафиксирует общий проблемный лид
+                // только если ВСЕ Projects упали (через handle() rethrow ниже).
                $failures[] = ['project_id' => $project->id, 'tenant_id' => $project->tenant_id, 'error' => $e->getMessage()];
                Log::warning('supplier_lead.per_project_routing_failed', [
                    'supplier_lead_id' => $lead->id,
@@ -149,7 +132,9 @@ class RouteSupplierLeadJob implements ShouldQueue
            }
        }

-        if ($selected->isNotEmpty() && $createdCount === 0 && count($failures) === $selected->count()) {
+        // Если ВСЕ Projects упали (а matched был непустой) — пробрасываем последнюю ошибку,
+        // чтобы failed() callback сработал и проблема ушла в failed_webhook_jobs.
+        if ($matched->isNotEmpty() && $createdCount === 0 && count($failures) === $matched->count()) {
            throw new RuntimeException(
                'All eligible projects failed routing for supplier_lead='.$lead->id.
                '; last error: '.($failures[array_key_last($failures)]['error'] ?? 'unknown')
@@ -214,10 +199,9 @@ class RouteSupplierLeadJob implements ShouldQueue
        DuplicateDetector $duplicateDetector,
        NotificationService $notifier,
        LedgerService $ledger,
-        ?int $subjectCode,
    ): bool {
        try {
-            return DB::transaction(function () use ($lead, $project, $duplicateDetector, $notifier, $ledger, $subjectCode): bool {
+            return DB::transaction(function () use ($lead, $project, $duplicateDetector, $notifier, $ledger): bool {
                DB::statement("SET LOCAL app.current_tenant_id = '{$project->tenant_id}'");

                /** @var Tenant $tenant */
@@ -268,7 +252,6 @@ class RouteSupplierLeadJob implements ShouldQueue
                    'phones' => $phones,
                    'status' => 'new',
                    'received_at' => $receivedAt,
-                    'subject_code' => $subjectCode,
                ]);

                $master = $duplicateDetector->findMaster(
@@ -296,12 +279,6 @@ class RouteSupplierLeadJob implements ShouldQueue
                        'created_at' => now(),
                    ]);

-                    app(PdAuditLogger::class)->record(
-                        action: 'created', subjectType: 'lead', subjectId: $deal->id,
-                        purpose: 'lead_create_supplier', tenantId: (int) $deal->tenant_id,
-                        actorTenantUserId: null, actorAdminUserId: null, ip: null,
-                    );
-
                    return false;
                }

@@ -324,12 +301,6 @@ class RouteSupplierLeadJob implements ShouldQueue
                    'created_at' => now(),
                ]);

-                app(PdAuditLogger::class)->record(
-                    action: 'created', subjectType: 'lead', subjectId: $deal->id,
-                    purpose: 'lead_create_supplier', tenantId: (int) $deal->tenant_id,
-                    actorTenantUserId: null, actorAdminUserId: null, ip: null,
-                );
-
                // ProcessWebhookJob-pattern: setRelation чтобы NotificationService
                // мог подтянуть deal->project без N+1 lookup'а под RLS.
                $deal->setRelation('project', $project);
@@ -1,80 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Jobs\Supplier;
-
-use App\Models\SupplierProject;
-use App\Services\Supplier\SupplierPortalClient;
-use Illuminate\Bus\Queueable;
-use Illuminate\Contracts\Queue\ShouldQueue;
-use Illuminate\Foundation\Bus\Dispatchable;
-use Illuminate\Queue\InteractsWithQueue;
-use Illuminate\Queue\SerializesModels;
-use Illuminate\Support\Facades\DB;
-use Illuminate\Support\Facades\Log;
-use Throwable;
-
-/**
- * Удаление/пере-синк доноров у поставщика после удаления Лидерра-проекта.
- *
- * Для каждого supplier_project S (донора), к которому был привязан удалённый проект:
- *   - остались другие потребители (project_supplier_links) → донор нужен другим клиентам:
- *     НЕ удаляем у поставщика, пере-синкаем агрегат (SyncSupplierProjectsJob).
- *   - потребителей не осталось → удаляем у поставщика (deleteProject) + локальную запись S.
- *
- * Spec: docs/superpowers/specs/2026-05-21-project-delete-dedup-errors-design.md §Решение 2.
- */
-class DeleteSupplierProjectJob implements ShouldQueue
-{
-    use Dispatchable, InteractsWithQueue, Queueable, SerializesModels;
-
-    public int $tries = 3;
-
-    public int $backoff = 60;
-
-    public const string DB_CONNECTION = 'pgsql_supplier';
-
-    /** @param array<int,int> $supplierProjectIds */
-    public function __construct(public array $supplierProjectIds) {}
-
-    public function handle(SupplierPortalClient $client): void
-    {
-        $needsResync = false;
-
-        foreach ($this->supplierProjectIds as $id) {
-            $sp = SupplierProject::on(self::DB_CONNECTION)->find($id);
-            if ($sp === null) {
-                continue;
-            }
-
-            $remaining = DB::connection(self::DB_CONNECTION)
-                ->table('project_supplier_links')
-                ->where('supplier_project_id', $id)
-                ->count();
-
-            if ($remaining > 0) {
-                $needsResync = true;
-
-                continue;
-            }
-
-            if ($sp->supplier_external_id !== null && $sp->supplier_external_id !== '') {
-                try {
-                    $client->deleteProject((int) $sp->supplier_external_id);
-                } catch (Throwable $e) {
-                    Log::warning('supplier.delete_donor_failed', [
-                        'supplier_project_id' => $id, 'error' => $e->getMessage(),
-                    ]);
-                    throw $e; // retry the job
-                }
-            }
-
-            $sp->delete();
-        }
-
-        if ($needsResync) {
-            SyncSupplierProjectsJob::dispatch();
-        }
-    }
-}
@@ -14,53 +14,47 @@ use App\Models\SupplierProject;
 use App\Models\SupplierSyncLog;
 use App\Services\Supplier\Channel\Exceptions\TierEscalatedException;
 use App\Services\Supplier\Channel\Exceptions\WindowDeferredException;
+use App\Services\Supplier\Channel\FailoverProjectChannel;
 use App\Services\Supplier\Channel\SupplierProjectChannel;
 use App\Services\Supplier\Dto\SupplierProjectDto;
-use App\Services\Supplier\SupplierPortalClient;
-use App\Services\Supplier\SupplierProjectGrouping;
 use App\Services\Supplier\SupplierQuotaAllocator;
-use App\Support\RussianRegions;
 use Carbon\Carbon;
 use Illuminate\Bus\Queueable;
 use Illuminate\Contracts\Queue\ShouldQueue;
-use Illuminate\Database\Eloquent\Collection;
+use Illuminate\Database\Eloquent\Collection as EloquentCollection;
 use Illuminate\Foundation\Bus\Dispatchable;
 use Illuminate\Queue\InteractsWithQueue;
 use Illuminate\Queue\SerializesModels;
-use Illuminate\Support\Facades\DB;
+use Illuminate\Support\Collection;
 use Illuminate\Support\Facades\Log;
 use Illuminate\Support\Facades\Mail;
+use stdClass;
 use Throwable;

 /**
- * Daily 18:00 МСК cron-job: синхронизирует supplier_projects с поставщиком crm.bp-gr.ru
- * (расписание перенесено 20:30 → 18:00, см. routes/console.php).
+ * Daily 20:30 МСК cron-job: синхронизирует supplier_projects с поставщиком crm.bp-gr.ru.
 *
- * Алгоритм (план 3 Task 5 → переработан: one-group-per-identifier):
- *   1. Загрузить активные Лидерра-projects (is_active=true).
- *   2. Сгруппировать по (signal_type, identifier) — БЕЗ subject_code:
- *      - identifier = buildUniqueKeyAgnostic() (site/call → signal_identifier; sms+keyword → sender+keyword; sms → sender).
- *      - platforms = resolvePlatforms() (site/call → B1+B2+B3; sms+keyword → B2+B3; sms → B3).
- *      - merged_regions = union(project.regions) по всем проектам группы.
- *        Если хотя бы один проект имеет regions=[] («Вся РФ»), merged_regions=[].
- *   3. Для каждой группы:
- *      - eligible-today проекты группы (workday-маска на завтра).
- *      - order = computeOrder($eligibleLimits); workdays = union.
- *      - tag = name региона если один, иначе «РФ».
- *      - Найти существующие supplier_projects (unique_key, signal_type, platform) — без subject_code-фильтра:
- *          - Нет → saveProjectMultiFlag → [platform → id] → upsert supplier_projects (subject_code=null).
- *          - Есть → partial-set recovery + updateProject каждого с актуальными regions/limit.
- *      - Pivot: project × supplier_project → INSERT ... ON CONFLICT DO NOTHING (subject_code=null).
- *   4. Failure-handling (Auth/Transient/Client/Window/TierEscalated), time-budget cutoff — сохранены.
+ * Алгоритм (per spec §4.3):
+ *   1. Итерация по всем активным (inactive_since IS NULL) supplier_projects.
+ *   2. Для каждого:
+ *      a. Подтянуть активные Лидерра-projects через FK supplier_b{1,2,3}_project_id.
+ *      b. Адаптировать в plain stdClass с полями daily_limit/workdays/regions.
+ *      c. Вызвать SupplierQuotaAllocator::allocate() — pure distribution.
+ *      d. Сравнить с current state через SupplierProjectDto::equals(); skip if no diff.
+ *      e. saveProject() при supplier_external_id=null, иначе updateProject().
+ *      f. Записать audit row в supplier_sync_log.
+ *   3. Failure-handling:
+ *      - SupplierAuthException → SupplierCriticalAlertMail('sticky_auth') + Sentry + throw.
+ *      - SupplierTransientException → log + continue. После 50 подряд → mass_transient alert + break.
+ *      - SupplierClientException → log + continue.
+ *   4. Time budget cutoff: после 20:55 МСК прервать loop (буфер 5 мин до 21:00).
 *
- * Портальное ограничение: один identifier = одна группа B1/B2/B3 (status=Doubles на дублирование).
- * Поэтому все регионы проекта передаются одним списком — portal фильтрует оба одновременно.
- *
- * NOTE про connection: Eloquent::on('pgsql_supplier') для cross-tenant видимости.
+ * NOTE про connection: Job's $connection — это queue connection, не DB. Используем
+ * Eloquent::on('pgsql_supplier') для cross-tenant видимости (Plan 3 Task 3 learning).
 *
 * Spec:
- *   - docs/superpowers/specs/2026-05-20-project-migration-redesign-design.md §4.3
- *   - docs/superpowers/plans/2026-05-20-project-migration-redesign-plan-3-export.md Task 5
+ *   - docs/superpowers/specs/2026-05-10-supplier-integration-design.md §4.3-§4.4
+ *   - docs/superpowers/specs/2026-05-11-plan3-supplier-sync-design.md §4
 */
 class SyncSupplierProjectsJob implements ShouldQueue
 {
@@ -74,79 +68,33 @@ class SyncSupplierProjectsJob implements ShouldQueue

    private SupplierProjectChannel $channel;

-    private SupplierPortalClient $client;
-
    public function handle(?SupplierProjectChannel $channel = null): void
    {
        $this->channel = $channel ?? app(SupplierProjectChannel::class);
-        $this->client = app(SupplierPortalClient::class);
        $consecutiveTransient = 0;

-        // 1. Load active Лидерра-projects via pgsql_supplier
-        /** @var Collection<int, Project> $projects */
-        $projects = Project::on(self::DB_CONNECTION)
-            ->where('is_active', true)
+        $projects = SupplierProject::on(self::DB_CONNECTION)
+            ->whereNull('inactive_since')
            ->orderBy('id')
            ->get();

-        // 2. Group by (signal_type, identifier) — no subject_code split.
-        // Portal constraint: one identifier = one B1/B2/B3 group (status=Doubles on duplicate name).
-        // group key => [ 'signal_type', 'identifier', 'merged_regions', 'platforms', 'projects' => [...] ]
-        /** @var array<string, array{signal_type: string, identifier: string, merged_regions: list<int>, has_all_russia: bool, platforms: list<string>, projects: list<Project>}> $groups */
-        $groups = [];
-
-        foreach ($projects as $project) {
-            $platforms = SupplierProjectGrouping::resolvePlatforms($project);
-            if ($platforms === []) {
-                continue;
-            }
-            $identifier = SupplierProjectGrouping::buildUniqueKeyAgnostic($project);
-
-            $key = $project->signal_type.'|'.$identifier;
-            if (! isset($groups[$key])) {
-                $groups[$key] = [
-                    'signal_type' => (string) $project->signal_type,
-                    'identifier' => $identifier,
-                    'merged_regions' => [],
-                    'has_all_russia' => false,
-                    'platforms' => $platforms,
-                    'projects' => [],
-                ];
-            }
-            // Merge regions — union across all projects in this group.
-            // If any project has empty regions ("Вся РФ"), the whole group becomes "Вся РФ".
-            if (! $groups[$key]['has_all_russia']) {
-                $projectRegions = array_map('intval', (array) ($project->regions ?? []));
-                if ($projectRegions === []) {
-                    $groups[$key]['has_all_russia'] = true;
-                    $groups[$key]['merged_regions'] = [];
-                } else {
-                    $groups[$key]['merged_regions'] = array_values(array_unique(
-                        array_merge($groups[$key]['merged_regions'], $projectRegions)
-                    ));
-                }
-            }
-            $groups[$key]['projects'][] = $project;
-        }
-
-        // 3. Sync each group
-        foreach ($groups as $group) {
+        foreach ($projects as $sp) {
            if (now()->timezone('Europe/Moscow')->format('H:i') >= self::TIME_BUDGET_CUTOFF) {
                Log::warning('supplier.sync.time_budget_reached', [
-                    'group' => $group['identifier'],
+                    'processed_until' => $sp->id,
                ]);
                break;
            }

            try {
-                $this->syncGroup($group);
+                $this->syncOne($sp);
                $consecutiveTransient = 0;
            } catch (TierEscalatedException $e) {
-                Log::info("SyncSupplierProjectsJob: group {$group['identifier']} escalated to manual queue #{$e->queueRowId}, reason: {$e->reason}");
+                Log::info("SyncSupplierProjectsJob: sp #{$sp->id} escalated to manual queue #{$e->queueRowId}, reason: {$e->reason}");

                continue;
            } catch (WindowDeferredException) {
-                Log::info("SyncSupplierProjectsJob: group {$group['identifier']} deferred by portal window");
+                Log::info("SyncSupplierProjectsJob: sp #{$sp->id} deferred by portal window");

                continue;
            } catch (SupplierAuthException $e) {
@@ -159,7 +107,7 @@ class SyncSupplierProjectsJob implements ShouldQueue
                throw $e;
            } catch (SupplierTransientException $e) {
                $consecutiveTransient++;
-                $this->logGroupFailure($group, $e);
+                $this->logSyncFailure($sp, $e);
                if ($consecutiveTransient >= self::MASS_FAIL_THRESHOLD) {
                    Mail::to((string) config('services.supplier.alert_email'))
                        ->queue(new SupplierCriticalAlertMail(
@@ -172,7 +120,7 @@ class SyncSupplierProjectsJob implements ShouldQueue

                continue;
            } catch (SupplierClientException $e) {
-                $this->logGroupFailure($group, $e);
+                $this->logSyncFailure($sp, $e);
                report($e);

                continue;
@@ -180,287 +128,131 @@ class SyncSupplierProjectsJob implements ShouldQueue
        }
    }

-    /**
-     * @param  array{signal_type: string, identifier: string, merged_regions: list<int>, has_all_russia: bool, platforms: list<string>, projects: list<Project>}  $group
-     */
-    private function syncGroup(array $group): void
+    private function syncOne(SupplierProject $sp): void
    {
-        $signalType = $group['signal_type'];
-        $identifier = $group['identifier'];
-        $platforms = $group['platforms'];
+        $fkColumn = $this->fkColumnForPlatform($sp->platform);

-        /** @var list<Project> $groupProjects */
-        $groupProjects = $group['projects'];
+        /** @var EloquentCollection<int, Project> $liderraProjects */
+        $liderraProjects = Project::on(self::DB_CONNECTION)
+            ->where($fkColumn, $sp->id)
+            ->where('is_active', true)
+            ->get();

-        // Eligible-today: workday-mask for tomorrow
-        $targetDate = Carbon::tomorrow('Europe/Moscow');
-        $targetWeekday = $targetDate->isoWeekday();
-
-        /** @var list<Project> $eligible */
-        $eligible = array_values(array_filter(
-            $groupProjects,
-            fn (Project $p) => ($p->delivery_days_mask & (1 << ($targetWeekday - 1))) !== 0
-        ));
-
-        if ($eligible === []) {
+        if ($liderraProjects->isEmpty()) {
            return;
        }

-        // Compute order and union workdays
-        $eligibleLimits = array_map(fn (Project $p) => (int) $p->daily_limit_target, $eligible);
-        $order = SupplierQuotaAllocator::computeOrder($eligibleLimits);
+        $adapted = $this->adaptProjectsForAllocator($liderraProjects);

-        // Split the group order across platforms so Σ per-platform == order. The portal does
-        // NOT divide (verified live 2026-05-21) — the full order on each B = order ×N overspend.
-        $shares = SupplierQuotaAllocator::distributeForPlatform($order, $platforms);
+        $allocation = SupplierQuotaAllocator::allocate(
+            platform: $sp->platform,
+            signalType: $sp->signal_type,
+            uniqueKey: $sp->unique_key,
+            activeLiderraProjects: $adapted,
+            targetDate: Carbon::tomorrow('Europe/Moscow'),
+        );

-        $workdaysUnion = [];
-        foreach ($eligible as $p) {
-            foreach ($this->bitmaskToList((int) $p->delivery_days_mask, 7) as $d) {
-                $workdaysUnion[$d] = $d;
-            }
+        if ($allocation === null) {
+            return;
        }
-        sort($workdaysUnion);
-        $workdays = $workdaysUnion;

-        // Portal constraint: one identifier = one B1/B2/B3 group — pass all regions as a single list.
-        $allRegions = $group['merged_regions'];
-        sort($allRegions);
-        // count=0 → all-Russia; count=1 → named region; count>1 → merged → 'РФ'
-        $tag = count($allRegions) === 1
-            ? (RussianRegions::CODE_TO_NAME[$allRegions[0]] ?? (string) $allRegions[0])
-            : 'РФ';
+        $current = SupplierProjectDto::fromModel($sp);
+        if ($allocation->equals($current)) {
+            return;
+        }

-        // Find existing supplier_projects for this group (no subject_code filter)
-        $existingSps = SupplierProject::on(self::DB_CONNECTION)
-            ->where('unique_key', $identifier)
-            ->where('signal_type', $signalType)
-            ->whereIn('platform', $platforms)
-            ->get();
+        $isCreate = $sp->supplier_external_id === null;

-        if ($existingSps->isEmpty()) {
-            // Create path: one save PER platform with that platform's divided share
-            // (single-flag save → exactly one rt-project, reliable id via listProjects match).
-            // Throws propagate to handle() catch (failover-counter); rows persisted for earlier
-            // platforms before a throw are recovered next run via the missing-set recovery below.
-            foreach ($platforms as $platform) {
-                $dto = new SupplierProjectDto(
-                    platform: $platform,
-                    signalType: $signalType,
-                    uniqueKey: $identifier,
-                    limit: $shares[$platform] ?? 0,
-                    workdays: $workdays,
-                    regions: $allRegions,
-                    regionsReverse: false,
-                    status: 'active',
-                    tag: $tag,
-                    platforms: [$platform],
-                );
+        // NOTE: НЕ оборачиваем в DB::transaction() — HTTP-call к supplier выходит за
+        // границы транзакционного контекста, атомарности всё равно нет. Два DB-write
+        // (supplier_project update + supplier_sync_log insert) на одной connection
+        // выполняются последовательно; ошибка между ними — recoverable through retry
+        // на следующем cron-tick'е (supplier_external_id уже записан, скип через equals()).
+        // Context-project для project_id в очереди яруса 3 при эскалации.
+        $contextProject = $liderraProjects->first();

-                $idMap = $this->client->saveProjectMultiFlag($dto);
-                $externalId = $idMap[$platform] ?? null;
-                if ($externalId === null) {
-                    continue;
-                }
-
-                $sp = SupplierProject::on(self::DB_CONNECTION)->forceCreate([
-                    'platform' => $platform,
-                    'signal_type' => $signalType,
-                    'unique_key' => $identifier,
-                    'subject_code' => null,
-                    'supplier_external_id' => (string) $externalId,
-                    'current_limit' => $shares[$platform] ?? 0,
-                    'current_workdays' => $workdays,
-                    'current_regions' => $allRegions,
-                    'sync_status' => 'ok',
-                    'last_synced_at' => now(),
-                ]);
-
-                SupplierSyncLog::on(self::DB_CONNECTION)->create([
-                    'supplier_project_id' => $sp->id,
-                    'action' => 'create',
-                    'http_status' => 200,
-                    'created_at' => now(),
-                ]);
-
-                $existingSps->push($sp);
-            }
+        if ($isCreate) {
+            $externalId = $this->channel instanceof FailoverProjectChannel
+                ? $this->channel->createProjectForLiderra($contextProject, $allocation)
+                : $this->channel->createProject($allocation);
+            $sp->forceFill([
+                'supplier_external_id' => (string) $externalId,
+                'current_limit' => $allocation->limit,
+                'current_workdays' => $allocation->workdays,
+                'current_regions' => $allocation->regions,
+                'sync_status' => 'ok',
+                'last_synced_at' => now(),
+            ])->save();
        } else {
-            // External-deletion recovery: донор мог быть удалён на портале → external_id
-            // в нашей БД мёртв, updateProject его молча no-op'ит. Сверяемся со списком живых
-            // проектов портала и пересоздаём недостающих in-place (НЕ удаляя записи — на них
-            // могут висеть лиды/списания). Throws пропагируют в outer handle() catch
-            // (SupplierAuth/Transient/Client) — failover-counter semantics сохраняется.
-            $livePortalIds = collect($this->client->listProjects())
-                ->map(fn ($p) => (string) ($p['id'] ?? ''))
-                ->filter()
-                ->all();
-
-            $deadSps = $existingSps->filter(
-                fn (SupplierProject $sp) => $sp->supplier_external_id !== null
-                    && ! in_array((string) $sp->supplier_external_id, $livePortalIds, true)
-            );
-
-            if ($deadSps->isNotEmpty()) {
-                foreach ($deadSps as $sp) {
-                    $recreateDto = new SupplierProjectDto(
-                        platform: $sp->platform,
-                        signalType: $signalType,
-                        uniqueKey: $identifier,
-                        limit: $shares[$sp->platform] ?? 0,
-                        workdays: $workdays,
-                        regions: $allRegions,
-                        regionsReverse: false,
-                        status: 'active',
-                        tag: $tag,
-                        platforms: [$sp->platform],
-                    );
-
-                    $recreatedIdMap = $this->client->saveProjectMultiFlag($recreateDto);
-                    $newId = $recreatedIdMap[$sp->platform] ?? null;
-                    if ($newId !== null) {
-                        $sp->forceFill(['supplier_external_id' => (string) $newId])->save();
-                        SupplierSyncLog::on(self::DB_CONNECTION)->create([
-                            'supplier_project_id' => $sp->id,
-                            'action' => 'create',
-                            'http_status' => 200,
-                            'created_at' => now(),
-                        ]);
-                    }
-                }
-            }
-
-            // Fix #3 (review-followup): partial-set recovery — если предыдущий run создал
-            // не все platforms (e.g. B1+B2 OK, B3 escalated), re-attempt missing via multi-flag
-            // save с platforms=$missingPlatforms. Throws пропагируют в outer handle() catch
-            // (SupplierAuth/Transient/Client) — full failover-counter semantics сохраняется.
-            $existingPlatforms = $existingSps->pluck('platform')->all();
-            $missingPlatforms = array_values(array_diff($platforms, $existingPlatforms));
-
-            if ($missingPlatforms !== []) {
-                foreach ($missingPlatforms as $platform) {
-                    $missingDto = new SupplierProjectDto(
-                        platform: $platform,
-                        signalType: $signalType,
-                        uniqueKey: $identifier,
-                        limit: $shares[$platform] ?? 0,
-                        workdays: $workdays,
-                        regions: $allRegions,
-                        regionsReverse: false,
-                        status: 'active',
-                        tag: $tag,
-                        platforms: [$platform],
-                    );
-
-                    $missingIdMap = $this->client->saveProjectMultiFlag($missingDto);
-                    $externalId = $missingIdMap[$platform] ?? null;
-                    if ($externalId === null) {
-                        continue;
-                    }
-                    $sp = SupplierProject::on(self::DB_CONNECTION)->forceCreate([
-                        'platform' => $platform,
-                        'signal_type' => $signalType,
-                        'unique_key' => $identifier,
-                        'subject_code' => null,
-                        'supplier_external_id' => (string) $externalId,
-                        'current_limit' => $shares[$platform] ?? 0,
-                        'current_workdays' => $workdays,
-                        'current_regions' => $allRegions,
-                        'sync_status' => 'ok',
-                        'last_synced_at' => now(),
-                    ]);
-                    SupplierSyncLog::on(self::DB_CONNECTION)->create([
-                        'supplier_project_id' => $sp->id,
-                        'action' => 'create',
-                        'http_status' => 200,
-                        'created_at' => now(),
-                    ]);
-                    $existingSps->push($sp);
-                }
-            }
-
-            // per-platform DTO в update-loop: portal получает правильные srcrt/srcbl/srcmt для
-            // конкретной строки + её долю лимита ($shares), чтобы Σ по площадкам == order
-            // (а не order на каждой). Regions/workdays общие для группы.
-            foreach ($existingSps as $sp) {
-                if ($sp->supplier_external_id === null) {
-                    continue;
-                }
-                $perPlatformDto = new SupplierProjectDto(
-                    platform: $sp->platform,
-                    signalType: $signalType,
-                    uniqueKey: $identifier,
-                    limit: $shares[$sp->platform] ?? 0,
-                    workdays: $workdays,
-                    regions: $allRegions,
-                    regionsReverse: false,
-                    status: 'active',
-                    tag: $tag,
-                    platforms: [$sp->platform],
-                );
-                $this->channel->updateProject((int) $sp->supplier_external_id, $perPlatformDto);
-                $sp->forceFill([
-                    'current_limit' => $shares[$sp->platform] ?? 0,
-                    'current_workdays' => $workdays,
-                    'current_regions' => $allRegions,
-                    'sync_status' => 'ok',
-                    'last_synced_at' => now(),
-                ])->save();
-
-                SupplierSyncLog::on(self::DB_CONNECTION)->create([
-                    'supplier_project_id' => $sp->id,
-                    'action' => 'update',
-                    'http_status' => 200,
-                    'created_at' => now(),
-                ]);
+            if ($this->channel instanceof FailoverProjectChannel) {
+                $this->channel->updateProjectForLiderra($contextProject, (int) $sp->supplier_external_id, $allocation);
+            } else {
+                $this->channel->updateProject((int) $sp->supplier_external_id, $allocation);
            }
+            $sp->forceFill([
+                'current_limit' => $allocation->limit,
+                'current_workdays' => $allocation->workdays,
+                'current_regions' => $allocation->regions,
+                'sync_status' => 'ok',
+                'last_synced_at' => now(),
+            ])->save();
        }

-        // Pivot: for each contributing Лидерра-project × each supplier_project → ON CONFLICT DO NOTHING
-        foreach ($groupProjects as $lp) {
-            foreach ($existingSps as $sp) {
-                DB::connection(self::DB_CONNECTION)->table('project_supplier_links')->insertOrIgnore([
-                    'project_id' => $lp->id,
-                    'supplier_project_id' => $sp->id,
-                    'platform' => $sp->platform,
-                    'subject_code' => null,
-                ]);
-            }
-        }
+        SupplierSyncLog::on(self::DB_CONNECTION)->create([
+            'supplier_project_id' => $sp->id,
+            'action' => $isCreate ? 'create' : 'update',
+            'http_status' => 200,
+            'created_at' => now(),
+        ]);
    }

-    /**
-     * Log failure for a group (before any supplier_project is created/updated we don't have sp id,
-     * so we look up existing or skip — best-effort audit).
-     *
-     * @param  array{signal_type: string, identifier: string, merged_regions: list<int>, has_all_russia: bool, platforms: list<string>, projects: list<Project>}  $group
-     */
-    private function logGroupFailure(array $group, Throwable $e): void
+    private function logSyncFailure(SupplierProject $sp, Throwable $e): void
    {
        $httpStatus = null;
        if ($e instanceof SupplierException) {
            $httpStatus = $e->httpStatus;
        }

-        // Find any existing sp row for the group to link log entry (no subject_code filter)
-        $sp = SupplierProject::on(self::DB_CONNECTION)
-            ->where('unique_key', $group['identifier'])
-            ->where('signal_type', $group['signal_type'])
-            ->first();
-
-        if ($sp !== null) {
-            SupplierSyncLog::on(self::DB_CONNECTION)->create([
-                'supplier_project_id' => $sp->id,
-                'action' => $sp->supplier_external_id === null ? 'create' : 'update',
-                'http_status' => $httpStatus,
-                'error_message' => substr($e->getMessage(), 0, 1000),
-                'created_at' => now(),
-            ]);
-        }
+        SupplierSyncLog::on(self::DB_CONNECTION)->create([
+            'supplier_project_id' => $sp->id,
+            'action' => $sp->supplier_external_id === null ? 'create' : 'update',
+            'http_status' => $httpStatus,
+            'error_message' => substr($e->getMessage(), 0, 1000),
+            'created_at' => now(),
+        ]);
    }

    /**
-     * Bitmask → ordered list 1..maxBits.
+     * Адаптер Eloquent Project → stdClass с полями daily_limit/workdays/regions,
+     * которые ожидает SupplierQuotaAllocator (pure function, не вяжется к Eloquent).
+     *
+     * Маппинг:
+     *   daily_limit  ← daily_limit_target
+     *   workdays     ← биты delivery_days_mask (bit 0=Пн, …, bit 6=Вс) → ISO 1..7
+     *   regions      ← projects.regions INT[] (subject codes 1..89) direct copy
+     *
+     * @param  EloquentCollection<int, Project>  $projects
+     * @return Collection<int, stdClass>
+     */
+    private function adaptProjectsForAllocator(EloquentCollection $projects): Collection
+    {
+        return $projects->map(function (Project $p): stdClass {
+            $obj = new stdClass;
+            $obj->daily_limit = (int) $p->daily_limit_target;
+            $obj->workdays = $this->bitmaskToList((int) $p->delivery_days_mask, 7);
+
+            // Plan 6: projects.regions[] напрямую копируется в supplier_projects.current_regions.
+            // Empty array = "вся РФ" (паритет с supplier API semantics).
+            // Legacy region_mask/region_mode игнорируются — они dual-write для PhonePrefixService,
+            // outbound к supplier использует только regions[]. Cleanup в Plan 6.5.
+            $obj->regions = array_values((array) $p->regions);
+
+            return $obj;
+        })->values();
+    }
+
+    /**
+     * Bitmask → ordered list 1..maxBits для bits, выставленных в 1.
     *
     * @return array<int, int>
     */
@@ -475,4 +267,14 @@ class SyncSupplierProjectsJob implements ShouldQueue

        return $out;
    }
+
+    private function fkColumnForPlatform(string $platform): string
+    {
+        return match ($platform) {
+            'B1' => 'supplier_b1_project_id',
+            'B2' => 'supplier_b2_project_id',
+            'B3' => 'supplier_b3_project_id',
+            default => throw new \InvalidArgumentException("Unknown supplier platform: {$platform}"),
+        };
+    }
 }
@@ -11,46 +11,32 @@ use App\Services\Supplier\Channel\Exceptions\WindowDeferredException;
 use App\Services\Supplier\Channel\FailoverProjectChannel;
 use App\Services\Supplier\Channel\SupplierProjectChannel;
 use App\Services\Supplier\Dto\SupplierProjectDto;
-use App\Services\Supplier\SupplierExportMode;
-use App\Services\Supplier\SupplierPortalClient;
-use App\Services\Supplier\SupplierProjectGrouping;
-use App\Services\Supplier\SupplierQuotaAllocator;
-use App\Support\RussianRegions;
 use Illuminate\Bus\Queueable;
 use Illuminate\Contracts\Queue\ShouldQueue;
 use Illuminate\Foundation\Bus\Dispatchable;
 use Illuminate\Queue\InteractsWithQueue;
 use Illuminate\Queue\SerializesModels;
-use Illuminate\Support\Facades\DB;
 use Illuminate\Support\Facades\Log;

 /**
 * Синхронизирует Лидерра-проект с supplier_projects на B1/B2/B3
- * в зависимости от signal_type и текущего SupplierExportMode.
+ * в зависимости от signal_type.
 *
- * Режимы:
- *   online → для каждой (subject × platform-set) группы проекта:
- *            saveProjectMultiFlag с полными параметрами (limit, regions, tag)
- *            → upsert supplier_projects + pivot project_supplier_links.
- *   batch  → «каркас»: создаёт supplier_projects с limit=0, без регионов
- *            (старый путь); ночной SyncSupplierProjectsJob дольёт полные параметры.
+ * Семантика:
+ *   site / call  → B1 + B2 + B3
+ *   sms с keyword → B2 + B3
+ *   sms без keyword → B3
 *
- * Канал миграции:
- *   batch mode  — SupplierProjectChannel (FailoverProjectChannel: ярус 1 AJAX
- *                 → ярус 2 browser-form → ярус 3 manual queue) для createProject.
- *   online mode — multi-flag save идёт напрямую через SupplierPortalClient
- *                 (tier-1 AJAX only — multi-flag нет в tier-2 form по архитектуре
- *                 портала). При любом transient/auth fail → log warning + skip
- *                 subject; Laravel retry (tries=3 backoff [15s,60s,300s]) → ночной
- *                 SyncSupplierProjectsJob подберёт с полным failover каналом.
- *                 updateProject в online остаётся через $channel (полная схема failover).
- * При эскалации на ярус 3 / переносе по окну портала — platform/subject пропускается
- * (FK/pivot остаётся пустым; ночной SyncSupplierProjectsJob восстанавливает).
+ * Записывает полученные supplier_projects.id в projects.supplier_b{1,2,3}_project_id.
+ *
+ * Канал миграции — SupplierProjectChannel (резолвится в FailoverProjectChannel:
+ * ярус 1 AJAX → ярус 2 browser-form → ярус 3 manual queue). При эскалации на
+ * ярус 3 / переносе по окну портала — platform пропускается (FK остаётся NULL,
+ * ночной SyncSupplierProjectsJob подберёт после ручного вмешательства).
 *
 * Retry: 3 попытки с backoff [15s, 60s, 300s].
 *
 * Spec: docs/superpowers/specs/2026-05-19-supplier-project-channel-failover-design.md §5
- * Plan: docs/superpowers/plans/2026-05-20-project-migration-redesign-plan-3-export.md Task 6
 */
 class SyncSupplierProjectJob implements ShouldQueue
 {
@@ -61,23 +47,11 @@ class SyncSupplierProjectJob implements ShouldQueue
    /** @var array<int, int> */
    public array $backoff = [15, 60, 300];

-    /**
-     * BYPASSRLS-роль crm_supplier_worker для всех DB-операций (как у всех supplier-flow
-     * джобов: SyncSupplierProjectsJob/DeleteSupplierProjectJob/CsvReconcileJob/…).
-     *
-     * Джоб запускается из очереди, где SetTenantContext-прослойка не отрабатывает и
-     * app.current_tenant_id GUC не установлен. Под обычной ролью crm_app_user первый же
-     * SELECT по projects падает 42704 (unrecognized configuration parameter
-     * "app.current_tenant_id"). На dev не всплывало — там DB_USERNAME=postgres (superuser,
-     * RLS обходится). Plan 3 Task 3 learning.
-     */
-    public const DB_CONNECTION = 'pgsql_supplier';
-
    public function __construct(public int $projectId) {}

    public function handle(SupplierProjectChannel $channel): void
    {
-        $project = Project::on(self::DB_CONNECTION)->find($this->projectId);
+        $project = Project::find($this->projectId);

        if ($project === null) {
            Log::warning("SyncSupplierProjectJob: project {$this->projectId} not found — skipping");
@@ -85,195 +59,14 @@ class SyncSupplierProjectJob implements ShouldQueue
            return;
        }

-        if (SupplierExportMode::isOnline()) {
-            $this->handleOnline($project, $channel);
-        } else {
-            $this->handleBatch($project, $channel);
-        }
-    }
-
-    // -------------------------------------------------------------------------
-    // Online mode: per-subject full-param sync
-    // -------------------------------------------------------------------------
-
-    private function handleOnline(Project $project, SupplierProjectChannel $channel): void
-    {
-        $client = app(SupplierPortalClient::class);
-
-        $platforms = SupplierProjectGrouping::resolvePlatforms($project);
-        if ($platforms === []) {
-            return;
-        }
-
-        $identifier = SupplierProjectGrouping::buildUniqueKey($project, $platforms[0]);
-
-        // Portal constraint: one identifier = one B1/B2/B3 group (status=Doubles on duplicate name).
-        // Pass all project regions as a single group — no per-subject split.
-        $allRegions = array_map('intval', (array) ($project->regions ?? []));
-        // count=0 → all-Russia; count=1 → named region; count>1 → merged → 'РФ'
-        $tag = count($allRegions) === 1
-            ? (RussianRegions::CODE_TO_NAME[$allRegions[0]] ?? (string) $allRegions[0])
-            : 'РФ';
-
-        $workdays = $this->workdaysFromMask((int) $project->delivery_days_mask);
-
-        // Split the limit across the platforms so Σ per-platform limits == project limit.
-        // The portal does NOT divide (verified live 2026-05-21) — replicating the full limit
-        // to B1/B2/B3 = order ×N (overspend). See SupplierQuotaAllocator::distributeForPlatform.
-        $shares = SupplierQuotaAllocator::distributeForPlatform((int) $project->daily_limit_target, $platforms);
-
-        // Idempotency: find existing by identifier regardless of subject_code (any previous run).
-        $existingSps = SupplierProject::on(self::DB_CONNECTION)
-            ->where('unique_key', $identifier)
-            ->where('signal_type', (string) $project->signal_type)
-            ->whereIn('platform', $platforms)
-            ->get();
-
-        if ($existingSps->isEmpty()) {
-            // Create path: one save PER platform with that platform's divided share
-            // (single-flag save → exactly one rt-project, reliable id via listProjects match).
-            $idMap = $this->createPerPlatform($client, $project, $identifier, $tag, $workdays, $allRegions, $shares, $platforms);
-
-            foreach ($platforms as $platform) {
-                $externalId = $idMap[$platform] ?? null;
-                if ($externalId === null) {
-                    continue;
-                }
-
-                $sp = SupplierProject::on(self::DB_CONNECTION)->create([
-                    'platform' => $platform,
-                    'signal_type' => (string) $project->signal_type,
-                    'unique_key' => $identifier,
-                    'subject_code' => null,
-                    'supplier_external_id' => (string) $externalId,
-                    'current_limit' => $shares[$platform] ?? 0,
-                    'current_workdays' => $workdays,
-                    'current_regions' => $allRegions,
-                    'sync_status' => 'ok',
-                    'last_synced_at' => now(),
-                ]);
-
-                $existingSps->push($sp);
-            }
-        } else {
-            // External-deletion recovery: донор мог быть удалён на портале (вручную или
-            // прошлым hard-delete). Тогда external_id в нашей БД мёртв, а updateProject
-            // такого id портал молча принимает (no-op) — донор не пересоздаётся. Поэтому
-            // сверяемся со списком живых проектов портала и пересоздаём недостающих
-            // in-place (НЕ удаляя записи — на supplier_project могут висеть лиды/списания).
-            $livePortalIds = collect($client->listProjects())
-                ->map(fn ($p) => (string) ($p['id'] ?? ''))
-                ->filter()
-                ->all();
-
-            $deadSps = $existingSps->filter(
-                fn (SupplierProject $sp) => $sp->supplier_external_id !== null
-                    && ! in_array((string) $sp->supplier_external_id, $livePortalIds, true)
-            );
-
-            if ($deadSps->isNotEmpty()) {
-                $deadPlatforms = array_values($deadSps->pluck('platform')->all());
-                $recreatedIdMap = $this->createPerPlatform($client, $project, $identifier, $tag, $workdays, $allRegions, $shares, $deadPlatforms);
-
-                foreach ($deadSps as $sp) {
-                    $newId = $recreatedIdMap[$sp->platform] ?? null;
-                    if ($newId !== null) {
-                        $sp->forceFill(['supplier_external_id' => (string) $newId])->save();
-                    }
-                }
-            }
-
-            // Partial-set recovery: если предыдущий run создал не все platforms.
-            $existingPlatforms = $existingSps->pluck('platform')->all();
-            $missingPlatforms = array_values(array_diff($platforms, $existingPlatforms));
-
-            if ($missingPlatforms !== []) {
-                $missingIdMap = $this->createPerPlatform($client, $project, $identifier, $tag, $workdays, $allRegions, $shares, $missingPlatforms);
-
-                foreach ($missingPlatforms as $platform) {
-                    $externalId = $missingIdMap[$platform] ?? null;
-                    if ($externalId === null) {
-                        continue;
-                    }
-                    $sp = SupplierProject::on(self::DB_CONNECTION)->create([
-                        'platform' => $platform,
-                        'signal_type' => (string) $project->signal_type,
-                        'unique_key' => $identifier,
-                        'subject_code' => null,
-                        'supplier_external_id' => (string) $externalId,
-                        'current_limit' => $shares[$platform] ?? 0,
-                        'current_workdays' => $workdays,
-                        'current_regions' => $allRegions,
-                        'sync_status' => 'ok',
-                        'last_synced_at' => now(),
-                    ]);
-                    $existingSps->push($sp);
-                }
-            }
-
-            // Update existing supplier projects with current regions/limit.
-            foreach ($existingSps as $sp) {
-                if ($sp->supplier_external_id === null) {
-                    continue;
-                }
-                $perPlatformDto = new SupplierProjectDto(
-                    platform: $sp->platform,
-                    signalType: (string) $project->signal_type,
-                    uniqueKey: $identifier,
-                    limit: $shares[$sp->platform] ?? 0,
-                    workdays: $workdays,
-                    regions: $allRegions,
-                    regionsReverse: false,
-                    status: 'active',
-                    tag: $tag,
-                    platforms: [$sp->platform],
-                );
-                $channel->updateProject((int) $sp->supplier_external_id, $perPlatformDto);
-                $sp->forceFill([
-                    'current_limit' => $shares[$sp->platform] ?? 0,
-                    'current_workdays' => $workdays,
-                    'current_regions' => $allRegions,
-                    'sync_status' => 'ok',
-                    'last_synced_at' => now(),
-                ])->save();
-            }
-        }
-
-        // Pivot: project × each supplier_project → ON CONFLICT DO NOTHING
-        foreach ($existingSps as $sp) {
-            DB::connection(self::DB_CONNECTION)->table('project_supplier_links')->insertOrIgnore([
-                'project_id' => $project->id,
-                'supplier_project_id' => $sp->id,
-                'platform' => $sp->platform,
-                'subject_code' => null,
-            ]);
-        }
-
-        // Mirror the link into the legacy FK columns (supplier_b{1,2,3}_project_id) so the
-        // UI sync-status (ProjectResource → aggregateSyncStatus, which reads supplierB1/B2/B3)
-        // reflects the synced stack in online mode too — online primarily uses the pivot.
-        foreach ($existingSps as $sp) {
-            $column = 'supplier_'.strtolower((string) $sp->platform).'_project_id';
-            $project->{$column} = $sp->id;
-        }
-        $project->save();
-    }
-
-    // -------------------------------------------------------------------------
-    // Batch mode: каркас (limit=0, no regions) — backward-compat
-    // -------------------------------------------------------------------------
-
-    private function handleBatch(Project $project, SupplierProjectChannel $channel): void
-    {
-        $platforms = SupplierProjectGrouping::resolvePlatforms($project);
-        $workdays = $this->workdaysFromMask((int) $project->delivery_days_mask);
+        $platforms = $this->resolvePlatforms($project);

        foreach ($platforms as $platform) {
-            $uniqueKey = SupplierProjectGrouping::buildUniqueKey($project, $platform);
+            $uniqueKey = $this->buildUniqueKey($project, $platform);
            $column = 'supplier_'.strtolower($platform).'_project_id';

-            // Idempotency: local supplier_projects-запись уже есть?
-            $existing = SupplierProject::on(self::DB_CONNECTION)
+            // Идемпотентность: local supplier_projects-запись для тройки уже есть?
+            $existing = SupplierProject::query()
                ->where('platform', $platform)
                ->where('signal_type', $project->signal_type)
                ->where('unique_key', $uniqueKey)
@@ -285,16 +78,7 @@ class SyncSupplierProjectJob implements ShouldQueue
                continue;
            }

-            $dto = new SupplierProjectDto(
-                platform: $platform,
-                signalType: (string) $project->signal_type,
-                uniqueKey: $uniqueKey,
-                limit: 0,
-                workdays: $workdays,
-                regions: [],
-                regionsReverse: false,
-                status: 'active',
-            );
+            $dto = $this->buildDto($project, $platform, $uniqueKey);

            try {
                $externalId = $channel instanceof FailoverProjectChannel
@@ -310,13 +94,13 @@ class SyncSupplierProjectJob implements ShouldQueue
                continue;
            }

-            $sp = SupplierProject::on(self::DB_CONNECTION)->create([
+            $sp = SupplierProject::query()->create([
                'platform' => $platform,
                'signal_type' => $project->signal_type,
                'unique_key' => $uniqueKey,
                'supplier_external_id' => (string) $externalId,
                'current_limit' => 0,
-                'current_workdays' => $workdays,
+                'current_workdays' => [1, 2, 3, 4, 5, 6, 7],
                'current_regions' => null,
                'sync_status' => 'ok',
            ]);
@@ -328,84 +112,62 @@ class SyncSupplierProjectJob implements ShouldQueue
    }

    /**
-     * Создаёт проекты на портале ПО ОДНОМУ на платформу с её долей лимита ($shares).
-     *
-     * Один single-flag save = ровно один rt-проект → надёжный id через listProjects-матч.
-     * Так per-platform лимит = доля (Σ == заказу), а не полный лимит на каждой площадке.
-     * Per-platform tolerance: tier-escalation / window-defer / прочая ошибка одной площадки
-     * не валит остальные — пропускаем, следующий run (или ночной батч) подберёт недостающее.
-     *
-     * @param  array<string, int>  $shares  [platform => лимит площадки]
-     * @param  list<string>  $platformsToCreate
-     * @return array<string, int> [platform => external_id] для успешно созданных
+     * Initial-create DTO: лимит 0 (квота приедет ночным SyncSupplierProjectsJob),
+     * полная неделя, без регионов.
     */
-    private function createPerPlatform(
-        SupplierPortalClient $client,
-        Project $project,
-        string $identifier,
-        string $tag,
-        array $workdays,
-        array $allRegions,
-        array $shares,
-        array $platformsToCreate,
-    ): array {
-        $idMap = [];
-
-        foreach ($platformsToCreate as $platform) {
-            $dto = new SupplierProjectDto(
-                platform: $platform,
-                signalType: (string) $project->signal_type,
-                uniqueKey: $identifier,
-                limit: $shares[$platform] ?? 0,
-                workdays: $workdays,
-                regions: $allRegions,
-                regionsReverse: false,
-                status: 'active',
-                tag: $tag,
-                platforms: [$platform],
-            );
-
-            try {
-                $result = $client->saveProjectMultiFlag($dto);
-            } catch (TierEscalatedException $e) {
-                Log::info("SyncSupplierProjectJob: project {$project->id} {$platform} escalated to manual queue #{$e->queueRowId}");
-
-                continue;
-            } catch (WindowDeferredException) {
-                Log::info("SyncSupplierProjectJob: project {$project->id} {$platform} deferred by portal window");
-
-                continue;
-            } catch (\Throwable $e) {
-                Log::warning("SyncSupplierProjectJob: online per-platform save failed for project {$project->id} {$platform} (".get_class($e).'): '.$e->getMessage());
-
-                continue;
-            }
-
-            if (isset($result[$platform])) {
-                $idMap[$platform] = $result[$platform];
-            }
-        }
-
-        return $idMap;
+    private function buildDto(Project $project, string $platform, string $uniqueKey): SupplierProjectDto
+    {
+        return new SupplierProjectDto(
+            platform: $platform,
+            signalType: (string) $project->signal_type,
+            uniqueKey: $uniqueKey,
+            limit: 0,
+            workdays: [1, 2, 3, 4, 5, 6, 7],
+            regions: [],
+            regionsReverse: false,
+            status: 'active',
+        );
    }

    /**
-     * Bitmask → ISO weekday list. bit 0 = Mon (ISO 1) … bit 6 = Sun (ISO 7).
+     * Возвращает список uppercase platform-кодов для данного project.
+     * Коды соответствуют CHECK constraint: 'B1' / 'B2' / 'B3'.
     *
-     * Mirror of SyncSupplierProjectsJob::bitmaskToList(). Kept inline (not
-     * extracted to a shared helper) to keep this fix surgical.
-     *
-     * @return list<int>
+     * @return array<int, string>
     */
-    private function workdaysFromMask(int $mask): array
+    private function resolvePlatforms(Project $project): array
    {
-        $out = [];
-        for ($i = 0; $i < 7; $i++) {
-            if (($mask & (1 << $i)) !== 0) {
-                $out[] = $i + 1;
-            }
+        if (in_array($project->signal_type, ['site', 'call'], true)) {
+            return ['B1', 'B2', 'B3'];
        }

-        return $out;
+        if ($project->signal_type === 'sms') {
+            return $project->sms_keyword ? ['B2', 'B3'] : ['B3'];
+        }
+
+        return [];
+    }
+
+    /**
+     * Строит unique_key для пары (project, platform):
+     *   site/call  → signal_identifier (домен / телефон)
+     *   sms B2     → sender + '+' + keyword
+     *   sms B3     → sender
+     */
+    private function buildUniqueKey(Project $project, string $platform): string
+    {
+        if (in_array($project->signal_type, ['site', 'call'], true)) {
+            return (string) $project->signal_identifier;
+        }
+
+        // sms
+        $sender = (string) ($project->sms_senders[0] ?? '');
+
+        if ($platform === 'B2') {
+            return $sender.'+'.($project->sms_keyword ?? '');
+        }
+
+        // B3
+        return $sender;
    }
 }
@@ -54,7 +54,6 @@ class Deal extends Model
        'utm_campaign',
        'utm_content',
        'region_code',
-        'subject_code',
        'city',
        'time_in_form_seconds',
        'lead_score',
@@ -73,7 +72,6 @@ class Deal extends Model
            'duplicate_of_id' => 'integer',
            'escalated_count' => 'integer',
            'time_in_form_seconds' => 'integer',
-            'subject_code' => 'integer',
            'lead_score' => 'decimal:2',
            'phones' => 'array',
            'is_test' => 'boolean',
@@ -11,7 +11,6 @@ use Illuminate\Database\Eloquent\Builder;
 use Illuminate\Database\Eloquent\Factories\HasFactory;
 use Illuminate\Database\Eloquent\Model;
 use Illuminate\Database\Eloquent\Relations\BelongsTo;
-use Illuminate\Database\Eloquent\Relations\BelongsToMany;
 use Illuminate\Support\Collection;

 /**
@@ -40,6 +39,8 @@ class Project extends Model
        'tag',
        'type',
        'is_active',
+        // Plan 5 Task 1 (schema v8.20): soft archive flow — lifecycle-state рядом с is_active.
+        'archived_at',
        'daily_limit_target',
        'effective_daily_limit_today',
        'effective_limit_calculated_at',
@@ -85,6 +86,8 @@ class Project extends Model
            'sms_senders' => 'array',
            'delivered_in_month' => 'integer',
            'delivered_today' => 'integer',
+            // Plan 5 Task 1 (schema v8.20): soft archive.
+            'archived_at' => 'datetime',
        ];
    }

@@ -112,15 +115,6 @@ class Project extends Model
        return $this->belongsTo(SupplierProject::class, 'supplier_b3_project_id');
    }

-    /**
-     * @return BelongsToMany<SupplierProject, $this>
-     */
-    public function supplierProjects(): BelongsToMany
-    {
-        return $this->belongsToMany(SupplierProject::class, 'project_supplier_links')
-            ->withPivot(['platform', 'subject_code']);
-    }
-
    /**
     * Активные проекты, у которых сегодняшний день включён в delivery_days_mask.
     *
@@ -147,6 +141,33 @@ class Project extends Model
        return $query->where('signal_type', $signalType)->where('signal_identifier', $identifier);
    }

+    /**
+     * Не архивированные проекты (archived_at IS NULL).
+     *
+     * Внимание: scope не фильтрует is_active. Приостановленные (is_active=false)
+     * проекты сюда попадают — это разные lifecycle-состояния. Если нужны только
+     * «работающие» (не архив И не на паузе) — комбинируйте:
+     * ->active()->where('is_active', true).
+     *
+     * @param  Builder<Project>  $query
+     * @return Builder<Project>
+     */
+    public function scopeActive(Builder $query): Builder
+    {
+        return $query->whereNull('archived_at');
+    }
+
+    /**
+     * Архивированные проекты (archived_at IS NOT NULL).
+     *
+     * @param  Builder<Project>  $query
+     * @return Builder<Project>
+     */
+    public function scopeArchived(Builder $query): Builder
+    {
+        return $query->whereNotNull('archived_at');
+    }
+
    /**
     * Все связанные SupplierProject из eager-loaded BelongsTo отношений.
     *
@@ -7,24 +7,11 @@ namespace App\Models;
 use Illuminate\Database\Eloquent\Factories\HasFactory;
 use Illuminate\Database\Eloquent\Model;
 use Illuminate\Database\Eloquent\Relations\BelongsTo;
-use Illuminate\Support\Carbon;

 /**
 * Очередь яруса 3 резерва канала миграции проектов.
 *
 * Spec: docs/superpowers/specs/2026-05-19-supplier-project-channel-failover-design.md §4.5
- *
- * @property int $id
- * @property int $project_id
- * @property string $platform
- * @property string $operation
- * @property string|null $external_id
- * @property array<string, mixed> $payload_snapshot
- * @property string $failure_reason
- * @property string $status
- * @property int|null $resolved_by_user_id
- * @property Carbon|null $created_at
- * @property Carbon|null $resolved_at
 */
 class SupplierManualSyncQueue extends Model
 {
@@ -8,7 +8,6 @@ use Database\Factories\SupplierProjectFactory;
 use Illuminate\Database\Eloquent\Builder;
 use Illuminate\Database\Eloquent\Factories\HasFactory;
 use Illuminate\Database\Eloquent\Model;
-use Illuminate\Database\Eloquent\Relations\BelongsToMany;

 /**
 * Supplier-уровневый агрегат проекта у поставщика crm.bp-gr.ru.
@@ -41,7 +40,6 @@ class SupplierProject extends Model
        'sync_status',
        'last_synced_at',
        'inactive_since',
-        'subject_code',
    ];

    protected function casts(): array
@@ -52,7 +50,6 @@ class SupplierProject extends Model
            'current_limit' => 'integer',
            'last_synced_at' => 'datetime',
            'inactive_since' => 'datetime',
-            'subject_code' => 'integer',
        ];
    }

@@ -84,15 +81,6 @@ class SupplierProject extends Model
        return $query->where('signal_type', $signalType)->where('unique_key', $uniqueKey);
    }

-    /**
-     * @return BelongsToMany<Project, $this>
-     */
-    public function projects(): BelongsToMany
-    {
-        return $this->belongsToMany(Project::class, 'project_supplier_links')
-            ->withPivot(['platform', 'subject_code']);
-    }
-
    protected static function newFactory(): SupplierProjectFactory
    {
        return SupplierProjectFactory::new();
@@ -10,7 +10,6 @@ use App\Models\ImportUnknownStatus;
 use App\Models\Project;
 use App\Models\Reminder;
 use App\Services\MonthlyPartitionManager;
-use App\Services\Pd\PdAuditLogger;
 use Illuminate\Support\Facades\DB;
 use Illuminate\Support\Facades\Log;
 use Throwable;
@@ -27,7 +26,6 @@ final class HistoricalImportService
    public function __construct(
        private readonly MonthlyPartitionManager $partitions,
        private readonly StatusRuToSlugMapper $statusMapper,
-        private readonly PdAuditLogger $pdLog,
    ) {}

    /**
@@ -70,7 +68,7 @@ final class HistoricalImportService
            }

            try {
-                $wasCreated = $this->upsertRow($tenantId, $userId, $row, $slug, $log->id);
+                $wasCreated = $this->upsertRow($tenantId, $userId, $row, $slug);
                $wasCreated ? $added++ : $updated++;
            } catch (Throwable $e) {
                $skipped++;
@@ -134,9 +132,9 @@ final class HistoricalImportService
     * Идемпотентный upsert одной строки в собственной транзакции.
     * Возвращает true — создана новая сделка, false — обновлена существующая.
     */
-    private function upsertRow(int $tenantId, int $userId, ParsedLeadRow $row, string $slug, int $importLogId): bool
+    private function upsertRow(int $tenantId, int $userId, ParsedLeadRow $row, string $slug): bool
    {
-        return DB::transaction(function () use ($tenantId, $userId, $row, $slug, $importLogId): bool {
+        return DB::transaction(function () use ($tenantId, $userId, $row, $slug): bool {
            DB::statement('SET LOCAL app.current_tenant_id = '.$tenantId);

            $project = Project::firstOrCreate(
@@ -190,17 +188,6 @@ final class HistoricalImportService

            $this->syncReminder($tenantId, $userId, $deal, $row);

-            $this->pdLog->record(
-                action: 'created',
-                subjectType: 'lead',
-                subjectId: $deal->id,
-                purpose: 'lead_create_import_'.$importLogId,
-                tenantId: $tenantId,
-                actorTenantUserId: $userId,
-                actorAdminUserId: null,
-                ip: null,
-            );
-
            return true;
        });
    }
@@ -1,44 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Services;
-
-use Illuminate\Support\Collection;
-use Random\Randomizer;
-
-/**
- * Отбор получателей входящего лида: ≤ CAP случайных из eligible (sharing cap).
- *
- * cap=3 — защита владельца номера-донора (лид продаётся максимум 3 раза).
- * Eligible уже отфильтрован LeadRouter (есть остаток лимита) → отбор лимит не
- * превышает. Рандом через инъектируемый \Random\Randomizer (тесты сидируют
- * Mt19937 для детерминизма; прод — CSPRNG по умолчанию).
- *
- * Spec: docs/superpowers/specs/2026-05-20-project-migration-redesign-design.md §4.6.
- */
-final class LeadDistributor
-{
-    public const CAP = 3;
-
-    public function __construct(private readonly Randomizer $randomizer = new Randomizer) {}
-
-    /**
-     * @template T
-     *
-     * @param  Collection<int, T>  $eligible
-     * @return Collection<int, T>
-     */
-    public function selectRecipients(Collection $eligible): Collection
-    {
-        $items = $eligible->values()->all();
-
-        if (count($items) <= self::CAP) {
-            return collect($items);
-        }
-
-        $keys = $this->randomizer->pickArrayKeys($items, self::CAP);
-
-        return collect($keys)->map(fn (int $k) => $items[$k])->values();
-    }
-}
@@ -8,45 +8,70 @@ use App\Models\Project;
 use App\Models\SupplierProject;
 use Illuminate\Support\Carbon;
 use Illuminate\Support\Collection;
+use InvalidArgumentException;

 /**
 * Подбор eligible Лидерра-проектов для входящего лида (sharing-model §6).
 *
- * Eligibility — структурно через pivot project_supplier_links: проект eligible,
- * если связан с пришедшим supplier_project (= источник × субъект) + активен +
- * сегодня рабочий день + есть остаток лимита + у тенанта есть баланс.
+ * Алгоритм:
+ *   1. SELECT projects WHERE supplier_b{1,2,3}_project_id = $supplier->id (по platform).
+ *   2. Фильтр: is_active=true.
+ *   3. Workdays: (delivery_days_mask & today_bit) <> 0, today_bit = 1 << (ISO_DOW - 1).
+ *   4. delivered_today < COALESCE(effective_daily_limit_today, daily_limit_target).
+ *   5. tenants.balance_leads > 0 OR tenants.balance_rub > 0 (через WHERE EXISTS;
+ *      Plan 4 Task 4: dual-balance — rub-only tenant ДОЛЖЕН пройти, LedgerService
+ *      сам резолвит prepaid/rub и кидает InsufficientBalanceException, если оба = 0).
+ *   6. Region match через PhonePrefixService::phoneMatchesRegions (в PHP, не в SQL —
+ *      district-bit резолвится по 3/4-значному коду в PHP-словаре).
+ *   7. Сортировка: created_at ASC, id ASC (детерминированно — spec §6 step 4).
 *
- * Регион сопоставляется самим supplier_project (тег = субъект) — phone-prefix
- * фильтр убран (эпик миграции проектов, Q5): для мобильных он no-op, а регион
- * гарантирован тем, через какой supplier_project пришёл лид.
+ * Plan 3 Task 3: запрос идёт через connection `pgsql_supplier` (BYPASSRLS-роль
+ * crm_supplier_worker). Это закрывает WARN #2 — в sharing-flow tenant ещё не
+ * определён, SELECT обходит RLS-фильтрацию и видит проекты ВСЕХ tenant'ов
+ * параллельно. WHERE-фильтры (is_active, FK на supplier_project, workdays, лимиты,
+ * balance) сохраняются как defense-in-depth.
 *
- * Запрос через connection pgsql_supplier (BYPASSRLS crm_supplier_worker) — в
- * sharing-flow tenant ещё не определён, SELECT видит проекты всех tenant'ов.
- *
- * Spec: docs/superpowers/specs/2026-05-20-project-migration-redesign-design.md §4.5.
+ * Spec: docs/superpowers/specs/2026-05-10-supplier-integration-design.md §6 +
+ *       docs/superpowers/specs/2026-05-11-plan3-supplier-sync-design.md §1.
 */
 class LeadRouter
 {
+    public function __construct(
+        private readonly PhonePrefixService $phonePrefix,
+    ) {}
+
    /**
     * @return Collection<int, Project>
     */
-    public function matchEligibleProjects(SupplierProject $supplierProject): Collection
+    public function matchEligibleProjects(SupplierProject $supplierProject, string $phone): Collection
    {
-        // МСК-aligned ISO day-of-week (reset-cron тоже 00:00 МСК).
+        $fkColumn = match ($supplierProject->platform) {
+            'B1' => 'supplier_b1_project_id',
+            'B2' => 'supplier_b2_project_id',
+            'B3' => 'supplier_b3_project_id',
+            // Unreachable per CHECK chk_supplier_projects_platform; defensive for static analysis.
+            default => throw new InvalidArgumentException(
+                "Unknown supplier platform: {$supplierProject->platform}"
+            ),
+        };
+
+        // МСК-aligned ISO day-of-week: Plan 2 Task 9 reset cron also runs at 00:00 МСК,
+        // so workday-mask check must use same timezone to avoid off-by-one near midnight.
        $todayBit = 1 << (Carbon::now('Europe/Moscow')->isoWeekday() - 1);

        /** @var Collection<int, Project> $candidates */
        $candidates = Project::on('pgsql_supplier')
-            ->whereExists(function ($q) use ($supplierProject): void {
-                $q->selectRaw('1')
-                    ->from('project_supplier_links')
-                    ->whereColumn('project_supplier_links.project_id', 'projects.id')
-                    ->where('project_supplier_links.supplier_project_id', $supplierProject->id);
-            })
+            ->where($fkColumn, $supplierProject->id)
            ->where('is_active', true)
            ->whereRaw('(delivery_days_mask & ?) <> 0', [$todayBit])
-            ->whereRaw('delivered_today < COALESCE(effective_daily_limit_today, daily_limit_target)')
+            ->whereRaw(
+                'delivered_today < COALESCE(effective_daily_limit_today, daily_limit_target)'
+            )
            ->whereExists(function ($q): void {
+                // Plan 4 Task 4: dual-balance — допускаем rub-only tenant'ов.
+                // LedgerService::chargeForDelivery сам выбирает prepaid (balance_leads--)
+                // или rub (balance_rub -= tier_price) и кидает InsufficientBalanceException,
+                // если ОБА = 0. До Plan 4 фильтр был строгий balance_leads > 0 (prepaid only).
                $q->selectRaw('1')
                    ->from('tenants')
                    ->whereColumn('tenants.id', 'projects.tenant_id')
@@ -59,6 +84,12 @@ class LeadRouter
            ->orderBy('id')
            ->get();

-        return $candidates->values();
+        return $candidates->filter(
+            fn (Project $p): bool => $this->phonePrefix->phoneMatchesRegions(
+                $phone,
+                (int) $p->region_mask,
+                (string) $p->region_mode,
+            )
+        )->values();
    }
 }
@@ -1,73 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Services\Pd;
-
-use App\Models\ImpersonationToken;
-use App\Models\SaasAdminAuditLog;
-
-/**
- * Оркестратор аудита impersonation: пишет защищённый saas_admin_audit_log
- * на init/verify/end и ПДн-след (pd_processing_log) на verify — вход админа
- * в кабинет тенанта = массовый доступ к ПДн (152-ФЗ).
- */
-final class ImpersonationAuditService
-{
-    public function __construct(private readonly PdAuditLogger $pd) {}
-
-    public function recordInit(ImpersonationToken $t, int $adminId, ?string $ip): void
-    {
-        SaasAdminAuditLog::create([
-            'admin_user_id' => $adminId,
-            'action' => 'impersonation.init',
-            'target_type' => 'tenant',
-            'target_id' => $t->tenant_id,
-            'target_tenant_id' => $t->tenant_id,
-            'payload_before' => null,
-            'payload_after' => ['token_id' => $t->id, 'expires_at' => $t->expires_at->toIso8601String()],
-            'reason' => $t->reason,
-            'ip_address' => $ip ?? '127.0.0.1',
-            'user_agent' => null,
-        ]);
-    }
-
-    public function recordVerify(ImpersonationToken $t, int $adminId, ?string $ip): void
-    {
-        SaasAdminAuditLog::create([
-            'admin_user_id' => $adminId,
-            'action' => 'impersonation.verify',
-            'target_type' => 'tenant',
-            'target_id' => $t->tenant_id,
-            'target_tenant_id' => $t->tenant_id,
-            'payload_before' => ['used_at' => null],
-            'payload_after' => ['used_at' => now()->toIso8601String()],
-            'reason' => $t->reason,
-            'ip_address' => $ip ?? '127.0.0.1',
-            'user_agent' => null,
-        ]);
-        // ПДн-след: вход админа в кабинет = массовый доступ к ПДн тенанта.
-        $this->pd->record(
-            action: 'viewed', subjectType: 'tenant', subjectId: $t->tenant_id,
-            purpose: 'impersonation_session_'.$t->id,
-            tenantId: $t->tenant_id,
-            actorTenantUserId: null, actorAdminUserId: $adminId, ip: $ip,
-        );
-    }
-
-    public function recordEnd(ImpersonationToken $t, int $adminId, ?string $ip): void
-    {
-        SaasAdminAuditLog::create([
-            'admin_user_id' => $adminId,
-            'action' => 'impersonation.end',
-            'target_type' => 'tenant',
-            'target_id' => $t->tenant_id,
-            'target_tenant_id' => $t->tenant_id,
-            'payload_before' => ['session_ended_at' => null],
-            'payload_after' => ['session_ended_at' => now()->toIso8601String()],
-            'reason' => $t->reason,
-            'ip_address' => $ip ?? '127.0.0.1',
-            'user_agent' => null,
-        ]);
-    }
-}
@@ -1,42 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Services\Pd;
-
-use Illuminate\Support\Facades\DB;
-
-/**
- * Запись в pd_processing_log (152-ФЗ ст.18 ч.2). Hash-chain trigger
- * audit_chain_hash() автоматически заполняет log_hash; append-only
- * защита — триггер audit_block_mutation (UPDATE/DELETE заблокированы).
- *
- * chk_pd_actor: ровно один актор из tenant_user/admin, либо оба NULL
- * (системное действие — cron / триггер).
- */
-final class PdAuditLogger
-{
-    /** @param string $action one of 'created','viewed','updated','deleted','exported' */
-    public function record(
-        string $action,
-        ?string $subjectType,
-        ?int $subjectId,
-        string $purpose,
-        ?int $tenantId,
-        ?int $actorTenantUserId,
-        ?int $actorAdminUserId,
-        ?string $ip,
-    ): void {
-        DB::table('pd_processing_log')->insert([
-            'tenant_id' => $tenantId,
-            'subject_type' => $subjectType,
-            'subject_id' => $subjectId,
-            'action' => $action,
-            'purpose' => $purpose,
-            'actor_tenant_user_id' => $actorTenantUserId,
-            'actor_admin_user_id' => $actorAdminUserId,
-            'ip_address' => $ip,
-            'created_at' => now(),
-        ]);
-    }
-}
@@ -4,12 +4,10 @@ declare(strict_types=1);

 namespace App\Services\Project;

-use App\Jobs\Supplier\DeleteSupplierProjectJob;
 use App\Jobs\SyncSupplierProjectJob;
 use App\Models\Project;
 use App\Models\Tenant;
 use Illuminate\Http\Exceptions\HttpResponseException;
-use Illuminate\Support\Facades\DB;

 class ProjectService
 {
@@ -21,6 +19,7 @@ class ProjectService
            $data['tenant_id'], $data['signal_type'],
            $data['delivered_today'], $data['delivered_in_month'],
            $data['supplier_b1_project_id'], $data['supplier_b2_project_id'], $data['supplier_b3_project_id'],
+            $data['archived_at'],
        );

        if (isset($data['daily_limit_target']) && $data['daily_limit_target'] < $project->delivered_today) {
@@ -33,26 +32,10 @@ class ProjectService
            ], 422));
        }

-        // Resync на смену источник-несущих полей, регионов, лимита и дней недели —
-        // поставщик должен видеть актуальные параметры сразу, не дожидаясь ночного батча.
+        // Resync на смену любого источник-несущего поля — поставщику нужно знать актуальный домен/телефон/sms.
        $needsResync = array_key_exists('sms_senders', $data)
            || array_key_exists('sms_keyword', $data)
-            || array_key_exists('signal_identifier', $data)
-            || array_key_exists('regions', $data)
-            || array_key_exists('daily_limit_target', $data)
-            || array_key_exists('delivery_days_mask', $data);
-
-        if (array_key_exists('signal_identifier', $data) || array_key_exists('sms_senders', $data) || array_key_exists('sms_keyword', $data)) {
-            $this->assertSourceUnique($project->tenant_id, array_merge([
-                'signal_type' => $project->signal_type,
-                'signal_identifier' => $project->signal_identifier,
-                'sms_senders' => $project->sms_senders,
-                'sms_keyword' => $project->sms_keyword,
-            ], $data), exceptId: $project->id);
-        }
-        if (array_key_exists('name', $data)) {
-            $this->assertNameUnique($project->tenant_id, (string) $data['name'], exceptId: $project->id);
-        }
+            || array_key_exists('signal_identifier', $data);

        $project->update($data);

@@ -63,26 +46,17 @@ class ProjectService
        return $project->fresh();
    }

-    public function delete(Project $project): void
+    public function archive(Project $project): void
    {
-        $hasDeals = DB::table('deals')->where('project_id', $project->id)->exists();
-        if ($hasDeals) {
+        if ($project->archived_at !== null) {
            throw new HttpResponseException(response()->json([
-                'errors' => ['project' => ['Нельзя удалить проект: по нему есть сделки. Поставьте приём на паузу, чтобы скрыть проект из работы.']],
-            ], 422));
-        }
-
-        // Капчим доноров ДО удаления — pivot уйдёт каскадом.
-        $supplierProjectIds = DB::table('project_supplier_links')
-            ->where('project_id', $project->id)
-            ->pluck('supplier_project_id')
-            ->all();
-
-        $project->delete(); // hard delete (Project без SoftDeletes); cascade чистит pivot + служебные.
-
-        if ($supplierProjectIds !== []) {
-            DeleteSupplierProjectJob::dispatch(array_map('intval', $supplierProjectIds));
+                'message' => 'Project уже архивирован.',
+            ], 409));
        }
+        $project->update([
+            'is_active' => false,
+            'archived_at' => now(),
+        ]);
    }

    public function triggerSync(Project $project): void
@@ -105,8 +79,9 @@ class ProjectService
        }
        if (! empty($filter['status'])) {
            match ($filter['status']) {
-                'active' => $query->where('is_active', true),
-                'paused' => $query->where('is_active', false),
+                'active' => $query->where('is_active', true)->whereNull('archived_at'),
+                'paused' => $query->where('is_active', false)->whereNull('archived_at'),
+                'archived' => $query->whereNotNull('archived_at'),
                default => null,
            };
        }
@@ -129,7 +104,7 @@ class ProjectService
        return match ($action) {
            'pause' => $this->bulkSimpleUpdate($query, ['is_active' => false]),
            'resume' => $this->bulkSimpleUpdate($query, ['is_active' => true]),
-            'delete' => $this->bulkDelete($query),
+            'archive' => $this->bulkSimpleUpdate($query, ['is_active' => false, 'archived_at' => now()]),
            'update_regions' => $this->bulkUpdateRegions($query, $payload),
            'update_days' => $this->bulkUpdateDays($query, $payload),
            'update_limit' => $this->bulkUpdateLimit($query, $payload),
@@ -143,29 +118,6 @@ class ProjectService
        return ['updated' => $updated, 'skipped' => [], 'warnings' => []];
    }

-    private function bulkDelete($query): array
-    {
-        $projects = (clone $query)->get(['id']);
-        $deleted = 0;
-        $skipped = [];
-
-        foreach ($projects as $p) {
-            $model = Project::find($p->id);
-            if ($model === null) {
-                continue;
-            }
-
-            try {
-                $this->delete($model);
-                $deleted++;
-            } catch (HttpResponseException) {
-                $skipped[] = ['id' => $p->id, 'reason' => 'has_deals'];
-            }
-        }
-
-        return ['updated' => $deleted, 'skipped' => $skipped, 'warnings' => []];
-    }
-
    /**
     * Plan 6.5: субъект-уровневый bulk-edit `regions` INT[].
     *
@@ -257,60 +209,10 @@ class ProjectService
        return ['updated' => $updated, 'skipped' => $skipped, 'warnings' => []];
    }

-    private function assertNameUnique(int $tenantId, string $name, ?int $exceptId = null): void
-    {
-        $q = Project::where('tenant_id', $tenantId)->where('name', $name);
-        if ($exceptId !== null) {
-            $q->where('id', '!=', $exceptId);
-        }
-        if ($q->exists()) {
-            throw new HttpResponseException(response()->json([
-                'errors' => ['name' => ['Проект с таким названием у вас уже есть. Выберите другое название.']],
-            ], 422));
-        }
-    }
-
-    /** @param array<string,mixed> $data */
-    private function assertSourceUnique(int $tenantId, array $data, ?int $exceptId = null): void
-    {
-        $signalType = $data['signal_type'] ?? null;
-        $q = Project::where('tenant_id', $tenantId)->where('signal_type', $signalType);
-        if ($exceptId !== null) {
-            $q->where('id', '!=', $exceptId);
-        }
-
-        if (in_array($signalType, ['call', 'site'], true)) {
-            $identifier = (string) ($data['signal_identifier'] ?? '');
-            if ($identifier === '') {
-                return;
-            }
-            $q->where('signal_identifier', $identifier);
-        } elseif ($signalType === 'sms') {
-            $senders = (array) ($data['sms_senders'] ?? []);
-            $norm = collect($senders)->map(fn ($s) => mb_strtolower(trim((string) $s)))->sort()->values()->all();
-            if ($norm === []) {
-                return;
-            }
-            $keyword = $data['sms_keyword'] ?? null;
-            $q->where('sms_keyword', $keyword)
-                ->whereJsonContains('sms_senders', $norm)
-                ->whereRaw('jsonb_array_length(sms_senders::jsonb) = ?', [count($norm)]);
-        } else {
-            return;
-        }
-
-        $existing = $q->first();
-        if ($existing !== null) {
-            throw new HttpResponseException(response()->json([
-                'errors' => ['signal_identifier' => ["У вас уже есть проект с этим источником: «{$existing->name}»."]],
-            ], 422));
-        }
-    }
-
    public function create(Tenant $tenant, array $data): Project
    {
        $limit = (int) ($tenant->limits['max_projects'] ?? 10);
-        $current = Project::where('tenant_id', $tenant->id)->count();
+        $current = Project::where('tenant_id', $tenant->id)->active()->count();
        if ($current >= $limit) {
            throw new HttpResponseException(response()->json([
                'message' => "Достигнут лимит проектов ({$limit}). Смените тариф.",
@@ -324,10 +226,6 @@ class ProjectService
        // PhonePrefixService / LeadRouter, удаляются в Plan 6.5 после переключения читателей.
        $data['region_mask'] = 255;
        $data['region_mode'] = 'include';
-
-        $this->assertNameUnique($tenant->id, (string) $data['name']);
-        $this->assertSourceUnique($tenant->id, $data);
-
        $project = Project::create($data);

        SyncSupplierProjectJob::dispatch($project->id);
@@ -1,27 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Services;
-
-use App\Support\RussianRegions;
-
-/**
- * Резолвит регион-тег поставщика (raw_payload['tag'] = имя субъекта или «РФ»)
- * в код субъекта 1..89. «РФ»/пусто/неизвестно → null (пул «Вся РФ»/неизвестно).
- *
- * Spec: docs/superpowers/specs/2026-05-20-project-migration-redesign-design.md §4.4.
- */
-final class RegionTagResolver
-{
-    public function resolve(string $tag): ?int
-    {
-        $tag = trim($tag);
-
-        if ($tag === '' || $tag === 'РФ') {
-            return null;
-        }
-
-        return RussianRegions::nameToCode()[$tag] ?? null;
-    }
-}
@@ -33,9 +33,6 @@ final readonly class SupplierProjectDto
        array $regions,
        public bool $regionsReverse,       // false = include (default), true = exclude
        public string $status,             // active / paused
-        public string $tag = '_lidpotok',
-        /** @var array<int, string> */
-        public array $platforms = [],
    ) {
        // Canonical order for deterministic equals() vs PG jsonb non-deterministic order.
        // sort() reorders in-place AND re-indexes keys 0..N-1 (PHP guarantees list-semantics).
@@ -1,88 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Services\Supplier\Import;
-
-/**
- * Pure-хелперы перевода полей строки rt-проекта поставщика → поля Лидерры.
- * Без побочных эффектов и зависимостей — только статические функции.
- *
- * Spec: docs/superpowers/specs/2026-05-22-supplier-projects-import-lkomega-design.md §4
- */
-final class SupplierImportMapper
-{
-    private const SRC_TO_PLATFORM = ['rt' => 'B1', 'bl' => 'B2', 'mt' => 'B3'];
-
-    private const TYPE_TO_SIGNAL = ['calls' => 'call', 'hosts' => 'site', 'sms' => 'sms'];
-
-    public static function platformFromSrc(string $src): ?string
-    {
-        return self::SRC_TO_PLATFORM[$src] ?? null;
-    }
-
-    public static function signalTypeFromType(string $type): ?string
-    {
-        return self::TYPE_TO_SIGNAL[$type] ?? null;
-    }
-
-    /**
-     * Строку ГИБДД-кодов («24», «24,77», «24, 77 78») → list<int>.
-     * Пусто/null → [].
-     *
-     * @return list<int>
-     */
-    public static function parseGibddRegions(?string $regions): array
-    {
-        if ($regions === null) {
-            return [];
-        }
-        $parts = preg_split('/[,\s]+/', trim($regions), -1, PREG_SPLIT_NO_EMPTY);
-        if ($parts === false || $parts === []) {
-            return [];
-        }
-
-        return array_map(static fn (string $p): int => (int) $p, $parts);
-    }
-
-    /**
-     * Список дней-строк ["1".."7"] (1=Пн..7=Вс ISO) → битовая маска (bit0=Пн).
-     * Пусто → 127 (все дни).
-     *
-     * @param  list<int|string>  $workdays
-     */
-    public static function workdaysToMask(array $workdays): int
-    {
-        if ($workdays === []) {
-            return 127;
-        }
-        $mask = 0;
-        foreach ($workdays as $d) {
-            $day = (int) $d;
-            if ($day >= 1 && $day <= 7) {
-                $mask |= (1 << ($day - 1));
-            }
-        }
-
-        return $mask === 0 ? 127 : $mask;
-    }
-
-    /**
-     * sms-content: «sender+keyword» → ['sender'=>…, 'keyword'=>…];
-     * «sender» (без плюса) → ['sender'=>…, 'keyword'=>null].
-     *
-     * @return array{sender: string, keyword: string|null}
-     */
-    public static function parseSmsContent(string $content): array
-    {
-        $plus = strpos($content, '+');
-        if ($plus === false) {
-            return ['sender' => $content, 'keyword' => null];
-        }
-
-        return [
-            'sender' => substr($content, 0, $plus),
-            'keyword' => substr($content, $plus + 1),
-        ];
-    }
-}
@@ -1,348 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Services\Supplier\Import;
-
-use App\Models\Project;
-use App\Models\SupplierProject;
-use App\Models\SupplierSyncLog;
-use App\Services\Supplier\SupplierPortalClient;
-use App\Services\Supplier\SupplierProjectGrouping;
-use App\Support\SupplierRegions;
-use Illuminate\Support\Facades\DB;
-
-/**
- * Усыновление активных проектов поставщика (аккаунт lkomega) как проектов
- * Лидерры. Читает listProjects (read-only), группирует площадки B1/B2/B3 в один
- * проект, реверс-маппит регионы, считает лимит как сумму площадок.
- *
- * Spec: docs/superpowers/specs/2026-05-22-supplier-projects-import-lkomega-design.md
- */
-class SupplierProjectImporter
-{
-    private const DB_CONNECTION = 'pgsql_supplier';
-
-    public function __construct(
-        private readonly SupplierPortalClient $client,
-    ) {}
-
-    /**
-     * @return array{planned: list<array<string, mixed>>, skipped: list<array{reason: string, label: string}>}
-     */
-    public function buildPlan(int $tenantId): array
-    {
-        $rows = $this->client->listProjects();
-
-        /** @var list<array{reason: string, label: string}> $skipped */
-        $skipped = [];
-
-        /** @var array<string, array<string, mixed>> $groups */
-        $groups = [];
-
-        foreach ($rows as $row) {
-            if (($row['status'] ?? false) !== true) {
-                continue;
-            }
-
-            $platform = SupplierImportMapper::platformFromSrc((string) ($row['src'] ?? ''));
-            if ($platform === null) {
-                $skipped[] = ['reason' => 'unsupported_source', 'label' => (string) ($row['name'] ?? $row['content'] ?? '?')];
-
-                continue;
-            }
-
-            $signalType = SupplierImportMapper::signalTypeFromType((string) ($row['type'] ?? ''));
-            if ($signalType === null) {
-                $skipped[] = ['reason' => 'unsupported_type', 'label' => (string) ($row['name'] ?? '?')];
-
-                continue;
-            }
-
-            if ($signalType === 'sms') {
-                $parsed = SupplierImportMapper::parseSmsContent((string) ($row['content'] ?? ''));
-                $sender = $parsed['sender'];
-                if ($sender === '') {
-                    $skipped[] = ['reason' => 'sms_unparseable', 'label' => (string) ($row['name'] ?? '?')];
-
-                    continue;
-                }
-                $key = 'sms|'.$sender;
-                if (! isset($groups[$key])) {
-                    $groups[$key] = [
-                        'signal_type' => 'sms',
-                        'signal_identifier' => null,
-                        'sms_senders' => [$sender],
-                        'sms_keyword' => null,
-                        'tag' => '',
-                        'regions' => [],
-                        'has_all_russia' => false,
-                        'workdays_mask' => 0,
-                        'daily_limit_target' => 0,
-                        'platforms' => [],
-                    ];
-                }
-                if ($parsed['keyword'] !== null && $parsed['keyword'] !== '' && $groups[$key]['sms_keyword'] === null) {
-                    $groups[$key]['sms_keyword'] = $parsed['keyword'];
-                }
-                if (($row['regions_reverse'] ?? false) === true) {
-                    $skipped[] = ['reason' => 'regions_exclude', 'label' => $sender];
-                    $groups[$key]['__excluded'] = true;
-                }
-                $this->accumulateRow($groups[$key], $row, $platform);
-
-                continue;
-            }
-
-            $identifier = (string) ($row['content'] ?? '');
-            $key = $signalType.'|'.$identifier;
-
-            if (! isset($groups[$key])) {
-                $groups[$key] = [
-                    'signal_type' => $signalType,
-                    'signal_identifier' => $identifier,
-                    'sms_senders' => [],
-                    'sms_keyword' => null,
-                    'tag' => '',
-                    'regions' => [],
-                    'has_all_russia' => false,
-                    'workdays_mask' => 0,
-                    'daily_limit_target' => 0,
-                    'platforms' => [],
-                ];
-            }
-
-            if (($row['regions_reverse'] ?? false) === true) {
-                $skipped[] = ['reason' => 'regions_exclude', 'label' => $identifier];
-                $groups[$key]['__excluded'] = true;
-            }
-            $this->accumulateRow($groups[$key], $row, $platform);
-        }
-
-        $planned = [];
-        foreach ($groups as $g) {
-            if (($g['__excluded'] ?? false) === true) {
-                continue;
-            }
-            unset($g['__excluded']);
-            unset($g['has_all_russia']);
-            $g['delivery_days_mask'] = $g['workdays_mask'] === 0 ? 127 : $g['workdays_mask'];
-            unset($g['workdays_mask']);
-            if ($g['tag'] === '') {
-                $g['tag'] = 'РФ';
-            }
-            $g['name'] = $this->deriveName($g);
-
-            if ($this->projectExists($tenantId, $g)) {
-                $skipped[] = ['reason' => 'already_exists', 'label' => $this->groupLabel($g)];
-
-                continue;
-            }
-            $planned[] = $g;
-        }
-
-        return ['planned' => $planned, 'skipped' => $skipped];
-    }
-
-    /**
-     * Пишет план в БД: Project + supplier_projects (external_id с портала) + pivot.
-     * НЕ обращается к порталу. Каждый проект — в своей транзакции.
-     *
-     * @param  array{planned: list<array<string, mixed>>, skipped: list<array{reason: string, label: string}>}  $plan
-     * @return array{created_projects: int, created_supplier_projects: int, created_links: int}
-     */
-    public function commit(array $plan, int $tenantId): array
-    {
-        $createdProjects = 0;
-        $createdSps = 0;
-        $createdLinks = 0;
-
-        $conn = DB::connection(self::DB_CONNECTION);
-
-        foreach ($plan['planned'] as $item) {
-            $writeItem = function () use ($item, $tenantId, &$createdProjects, &$createdSps, &$createdLinks): void {
-                /** @var Project $project */
-                $project = Project::on(self::DB_CONNECTION)->create([
-                    'tenant_id' => $tenantId,
-                    'name' => $item['name'],
-                    'tag' => $item['tag'],
-                    'is_active' => true,
-                    'signal_type' => $item['signal_type'],
-                    'signal_identifier' => $item['signal_identifier'],
-                    'sms_senders' => $item['sms_senders'] !== [] ? $item['sms_senders'] : null,
-                    'sms_keyword' => $item['sms_keyword'],
-                    'regions' => $item['regions'],
-                    'region_mode' => 'include',
-                    'delivery_days_mask' => $item['delivery_days_mask'],
-                    'daily_limit_target' => $item['daily_limit_target'],
-                ]);
-                $createdProjects++;
-
-                foreach ($item['platforms'] as $pl) {
-                    $platform = (string) $pl['platform'];
-                    $uniqueKey = SupplierProjectGrouping::buildUniqueKey($project, $platform);
-
-                    /** @var SupplierProject $sp */
-                    $sp = SupplierProject::on(self::DB_CONNECTION)->firstOrCreate(
-                        ['platform' => $platform, 'unique_key' => $uniqueKey, 'subject_code' => null],
-                        [
-                            'signal_type' => $item['signal_type'],
-                            'supplier_external_id' => (string) $pl['external_id'],
-                            'current_limit' => (int) $pl['lim'],
-                            'current_workdays' => $this->maskToList((int) $item['delivery_days_mask']),
-                            'current_regions' => $item['regions'],
-                            'sync_status' => 'ok',
-                            'last_synced_at' => now(),
-                        ],
-                    );
-                    if ($sp->wasRecentlyCreated) {
-                        $createdSps++;
-                        SupplierSyncLog::on(self::DB_CONNECTION)->create([
-                            'supplier_project_id' => $sp->id,
-                            'action' => 'create',
-                            'http_status' => 200,
-                            'created_at' => now(),
-                        ]);
-                    }
-
-                    $inserted = DB::connection(self::DB_CONNECTION)->table('project_supplier_links')->insertOrIgnore([
-                        'project_id' => $project->id,
-                        'supplier_project_id' => $sp->id,
-                        'platform' => $platform,
-                        'subject_code' => null,
-                    ]);
-                    $createdLinks += $inserted;
-                }
-            };
-
-            // Per-project atomicity (spec §8): сбой посреди группы не должен оставить
-            // orphan-Project без supplier_projects/pivot. В проде оборачиваем в транзакцию.
-            // Под тестовым харнессом (SharesSupplierPdo + DatabaseTransactions) общий PDO
-            // уже в транзакции — повторный BEGIN бросил бы «already active», поэтому пишем
-            // напрямую (внешняя транзакция теста сама откатится).
-            if ($conn->getPdo()->inTransaction()) {
-                $writeItem();
-            } else {
-                $conn->transaction($writeItem);
-            }
-        }
-
-        return [
-            'created_projects' => $createdProjects,
-            'created_supplier_projects' => $createdSps,
-            'created_links' => $createdLinks,
-        ];
-    }
-
-    /**
-     * Маска дней (bit0=Пн) → list<int> [1..7].
-     *
-     * @return list<int>
-     */
-    private function maskToList(int $mask): array
-    {
-        $out = [];
-        for ($i = 0; $i < 7; $i++) {
-            if (($mask & (1 << $i)) !== 0) {
-                $out[] = $i + 1;
-            }
-        }
-
-        return $out;
-    }
-
-    /**
-     * @param  array<string, mixed>  $group
-     * @param  array<string, mixed>  $row
-     */
-    private function accumulateRow(array &$group, array $row, string $platform): void
-    {
-        $lim = (int) ($row['lim'] ?? 0);
-        $group['daily_limit_target'] += $lim;
-        $group['platforms'][] = [
-            'platform' => $platform,
-            'external_id' => (int) ($row['id'] ?? 0),
-            'lim' => $lim,
-        ];
-
-        $rowTag = trim((string) ($row['tag'] ?? ''));
-        if ($group['tag'] === '' && $rowTag !== '' && $rowTag !== 'РФ') {
-            $group['tag'] = $rowTag;
-        }
-
-        $group['workdays_mask'] |= SupplierImportMapper::workdaysToMask((array) ($row['workdays'] ?? []));
-
-        if (! $group['has_all_russia']) {
-            $gibdd = SupplierImportMapper::parseGibddRegions(
-                is_string($row['regions'] ?? null) ? $row['regions'] : ''
-            );
-            if ($gibdd === []) {
-                $group['has_all_russia'] = true;
-                $group['regions'] = [];
-            } else {
-                $liderra = SupplierRegions::mapFromSupplier($gibdd);
-                $group['regions'] = array_values(array_unique(array_merge($group['regions'], $liderra)));
-                sort($group['regions']);
-            }
-        }
-    }
-
-    /**
-     * @param  array<string, mixed>  $group
-     */
-    private function projectExists(int $tenantId, array $group): bool
-    {
-        $query = Project::on('pgsql_supplier')
-            ->where('tenant_id', $tenantId)
-            ->where('signal_type', $group['signal_type']);
-
-        if ($group['signal_type'] === 'sms') {
-            $sender = $group['sms_senders'][0] ?? '';
-            $keyword = $group['sms_keyword'];
-
-            return $query
-                ->whereJsonContains('sms_senders', $sender)
-                ->where(fn ($q) => $keyword === null ? $q->whereNull('sms_keyword') : $q->where('sms_keyword', $keyword))
-                ->exists();
-        }
-
-        return $query->where('signal_identifier', $group['signal_identifier'])->exists();
-    }
-
-    /**
-     * @param  array<string, mixed>  $group
-     */
-    private function groupLabel(array $group): string
-    {
-        return $group['signal_type'] === 'sms'
-            ? (string) ($group['sms_senders'][0] ?? '?')
-            : (string) ($group['signal_identifier'] ?? '?');
-    }
-
-    /**
-     * @param  array<string, mixed>  $group
-     */
-    private function deriveName(array $group): string
-    {
-        $tag = trim((string) $group['tag']);
-        $identifier = $group['signal_type'] === 'sms'
-            ? (string) ($group['sms_senders'][0] ?? '')
-            : (string) ($group['signal_identifier'] ?? '');
-
-        // projects has UNIQUE(tenant_id, name): несколько групп с одинаковым тегом
-        // («КРК» приходит на десятки разных телефонов) обязаны иметь разные имена.
-        // Поэтому комбинируем тег + идентификатор. «РФ» — placeholder тега, не часть имени.
-        $tagPart = ($tag !== '' && $tag !== 'РФ') ? $tag : '';
-        if ($tagPart !== '' && $identifier !== '') {
-            $name = $tagPart.' · '.$identifier;
-        } elseif ($tagPart !== '') {
-            $name = $tagPart;
-        } elseif ($identifier !== '') {
-            $name = $identifier;
-        } else {
-            $name = 'проект';
-        }
-
-        return mb_substr($name, 0, 255);
-    }
-}
@@ -1,32 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Services\Supplier;
-
-use Illuminate\Support\Facades\DB;
-
-/**
- * Глобальный режим экспорта проектов поставщику (system_settings).
- * 'online' — sync сразу при create/edit с полными параметрами;
- * 'batch'  — каркас сразу + полные параметры ночным SyncSupplierProjectsJob (18:00).
- * Spec: docs/superpowers/specs/2026-05-20-project-migration-redesign-design.md §4.1.
- */
-final class SupplierExportMode
-{
-    public const ONLINE = 'online';
-
-    public const BATCH = 'batch';
-
-    public static function current(): string
-    {
-        $value = DB::table('system_settings')->where('key', 'supplier_export_mode')->value('value');
-
-        return $value === self::ONLINE ? self::ONLINE : self::BATCH;
-    }
-
-    public static function isOnline(): bool
-    {
-        return self::current() === self::ONLINE;
-    }
-}
@@ -9,7 +9,6 @@ use App\Exceptions\Supplier\SupplierClientException;
 use App\Exceptions\Supplier\SupplierTransientException;
 use App\Jobs\Supplier\RefreshSupplierSessionJob;
 use App\Services\Supplier\Dto\SupplierProjectDto;
-use App\Support\SupplierRegions;
 use Carbon\CarbonInterface;
 use Illuminate\Http\Client\ConnectionException;
 use Illuminate\Http\Client\Factory as HttpFactory;
@@ -95,40 +94,6 @@ class SupplierPortalClient
        $this->assertStatusOk($response, '/admin/visit/rt-project-save');
    }

-    /**
-     * R5: один save с флагами всех dto->platforms → портал создаёт N rt-проектов,
-     * портал делит лимит сам (R6). Ответ rt-project-save отдаёт id последнего →
-     * дочитываем listProjects и матчим по name+tag (R-SAVE вариант а, Task 1 finding).
-     *
-     * @return array<string, int> [platform => external_id]
-     */
-    public function saveProjectMultiFlag(SupplierProjectDto $dto): array
-    {
-        $response = $this->request(
-            'POST', '/admin/visit/rt-project-save',
-            $this->toPayload($dto, externalId: 0), asJson: true,
-        );
-        $this->assertStatusOk($response, '/admin/visit/rt-project-save');
-
-        $srcToPlatform = ['rt' => 'B1', 'bl' => 'B2', 'mt' => 'B3'];
-        $out = [];
-        foreach ($this->listProjects() as $p) {
-            // Real portal returns name='B1_<identifier>' and identifier in 'content'.
-            // Test mocks omit 'content' and put identifier directly in 'name' — fall back to 'name'
-            // when 'content' is absent so both shapes work.
-            $identifier = $p['content'] ?? $p['name'] ?? null;
-            if ($identifier !== $dto->uniqueKey || ($p['tag'] ?? null) !== $dto->tag) {
-                continue;
-            }
-            $platform = $srcToPlatform[$p['src'] ?? ''] ?? null;
-            if ($platform !== null && in_array($platform, $dto->platforms !== [] ? $dto->platforms : [$dto->platform], true)) {
-                $out[$platform] = (int) $p['id'];
-            }
-        }
-
-        return $out;
-    }
-
    public function deleteProject(int $externalId): void
    {
        $response = $this->request(
@@ -355,43 +320,9 @@ class SupplierPortalClient
            );
        }

-        // Defense-in-depth: портал отдаёт логин-страницу с HTTP 200 при истекшей
-        // сессии middle-of-use (вместо 401/403). Детектим Yii2-маркер и форсим
-        // refresh+retry. Verified 2026-05-19: refresh-session.js ловит #loginform-username.
-        if ($this->isHtmlLoginPage($response)) {
-            if ($isRetry) {
-                throw new SupplierAuthException(
-                    "Portal returned login page after refresh on {$path}",
-                    httpStatus: $response->status(),
-                    responseBody: $response->body(),
-                );
-            }
-            try {
-                dispatch_sync(app(RefreshSupplierSessionJob::class));
-            } catch (\Throwable $e) {
-                throw new SupplierAuthException(
-                    "Session refresh failed during HTML-login retry on {$path}: {$e->getMessage()}",
-                    httpStatus: $response->status(),
-                    previous: $e,
-                );
-            }
-
-            return $this->request($method, $path, $body, isRetry: true, asJson: $asJson);
-        }
-
        return $response;
    }

-    private function isHtmlLoginPage(Response $response): bool
-    {
-        $contentType = $response->header('Content-Type');
-        if (! str_starts_with(mb_strtolower($contentType), 'text/html')) {
-            return false;
-        }
-
-        return preg_match('~loginform-(username|password)~i', $response->body()) === 1;
-    }
-
    /**
     * @return array{phpsessid: string, csrf: string, refreshed_at?: string}
     */
@@ -454,17 +385,16 @@ class SupplierPortalClient
            default => $dto->signalType,
        };

-        $platforms = $dto->platforms !== [] ? $dto->platforms : [$dto->platform];
-        $srcrt = in_array('B1', $platforms, true);
-        $srcbl = in_array('B2', $platforms, true);
-        $srcmt = in_array('B3', $platforms, true);
+        $srcrt = $dto->platform === 'B1';
+        $srcbl = $dto->platform === 'B2';
+        $srcmt = $dto->platform === 'B3';

        // workdays: int → string (portal: ["1","2",...,"7"]).
        $workdays = array_map(static fn (int $d): string => (string) $d, $dto->workdays);

        return [
            'id' => $externalId,
-            'tag' => $dto->tag,
+            'tag' => '_lidpotok',
            'name' => $dto->uniqueKey,
            'type' => $type,
            'content' => $dto->uniqueKey,
@@ -478,10 +408,7 @@ class SupplierPortalClient
            'srcseg' => false,
            'limit' => $dto->limit,
            'workdays' => $workdays,
-            // DTO несёт Лидерра-коды (конституционный порядок); поставщик ждёт
-            // свои коды (ГИБДД). Без перевода уходил чужой регион (Красноярский 29
-            // → Архангельск 29). См. App\Support\SupplierRegions.
-            'regions' => SupplierRegions::mapToSupplier($dto->regions),
+            'regions' => $dto->regions,
            'regions_reverse' => $dto->regionsReverse,
            'status' => $dto->status === 'active',
            'show' => true,
@@ -1,105 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Services\Supplier;
-
-use App\Models\Project;
-
-/**
- * DRY-хелперы для группировки Лидерра-проектов по (subject × platform-set).
- *
- * Используется в:
- *   - SyncSupplierProjectJob  (онлайн-режим, один проект)
- *   - SyncSupplierProjectsJob (ночной батч, все проекты)
- *
- * Spec: docs/superpowers/specs/2026-05-20-project-migration-redesign-design.md §4.3
- * Plan: docs/superpowers/plans/2026-05-20-project-migration-redesign-plan-3-export.md Task 6
- */
-final class SupplierProjectGrouping
-{
-    /**
-     * Строит unique_key для пары (project, platform):
-     *   site/call  → signal_identifier (домен / телефон)
-     *   sms B2     → sender + '+' + keyword
-     *   sms B3     → sender
-     *
-     * Для ночного батч-джоба используйте buildUniqueKeyNoplatform() — он
-     * выбирает B2-ключ автоматически при наличии keyword.
-     */
-    public static function buildUniqueKey(Project $project, string $platform): string
-    {
-        if (in_array($project->signal_type, ['site', 'call'], true)) {
-            return (string) $project->signal_identifier;
-        }
-
-        // sms
-        $sender = (string) ($project->sms_senders[0] ?? '');
-
-        if ($platform === 'B2') {
-            return $sender.'+'.($project->sms_keyword ?? '');
-        }
-
-        // B3
-        return $sender;
-    }
-
-    /**
-     * Unique identifier key без привязки к конкретной платформе
-     * (для группировки в ночном батч-джобе):
-     *   site/call → signal_identifier
-     *   sms+keyword → sender+keyword  (B2 ключ)
-     *   sms без keyword → sender       (B3 ключ)
-     */
-    public static function buildUniqueKeyAgnostic(Project $project): string
-    {
-        if (in_array($project->signal_type, ['site', 'call'], true)) {
-            return (string) $project->signal_identifier;
-        }
-
-        $sender = (string) ($project->sms_senders[0] ?? '');
-        if ($project->sms_keyword !== null && $project->sms_keyword !== '') {
-            return $sender.'+'.$project->sms_keyword;
-        }
-
-        return $sender;
-    }
-
-    /**
-     * Возвращает список uppercase platform-кодов для данного project.
-     * Коды соответствуют CHECK constraint: 'B1' / 'B2' / 'B3'.
-     *
-     * @return list<string>
-     */
-    public static function resolvePlatforms(Project $project): array
-    {
-        if (in_array($project->signal_type, ['site', 'call'], true)) {
-            return ['B1', 'B2', 'B3'];
-        }
-
-        if ($project->signal_type === 'sms') {
-            return ($project->sms_keyword !== null && $project->sms_keyword !== '')
-                ? ['B2', 'B3']
-                : ['B3'];
-        }
-
-        return [];
-    }
-
-    /**
-     * Returns subjects (region codes 1..89) for a project.
-     * Empty regions → [null] (one group, "Вся РФ" pool).
-     *
-     * @return list<int|null>
-     */
-    public static function subjectsOf(Project $project): array
-    {
-        $regions = array_values((array) $project->regions);
-        // @phpstan-ignore-next-line identical.alwaysFalse — PostgresIntArray PHPDoc non-empty, runtime can be empty
-        if (count($regions) === 0) {
-            return [null];
-        }
-
-        return array_map(fn ($r) => (int) $r, $regions);
-    }
-}
@@ -9,29 +9,26 @@ use Carbon\Carbon;
 use Illuminate\Support\Collection;

 /**
- * Pure function: формула заказа у поставщика на (источник × субъект).
+ * Pure function: распределение квоты daily_limit между platform B1/B2/B3.
 *
- * Заказ группы eligible-клиентов:
+ * Используется SyncSupplierProjectsJob для агрегирования daily_limit_target
+ * всех активных Лидерра-проектов на одного supplier_project и распределения
+ * суммарной квоты между B1/B2/B3 платформами.
 *
- *   order = max(наибольший_лимит, ceil(Σ_лимитов / 3))
+ * Spec: docs/superpowers/specs/2026-05-10-supplier-integration-design.md §4.3-§4.4
 *
- *     ceil(Σ/3) — ёмкость шаринга (лид продаётся ≤3 раз клиентам Лидерры).
- *     наиб      — крупнейший клиент должен иметь шанс добрать.
- *
- * Этот `order` затем ДЕЛИТСЯ между площадками B1/B2/B3 через distributeForPlatform()
- * так, чтобы Σ per-platform лимитов == order. Портал НЕ делит сам: проверено вживую
- * 2026-05-21 (listProjects) — каждый B-проект честно набирает до своего лимита
- * независимо, поэтому одинаковый лимит на 3 площадках = заказ ×3 (переплата).
- * Plan 3 R6 («портал делит, verified 15→5») оказался ложным — split восстановлен.
- *
- * `allocate()` оставлен с прежней сигнатурой для временной совместимости
- * c SyncSupplierProjectsJob — внутри использует computeOrder, возвращает
- * DTO с одинаковым limit на любую platform/signalType.
+ * Distribution-формулы:
+ *   site/call:
+ *     B1 = ceil(total/3)
+ *     B2 = ceil((total - B1) / 2)
+ *     B3 = total - B1 - B2
+ *   sms-with-keyword (B1 не поддерживает СМС):
+ *     B1 = 0
+ *     B2 = ceil(total/2)
+ *     B3 = floor(total/2)
 *
 * Workdays и regions — союзы (deduplicated, sorted) активных Лидерра-проектов,
 * eligible на targetDate (фильтр по weekday в Europe/Moscow).
- *
- * Spec: docs/superpowers/specs/2026-05-20-project-migration-redesign-design.md §4.5.
 */
 final class SupplierQuotaAllocator
 {
@@ -59,9 +56,7 @@ final class SupplierQuotaAllocator
        $workdaysUnion = self::unionInts($eligibleProjects->pluck('workdays'));
        $regionsUnion = self::unionInts($eligibleProjects->pluck('regions'));

-        $platformLimit = self::computeOrder(
-            $eligibleProjects->pluck('daily_limit')->map(fn ($v) => (int) $v)->all()
-        );
+        $platformLimit = self::distributeForPlatform($signalType, $platform, $totalQuota);

        return new SupplierProjectDto(
            platform: $platform,
@@ -75,60 +70,28 @@ final class SupplierQuotaAllocator
        );
    }

-    /**
-     * Заказ у поставщика на (источник × субъект): max(наибольший лимит, ceil(Σ/3)).
-     *
-     *   ceil(Σ/3) — ёмкость шаринга (лид продаётся ≤3 раз).
-     *   наиб      — крупнейший клиент должен иметь шанс добрать.
-     *
-     * Возвращает заказ ГРУППЫ; деление между B1/B2/B3 — distributeForPlatform().
-     *
-     * @param  array<int, int>  $dailyLimits  лимиты eligible-сегодня клиентов группы
-     */
-    public static function computeOrder(array $dailyLimits): int
+    private static function distributeForPlatform(string $signalType, string $platform, int $total): int
    {
-        if ($dailyLimits === []) {
-            return 0;
+        if ($signalType === 'sms') {
+            if ($platform === 'B1') {
+                return 0;
+            }
+
+            return $platform === 'B2'
+                ? (int) ceil($total / 2)
+                : (int) floor($total / 2);
        }

-        $sum = array_sum($dailyLimits);
-        $max = max($dailyLimits);
+        $b1 = (int) ceil($total / 3);
+        $b2 = (int) ceil(($total - $b1) / 2);
+        $b3 = $total - $b1 - $b2;

-        return max($max, (int) ceil($sum / 3));
-    }
-
-    /**
-     * Делит групповой заказ между площадками так, чтобы СУММА per-platform лимитов == order.
-     *
-     * Largest-remainder: каждой площадке floor(order/N), затем по +1 первым (order mod N)
-     * площадкам в порядке списка. Сумма всегда точно равна order — ни переплаты, ни недобора.
-     *
-     * Восстанавливает поведение, удалённое в Plan 3 R6 (ошибочное допущение «портал делит сам»).
-     * Портал НЕ делит — каждый B-проект набирает до своего лимита независимо; одинаковый
-     * лимит на N площадках = заказ ×N (переплата). Verified live 2026-05-21.
-     *
-     * @param  list<string>  $platforms  площадки в каноническом порядке (B1<B2<B3)
-     * @return array<string, int> [platform => лимит этой площадки]
-     */
-    public static function distributeForPlatform(int $order, array $platforms): array
-    {
-        $count = count($platforms);
-        if ($count === 0) {
-            return [];
-        }
-
-        $order = max(0, $order);
-        $base = intdiv($order, $count);
-        $remainder = $order % $count;
-
-        $shares = [];
-        $i = 0;
-        foreach ($platforms as $platform) {
-            $shares[$platform] = $base + ($i < $remainder ? 1 : 0);
-            $i++;
-        }
-
-        return $shares;
+        return match ($platform) {
+            'B1' => $b1,
+            'B2' => $b2,
+            'B3' => $b3,
+            default => 0,
+        };
    }

    /**
@@ -1,122 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Support;
-
-/**
- * Канонический справочник субъектов РФ (1..89) — PHP-зеркало
- * resources/js/constants/regions.ts (конституционный порядок, ст. 65).
- * Sentinel 0 «Вся РФ» не входит (= NULL subject_code / пустой regions).
- *
- * ВАЖНО: при правке regions.ts синхронно править этот файл (тест RegionTagResolverTest
- * «mirrors regions.ts — exactly 89» ловит расхождение по count, но не по именам —
- * сверять имена вручную при изменениях).
- */
-final class RussianRegions
-{
-    /** @var array<int, string> code(1..89) => официальное имя субъекта */
-    public const CODE_TO_NAME = [
-        // 24 республики
-        1 => 'Республика Адыгея',
-        2 => 'Республика Алтай',
-        3 => 'Республика Башкортостан',
-        4 => 'Республика Бурятия',
-        5 => 'Республика Дагестан',
-        6 => 'Донецкая Народная Республика',
-        7 => 'Республика Ингушетия',
-        8 => 'Кабардино-Балкарская Республика',
-        9 => 'Республика Калмыкия',
-        10 => 'Карачаево-Черкесская Республика',
-        11 => 'Республика Карелия',
-        12 => 'Республика Коми',
-        13 => 'Республика Крым',
-        14 => 'Луганская Народная Республика',
-        15 => 'Республика Марий Эл',
-        16 => 'Республика Мордовия',
-        17 => 'Республика Саха (Якутия)',
-        18 => 'Республика Северная Осетия — Алания',
-        19 => 'Республика Татарстан',
-        20 => 'Республика Тыва',
-        21 => 'Удмуртская Республика',
-        22 => 'Республика Хакасия',
-        23 => 'Чеченская Республика',
-        24 => 'Чувашская Республика',
-        // 9 краёв
-        25 => 'Алтайский край',
-        26 => 'Забайкальский край',
-        27 => 'Камчатский край',
-        28 => 'Краснодарский край',
-        29 => 'Красноярский край',
-        30 => 'Пермский край',
-        31 => 'Приморский край',
-        32 => 'Ставропольский край',
-        33 => 'Хабаровский край',
-        // 48 областей
-        34 => 'Амурская область',
-        35 => 'Архангельская область',
-        36 => 'Астраханская область',
-        37 => 'Белгородская область',
-        38 => 'Брянская область',
-        39 => 'Владимирская область',
-        40 => 'Волгоградская область',
-        41 => 'Вологодская область',
-        42 => 'Воронежская область',
-        43 => 'Запорожская область',
-        44 => 'Ивановская область',
-        45 => 'Иркутская область',
-        46 => 'Калининградская область',
-        47 => 'Калужская область',
-        48 => 'Кемеровская область',
-        49 => 'Кировская область',
-        50 => 'Костромская область',
-        51 => 'Курганская область',
-        52 => 'Курская область',
-        53 => 'Ленинградская область',
-        54 => 'Липецкая область',
-        55 => 'Магаданская область',
-        56 => 'Московская область',
-        57 => 'Мурманская область',
-        58 => 'Нижегородская область',
-        59 => 'Новгородская область',
-        60 => 'Новосибирская область',
-        61 => 'Омская область',
-        62 => 'Оренбургская область',
-        63 => 'Орловская область',
-        64 => 'Пензенская область',
-        65 => 'Псковская область',
-        66 => 'Ростовская область',
-        67 => 'Рязанская область',
-        68 => 'Самарская область',
-        69 => 'Саратовская область',
-        70 => 'Сахалинская область',
-        71 => 'Свердловская область',
-        72 => 'Смоленская область',
-        73 => 'Тамбовская область',
-        74 => 'Тверская область',
-        75 => 'Томская область',
-        76 => 'Тульская область',
-        77 => 'Тюменская область',
-        78 => 'Ульяновская область',
-        79 => 'Херсонская область',
-        80 => 'Челябинская область',
-        81 => 'Ярославская область',
-        // 3 города федерального значения
-        82 => 'Москва',
-        83 => 'Санкт-Петербург',
-        84 => 'Севастополь',
-        // 1 автономная область
-        85 => 'Еврейская автономная область',
-        // 4 автономных округа
-        86 => 'Ненецкий автономный округ',
-        87 => 'Ханты-Мансийский автономный округ — Югра',
-        88 => 'Чукотский автономный округ',
-        89 => 'Ямало-Ненецкий автономный округ',
-    ];
-
-    /** @return array<string, int> name => code (обратный индекс) */
-    public static function nameToCode(): array
-    {
-        return array_flip(self::CODE_TO_NAME);
-    }
-}
@@ -1,200 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Support;
-
-use Illuminate\Support\Facades\Log;
-
-/**
- * Перевод кодов регионов: Лидерра → поставщик crm.bp-gr.ru.
- *
- * Лидерра нумерует субъекты РФ по конституционному порядку (ст. 65), 1..89 —
- * см. {@see RussianRegions}: Красноярский край = 29, Архангельская обл. = 35.
- * Поставщик нумерует по автомобильным кодам (ГИБДД): Красноярский = 24,
- * Архангельская = 29. Без перевода Sync отправлял Лидерра-код «как есть»
- * (`regions => [29]` для Красноярского), а поставщик понимал его как СВОЙ № 29 =
- * Архангельск → у поставщика выбирался ЧУЖОЙ регион. На dev не всплывало —
- * проверяли на «вся РФ» (пустой regions).
- *
- * Карта построена сверкой имён {@see RussianRegions::CODE_TO_NAME} ↔ live-дерево
- * регионов формы «Добавить проект» поставщика (recon 2026-05-21: node-key="id",
- * 79 субъектов-листьев). Все 79 кодов поставщика покрыты (биекция на 79).
- *
- * 10 субъектов Лидерры поставщик НЕ предлагает (нет в дереве) — их коды
- * отбрасываются при переводе (с warning'ом): Московская обл. (56),
- * Ленинградская обл. (53), Крым (13), Севастополь (84), ДНР (6), ЛНР (14),
- * Запорожская (43), Херсонская (79), Ненецкий АО (86), Ямало-Ненецкий АО (89).
- * Если у проекта это был ЕДИНСТВЕННЫЙ регион — у поставщика проект окажется без
- * георфильтра (вся РФ). Это ограничение покрытия поставщика, не баг перевода.
- */
-final class SupplierRegions
-{
-    /**
-     * Лидерра-код (конституционный 1..89) => код поставщика (ГИБДД).
-     *
-     * @var array<int, int>
-     */
-    public const LIDERRA_TO_SUPPLIER = [
-        // Республики
-        1 => 1,   // Республика Адыгея
-        2 => 4,   // Республика Алтай
-        3 => 2,   // Республика Башкортостан
-        4 => 3,   // Республика Бурятия
-        5 => 5,   // Республика Дагестан
-        7 => 6,   // Республика Ингушетия
-        8 => 7,   // Кабардино-Балкарская Республика
-        9 => 8,   // Республика Калмыкия
-        10 => 9,  // Карачаево-Черкесская Республика
-        11 => 10, // Республика Карелия
-        12 => 11, // Республика Коми
-        15 => 12, // Республика Марий Эл
-        16 => 13, // Республика Мордовия
-        17 => 14, // Республика Саха (Якутия)
-        18 => 15, // Республика Северная Осетия — Алания
-        19 => 16, // Республика Татарстан
-        20 => 17, // Республика Тыва
-        21 => 18, // Удмуртская Республика
-        22 => 19, // Республика Хакасия
-        23 => 20, // Чеченская Республика
-        24 => 21, // Чувашская Республика
-        // Края
-        25 => 22, // Алтайский край
-        26 => 75, // Забайкальский край
-        27 => 41, // Камчатский край
-        28 => 23, // Краснодарский край
-        29 => 24, // Красноярский край
-        30 => 59, // Пермский край
-        31 => 25, // Приморский край
-        32 => 26, // Ставропольский край
-        33 => 27, // Хабаровский край
-        // Области
-        34 => 28, // Амурская область
-        35 => 29, // Архангельская область
-        36 => 30, // Астраханская область
-        37 => 31, // Белгородская область
-        38 => 32, // Брянская область
-        39 => 33, // Владимирская область
-        40 => 34, // Волгоградская область
-        41 => 35, // Вологодская область
-        42 => 36, // Воронежская область
-        44 => 37, // Ивановская область
-        45 => 38, // Иркутская область
-        46 => 39, // Калининградская область
-        47 => 40, // Калужская область
-        48 => 42, // Кемеровская область
-        49 => 43, // Кировская область
-        50 => 44, // Костромская область
-        51 => 45, // Курганская область
-        52 => 46, // Курская область
-        54 => 48, // Липецкая область
-        55 => 49, // Магаданская область
-        57 => 51, // Мурманская область
-        58 => 52, // Нижегородская область
-        59 => 53, // Новгородская область
-        60 => 54, // Новосибирская область
-        61 => 55, // Омская область
-        62 => 56, // Оренбургская область
-        63 => 57, // Орловская область
-        64 => 58, // Пензенская область
-        65 => 60, // Псковская область
-        66 => 61, // Ростовская область
-        67 => 62, // Рязанская область
-        68 => 63, // Самарская область
-        69 => 64, // Саратовская область
-        70 => 65, // Сахалинская область
-        71 => 66, // Свердловская область
-        72 => 67, // Смоленская область
-        73 => 68, // Тамбовская область
-        74 => 69, // Тверская область
-        75 => 70, // Томская область
-        76 => 71, // Тульская область
-        77 => 72, // Тюменская область
-        78 => 73, // Ульяновская область
-        80 => 74, // Челябинская область
-        81 => 76, // Ярославская область
-        // Города федерального значения
-        82 => 77, // Москва
-        83 => 78, // Санкт-Петербург
-        // Автономная область / округа
-        85 => 79, // Еврейская автономная область
-        87 => 86, // Ханты-Мансийский автономный округ — Югра
-        88 => 87, // Чукотский автономный округ
-    ];
-
-    /**
-     * Переводит Лидерра-коды регионов в коды поставщика. Неизвестные (нет у
-     * поставщика) отбрасываются с warning'ом; sentinel 0 («Вся РФ») игнорируется.
-     * Результат — уникальные коды поставщика по возрастанию.
-     *
-     * @param  list<int>|array<int|string, int|string>  $liderraCodes
-     * @return list<int>
-     */
-    public static function mapToSupplier(array $liderraCodes): array
-    {
-        $out = [];
-        $dropped = [];
-
-        foreach ($liderraCodes as $code) {
-            $code = (int) $code;
-            if ($code === 0) {
-                continue; // sentinel «Вся РФ»
-            }
-            if (isset(self::LIDERRA_TO_SUPPLIER[$code])) {
-                $out[self::LIDERRA_TO_SUPPLIER[$code]] = true;
-            } else {
-                $dropped[] = $code;
-            }
-        }
-
-        if ($dropped !== []) {
-            Log::warning('supplier.regions.unmapped', [
-                'liderra_codes' => $dropped,
-                'note' => 'supplier does not offer these subjects — geo-filter dropped for them',
-            ]);
-        }
-
-        $codes = array_keys($out);
-        sort($codes);
-
-        return $codes;
-    }
-
-    /**
-     * Инверсия {@see mapToSupplier}: коды поставщика (ГИБДД) → Лидерра-коды
-     * (конституционный порядок). Неизвестные коды поставщика отбрасываются
-     * с warning'ом. Результат — уникальные Лидерра-коды по возрастанию.
-     *
-     * @param  list<int>|array<int|string, int|string>  $supplierCodes
-     * @return list<int>
-     */
-    public static function mapFromSupplier(array $supplierCodes): array
-    {
-        /** @var array<int, int> $supplierToLiderra */
-        $supplierToLiderra = array_flip(self::LIDERRA_TO_SUPPLIER);
-
-        $out = [];
-        $dropped = [];
-
-        foreach ($supplierCodes as $code) {
-            $code = (int) $code;
-            if (isset($supplierToLiderra[$code])) {
-                $out[$supplierToLiderra[$code]] = true;
-            } else {
-                $dropped[] = $code;
-            }
-        }
-
-        if ($dropped !== []) {
-            Log::warning('supplier.regions.unmapped_reverse', [
-                'supplier_codes' => $dropped,
-                'note' => 'supplier code has no Liderra equivalent — dropped on import',
-            ]);
-        }
-
-        $codes = array_keys($out);
-        sort($codes);
-
-        return $codes;
-    }
-}
@@ -1,106 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-namespace App\Support;
-
-/**
- * SSRF-гард для исходящих webhook-URL.
- *
- * Webhook target_url задаёт авторизованный админ тенанта. Без проверки он может
- * указать внутренний адрес (`https://169.254.169.254/` cloud-metadata,
- * `https://127.0.0.1/`, `https://10.0.0.0/8`) и через кнопку «тест» получить
- * ответ внутренней службы (SSRF + info-leak). starts_with:https:// этого не ловит.
- *
- * Политика: блокируем, только если хост РАЗРЕШАЕТСЯ в приватный/зарезервированный
- * IP. Неразрешимый хост (NXDOMAIN) — не SSRF-вектор, пропускаем (реальный запрос
- * упадёт сам). Проверяются все A/AAAA-записи (защита от hostname→private).
- */
-final class WebhookUrlGuard
-{
-    /**
-     * @return string|null Причина блокировки (человекочитаемая) или null, если адрес безопасен.
-     */
-    public static function blockReason(string $url): ?string
-    {
-        $host = parse_url($url, PHP_URL_HOST);
-        if (! is_string($host) || $host === '') {
-            return 'Некорректный URL webhook.';
-        }
-        $host = trim($host, '[]'); // снять скобки IPv6-литерала
-
-        foreach (self::resolve($host) as $ip) {
-            if (! self::isPublicIp($ip)) {
-                return 'URL webhook ведёт во внутреннюю/зарезервированную сеть — запрещено.';
-            }
-        }
-
-        return null;
-    }
-
-    /** @return list<string> Все IP, в которые разрешается хост (пусто, если не разрешается). */
-    private static function resolve(string $host): array
-    {
-        if (filter_var($host, FILTER_VALIDATE_IP) !== false) {
-            return [$host]; // IP-литерал — без DNS
-        }
-
-        $ips = [];
-        $v4 = gethostbynamel($host);
-        if (is_array($v4)) {
-            $ips = array_merge($ips, $v4);
-        }
-        $aaaa = @dns_get_record($host, DNS_AAAA);
-        if (is_array($aaaa)) {
-            foreach ($aaaa as $rec) {
-                if (isset($rec['ipv6']) && is_string($rec['ipv6'])) {
-                    $ips[] = $rec['ipv6'];
-                }
-            }
-        }
-
-        return array_values(array_unique($ips));
-    }
-
-    private static function isPublicIp(string $ip): bool
-    {
-        if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) !== false) {
-            return filter_var(
-                $ip,
-                FILTER_VALIDATE_IP,
-                FILTER_FLAG_IPV4 | FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE
-            ) !== false;
-        }
-
-        if (filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_IPV6) !== false) {
-            $lower = strtolower($ip);
-            // loopback / unspecified
-            if ($lower === '::1' || $lower === '::') {
-                return false;
-            }
-            // link-local fe80::/10
-            if (preg_match('/^fe[89ab]/', $lower) === 1) {
-                return false;
-            }
-            // unique-local fc00::/7
-            if ($lower[0] === 'f' && in_array($lower[1], ['c', 'd'], true)) {
-                return false;
-            }
-            // IPv4-mapped ::ffff:a.b.c.d — проверить встроенный IPv4
-            if (str_contains($lower, '::ffff:')) {
-                $v4 = substr($lower, (int) strrpos($lower, ':') + 1);
-                if (filter_var($v4, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4) !== false) {
-                    return self::isPublicIp($v4);
-                }
-            }
-
-            return filter_var(
-                $ip,
-                FILTER_VALIDATE_IP,
-                FILTER_FLAG_IPV6 | FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE
-            ) !== false;
-        }
-
-        return false;
-    }
-}
@@ -2,12 +2,9 @@

 use App\Http\Middleware\EnsureSaasAdmin;
 use App\Http\Middleware\SetTenantContext;
-use Illuminate\Database\QueryException;
 use Illuminate\Foundation\Application;
 use Illuminate\Foundation\Configuration\Exceptions;
 use Illuminate\Foundation\Configuration\Middleware;
-use Illuminate\Http\Request;
-use Illuminate\Support\Facades\Log;

 return Application::configure(basePath: dirname(__DIR__))
    ->withRouting(
@@ -33,18 +30,5 @@ return Application::configure(basePath: dirname(__DIR__))
        ]);
    })
    ->withExceptions(function (Exceptions $exceptions): void {
-        $exceptions->render(function (QueryException $e, Request $request) {
-            Log::error('db.query_exception', [
-                'message' => $e->getMessage(),
-                'sql' => $e->getSql(),
-                'path' => $request->path(),
-            ]);
-            if ($request->expectsJson()) {
-                return response()->json([
-                    'message' => 'Не удалось сохранить. Проверьте данные или попробуйте ещё раз.',
-                ], 422);
-            }
-
-            return null; // default render for non-JSON
-        });
+        //
    })->create();
@@ -18,7 +18,6 @@
    "require-dev": {
        "barryvdh/laravel-ide-helper": "*",
        "deptrac/deptrac": "^4.6",
-        "driftingly/rector-laravel": "^2.3",
        "fakerphp/faker": "^1.23",
        "infection/infection": "^0.32.7",
        "larastan/larastan": "*",
@@ -28,10 +27,8 @@
        "laravel/pint": "^1.29",
        "mockery/mockery": "^1.6",
        "nunomaduro/collision": "^8.6",
-        "nunomaduro/phpinsights": "*",
        "pestphp/pest": "^4.7",
        "pestphp/pest-plugin-laravel": "^4.1",
-        "rector/rector": "^2.4",
        "roave/security-advisories": "dev-latest"
    },
    "autoload": {
@@ -67,9 +64,6 @@
        "pint:test": "@php vendor/bin/pint --test",
        "test:parallel": "@php vendor/bin/pest --parallel --recreate-databases",
        "stan": "@php vendor/bin/phpstan analyse --memory-limit=512M",
-        "rector": "@php vendor/bin/rector process --dry-run",
-        "rector:fix": "@php vendor/bin/rector process",
-        "insights": "@php artisan insights --no-interaction",
        "mutation": "@php vendor/bin/infection --threads=2 --min-msi=50",
        "audit-offline": "@composer audit --locked",
        "demo:seed": "@php artisan db:seed --class=DemoSeeder --force",
@@ -108,8 +102,7 @@
        "allow-plugins": {
            "pestphp/pest-plugin": true,
            "php-http/discovery": true,
-            "infection/extension-installer": true,
-            "dealerdirect/phpcodesniffer-composer-installer": true
+            "infection/extension-installer": true
        }
    },
    "minimum-stability": "stable",
@@ -1,148 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use NunoMaduro\PhpInsights\Domain\Insights\ForbiddenDefineFunctions;
-use NunoMaduro\PhpInsights\Domain\Insights\ForbiddenFinalClasses;
-use NunoMaduro\PhpInsights\Domain\Insights\ForbiddenNormalClasses;
-use NunoMaduro\PhpInsights\Domain\Insights\ForbiddenPrivateMethods;
-use NunoMaduro\PhpInsights\Domain\Insights\ForbiddenTraits;
-use NunoMaduro\PhpInsights\Domain\Insights\SyntaxCheck;
-use NunoMaduro\PhpInsights\Domain\Metrics\Architecture\Classes;
-use SlevomatCodingStandard\Sniffs\Commenting\UselessFunctionDocCommentSniff;
-use SlevomatCodingStandard\Sniffs\Namespaces\AlphabeticallySortedUsesSniff;
-use SlevomatCodingStandard\Sniffs\TypeHints\DeclareStrictTypesSniff;
-use SlevomatCodingStandard\Sniffs\TypeHints\DisallowMixedTypeHintSniff;
-use SlevomatCodingStandard\Sniffs\TypeHints\ParameterTypeHintSniff;
-use SlevomatCodingStandard\Sniffs\TypeHints\PropertyTypeHintSniff;
-use SlevomatCodingStandard\Sniffs\TypeHints\ReturnTypeHintSniff;
-
-return [
-
-    /*
-    |--------------------------------------------------------------------------
-    | Default Preset
-    |--------------------------------------------------------------------------
-    |
-    | This option controls the default preset that will be used by PHP Insights
-    | to make your code reliable, simple, and clean. However, you can always
-    | adjust the `Metrics` and `Insights` below in this configuration file.
-    |
-    | Supported: "default", "laravel", "symfony", "magento2", "drupal", "wordpress"
-    |
-    */
-
-    'preset' => 'laravel',
-
-    /*
-    |--------------------------------------------------------------------------
-    | IDE
-    |--------------------------------------------------------------------------
-    |
-    | This options allow to add hyperlinks in your terminal to quickly open
-    | files in your favorite IDE while browsing your PhpInsights report.
-    |
-    | Supported: "textmate", "macvim", "emacs", "sublime", "phpstorm",
-    | "atom", "vscode".
-    |
-    | If you have another IDE that is not in this list but which provide an
-    | url-handler, you could fill this config with a pattern like this:
-    |
-    | myide://open?url=file://%f&line=%l
-    |
-    */
-
-    'ide' => null,
-
-    /*
-    |--------------------------------------------------------------------------
-    | Configuration
-    |--------------------------------------------------------------------------
-    |
-    | Here you may adjust all the various `Insights` that will be used by PHP
-    | Insights. You can either add, remove or configure `Insights`. Keep in
-    | mind, that all added `Insights` must belong to a specific `Metric`.
-    |
-    */
-
-    'exclude' => [
-        //  'path/to/directory-or-file'
-    ],
-
-    'add' => [
-        Classes::class => [
-            ForbiddenFinalClasses::class,
-        ],
-    ],
-
-    'remove' => [
-        // SyntaxCheck спавнит дочерний `php -l` процесс — на native-Windows возвращает
-        // не-JSON и крашит PHP Insights (A1 backend-tooling, 20.05.2026). Избыточен:
-        // синтаксис ловят Pint / Larastan / сам PHP. Стиль — владелец Pint (BT4, ADR-013).
-        SyntaxCheck::class,
-        AlphabeticallySortedUsesSniff::class,
-        DeclareStrictTypesSniff::class,
-        DisallowMixedTypeHintSniff::class,
-        ForbiddenDefineFunctions::class,
-        ForbiddenNormalClasses::class,
-        ForbiddenTraits::class,
-        ParameterTypeHintSniff::class,
-        PropertyTypeHintSniff::class,
-        ReturnTypeHintSniff::class,
-        UselessFunctionDocCommentSniff::class,
-    ],
-
-    'config' => [
-        ForbiddenPrivateMethods::class => [
-            'title' => 'The usage of private methods is not idiomatic in Laravel.',
-        ],
-    ],
-
-    /*
-    |--------------------------------------------------------------------------
-    | Requirements
-    |--------------------------------------------------------------------------
-    |
-    | Here you may define a level you want to reach per `Insights` category.
-    | When a score is lower than the minimum level defined, then an error
-    | code will be returned. This is optional and individually defined.
-    |
-    */
-
-    'requirements' => [
-        // Anti-regression floors из baseline 20.05.2026 (Code 80 / Complexity 81 /
-        // Architecture 75). Чуть ниже текущих — гейт ловит деградацию, не текущий долг.
-        // Style НЕ гейтим — владелец стиля Pint (BT4, ADR-013). Security-check off —
-        // дублирует roave/security-advisories + composer audit.
-        'min-quality' => 78,
-        'min-complexity' => 79,
-        'min-architecture' => 73,
-        'disable-security-check' => true,
-    ],
-
-    /*
-    |--------------------------------------------------------------------------
-    | Threads
-    |--------------------------------------------------------------------------
-    |
-    | Here you may adjust how many threads (core) PHPInsights can use to perform
-    | the analysis. This is optional, don't provide it and the tool will guess
-    | the max core number available. It accepts null value or integer > 0.
-    |
-    */
-
-    'threads' => null,
-
-    /*
-    |--------------------------------------------------------------------------
-    | Timeout
-    |--------------------------------------------------------------------------
-    | Here you may adjust the timeout (in seconds) for PHPInsights to run before
-    | a ProcessTimedOutException is thrown.
-    | This accepts an int > 0. Default is 60 seconds, which is the default value
-    | of Symfony's setTimeout function.
-    |
-    */
-
-    'timeout' => 60,
-];
@@ -7,7 +7,6 @@ namespace Database\Factories;
 use App\Models\Project;
 use App\Models\Tenant;
 use Illuminate\Database\Eloquent\Factories\Factory;
-use Illuminate\Support\Str;

 /**
 * @extends Factory<Project>
@@ -21,11 +20,7 @@ class ProjectFactory extends Factory
    {
        return [
            'tenant_id' => Tenant::factory(),
-            // Квирк #77: fake()->unique() создаёт новый UniqueGenerator на каждый
-            // definition()-call → history между вызовами не сохраняется, uniqueness
-            // внутри batch не гарантирована (коллизия (tenant_id, name) UNIQUE в
-            // pest --parallel). Str::random(8) суффикс (62^8 ≈ 2e14) гасит коллизию.
-            'name' => fake()->words(3, true).' '.Str::random(8),
+            'name' => fake()->unique()->words(3, true),
            'type' => 'webhook',
            'is_active' => true,
            'daily_limit_target' => 10,
@@ -1,64 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use Illuminate\Database\Migrations\Migration;
-use Illuminate\Support\Facades\DB;
-use Illuminate\Support\Facades\Schema;
-
-/**
- * Per-субъект supplier_projects (эпик переделки миграции проектов, v8.26).
- *
- * +subject_code SMALLINT NULL (1..89 субъект РФ; NULL = пул «Вся РФ»).
- * Старый unique (platform, unique_key) → (platform, unique_key, subject_code)
- * NULLS NOT DISTINCT — пул «Вся РФ» уникален per (platform, unique_key).
- *
- * Guard: migrate:fresh грузит schema.sql v8.26 (delta уже там) до миграций.
- */
-return new class extends Migration
-{
-    public function up(): void
-    {
-        if (! Schema::hasColumn('supplier_projects', 'subject_code')) {
-            DB::statement('ALTER TABLE supplier_projects ADD COLUMN subject_code SMALLINT');
-        }
-
-        DB::statement(<<<'SQL'
-            DO $$ BEGIN
-              IF NOT EXISTS (
-                SELECT 1 FROM pg_constraint WHERE conname = 'chk_supplier_projects_subject_code'
-              ) THEN
-                ALTER TABLE supplier_projects
-                  ADD CONSTRAINT chk_supplier_projects_subject_code
-                  CHECK (subject_code IS NULL OR (subject_code BETWEEN 1 AND 89)) NOT VALID;
-              END IF;
-            END $$;
-        SQL);
-        DB::statement('ALTER TABLE supplier_projects VALIDATE CONSTRAINT chk_supplier_projects_subject_code');
-
-        DB::statement('DROP INDEX IF EXISTS supplier_projects_platform_unique_key_unique');
-        DB::statement(
-            'CREATE UNIQUE INDEX IF NOT EXISTS supplier_projects_platform_key_subject_unique '
-            .'ON supplier_projects (platform, unique_key, subject_code) NULLS NOT DISTINCT'
-        );
-
-        DB::statement(
-            'COMMENT ON COLUMN supplier_projects.subject_code IS '
-            ."'Субъект РФ 1..89 (resources/js/constants/regions.ts). NULL = пул «Вся РФ». Эпик миграции проектов v8.26.'"
-        );
-    }
-
-    public function down(): void
-    {
-        DB::statement('DROP INDEX IF EXISTS supplier_projects_platform_key_subject_unique');
-        DB::statement(
-            'CREATE UNIQUE INDEX IF NOT EXISTS supplier_projects_platform_unique_key_unique '
-            .'ON supplier_projects (platform, unique_key)'
-        );
-        DB::statement('ALTER TABLE supplier_projects DROP CONSTRAINT IF EXISTS chk_supplier_projects_subject_code');
-
-        if (Schema::hasColumn('supplier_projects', 'subject_code')) {
-            Schema::table('supplier_projects', fn ($t) => $t->dropColumn('subject_code'));
-        }
-    }
-};
@@ -1,46 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use Illuminate\Database\Migrations\Migration;
-use Illuminate\Support\Facades\DB;
-
-/**
- * M:N pivot между projects (tenant) и supplier_projects (SaaS, shared) — v8.26.
- *
- * Заменяет 3 FK-слота projects.supplier_b{1,2,3}_project_id (которые не вмещают
- * per-субъект модель: N субъектов × до 3 платформ = до 3N связей).
- * SaaS-level (без RLS, как supplier_projects): пишется sync-флоу, читается
- * sharing-флоу через BYPASSRLS-роль crm_supplier_worker.
- */
-return new class extends Migration
-{
-    public function up(): void
-    {
-        $exists = DB::selectOne("SELECT to_regclass('public.project_supplier_links') AS r");
-        if ($exists !== null && $exists->r !== null) {
-            return;
-        }
-
-        DB::unprepared(<<<'SQL'
-            CREATE TABLE project_supplier_links (
-                id BIGSERIAL PRIMARY KEY,
-                project_id BIGINT NOT NULL REFERENCES projects(id) ON DELETE CASCADE,
-                supplier_project_id BIGINT NOT NULL REFERENCES supplier_projects(id) ON DELETE CASCADE,
-                platform VARCHAR(4) NOT NULL,
-                subject_code SMALLINT,
-                created_at TIMESTAMPTZ NOT NULL DEFAULT NOW(),
-                CONSTRAINT chk_psl_platform CHECK (platform IN ('B1', 'B2', 'B3')),
-                CONSTRAINT uq_psl_project_supplier UNIQUE (project_id, supplier_project_id)
-            );
-
-            CREATE INDEX idx_psl_supplier_project ON project_supplier_links (supplier_project_id);
-            CREATE INDEX idx_psl_project ON project_supplier_links (project_id);
-        SQL);
-    }
-
-    public function down(): void
-    {
-        DB::statement('DROP TABLE IF EXISTS project_supplier_links');
-    }
-};
@@ -1,36 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use Illuminate\Database\Migrations\Migration;
-use Illuminate\Support\Facades\DB;
-use Illuminate\Support\Facades\Schema;
-
-/**
- * deals.subject_code — субъект РФ из тега поставщика (raw_payload['tag']) — v8.26.
- *
- * Источник истины региона сделки = тег проекта у поставщика (надёжнее phone-prefix
- * для мобильных). Отдельно от deals.region_code (ISO-3166, phone-derived).
- * deals партиционирована — ADD COLUMN наследуется партициями.
- */
-return new class extends Migration
-{
-    public function up(): void
-    {
-        if (! Schema::hasColumn('deals', 'subject_code')) {
-            DB::statement('ALTER TABLE deals ADD COLUMN subject_code SMALLINT');
-        }
-
-        DB::statement(
-            'COMMENT ON COLUMN deals.subject_code IS '
-            ."'Субъект РФ 1..89 из тега поставщика (raw_payload[tag]). NULL = «Вся РФ»/неизвестно. v8.26.'"
-        );
-    }
-
-    public function down(): void
-    {
-        if (Schema::hasColumn('deals', 'subject_code')) {
-            Schema::table('deals', fn ($t) => $t->dropColumn('subject_code'));
-        }
-    }
-};
@@ -1,34 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use Illuminate\Database\Migrations\Migration;
-use Illuminate\Support\Facades\DB;
-
-/**
- * Глобальный тумблер режима экспорта проектов поставщику (v8.26).
- * 'batch' (default, прод-безопасно) | 'online'. Резолвится SupplierExportMode (План 3).
- */
-return new class extends Migration
-{
-    public function up(): void
-    {
-        $exists = DB::table('system_settings')->where('key', 'supplier_export_mode')->exists();
-        if ($exists) {
-            return;
-        }
-
-        DB::table('system_settings')->insert([
-            'key' => 'supplier_export_mode',
-            'value' => 'batch',
-            'type' => 'string',
-            'description' => 'Режим экспорта проектов поставщику: batch (ночной 18:00) | online (сразу при правке).',
-            'updated_at' => now(),
-        ]);
-    }
-
-    public function down(): void
-    {
-        DB::table('system_settings')->where('key', 'supplier_export_mode')->delete();
-    }
-};
@@ -1,32 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use Illuminate\Database\Migrations\Migration;
-use Illuminate\Support\Facades\DB;
-
-/**
- * Бэкофилл pivot project_supplier_links из legacy supplier_b{1,2,3}_project_id (v8.26).
- *
- * Для каждого ненулевого слота → строка pivot (subject_code=NULL: legacy-записи без
- * субъекта). Идемпотентно — ON CONFLICT DO NOTHING по uq_psl_project_supplier.
- */
-return new class extends Migration
-{
-    public function up(): void
-    {
-        foreach (['B1' => 'supplier_b1_project_id', 'B2' => 'supplier_b2_project_id', 'B3' => 'supplier_b3_project_id'] as $platform => $col) {
-            DB::statement(
-                'INSERT INTO project_supplier_links (project_id, supplier_project_id, platform, subject_code, created_at) '
-                ."SELECT id, {$col}, ?, NULL, NOW() FROM projects WHERE {$col} IS NOT NULL "
-                .'ON CONFLICT (project_id, supplier_project_id) DO NOTHING',
-                [$platform]
-            );
-        }
-    }
-
-    public function down(): void
-    {
-        // Бэкофилл-данные не откатываем точечно (pivot живёт дальше); no-op.
-    }
-};
@@ -1,37 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use Illuminate\Database\Migrations\Migration;
-use Illuminate\Support\Facades\DB;
-
-/**
- * deals.subject_code range CHECK 1..89 — defensive parity с supplier_projects.subject_code (v8.26).
- *
- * Reviewer-finding (Plan 1 code-quality): supplier_projects.subject_code имеет CHECK 1..89,
- * deals.subject_code — только COMMENT. Malformed webhook tag → silent garbage в deals →
- * downstream report-by-region undercounts. NOT VALID + VALIDATE (squawk-safe), idempotent.
- */
-return new class extends Migration
-{
-    public function up(): void
-    {
-        DB::statement(<<<'SQL'
-            DO $$ BEGIN
-              IF NOT EXISTS (
-                SELECT 1 FROM pg_constraint WHERE conname = 'chk_deals_subject_code'
-              ) THEN
-                ALTER TABLE deals
-                  ADD CONSTRAINT chk_deals_subject_code
-                  CHECK (subject_code IS NULL OR (subject_code BETWEEN 1 AND 89)) NOT VALID;
-              END IF;
-            END $$;
-        SQL);
-        DB::statement('ALTER TABLE deals VALIDATE CONSTRAINT chk_deals_subject_code');
-    }
-
-    public function down(): void
-    {
-        DB::statement('ALTER TABLE deals DROP CONSTRAINT IF EXISTS chk_deals_subject_code');
-    }
-};
@@ -1,19 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use Illuminate\Database\Migrations\Migration;
-use Illuminate\Support\Facades\DB;
-
-return new class extends Migration
-{
-    public function up(): void
-    {
-        DB::statement('ALTER TABLE projects DROP COLUMN IF EXISTS archived_at');
-    }
-
-    public function down(): void
-    {
-        DB::statement('ALTER TABLE projects ADD COLUMN archived_at TIMESTAMPTZ NULL');
-    }
-};
@@ -204,6 +204,12 @@ parameters:
 			count: 3
 			path: app/Jobs/ImportLeadsJob.php

+		-
+			message: '#^Parameter \#1 \$array \(array\{string\}\) of array_values is already a list, call has no effect\.$#'
+			identifier: arrayValues.list
+			count: 1
+			path: app/Jobs/Supplier/SyncSupplierProjectsJob.php
+
 		-
 			message: '#^Using nullsafe property access "\?\-\>name" on left side of \?\? is unnecessary\. Use \-\> instead\.$#'
 			identifier: nullsafe.neverNull
@@ -246,102 +252,6 @@ parameters:
 			count: 1
 			path: app/Services/Project/ProjectService.php

-		-
-			message: '#^Call to function is_array\(\) with array\<string, mixed\> will always evaluate to true\.$#'
-			identifier: function.alreadyNarrowedType
-			count: 1
-			path: app/Services/Supplier/Channel/AjaxProjectChannel.php
-
-		-
-			message: '#^Parameter \#1 \$array \(array\{string\}\) of array_values is already a list, call has no effect\.$#'
-			identifier: arrayValues.list
-			count: 1
-			path: app/Services/Supplier/SupplierProjectGrouping.php
-
-		-
-			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenDefineFunctions not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenFinalClasses not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenNormalClasses not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenPrivateMethods not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\ForbiddenTraits not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Insights\\SyntaxCheck not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class NunoMaduro\\PhpInsights\\Domain\\Metrics\\Architecture\\Classes not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class SlevomatCodingStandard\\Sniffs\\Commenting\\UselessFunctionDocCommentSniff not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class SlevomatCodingStandard\\Sniffs\\Namespaces\\AlphabeticallySortedUsesSniff not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\DeclareStrictTypesSniff not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\DisallowMixedTypeHintSniff not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\ParameterTypeHintSniff not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\PropertyTypeHintSniff not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
-		-
-			message: '#^Class SlevomatCodingStandard\\Sniffs\\TypeHints\\ReturnTypeHintSniff not found\.$#'
-			identifier: class.notFound
-			count: 1
-			path: config/insights.php
-
 		-
 			message: '#^Return type \(array\<string, mixed\>\) of method Database\\Factories\\BalanceTransactionFactory\:\:definition\(\) should be compatible with return type \(array\<model property of App\\Models\\BalanceTransaction, mixed\>\) of method Illuminate\\Database\\Eloquent\\Factories\\Factory\<App\\Models\\BalanceTransaction\>\:\:definition\(\)$#'
 			identifier: method.childReturnType
@@ -408,18 +318,6 @@ parameters:
 			count: 1
 			path: tests/Feature/Admin/AdminPricingTiersControllerTest.php

-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
-			identifier: method.notFound
-			count: 3
-			path: tests/Feature/Admin/AdminSupplierIntegrationTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
-			identifier: method.notFound
-			count: 1
-			path: tests/Feature/Admin/AdminSupplierIntegrationTest.php
-
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
 			identifier: method.notFound
@@ -432,60 +330,6 @@ parameters:
 			count: 3
 			path: tests/Feature/Admin/AdminSuppliersControllerTest.php

-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:actingAs\(\)\.$#'
-			identifier: method.notFound
-			count: 3
-			path: tests/Feature/Admin/SupplierExportModeEndpointTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
-			identifier: method.notFound
-			count: 1
-			path: tests/Feature/Admin/SupplierExportModeEndpointTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
-			identifier: method.notFound
-			count: 2
-			path: tests/Feature/Admin/SupplierExportModeEndpointTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:actingAs\(\)\.$#'
-			identifier: method.notFound
-			count: 4
-			path: tests/Feature/Admin/SupplierManualQueueTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
-			identifier: method.notFound
-			count: 2
-			path: tests/Feature/Admin/SupplierManualQueueTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
-			identifier: method.notFound
-			count: 2
-			path: tests/Feature/Admin/SupplierManualQueueTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:actingAs\(\)\.$#'
-			identifier: method.notFound
-			count: 5
-			path: tests/Feature/Admin/SupplierProjectsAdminTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
-			identifier: method.notFound
-			count: 2
-			path: tests/Feature/Admin/SupplierProjectsAdminTest.php
-
-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
-			identifier: method.notFound
-			count: 4
-			path: tests/Feature/Admin/SupplierProjectsAdminTest.php
-
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
 			identifier: method.notFound
@@ -1347,7 +1191,7 @@ parameters:
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
 			identifier: method.notFound
-			count: 3
+			count: 2
 			path: tests/Feature/ImpersonationTest.php

 		-
@@ -1653,15 +1497,9 @@ parameters:
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:actingAs\(\)\.$#'
 			identifier: method.notFound
-			count: 14
+			count: 12
 			path: tests/Feature/Plan5/Projects/ProjectsUpdateTest.php

-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
-			identifier: method.notFound
-			count: 1
-			path: tests/Feature/Project/QueryExceptionRenderTest.php
-
 		-
 			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
 			identifier: property.notFound
@@ -1908,42 +1746,6 @@ parameters:
 			count: 1
 			path: tests/Feature/Supplier/AutoPauseFlowTest.php

-		-
-			message: '#^Access to an undefined property App\\Services\\Supplier\\PlaywrightBridge\:\:\$lastArgs\.$#'
-			identifier: property.notFound
-			count: 7
-			path: tests/Feature/Supplier/Channel/FormProjectChannelTest.php
-
-		-
-			message: '#^Call to an undefined method Illuminate\\Contracts\\Cache\\Repository\:\:lock\(\)\.$#'
-			identifier: method.notFound
-			count: 1
-			path: tests/Feature/Supplier/CsvReconcileJobTest.php
-
-		-
-			message: '#^Call to an undefined method Mockery\\ExpectationInterface\|Mockery\\HigherOrderMessage\:\:andThrow\(\)\.$#'
-			identifier: method.notFound
-			count: 3
-			path: tests/Feature/Supplier/FailoverProjectChannelLiveSmokeTest.php
-
-		-
-			message: '#^Parameter \#1 \$tier1 of class App\\Services\\Supplier\\Channel\\FailoverProjectChannel constructor expects App\\Services\\Supplier\\Channel\\SupplierProjectChannel, Mockery\\MockInterface given\.$#'
-			identifier: argument.type
-			count: 2
-			path: tests/Feature/Supplier/FailoverProjectChannelLiveSmokeTest.php
-
-		-
-			message: '#^Parameter \#2 \$tier2 of class App\\Services\\Supplier\\Channel\\FailoverProjectChannel constructor expects App\\Services\\Supplier\\Channel\\SupplierProjectChannel, Mockery\\MockInterface given\.$#'
-			identifier: argument.type
-			count: 2
-			path: tests/Feature/Supplier/FailoverProjectChannelLiveSmokeTest.php
-
-		-
-			message: '#^Call to an undefined method Mockery\\ExpectationInterface\|Mockery\\HigherOrderMessage\:\:once\(\)\.$#'
-			identifier: method.notFound
-			count: 1
-			path: tests/Feature/Supplier/DeleteSupplierProjectJobTest.php
-
 		-
 			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:artisan\(\)\.$#'
 			identifier: method.notFound
@@ -1980,12 +1782,6 @@ parameters:
 			count: 1
 			path: tests/Feature/Supplier/SupplierSessionRefreshCommandTest.php

-		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:mock\(\)\.$#'
-			identifier: method.notFound
-			count: 2
-			path: tests/Feature/Supplier/SyncSupplierProjectJobTest.php
-
 		-
 			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
 			identifier: property.notFound
@@ -2106,6 +1902,18 @@ parameters:
 			count: 1
 			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php

+		-
+			message: '#^Parameter \#4 \$activeLiderraProjects of static method App\\Services\\Supplier\\SupplierQuotaAllocator\:\:allocate\(\) expects Illuminate\\Support\\Collection\<int, stdClass\>, Illuminate\\Support\\Collection\<int, object\{daily_limit\: 1, workdays\: array\{1, 2, 3, 4, 5\}, regions\: array\{\}\}&stdClass\> given\.$#'
+			identifier: argument.type
+			count: 3
+			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php
+
+		-
+			message: '#^Parameter \#4 \$activeLiderraProjects of static method App\\Services\\Supplier\\SupplierQuotaAllocator\:\:allocate\(\) expects Illuminate\\Support\\Collection\<int, stdClass\>, Illuminate\\Support\\Collection\<int, object\{daily_limit\: 10, workdays\: array\{1, 2, 3, 4, 5\}, regions\: array\{\}\}&stdClass\> given\.$#'
+			identifier: argument.type
+			count: 6
+			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php
+
 		-
 			message: '#^Parameter \#4 \$activeLiderraProjects of static method App\\Services\\Supplier\\SupplierQuotaAllocator\:\:allocate\(\) expects Illuminate\\Support\\Collection\<int, stdClass\>, Illuminate\\Support\\Collection\<int, object\{daily_limit\: 10, workdays\: array\{6, 7\}, regions\: array\{\}\}&stdClass\> given\.$#'
 			identifier: argument.type
@@ -2113,19 +1921,43 @@ parameters:
 			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php

 		-
-			message: '#^Access to an undefined property Pest\\PendingCalls\\TestCall\:\:\$tenant\.$#'
-			identifier: property.notFound
-			count: 6
-			path: tests/Feature/Project/ProjectCreateDedupTest.php
+			message: '#^Parameter \#4 \$activeLiderraProjects of static method App\\Services\\Supplier\\SupplierQuotaAllocator\:\:allocate\(\) expects Illuminate\\Support\\Collection\<int, stdClass\>, Illuminate\\Support\\Collection\<int, object\{daily_limit\: 30, workdays\: array\{1, 2, 3, 4, 5\}, regions\: array\{\}\}&stdClass\> given\.$#'
+			identifier: argument.type
+			count: 1
+			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php

 		-
-			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:fail\(\)\.$#'
-			identifier: method.notFound
-			count: 1
-			path: tests/Feature/Project/ProjectCreateDedupTest.php
+			message: '#^Parameter \#4 \$activeLiderraProjects of static method App\\Services\\Supplier\\SupplierQuotaAllocator\:\:allocate\(\) expects Illuminate\\Support\\Collection\<int, stdClass\>, Illuminate\\Support\\Collection\<int, object\{daily_limit\: 4, workdays\: array\{1, 2, 3, 4, 5\}, regions\: array\{\}\}&stdClass\> given\.$#'
+			identifier: argument.type
+			count: 3
+			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php

 		-
-			message: '#^Call to an undefined method Symfony\\Component\\HttpFoundation\\Response\:\:getData\(\)\.$#'
+			message: '#^Parameter \#4 \$activeLiderraProjects of static method App\\Services\\Supplier\\SupplierQuotaAllocator\:\:allocate\(\) expects Illuminate\\Support\\Collection\<int, stdClass\>, Illuminate\\Support\\Collection\<int, object\{daily_limit\: 5, workdays\: array\{1, 2, 3, 4, 5\}, regions\: array\{\}\}&stdClass\> given\.$#'
+			identifier: argument.type
+			count: 1
+			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php
+
+		-
+			message: '#^Parameter \#4 \$activeLiderraProjects of static method App\\Services\\Supplier\\SupplierQuotaAllocator\:\:allocate\(\) expects Illuminate\\Support\\Collection\<int, stdClass\>, Illuminate\\Support\\Collection\<int, object\{daily_limit\: 7, workdays\: array\{1, 2, 3, 4, 5\}, regions\: array\{\}\}&stdClass\> given\.$#'
+			identifier: argument.type
+			count: 3
+			path: tests/Unit/Supplier/SupplierQuotaAllocatorTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:getJson\(\)\.$#'
+			identifier: method.notFound
+			count: 3
+			path: tests/Feature/Admin/AdminSupplierIntegrationTest.php
+
+		-
+			message: '#^Call to an undefined method Pest\\PendingCalls\\TestCall\:\:postJson\(\)\.$#'
 			identifier: method.notFound
 			count: 1
-			path: tests/Feature/Project/ProjectCreateDedupTest.php
+			path: tests/Feature/Admin/AdminSupplierIntegrationTest.php
+
+		-
+			message: '#^Call to an undefined method Illuminate\\Contracts\\Cache\\Repository\:\:lock\(\)\.$#'
+			identifier: method.notFound
+			count: 1
+			path: tests/Feature/Supplier/CsvReconcileJobTest.php
@@ -1,270 +0,0 @@
-<!DOCTYPE html>
-<html><head><meta charset="utf-8"><title>RT Project Form Fixture — Element UI + Vuetify dialog</title>
-<style>
-  /* Minimal stubs so Playwright class-based locators work */
-  .el-form-item { margin-bottom: 12px; }
-  .el-form-item__label { display: inline-block; min-width: 140px; }
-  .el-form-item__content { display: inline-block; }
-  .el-input__inner { border: 1px solid #cccccc; padding: 4px 8px; }
-  .el-checkbox { cursor: pointer; margin-right: 8px; }
-  .el-checkbox__input.is-checked .el-checkbox__inner { background: #409eff; }
-  .el-checkbox__inner { display: inline-block; width: 14px; height: 14px; border: 1px solid #cccccc; }
-  .el-switch { cursor: pointer; }
-  .el-switch.is-checked .el-switch__core { background: #409eff; }
-  .el-switch__core { display: inline-block; width: 40px; height: 20px; border-radius: 10px; background: #cccccc; }
-  .el-select-dropdown { position: absolute; background: #ffffff; border: 1px solid #cccccc; z-index: 9999; min-width: 120px; }
-  .el-select-dropdown__item { padding: 6px 12px; cursor: pointer; }
-  .el-select-dropdown__item:hover { background: #f5f7fa; }
-  .el-button { padding: 6px 16px; cursor: pointer; border: 1px solid #cccccc; background: #ffffff; }
-  .el-input-number .el-input__inner { width: 80px; }
-</style>
-</head><body>
-
-<!-- Vuetify dialog wrapper — required by manage-project.js locator ".v-dialog--active button:has-text(...)" -->
-<div class="v-dialog v-dialog--active v-dialog--persistent" style="padding:16px;">
-
-  <form class="el-form el-form--label-left">
-
-    <!-- 1. Tag -->
-    <div class="el-form-item">
-      <label class="el-form-item__label" for="tag">Тег</label>
-      <div class="el-form-item__content">
-        <div class="el-input">
-          <input type="text" class="el-input__inner" id="tag-fixture">
-        </div>
-      </div>
-    </div>
-
-    <!-- 2. Источник данных (B1/B2/B3 checkboxes) — label for="srcrt" -->
-    <div class="el-form-item">
-      <label class="el-form-item__label" for="srcrt">Источник данных</label>
-      <div class="el-form-item__content" id="srcrt-container">
-        <label class="el-checkbox is-checked" data-platform="B1">
-          <span class="el-checkbox__input is-checked">
-            <span class="el-checkbox__inner"></span>
-            <input type="checkbox" class="el-checkbox__original" checked>
-          </span>
-          <span class="el-checkbox__label">B1</span>
-        </label>
-        <label class="el-checkbox is-checked" data-platform="B2">
-          <span class="el-checkbox__input is-checked">
-            <span class="el-checkbox__inner"></span>
-            <input type="checkbox" class="el-checkbox__original" checked>
-          </span>
-          <span class="el-checkbox__label">B2</span>
-        </label>
-        <label class="el-checkbox is-checked" data-platform="B3">
-          <span class="el-checkbox__input is-checked">
-            <span class="el-checkbox__inner"></span>
-            <input type="checkbox" class="el-checkbox__original" checked>
-          </span>
-          <span class="el-checkbox__label">B3</span>
-        </label>
-      </div>
-    </div>
-
-    <!-- 3. Name — label for="name" -->
-    <div class="el-form-item">
-      <label class="el-form-item__label" for="name">Название проекта</label>
-      <div class="el-form-item__content">
-        <div class="el-input">
-          <input type="text" class="el-input__inner" id="name-fixture">
-        </div>
-      </div>
-    </div>
-
-    <!-- 4. Type select — label for="type" -->
-    <div class="el-form-item">
-      <label class="el-form-item__label" for="type">Источники сбора</label>
-      <div class="el-form-item__content">
-        <div class="el-select" id="type-select-container">
-          <!-- readonly input that shows selected value; clicking it opens dropdown popup in body -->
-          <div class="el-input">
-            <input type="text" class="el-input__inner" id="type-select-input" readonly
-                   value="Сайты" placeholder="Выберите" data-current-value="Сайты">
-            <span class="el-input__suffix"><span class="el-select__caret">▼</span></span>
-          </div>
-        </div>
-      </div>
-    </div>
-
-    <!-- 5. Slider «Период» — no label-for, no DTO field, leave default -->
-    <div class="el-form-item">
-      <label class="el-form-item__label">Период</label>
-      <div class="el-form-item__content">
-        <div class="el-slider" aria-valuemin="0" aria-valuemax="24" aria-valuetext="10-18">
-          <span style="font-size:12px;color:#999999">10-18 (default)</span>
-        </div>
-      </div>
-    </div>
-
-    <!-- 6. Switch «Включить» — no label-for; identified by .el-switch in form-item -->
-    <div class="el-form-item" id="switch-form-item">
-      <label class="el-form-item__label">Статус</label>
-      <div class="el-form-item__content">
-        <div class="el-switch" id="active-switch">
-          <input type="checkbox" class="el-switch__input" id="active-switch-input">
-          <span class="el-switch__core"></span>
-          <span>Включить</span>
-        </div>
-      </div>
-    </div>
-
-    <!-- 7. Regions — label for="regions", el-select multiple -->
-    <div class="el-form-item">
-      <label class="el-form-item__label" for="regions">Регион</label>
-      <div class="el-form-item__content">
-        <div class="el-select el-select--multiple">
-          <input type="text" class="el-input__inner" id="regions-input" placeholder="Выберите регионы">
-        </div>
-      </div>
-    </div>
-
-    <!-- 8. limit_off — no label-for, no DTO field -->
-    <div class="el-form-item">
-      <label class="el-form-item__label" for="limit_off">Разделять по проектам</label>
-      <div class="el-form-item__content">
-        <label class="el-checkbox">
-          <span class="el-checkbox__input">
-            <span class="el-checkbox__inner"></span>
-            <input type="checkbox" class="el-checkbox__original">
-          </span>
-          <span class="el-checkbox__label">Да</span>
-        </label>
-      </div>
-    </div>
-
-    <!-- 9. Content (uniqueKey / domains) — label for="content", el-tabs -->
-    <div class="el-form-item">
-      <label class="el-form-item__label" for="content">Список сайтов</label>
-      <div class="el-form-item__content">
-        <div class="el-tabs">
-          <div class="el-tabs__header">
-            <div class="el-tabs__item is-active" data-tab="list">Список</div>
-            <div class="el-tabs__item" data-tab="file">Файл</div>
-          </div>
-          <div class="el-tabs__content">
-            <textarea class="el-textarea__inner" id="content-textarea" rows="4" style="width:100%"></textarea>
-          </div>
-        </div>
-      </div>
-    </div>
-
-    <!-- 10. Limit — label for="limit", el-input-number -->
-    <div class="el-form-item">
-      <label class="el-form-item__label" for="limit">Лимит в день</label>
-      <div class="el-form-item__content">
-        <div class="el-input-number">
-          <span class="el-input-number__decrease">-</span>
-          <div class="el-input">
-            <input type="text" class="el-input__inner" id="limit-input" value="10">
-          </div>
-          <span class="el-input-number__increase">+</span>
-        </div>
-      </div>
-    </div>
-
-  </form><!-- end .el-form -->
-
-  <!-- Save/Cancel buttons OUTSIDE form, INSIDE .v-dialog--active -->
-  <div style="margin-top:16px;">
-    <button type="button" class="el-button" id="save-btn">Сохранить</button>
-    <button type="button" class="el-button" id="cancel-btn">Отмена</button>
-  </div>
-
-</div><!-- end .v-dialog--active -->
-
-<script>
-(function() {
-  'use strict';
-
-  // ---- Checkbox toggle behaviour ----
-  // Click on .el-checkbox toggles .is-checked on itself and .el-checkbox__input child
-  document.querySelectorAll('#srcrt-container .el-checkbox').forEach(function(cb) {
-    cb.addEventListener('click', function(e) {
-      e.preventDefault();
-      var isChecked = cb.classList.contains('is-checked');
-      cb.classList.toggle('is-checked', !isChecked);
-      var cbInput = cb.querySelector('.el-checkbox__input');
-      if (cbInput) cbInput.classList.toggle('is-checked', !isChecked);
-      var rawInput = cb.querySelector('input.el-checkbox__original');
-      if (rawInput) rawInput.checked = !isChecked;
-    });
-  });
-
-  // ---- Switch toggle behaviour ----
-  var switchEl = document.getElementById('active-switch');
-  if (switchEl) {
-    switchEl.addEventListener('click', function(e) {
-      e.preventDefault();
-      var isChecked = switchEl.classList.contains('is-checked');
-      switchEl.classList.toggle('is-checked', !isChecked);
-      var inp = document.getElementById('active-switch-input');
-      if (inp) inp.checked = !isChecked;
-    });
-  }
-
-  // ---- Type select popup ----
-  // When input#type-select-input is clicked, create a dropdown in body
-  var typeInput = document.getElementById('type-select-input');
-  var typeOptions = ['Сайты', 'Звонки', 'СМС', 'Ретро сайты', 'Ретро звонки'];
-
-  function removeDropdown() {
-    var existing = document.querySelector('body > .el-select-dropdown');
-    if (existing) existing.remove();
-  }
-
-  if (typeInput) {
-    typeInput.addEventListener('click', function(e) {
-      e.stopPropagation();
-      removeDropdown();
-      var dropdown = document.createElement('div');
-      dropdown.className = 'el-select-dropdown el-popper';
-      dropdown.style.position = 'absolute';
-      dropdown.style.left = '20px';
-      dropdown.style.top = '200px';
-      var ul = document.createElement('ul');
-      ul.className = 'el-scrollbar__view el-select-dropdown__list';
-      typeOptions.forEach(function(opt) {
-        var li = document.createElement('li');
-        li.className = 'el-select-dropdown__item';
-        li.textContent = opt;
-        li.addEventListener('click', function(e2) {
-          e2.stopPropagation();
-          typeInput.value = opt;
-          typeInput.setAttribute('data-current-value', opt);
-          removeDropdown();
-        });
-        ul.appendChild(li);
-      });
-      dropdown.appendChild(ul);
-      document.body.appendChild(dropdown);
-    });
-  }
-
-  // Close dropdown on outside click
-  document.addEventListener('click', function() {
-    removeDropdown();
-  });
-
-  // ---- Save button: POST to /admin/visit/rt-project-save on the same origin ----
-  // NOTE: NO fetch mock here — the HTTP server (manage-project.test.js) handles
-  // this route and returns {status:"OK",id:"99001"}. Playwright's waitForResponse
-  // intercepts real network requests, not mocked fetch.
-  document.getElementById('save-btn').addEventListener('click', function() {
-    var payload = {
-      tag: document.getElementById('tag-fixture') ? document.getElementById('tag-fixture').value : '',
-      name: document.getElementById('name-fixture') ? document.getElementById('name-fixture').value : '',
-      type: typeInput ? typeInput.getAttribute('data-current-value') : 'Сайты',
-      limit: document.getElementById('limit-input') ? document.getElementById('limit-input').value : '10',
-    };
-    fetch('/admin/visit/rt-project-save', {
-      method: 'POST',
-      headers: { 'Content-Type': 'application/json' },
-      body: JSON.stringify(payload),
-    });
-  });
-
-})();
-</script>
-</body></html>
@@ -18,35 +18,11 @@
 *   4 — invalid input или другая ошибка
 *
 * Spec §4.3.
- *
- * KNOWN GAPS (Tier-2 MVP, зафиксированы по recon 2026-05-19):
- *   - workdays: поле add-project форм НЕ содержит чекбоксы дней недели (только slider «Период»
- *     часы 0-24). DTO.workdays игнорируется; портал применяет дефолт (все 7 дней).
- *     Для точной настройки workdays используйте Tier-1 (AJAX).
- *   - regions: форма требует имена регионов, DTO несёт int[] id. Mapping id→name не реализован.
- *     Tier-2 всегда передаёт пустой массив регионов (нет фильтрации). Регионы должны быть
- *     настроены вручную или через Tier-1.
 */
 const { chromium } = require('playwright');

 const TIMEOUT_MS = 90_000;

-// ---------------------------------------------------------------------------
-// Helpers
-// ---------------------------------------------------------------------------
-
-/**
- * Возвращает локатор form-item по значению атрибута for= у label.
- * Стратегия: .el-form-item:has(.el-form-item__label[for="<attrFor>"])
- */
-function fieldByFor(page, attrFor) {
-    return page.locator(`.el-form-item:has(.el-form-item__label[for="${attrFor}"])`);
-}
-
-// ---------------------------------------------------------------------------
-// Login
-// ---------------------------------------------------------------------------
-
 async function login(page, args) {
    // skipLogin: args.url — статическая фикстура формы (тестовый режим),
    // открываем её напрямую и не логинимся.
@@ -63,301 +39,98 @@ async function login(page, args) {
    ]);
 }

-// ---------------------------------------------------------------------------
-// fillForm — Element UI label-for локаторы (recon 2026-05-19)
-// ---------------------------------------------------------------------------
-
 async function fillForm(page, dto) {
-    // NOTE: статус active/paused НЕ выставляется через форму. Единственный
-    // .el-switch на форме — это include/exclude регионов («Включить/Исключить»,
-    // recon 2026-05-19 row 6), НЕ статус проекта. Статус задаётся дефолтом
-    // портала (active). dto.active игнорируется в Tier-2; switch не трогаем
-    // (regions skip — см. ниже). Verified live 2026-05-19.
+    const activeChecked = await page.locator('input[name=active]').isChecked();
+    if (activeChecked !== !!dto.active) await page.locator('input[name=active]').click();

-    // --- 1. Tag ---
-    if (dto.tag !== undefined && dto.tag !== null) {
-        await fieldByFor(page, 'tag').locator('input.el-input__inner').fill(String(dto.tag));
-    }
+    if (dto.tag) await page.fill('input[name=tag]', dto.tag);

-    // --- 2. Platforms (srcrt) — B1/B2/B3 checkboxes ---
-    // Initial: все три checked. Нужно включить только те, что в dto.platforms, остальные выключить.
-    const platformContainer = fieldByFor(page, 'srcrt');
    for (const p of ['B1', 'B2', 'B3']) {
        const wanted = (dto.platforms || []).includes(p);
-        // Identification — по `.el-checkbox__label` textContent (per recon-doc
-        // 2026-05-19-rt-project-form-locators.md row 2: реальный портал НЕ имеет
-        // `data-platform`-атрибута, inputs без `name`). Whitespace-tolerant `^\s*B1\s*$`.
-        const cb = platformContainer.locator('.el-checkbox').filter({
-            has: page.locator('.el-checkbox__label', { hasText: new RegExp(`^\\s*${p}\\s*$`) }),
-        }).first();
-        const cbClass = await cb.getAttribute('class').catch(() => '');
-        const isChecked = (cbClass || '').includes('is-checked');
-        if (!!isChecked !== wanted) {
-            await cb.click();
-        }
+        const sel = `input[name="platform[]"][value="${p}"]`;
+        const checked = await page.locator(sel).isChecked();
+        if (checked !== wanted) await page.locator(sel).click();
    }

-    // --- 3. Name (label for="name") ---
-    // В реальном портале dto.name заполняется в поле «Название проекта»,
-    // а dto.uniqueKey (список сайтов/номеров) — в textarea «content».
-    // manage-project.js получает dto.name напрямую.
-    if (dto.name !== undefined) {
-        await fieldByFor(page, 'name').locator('input.el-input__inner').fill(String(dto.name));
+    await page.fill('input[name=name]', dto.name);
+
+    const signalLabel = { site: 'Сайты', call: 'Звонки', sms: 'СМС' }[dto.signal_type] || 'Сайты';
+    await page.selectOption('select[name=signal_type]', { label: signalLabel });
+
+    if (dto.region_mode === 'exclude') {
+        await page.locator('input[name=region_mode][value=exclude]').click();
    }

-    // --- 4. Type select (label for="type") ---
-    // El-select readonly input. Клик открывает popup в body > .el-select-dropdown.
-    const signalTypeMap = { site: 'Сайты', call: 'Звонки', sms: 'СМС' };
-    const signalLabel = signalTypeMap[dto.signal_type];
-    if (!signalLabel) {
-        throw new Error(
-            `Unsupported signal_type "${dto.signal_type}". Supported: site, call, sms. ` +
-            '"Ретро сайты" / "Ретро звонки" are not supported in Tier-2 form channel.',
-        );
-    }
-    // Тип меняем ТОЛЬКО если текущее значение ≠ нужное. Смена типа ремоунтит
-    // content tab-pane (Сайты/Звонки/СМС — разные поля сбора) → если сразу
-    // после type-select заполнять content, fill попадёт в detached textarea
-    // (Vue ещё не закончил ре-рендер) → rt-project-save уходит с пустым
-    // `content` → портал «Введите домены». Verified live 2026-05-19.
-    const typeInput = fieldByFor(page, 'type').locator('.el-select input.el-input__inner');
-    const currentType = (await typeInput.inputValue().catch(() => '')).trim();
-    if (currentType !== signalLabel) {
-        await typeInput.click();
-        // Dropdown рендерится снаружи формы в body — ждём его появления
-        const dropdownOption = page.locator('.el-select-dropdown__item', {
-            hasText: new RegExp(`^${signalLabel}$`),
-        });
-        await dropdownOption.waitFor({ state: 'visible', timeout: TIMEOUT_MS });
-        await dropdownOption.click();
-        // Ждём, пока Vue завершит ре-рендер content tab-pane после смены типа.
-        await page.waitForTimeout(1000);
+    if (dto.domains && dto.domains.length) {
+        await page.fill('textarea[name=domains]', dto.domains.join('\n'));
    }

-    // --- 7. Regions (label for="regions") — SKIP, gap зафиксирован в JSDoc ---
-    // DTO несёт int[] id; форма требует имена. Mapping не реализован для MVP.
-    if (dto.regions && dto.regions.length > 0) {
-        process.stderr.write(
-            JSON.stringify({
-                warning: 'regions skipped in Tier-2 form channel: DTO carries int[] ids but form requires region names. ' +
-                    'Region filtering will not be applied. Configure regions manually or use Tier-1.',
-                regions_received: dto.regions,
-            }) + '\n',
-        );
-    }
+    await page.fill('input[name=limit]', String(dto.limit));

-    // --- 9. Content — список сайтов/номеров/отправителей (label for="content") ---
-    // Вкладка «Список» (default active). dto.domains — массив строк или dto.uniqueKey — строка.
-    const contentLines = dto.domains && dto.domains.length
-        ? dto.domains.join('\n')
-        : dto.uniqueKey
-            ? String(dto.uniqueKey)
-            : null;
-    if (contentLines) {
-        const contentField = fieldByFor(page, 'content');
-        // Вкладка «Список» — default active. Кликаем ТОЛЬКО если она НЕ активна:
-        // клик по вкладке Element UI ремоунтит tab-pane → textarea детачится,
-        // и последующий .fill() гонится с ре-рендером (домены теряются →
-        // rt-project-save уходит с пустым `content` → портал «Введите домены»).
-        // Verified live 2026-05-19: re-click активной вкладки ломал save.
-        const listTab = contentField.locator('.el-tabs__item', { hasText: 'Список' }).first();
-        if ((await listTab.count()) > 0) {
-            const tabClass = (await listTab.getAttribute('class')) || '';
-            if (!tabClass.includes('is-active')) {
-                await listTab.click();
-                await contentField.locator('textarea.el-textarea__inner')
-                    .waitFor({ state: 'visible', timeout: TIMEOUT_MS });
-            }
-        }
-        const contentTa = contentField.locator('textarea.el-textarea__inner');
-        await contentTa.fill(contentLines);
-        // Defensive: убедиться, что значение действительно осело в textarea
-        // (если поле детачнулось ре-рендером — fill уйдёт в пустоту).
-        const filledValue = await contentTa.inputValue();
-        if (filledValue.trim() === '') {
-            throw new Error(
-                'Content textarea empty after fill — likely tab/type re-render race; domains lost',
-            );
-        }
-    }
-
-    // --- 10. Limit (label for="limit") ---
-    if (dto.limit !== undefined) {
-        await fieldByFor(page, 'limit').locator('input.el-input__inner').fill(String(dto.limit));
-    }
-
-    // NOTE: workdays — gap зафиксирован в JSDoc. Форма add-project не содержит
-    // чекбоксы дней недели. dto.workdays игнорируется.
-    if (dto.workdays && dto.workdays.length !== 7) {
-        process.stderr.write(
-            JSON.stringify({
-                warning: 'workdays ignored in Tier-2 form channel: add-project form has no workdays field. ' +
-                    'Portal will apply default (all 7 days). Configure workdays manually or use Tier-1.',
-                workdays_received: dto.workdays,
-            }) + '\n',
-        );
+    for (let d = 1; d <= 7; d++) {
+        const wanted = (dto.workdays || [1, 2, 3, 4, 5, 6, 7]).includes(d);
+        const sel = `input[name="workdays[]"][value="${d}"]`;
+        const checked = await page.locator(sel).isChecked();
+        if (checked !== wanted) await page.locator(sel).click();
    }
 }

-// ---------------------------------------------------------------------------
-// createOp
-// ---------------------------------------------------------------------------
-
 async function createOp(page, args) {
    await login(page, args);

    if (!args.skipLogin) {
-        await page.goto(
-            args.url.replace(/\/$/, '') + '/admin/visit/rt',
-            { waitUntil: 'load', timeout: TIMEOUT_MS },
-        );
-        // Кнопка «Добавить проект» — recon: label [title="Добавить проект"]
-        await page.locator('button:has-text("Добавить проект")').click();
-        // Ждём появления формы — label for="name" внутри .el-form
-        await page.locator('.el-form-item__label[for="name"]').waitFor({
-            state: 'visible',
-            timeout: TIMEOUT_MS,
-        });
+        await page.goto(args.url.replace(/\/$/, '') + '/admin/visit/rt', { waitUntil: 'load', timeout: TIMEOUT_MS });
+        await page.click('button:has-text("Добавить проект")');
+        await page.waitForSelector('#add-project-modal', { state: 'visible', timeout: TIMEOUT_MS });
    }

    await fillForm(page, args.dto);
+    const beforeRows = await page.locator('#projects-table tbody tr').count();
+    await page.click('#save-btn');
+    await page.waitForFunction(
+        (before) => document.querySelectorAll('#projects-table tbody tr').length > before,
+        beforeRows,
+        { timeout: TIMEOUT_MS },
+    );

-    // Кликаем «Сохранить» + перехватываем ответ rt-project-save
-    const [saveResponse] = await Promise.all([
-        page.waitForResponse(
-            (r) => r.url().endsWith('/admin/visit/rt-project-save') && r.request().method() === 'POST',
-            { timeout: TIMEOUT_MS },
-        ),
-        page.locator('.v-dialog--active button:has-text("Сохранить")').click(),
-    ]);
-
-    const body = await saveResponse.json();
-    if (body.status !== 'OK') {
-        // DIAG: дамп фактически отправленного тела — для расследования "Введите домены"
-        const sentBody = saveResponse.request().postData();
-        process.stderr.write(JSON.stringify({ diag_sent_body: sentBody }) + '\n');
-        throw new Error(`Portal rejected save: ${body.message || 'unknown error'}`);
-    }
-    const externalId = String(body.id ?? '');
-    if (!externalId) {
-        throw new Error('Portal returned status=OK but empty id');
-    }
+    const newRow = page.locator('#projects-table tbody tr').last();
+    const externalId = await newRow.getAttribute('data-id');

    return { external_id: externalId };
 }

-// ---------------------------------------------------------------------------
-// updateOp
-// ---------------------------------------------------------------------------
-
 async function updateOp(page, args) {
    await login(page, args);
-
    if (!args.skipLogin) {
-        await page.goto(
-            args.url.replace(/\/$/, '') + '/admin/visit/rt',
-            { waitUntil: 'load', timeout: TIMEOUT_MS },
-        );
+        await page.goto(args.url.replace(/\/$/, '') + '/admin/visit/rt', { waitUntil: 'load', timeout: TIMEOUT_MS });
    }

-    // Найти строку таблицы по externalId и кликнуть кнопку редактирования.
-    // Реальная таблица портала — Vuetify data-table; строки по data-id или текстовому совпадению.
-    // Стратегия 1: строка с атрибутом data-id
-    const rowLocator = page.locator(`tr[data-id="${args.externalId}"], [data-id="${args.externalId}"]`);
-    const rowCount = await rowLocator.count();
-    if (rowCount > 0) {
-        await rowLocator.first().locator('button').first().click();
-    } else {
-        // Стратегия 2: найти строку содержащую текст externalId и кликнуть edit-кнопку
-        await page.locator(`tr:has-text("${args.externalId}")`).first().locator('button').first().click();
-    }
-
-    // Дождаться формы
-    await page.locator('.el-form-item__label[for="name"]').waitFor({
-        state: 'visible',
-        timeout: TIMEOUT_MS,
-    });
-
+    const row = page.locator(`#projects-table tbody tr[data-id="${args.externalId}"]`);
+    await row.locator('button.edit').click();
+    await page.waitForSelector('#add-project-modal', { state: 'visible', timeout: TIMEOUT_MS });
    await fillForm(page, args.dto);
-
-    // Перехватываем ответ rt-project-save при update (тот же endpoint)
-    const [saveResponse] = await Promise.all([
-        page.waitForResponse(
-            (r) => r.url().endsWith('/admin/visit/rt-project-save') && r.request().method() === 'POST',
-            { timeout: TIMEOUT_MS },
-        ),
-        page.locator('.v-dialog--active button:has-text("Сохранить")').click(),
-    ]);
-
-    const body = await saveResponse.json();
-    if (body.status !== 'OK') {
-        throw new Error(`Portal rejected update: ${body.message || 'unknown error'}`);
-    }
+    await page.click('#save-btn');
+    await page.waitForSelector('#add-project-modal', { state: 'hidden', timeout: TIMEOUT_MS });

    return { ok: true };
 }

-// ---------------------------------------------------------------------------
-// listOp
-// ---------------------------------------------------------------------------
-
 async function listOp(page, args) {
    await login(page, args);
-
    if (!args.skipLogin) {
-        await page.goto(
-            args.url.replace(/\/$/, '') + '/admin/visit/rt',
-            { waitUntil: 'load', timeout: TIMEOUT_MS },
-        );
+        await page.goto(args.url.replace(/\/$/, '') + '/admin/visit/rt', { waitUntil: 'load', timeout: TIMEOUT_MS });
    }

-    // Стратегия 1: Vuex state (если доступен)
-    const projects = await page.evaluate(() => {
-        try {
-            if (window.app && window.app.$store && window.app.$store.state) {
-                const st = window.app.$store.state;
-                const list = st.projects || st.rtProjects || st.visitProjects || null;
-                if (Array.isArray(list)) {
-                    return list.map((p) => ({
-                        id: parseInt(p.id, 10),
-                        name: p.name || p.title || null,
-                        platform: p.platform || null,
-                        signal_type: p.type || p.signal_type || null,
-                        unique_key: p.content || p.unique_key || null,
-                    }));
-                }
-            }
-        } catch (_) { /* Vuex недоступен */ }
-        return null;
-    });
-
-    if (projects !== null) {
-        return { projects };
-    }
-
-    // Стратегия 2: DOM-скрейп таблицы
-    // Реальная таблица портала: строки tr с data-id или стандартные td
-    const rows = await page.locator('table tbody tr[data-id], .v-data-table tbody tr[data-id]').evaluateAll(
-        (nodes) => nodes.map((n) => ({
-            id: parseInt(n.dataset.id || '0', 10),
-            name: n.querySelector('td:nth-child(2)')
-                ? n.querySelector('td:nth-child(2)').textContent.trim()
-                : null,
+    const rows = await page.locator('#projects-table tbody tr').evaluateAll((nodes) =>
+        nodes.map((n) => ({
+            id: parseInt(n.dataset.id, 10),
+            name: n.querySelector('td:nth-child(2)') ? n.querySelector('td:nth-child(2)').textContent : null,
        })),
    );

-    if (rows.length > 0) {
-        return { projects: rows };
-    }
-
-    // Стратегия 3: фикстура / пустая страница — возвращаем пустой массив
-    return { projects: [] };
+    return { projects: rows };
 }

-// ---------------------------------------------------------------------------
-// Entry point
-// ---------------------------------------------------------------------------
-
 async function run(args) {
    const browser = await chromium.launch({ headless: true });
    try {
@@ -375,14 +148,8 @@ async function run(args) {
    } catch (err) {
        process.stderr.write(JSON.stringify({ error: err.message }));
        if (err.message.includes('Timeout')) process.exit(3);
-        if (
-            err.message.toLowerCase().includes('selector') ||
-            err.message.toLowerCase().includes('locator')
-        ) process.exit(2);
-        if (
-            err.message.toLowerCase().includes('login') ||
-            err.message.toLowerCase().includes('auth')
-        ) process.exit(1);
+        if (err.message.toLowerCase().includes('selector') || err.message.toLowerCase().includes('locator')) process.exit(2);
+        if (err.message.toLowerCase().includes('login') || err.message.toLowerCase().includes('auth')) process.exit(1);
        process.exit(4);
    } finally {
        await browser.close();
@@ -393,10 +160,8 @@ let input = '';
 process.stdin.on('data', (c) => { input += c; });
 process.stdin.on('end', () => {
    let args;
-    try { args = JSON.parse(input); } catch (e) {
-        process.stderr.write(JSON.stringify({ error: 'invalid JSON on stdin' }));
-        process.exit(4);
-    }
+    try { args = JSON.parse(input); }
+    catch (e) { process.stderr.write(JSON.stringify({ error: 'invalid JSON on stdin' })); process.exit(4); }
    if (!args.operation || !args.url) {
        process.stderr.write(JSON.stringify({ error: 'missing required: operation, url' }));
        process.exit(4);
@@ -1,137 +1,65 @@
 /**
- * Фикстурный тест manage-project.js — против локального HTTP-сервера с Element UI фикстурой.
+ * Фикстурный тест manage-project.js — против локального HTML, без живого портала.
 *
- * Почему HTTP, не file://: manage-project.js перехватывает ответ page.waitForResponse()
- * с URL endsWith('/admin/visit/rt-project-save'). Браузер не шлёт network-запросы при
- * file://-origin fetch из-за CORS/same-origin ограничений в Chromium.
- *
- * Runner: встроенный node:test (Node 18+). Запуск: `node --test manage-project.test.js`.
+ * Runner: встроенный node:test (проект не использует @playwright/test —
+ * в app/playwright только playwright core). Запуск: `node --test manage-project.test.js`.
 */
 const { test } = require('node:test');
 const assert = require('node:assert');
 const { execFile } = require('node:child_process');
-const http = require('node:http');
-const fs = require('node:fs');
 const path = require('node:path');

 const SCRIPT = path.resolve(__dirname, 'manage-project.js');
-const FIXTURE_PATH = path.resolve(__dirname, 'fixtures', 'rt-form-element-ui.html');
+const FIXTURE_URL = 'file://' + path.resolve(__dirname, '../tests/fixtures/supplier-portal/rt-add-project-form.html');

-/** Запустить ephemeral HTTP-сервер, отдающий фикстуру и обрабатывающий mock-эндпоинты. */
-function startFixtureServer() {
-    return new Promise((resolve) => {
-        const html = fs.readFileSync(FIXTURE_PATH, 'utf8');
-        const server = http.createServer((req, res) => {
-            // Mock rt-project-save — Playwright перехватывает реальный сетевой запрос
-            if (req.url && req.url.includes('rt-project-save') && req.method === 'POST') {
-                // Consume request body (important — don't hang connection)
-                let body = '';
-                req.on('data', (c) => { body += c; });
-                req.on('end', () => {
-                    const payload = JSON.stringify({ status: 'OK', message: '', result: null, id: '99001' });
-                    res.writeHead(200, { 'Content-Type': 'application/json' });
-                    res.end(payload);
-                });
-                return;
-            }
-            // Default: serve fixture HTML
-            res.writeHead(200, { 'Content-Type': 'text/html; charset=utf-8' });
-            res.end(html);
-        });
-        server.listen(0, '127.0.0.1', () => resolve(server));
-    });
-}
-
-/** Спавнить manage-project.js, подать JSON на stdin, вернуть {code, stdout, stderr}. */
 function runScript(input) {
    return new Promise((resolve, reject) => {
-        const child = execFile(
-            'node',
-            [SCRIPT],
-            { timeout: 90_000 },
-            (err, stdout, stderr) => {
-                if (err && err.killed) return reject(new Error('Process killed / timed out'));
-                // err.code — exit code; treat as expected (tests assert on code)
-                resolve({
-                    code: err ? err.code : 0,
-                    stdout: stdout.toString(),
-                    stderr: stderr.toString(),
-                });
-            },
-        );
+        const child = execFile('node', [SCRIPT], { timeout: 60000 }, (err, stdout, stderr) => {
+            if (err && err.code !== undefined && typeof err.code !== 'number') {
+                return reject(err);
+            }
+            resolve({ stdout: stdout.toString(), stderr: stderr.toString() });
+        });
        child.stdin.write(JSON.stringify(input));
        child.stdin.end();
    });
 }

-// ---------------------------------------------------------------------------
-// Test 1 — createProject через Element UI фикстуру → external_id из mock-response
-// ---------------------------------------------------------------------------
-test('createProject fills Element UI form and returns external_id from intercept response', async () => {
-    const server = await startFixtureServer();
-    try {
-        const { port } = server.address();
-        const url = `http://127.0.0.1:${port}`;
+test('createProject fills form and returns row id', async () => {
+    const result = await runScript({
+        operation: 'create',
+        login: 'fixture-noop',
+        password: 'fixture-noop',
+        url: FIXTURE_URL,
+        skipLogin: true,
+        dto: {
+            tag: 'TEST',
+            name: 'Test Project',
+            platforms: ['B1', 'B2'],
+            signal_type: 'site',
+            limit: 25,
+            workdays: [1, 2, 3, 4, 5],
+            regions: [],
+            region_mode: 'include',
+            domains: ['example.com'],
+            active: true,
+        },
+    });

-        const result = await runScript({
-            operation: 'create',
-            url,
-            skipLogin: true,
-            dto: {
-                tag: '_lidpotok',
-                name: 'example.com',
-                platforms: ['B1'],
-                signal_type: 'site',
-                limit: 5,
-                workdays: [1, 2, 3, 4, 5],
-                domains: ['example.com'],
-                region_mode: 'include',
-                regions: [],
-                active: true,
-            },
-        });
-
-        assert.strictEqual(result.code, 0, `Expected exit 0, got ${result.code}. stderr: ${result.stderr}`);
-
-        let out;
-        try {
-            out = JSON.parse(result.stdout);
-        } catch (e) {
-            assert.fail(`stdout is not valid JSON: ${result.stdout}\nstderr: ${result.stderr}`);
-        }
-        assert.strictEqual(out.external_id, '99001', `expected external_id "99001", got ${JSON.stringify(out)}`);
-    } finally {
-        server.close();
-    }
+    const out = JSON.parse(result.stdout);
+    assert.ok(out.external_id, 'external_id should be truthy');
+    assert.match(out.external_id, /^\d+$/, 'external_id should be numeric string');
 });

-// ---------------------------------------------------------------------------
-// Test 2 — listProjects в skipLogin-режиме возвращает массив projects
-// ---------------------------------------------------------------------------
-test('listProjects returns array (skipLogin mode, fixture page)', async () => {
-    const server = await startFixtureServer();
-    try {
-        const { port } = server.address();
-        const url = `http://127.0.0.1:${port}`;
+test('listProjects returns array', async () => {
+    const result = await runScript({
+        operation: 'list',
+        login: 'fixture-noop',
+        password: 'fixture-noop',
+        url: FIXTURE_URL,
+        skipLogin: true,
+    });

-        const result = await runScript({
-            operation: 'list',
-            url,
-            skipLogin: true,
-        });
-
-        // listOp в skipLogin-режиме не навигирует на /admin/visit/rt — просто открывает url.
-        // Фикстура не содержит Vuex и таблицы с проектами → возвращает {projects: []}.
-        assert.strictEqual(result.code, 0, `Expected exit 0. stderr: ${result.stderr}`);
-
-        let out;
-        try {
-            out = JSON.parse(result.stdout);
-        } catch (e) {
-            assert.fail(`stdout is not valid JSON: ${result.stdout}`);
-        }
-        assert.ok(Array.isArray(out.projects), `expected projects array, got: ${JSON.stringify(out)}`);
-    } finally {
-        server.close();
-    }
+    const out = JSON.parse(result.stdout);
+    assert.ok(Array.isArray(out.projects), 'projects should be an array');
 });
@@ -34,29 +34,10 @@ async function refresh(args) {

        await page.fill(loginSelector, args.login);
        await page.fill(passwordSelector, args.password);
-
-        // Сабмит + ОЖИДАНИЕ пост-логин перехода.
-        // Старый Promise.all([waitForLoadState('networkidle'), click]) — гонка:
-        // логин-страница уже в состоянии networkidle, поэтому waitForLoadState
-        // резолвился мгновенно (ДО редиректа), и скрипт хватал PHPSESSID
-        // неаутентифицированной логин-страницы. Ждём, пока логин-форма исчезнет
-        // из DOM — waitForFunction опрашивает и переживает навигацию.
-        await page.click(submitSelector);
-        await page
-            .waitForFunction(
-                (sel) => !document.querySelector(sel),
-                loginSelector,
-                { timeout: TIMEOUT_MS },
-            )
-            .catch(() => { /* форма осталась — логин отклонён, ловится guard'ом ниже */ });
-        await page.waitForLoadState('networkidle', { timeout: TIMEOUT_MS }).catch(() => {});
-
-        // Verify: логин-форма всё ещё на странице → вход НЕ удался. Не возвращаем
-        // мусорную (неаутентифицированную) сессию как «успех» (exit 0).
-        if ((await page.locator(loginSelector).count()) > 0) {
-            process.stderr.write(JSON.stringify({ error: 'login rejected: still on login page after submit' }));
-            process.exit(1);
-        }
+        await Promise.all([
+            page.waitForLoadState('networkidle', { timeout: TIMEOUT_MS }),
+            page.click(submitSelector),
+        ]);

        let csrf = null;
        try {
@@ -1,19 +0,0 @@
-<?php
-
-declare(strict_types=1);
-
-use Rector\Config\RectorConfig;
-
-// Консервативный старт (A1 backend-tooling #64): мёртвый код + качество кода.
-// БЕЗ type-declaration наборов и БЕЗ LaravelSetProvider (version-upgrade) на первом
-// заходе — их прогоняем вручную при апгрейде Laravel, не как per-commit гейт.
-return RectorConfig::configure()
-    ->withPaths([
-        __DIR__.'/app',
-        __DIR__.'/database',
-        __DIR__.'/routes',
-    ])
-    ->withPreparedSets(
-        deadCode: true,
-        codeQuality: true,
-    );
@@ -260,12 +260,10 @@ export interface ApiProject {
 }

 export async function listProjects(tenantId: number): Promise<ApiProject[]> {
-    // ProjectController::index() отдаёт { data: ProjectResource::collection(...) }.
-    // `?? []` — защита от undefined.map в DealsView при нештатном ответе.
-    const { data } = await apiClient.get<{ data: ApiProject[] }>('/api/projects', {
+    const { data } = await apiClient.get<{ projects: ApiProject[] }>('/api/projects', {
        params: { tenant_id: tenantId },
    });
-    return data.data ?? [];
+    return data.projects;
 }

 /**
@@ -6,30 +6,13 @@
 *
 * Sprint 4 Phase B/3 — split DashboardView (audit O-refactor-04 закрытие).
 */
-import { computed } from 'vue';
-import { useAuthStore } from '../../stores/auth';
-
 const range = defineModel<'today' | '7d' | '30d' | 'custom'>({ required: true });
-
-const auth = useAuthStore();
-
-/** Имя залогиненного пользователя (было захардкожено «Иван»). */
-const firstName = computed(() => auth.user?.first_name?.trim() || 'коллега');
-
-/** Приветствие по времени суток (МСК машины пользователя). */
-const greeting = computed(() => {
-    const h = new Date().getHours();
-    if (h < 6) return 'Доброй ночи';
-    if (h < 12) return 'Доброе утро';
-    if (h < 18) return 'Добрый день';
-    return 'Добрый вечер';
-});
 </script>

 <template>
    <header class="page-head">
        <div>
-            <h1 class="text-h4 mb-2 page-greet">{{ greeting }}, <em class="text-primary">{{ firstName }}</em></h1>
+            <h1 class="text-h4 mb-2 page-greet">Доброе утро, <em class="text-primary">Иван</em></h1>
            <div class="page-meta text-body-2 text-medium-emphasis">
                <span><span class="num text-primary">+3</span> новых лида с утра</span>
                <span class="sep">·</span>
@@ -9,7 +9,6 @@ import { useRouter } from 'vue-router';
 import { useAuthStore } from '../../stores/auth';
 import { useNotificationsStore } from '../../stores/notifications';
 import { useCommandPalette } from '../../composables/useCommandPalette';
-import { repositionMenuAfterOpen } from '../../utils/menuRepositionFix';

 defineProps<{
    pageTitle: string;
@@ -112,7 +111,7 @@ async function handleLogout(): Promise<void> {
            </template>
        </v-btn>

-        <v-menu offset="8" :close-on-content-click="false" location="bottom end" @update:model-value="repositionMenuAfterOpen">
+        <v-menu offset="8" :close-on-content-click="false" location="bottom end">
            <template #activator="{ props: bellProps }">
                <v-btn
                    v-bind="bellProps"
@@ -174,7 +173,7 @@ async function handleLogout(): Promise<void> {
            </v-card>
        </v-menu>

-        <v-menu offset="8" @update:model-value="repositionMenuAfterOpen">
+        <v-menu offset="8">
            <template #activator="{ props }">
                <v-btn v-bind="props" variant="text" size="small" class="user-chip ml-2" aria-label="Меню пользователя">
                    <v-avatar size="28" color="primary" class="mr-2">
@@ -29,11 +29,11 @@

            <v-btn
                color="error"
-                prepend-icon="mdi-delete"
-                data-testid="bulk-delete"
-                @click="confirmAndRun('delete')"
+                prepend-icon="mdi-archive"
+                data-testid="bulk-archive"
+                @click="confirmAndRun('archive')"
            >
-                Удалить
+                Архивировать
            </v-btn>

            <v-spacer />
@@ -92,10 +92,11 @@ const skipToastText = ref('');
 const messages: Record<string, string> = {
    pause: 'Приостановить выбранные проекты?',
    resume: 'Возобновить выбранные проекты?',
-    delete: 'Удалить выбранные проекты? Действие необратимо. Проекты со сделками будут пропущены.',
+    archive:
+        'Архивировать выбранные проекты?\nДействие необратимо в Plan 5 (восстановление потребует ручного запроса).',
 };

-async function confirmAndRun(action: 'pause' | 'resume' | 'delete') {
+async function confirmAndRun(action: 'pause' | 'resume' | 'archive') {
    if (!window.confirm(messages[action])) return;
    await runBulk({ action });
 }
@@ -9,6 +9,7 @@ const base = {
    daily_limit_target: 50,
    delivered_today: 32,
    is_active: true,
+    archived_at: null,
    sync_status: 'ok' as const,
 };

@@ -48,9 +48,9 @@
                            <template #prepend><v-icon>mdi-refresh</v-icon></template>
                            <v-list-item-title>Синхронизировать</v-list-item-title>
                        </v-list-item>
-                        <v-list-item @click="$emit('delete', project)">
-                            <template #prepend><v-icon>mdi-delete</v-icon></template>
-                            <v-list-item-title>Удалить</v-list-item-title>
+                        <v-list-item @click="$emit('archive', project)">
+                            <template #prepend><v-icon>mdi-archive</v-icon></template>
+                            <v-list-item-title>Архивировать</v-list-item-title>
                        </v-list-item>
                    </v-list>
                </v-menu>
@@ -97,7 +97,7 @@ defineEmits<{
    edit: [project: Project];
    'toggle-active': [project: Project];
    'sync-now': [project: Project];
-    delete: [project: Project];
+    archive: [project: Project];
 }>();

 const typeLabel = computed(() => ({ site: 'Сайт', call: 'Звонок', sms: 'СМС' })[props.project.signal_type]);
@@ -63,10 +63,10 @@ async function onPause(): Promise<void> {
 async function onDelete(): Promise<void> {
    if (!props.project) return;
    const ok = window.confirm(
-        'Удалить проект? Действие необратимо. Если по проекту есть сделки — удаление будет заблокировано.',
+        'Архивировать проект? Действие необратимо в Plan 5 (восстановление потребует ручного запроса).',
    );
    if (!ok) return;
-    await store.del(props.project.id);
+    await store.archive(props.project.id);
    emit('close');
 }

@@ -25,15 +25,14 @@ interface NavItem {
 }

 const navItems: NavItem[] = [
-    { title: 'Тенанты', icon: 'mdi-account-group-outline', to: '/admin/tenants' },
+    { title: 'Тенанты', icon: 'mdi-account-group-outline', to: '/admin/tenants', count: 142 },
    { title: 'Биллинг', icon: 'mdi-credit-card-outline', to: '/admin/billing' },
    { title: 'Тарифная сетка', icon: 'mdi-tag-arrow-right', to: '/admin/pricing-tiers' },
    { title: 'Цены поставщиков', icon: 'mdi-currency-rub', to: '/admin/supplier-prices' },
-    { title: 'Инциденты', icon: 'mdi-alert-outline', to: '/admin/incidents' },
+    { title: 'Инциденты', icon: 'mdi-alert-outline', to: '/admin/incidents', count: 3 },
    { title: 'Impersonation', icon: 'mdi-account-switch', to: '/admin/impersonation' },
    { title: 'Система', icon: 'mdi-cog-outline', to: '/admin/system' },
    { title: 'Интеграция с поставщиком', icon: 'mdi-swap-horizontal', to: '/admin/supplier-integration' },
-    { title: 'Проекты у поставщика', icon: 'mdi-format-list-checks', to: '/admin/supplier-projects' },
 ];

 const route = useRoute();
@@ -41,13 +41,7 @@ const navItems = computed(() => [
 ]);

 const currentPageTitle = computed(() => {
-    // Сначала короткий title из sidebar-nav (Дашборд/Сделки/…), затем — route.meta.title
-    // для страниц вне sidebar (Напоминания, Импорт данных), и только потом fallback.
-    return (
-        navItems.value.find((i) => i.to === route.path)?.title ??
-        (route.meta.title as string | undefined) ??
-        'Страница'
-    );
+    return navItems.value.find((i) => i.to === route.path)?.title ?? 'Страница';
 });

 async function loadNotifications(): Promise<void> {
@@ -168,7 +168,6 @@ const lucideMap: Record<string, Component> = {
    'mdi-content-save-outline': Save,
    'mdi-credit-card-outline': CreditCard,
    'mdi-currency-rub': RussianRuble,
-    'mdi-delete': Trash2,
    'mdi-delete-outline': Trash2,
    'mdi-dots-vertical': MoreVertical,
    'mdi-download': Download,
@@ -283,18 +283,6 @@ const routes: RouteRecordRaw[] = [
            devLabel: 'Admin Supplier Integration',
        },
    },
-    {
-        path: '/admin/supplier-projects',
-        name: 'admin-supplier-projects',
-        component: () => import('../views/admin/AdminSupplierProjectsView.vue'),
-        meta: {
-            layout: 'admin',
-            title: 'Проекты у поставщика',
-            requiresAuth: true,
-            devIndex: 31,
-            devLabel: 'Admin Supplier Projects',
-        },
-    },
    // Error pages: 403/500 явные + catch-all 404 (всегда последний).
    {
        path: '/403',
@@ -13,6 +13,7 @@ export interface Project {
    delivered_today: number;
    delivered_in_month?: number;
    is_active: boolean;
+    archived_at: string | null;
    region_mask?: number;
    region_mode?: string;
    regions?: number[]; // Plan 6 — subject codes 1..89; пустой массив = вся РФ
@@ -64,7 +65,7 @@ export const useProjectsStore = defineStore('projects', () => {
        return data.data;
    }

-    async function del(id: number) {
+    async function archive(id: number) {
        await axios.delete(`/api/projects/${id}`);
        await fetch();
    }
@@ -93,7 +94,7 @@ export const useProjectsStore = defineStore('projects', () => {
        selectedIds.value.clear();
    }

-    async function bulkAction(action: 'pause' | 'resume' | 'delete') {
+    async function bulkAction(action: 'pause' | 'resume' | 'archive') {
        const ids = Array.from(selectedIds.value);
        if (!ids.length) return;
        await axios.post('/api/projects/bulk', { action, ids });
@@ -102,7 +103,7 @@ export const useProjectsStore = defineStore('projects', () => {
    }

    interface BulkPayload {
-        action: 'pause' | 'resume' | 'delete' | 'update_regions' | 'update_days' | 'update_limit';
+        action: 'pause' | 'resume' | 'archive' | 'update_regions' | 'update_days' | 'update_limit';
        add?: number;
        remove?: number;
        // Plan 6.5 — update_regions оперирует кодами субъектов (1..89), не bitmask ФО.
@@ -199,7 +200,7 @@ export const useProjectsStore = defineStore('projects', () => {
        fetch,
        create,
        update,
-        del,
+        archive,
        syncNow,
        toggleActive,
        toggleSelect,
@@ -5,31 +5,6 @@
            <v-btn color="primary" prepend-icon="mdi-plus" @click="openCreate">+ Создать проект</v-btn>
        </div>

-        <v-alert
-            v-if="showCutoffBanner"
-            data-testid="cutoff-banner"
-            type="info"
-            variant="tonal"
-            border="start"
-            class="mb-4"
-        >
-            <div class="d-flex justify-space-between align-start gap-2">
-                <span>
-                    Важно: изменения по проектам (добавление, удаление, лимиты, рабочие дни, регионы)
-                    вносите <strong>до 18:00 МСК</strong>. Изменения после 18:00 применяются при следующей
-                    синхронизации — на следующий день.
-                </span>
-                <v-btn
-                    data-testid="cutoff-banner-close"
-                    icon="mdi-close"
-                    size="x-small"
-                    variant="text"
-                    aria-label="Скрыть уведомление"
-                    @click="dismissCutoffBanner"
-                />
-            </div>
-        </v-alert>
-
        <div class="d-flex gap-3 mb-4">
            <v-select
                v-model="store.filters.signal_type"
@@ -96,7 +71,7 @@
                @edit="openEdit"
                @toggle-active="store.toggleActive"
                @sync-now="(p: Project) => store.syncNow(p.id)"
-                @delete="(p: Project) => store.del(p.id)"
+                @archive="(p: Project) => store.archive(p.id)"
            />
        </div>

@@ -126,15 +101,6 @@ const createOpen = ref(false);
 const editOpen = ref(false);
 const editing = ref<Project | null>(null);

-// Информационный баннер о сроке внесения изменений (синхронизация с поставщиком в 18:00 МСК).
-// Закрытие запоминается, чтобы не показывать повторно.
-const CUTOFF_BANNER_KEY = 'projects.cutoffBannerDismissed';
-const showCutoffBanner = ref(localStorage.getItem(CUTOFF_BANNER_KEY) !== '1');
-function dismissCutoffBanner(): void {
-    showCutoffBanner.value = false;
-    localStorage.setItem(CUTOFF_BANNER_KEY, '1');
-}
-
 const singleSelectedProject = computed<Project | null>(() => {
    if (store.selectedIds.size !== 1) return null;
    const [id] = store.selectedIds;
@@ -157,6 +123,7 @@ const typeFilters = [
 const statusFilters = [
    { title: 'Активные', value: 'active' },
    { title: 'На паузе', value: 'paused' },
+    { title: 'Архивные', value: 'archived' },
 ];

 let searchTimer: ReturnType<typeof setTimeout> | null = null;
@@ -27,38 +27,6 @@ const loading = ref(false);
 const reconciling = ref(false);
 const error = ref<string | null>(null);

-// --- Plan 4 Task 1: глобальный режим экспорта проектов (online|batch) ---
-
-type ExportMode = 'online' | 'batch';
-const exportMode = ref<ExportMode>('batch');
-const exportModeError = ref<string | null>(null);
-const exportModeSaving = ref(false);
-
-async function loadExportMode(): Promise<void> {
-    try {
-        const { data } = await axios.get('/api/admin/supplier-integration/export-mode');
-        if (data?.mode === 'online' || data?.mode === 'batch') {
-            exportMode.value = data.mode;
-        }
-    } catch {
-        exportModeError.value = 'Не удалось загрузить режим экспорта.';
-    }
-}
-
-async function setExportMode(mode: ExportMode): Promise<void> {
-    if (exportMode.value === mode) return;
-    exportModeSaving.value = true;
-    exportModeError.value = null;
-    try {
-        const { data } = await axios.post('/api/admin/supplier-integration/export-mode', { mode });
-        exportMode.value = data?.mode === 'online' ? 'online' : 'batch';
-    } catch {
-        exportModeError.value = 'Не удалось сохранить режим экспорта.';
-    } finally {
-        exportModeSaving.value = false;
-    }
-}
-
 async function load(): Promise<void> {
    loading.value = true;
    error.value = null;
@@ -138,7 +106,6 @@ function formatDate(s: string): string {
 onMounted(() => {
    void load();
    void loadManualQueue();
-    void loadExportMode();
 });
 </script>

@@ -146,43 +113,6 @@ onMounted(() => {
    <div class="pa-6">
        <h1 class="text-h5 mb-4">Интеграция с поставщиком</h1>

-        <v-card class="mb-4">
-            <v-card-title>Режим экспорта проектов</v-card-title>
-            <v-card-text>
-                <v-alert v-if="exportModeError" type="error" density="compact" class="mb-3">
-                    {{ exportModeError }}
-                </v-alert>
-                <div data-testid="export-mode-toggle">
-                    <v-btn-toggle
-                        :model-value="exportMode"
-                        mandatory
-                        color="primary"
-                        density="comfortable"
-                        :disabled="exportModeSaving"
-                    >
-                        <v-btn
-                            data-testid="export-mode-online"
-                            value="online"
-                            @click="setExportMode('online')"
-                        >
-                            Онлайн
-                        </v-btn>
-                        <v-btn
-                            data-testid="export-mode-batch"
-                            value="batch"
-                            @click="setExportMode('batch')"
-                        >
-                            Пакетный
-                        </v-btn>
-                    </v-btn-toggle>
-                </div>
-                <p class="text-caption text-medium-emphasis mt-3 mb-0">
-                    Онлайн — изменения проекта переносятся к поставщику сразу.
-                    Пакетный — ночной синк в 18:00 (SyncSupplierProjectsJob).
-                </p>
-            </v-card-text>
-        </v-card>
-
        <v-card class="mb-4">
            <v-card-title>Здоровье резервного канала</v-card-title>
            <v-card-text>
--- a/Show More
+++ b/Show More