Compliance и безопасность в FinTech MVP: полный чек-лист

Compliance fintech стартап — тема, которая определяет успех IT-проекта. Compliance в FinTech стартапе — это не опция, которую добавляют перед запуском. Это архитектурное решение, которое закладывается в первом спринте или не закладывается никогда без болезненного рефакторинга. Многие основатели финтех-стартапов узнают об этом слишком поздно: банк-партнёр отказывает в интеграции из-за отсутствия KYC, Роскомнадзор присылает предписание за нарушение ФЗ-152, или первый крупный корпоративный клиент требует прохождения security audit, к которому продукт не готов. Эта статья — практический чек-лист для основателей и PM: что такое compliance для FinTech стартапа, какой минимум нужно встроить в MVP, как это реализовать технически и сколько это стоит.

Что такое compliance для FinTech стартапа: обязательный минимум

Рассмотрим, как compliance fintech стартап работает на практике.

Compliance — это соответствие продукта требованиям законодательства, отраслевых стандартов и правил финансовых регуляторов. В российском FinTech основная регуляторная нагрузка распределяется по трём уровням:

Уровень 1 — обязательно для всех

Применяется к любому приложению, которое собирает персональные данные российских граждан:

• ФЗ-152 «О персональных данных» — хранение ПДн на серверах в РФ, согласие на обработку, уведомление Роскомнадзора
• ФЗ-149 «Об информации» — требования к информационной безопасности

Уровень 2 — для платёжных сервисов и финансовых платформ

Применяется к MVP, который обрабатывает транзакции или хранит финансовые данные пользователей:

• KYC (Know Your Customer) — верификация личности пользователя перед финансовыми операциями
• AML (Anti-Money Laundering) — мониторинг транзакций на подозрительную активность
• PCI DSS — стандарт безопасности данных платёжных карт (если хранятся данные карт; при использовании ЮKassa / Тинькофф — ответственность делегируется провайдеру)

Уровень 3 — для лицензируемых видов деятельности

Применяется к инвестиционным платформам, МФО, операторам платёжных систем, страховым сервисам — требует лицензии ЦБ РФ и полного соответствия 115-ФЗ «О противодействии легализации (отмыванию) доходов».

Хорошая новость для большинства FinTech стартапов на стадии MVP: вам, скорее всего, нужен Уровень 1 + базовый Уровень 2 — KYC для верификации пользователей и AML-мониторинг транзакций. Полная лицензия ЦБ РФ требуется только для определённых видов финансовой деятельности, и её можно получить позже — после валидации бизнес-модели. Опыт показывает: compliance fintech стартап требует системного подхода.

Ключевой принцип: compliance дешевле встроить, чем добавить. Добавление KYC-пайплайна в готовый продукт занимает в 2-3 раза больше времени, чем его проектирование с нуля, потому что затрагивает схему БД, API-слой и логику регистрации пользователей. Понимание compliance fintech стартап критически важно для принятия решений.

Подробнее о технической архитектуре FinTech MVP и о том, как мы реализуем compliance в рамках фиксированного бюджета, — в соответствующем разделе.

ФЗ-152 «О персональных данных»: что встроить в MVP с первого дня

Вопрос compliance fintech стартап заслуживает детального анализа.

ФЗ-152 — базовый закон, который применяется к любому российскому продукту, собирающему ФИО, телефон, email, паспортные данные или любую другую информацию, позволяющую идентифицировать человека. Штраф за нарушение для юрлиц — до 500 000 ₽ по КоАП, плюс репутационные риски при утечке данных. В контексте compliance fintech стартап выделяется несколько ключевых факторов.

Что конкретно нужно реализовать в MVP:

1. Локализация данных (локализация ПДн)

С 2015 года все персональные данные российских граждан должны первично храниться на серверах, физически расположенных в РФ. Для FinTech MVP это означает выбор российского облачного провайдера: Yandex Cloud или Selectel — оба имеют сертификацию ФСТЭК и подходят для хранения ПДн. Рассмотрим, как compliance fintech стартап работает на практике.

Частая ошибка: хранить данные на AWS/GCP/Azure с EU или US регионами, а потом синхронизировать в RU. Роскомнадзор считает первичным место записи — если оно не в РФ, это нарушение.

2. Согласие на обработку персональных данных

При регистрации пользователь должен явно согласиться с политикой обработки ПДн. Технически: чекбокс (не проставленный по умолчанию) со ссылкой на Политику конфиденциальности. Согласие фиксируется с временной меткой, IP и версией документа — в аудит-логе. Вопрос compliance fintech стартап заслуживает детального анализа.

Важно: для чувствительных данных (биометрия, здоровье, финансовое положение) требуется отдельное явное согласие — не одно общее для всего.

3. Политика конфиденциальности и пользовательское соглашение

Документы должны содержать: перечень собираемых данных, цели обработки, срок хранения, права субъекта ПДн (запрос, исправление, удаление), контактные данные оператора ПДн. Минимальный срок хранения — до окончания договорных отношений + срок исковой давности (3 года по ГК РФ). Именно compliance fintech стартап определяет результат для бизнеса.

4. Аудит-лог операций с ПДн

Каждое обращение к персональным данным (чтение, изменение, удаление) должно логироваться: кто запросил, когда, с какого IP, какие поля. Лог должен быть неизменяемым (append-only) и храниться минимум 3 года. Технически: отдельная таблица в PostgreSQL с триггерами или WORM-хранилище для критичных операций. При правильном подходе compliance fintech стартап становится конкурентным преимуществом.

5. Право на удаление («right to be forgotten»)

Пользователь должен иметь возможность запросить удаление своих данных. В FinTech это осложнено: финансовые транзакции могут храниться дольше по требованиям AML (до 5 лет). Решение: разделить «личный профиль» (удаляется по запросу) и «финансовую историю» (хранится по закону, обезличивается). Далее — о ключевых аспектах compliance fintech стартап.

6. Уведомление Роскомнадзора

Перед началом обработки ПДн оператор обязан уведомить РКН через портал pd.rkn.gov.ru. Это административная процедура, но без неё деятельность по обработке ПДн формально незаконна.

Технические меры защиты ПДн (обязательный минимум)

• Шифрование данных в покое: AES-256 для БД-полей с ПДн
• Шифрование в транзите: TLS 1.3 для всех API-эндпоинтов
• Хеширование паролей: bcrypt с cost factor ≥ 12 (не MD5, не SHA-1)
• Разграничение доступа: роли и минимальные привилегии (RBAC) — сотрудник поддержки не должен видеть паспортные данные
• Мониторинг аномалий: алерты на массовое скачивание данных или попытки брутфорса

KYC (Know Your Customer): верификация клиентов в финансовом приложении

Именно compliance fintech стартап определяет результат для бизнеса.

KYC — процедура идентификации пользователя перед допуском к финансовым операциям. В российском контексте KYC регулируется 115-ФЗ (для организаций с банковской лицензией) и внутренними правилами платёжных провайдеров (для остальных).

Даже если вы не являетесь кредитной организацией, ваш банк-партнёр потребует KYC. ЮKassa, Тинькофф и другие платёжные провайдеры проводят собственную проверку пользователей и могут заблокировать ваш аккаунт при подозрительных транзакциях, если вы не верифицировали пользователей.

Три уровня KYC для FinTech MVP

KYC Level 0 — базовый

Подтверждение email + номера телефона через OTP (одноразовый код). Достаточно для платформ с транзакциями до 15 000 ₽ в месяц. Реализуется за 2-3 дня разработки.

KYC Level 1 — упрощённый

Ввод паспортных данных (серия, номер, дата рождения) + проверка через открытые базы данных МВД. Позволяет проводить транзакции до 100 000 ₽ в месяц. Технически: интеграция с API Федеральной миграционной службы или партнёрами (Суфтех, SmartID).

KYC Level 2 — полный

Фотография паспорта + селфи + liveness check (проверка, что это живой человек, а не фото). Открывает транзакции без ограничений. Реализуется через сторонних KYC-провайдеров:

• Суфтех — российский провайдер, интеграция с ЕСИА (Госуслуги)
• SmartID / Tinkoff ID — готовые SDK с OCR и liveness
• Сбер ID — для платформ, ориентированных на аудиторию Сбера

Техническая архитектура KYC-пайплайна

Пользователь загружает фото → OCR-модель извлекает данные →
Проверка валидности документа → liveness check →
Сверка с базой МВД / ЕСИА → Запись в БД (статус верификации) →
Уведомление пользователя → Открытие доступа к функциям

Важные технические решения:

• Фото документа не хранится дольше необходимого — после OCR-обработки изображение удаляется или хранится в зашифрованном виде с ограниченным TTL
• Статус верификации хранится в отдельной таблице с аудит-логом изменений
• Асинхронная обработка — OCR и liveness check выполняются в фоновых задачах (Celery), пользователь получает уведомление по завершении
• Повторная верификация — предусмотреть сценарии истечения срока паспорта или смены данных

Интеграция с ЕСИА (Госуслуги)

ЕСИА (Единая система идентификации и аутентификации) позволяет верифицировать пользователей через аккаунт на Госуслугах. Это наиболее доверенный метод KYC в России: данные уже проверены государством. Интеграция требует заключения соглашения с Минцифры и технической интеграции по протоколу OAuth 2.0 / OIDC. Срок получения доступа — 2-4 недели.

AML (Anti-Money Laundering): проверка транзакций и санкционных списков

При правильном подходе compliance fintech стартап становится конкурентным преимуществом.

AML — система мер по предотвращению использования финансового продукта для отмывания денег и финансирования терроризма. В России AML регулируется 115-ФЗ. Для MVP стартапа, который не является финансовой организацией с лицензией ЦБ, прямые требования 115-ФЗ применяются не напрямую, но косвенно — через требования банков-партнёров.

Что нужно реализовать в FinTech MVP

1. Проверка по санкционным спискам

При регистрации и перед крупными транзакциями — проверка ФИО пользователя по спискам:

• Список Росфинмониторинга (перечень террористов и экстремистов)
• Список ООН (санкционный список Совета Безопасности ООН)
• Санкционные списки SDN (OFAC, США) — если планируете международные операции

Технически: API Росфинмониторинга (fedsfm.ru) или коммерческие провайдеры (Dow Jones Risk & Compliance, ComplyAdvantage). Для MVP рекомендуем начать с официального API Росфинмониторинга — бесплатно, достаточно для базового уровня.

2. Мониторинг транзакций

Система правил, которые флагируют подозрительные операции:

• Транзакция на сумму ≥ 600 000 ₽ (обязательный контроль по 115-ФЗ)
• Множество мелких транзакций за короткий период (паттерн «смурфинга»)
• Транзакции в ночное время, нетипичные для профиля пользователя
• Транзакции с аккаунтами из высокорисковых юрисдикций

3. Suspicious Activity Report (SAR)

Внутренний процесс: что делать при срабатывании AML-правил. Минимум: заморозка транзакции → ручная проверка compliance-офицером → разблокировка или эскалация. Для MVP можно реализовать упрощённо: алерт в Telegram/Slack команде, ручная обработка.

4. Хранение истории транзакций

По 115-ФЗ — 5 лет с момента последней операции. Данные должны быть неизменяемыми и доступными для предоставления регулятору по запросу. Технически: append-only таблица транзакций с запретом UPDATE/DELETE на уровне БД.

Стоимость AML-инфраструктуры для MVP

Базовый AML (собственная реализация проверки по открытым спискам + система правил) — около 3-5 дней разработки в рамках FinTech MVP. Коммерческие AML-провайдеры (ComplyAdvantage, Sumsub) стоят от 500 $ в месяц, но дают готовый UI для compliance-офицера и автоматическое обновление санкционных списков. Рекомендуем: начать с базовой реализации, мигрировать на коммерческий провайдер при росте объёма транзакций.

Требования ЦБ РФ к финтех-платформам: базовый уровень для MVP

Далее — о ключевых аспектах compliance fintech стартап.

Часто задаваемый вопрос: «Нужна ли нам лицензия ЦБ РФ?» Ответ зависит от бизнес-модели. Разберём конкретные сценарии:

Когда лицензия ЦБ РФ НЕ нужна

• Маркетплейс — деньги проходят через лицензированный платёжный провайдер (ЮKassa, Тинькофф), вы только соединяете продавца и покупателя
• SaaS для финансовых компаний — вы продаёте программное обеспечение, а не финансовые услуги
• Агрегатор финансовых продуктов — сравнение, но без приёма денег на свои счета
• Robo-advisor — если вы не управляете активами, а только рекомендуете

Когда лицензия ЦБ РФ нужна

• Микрофинансовая организация — выдача займов физическим лицам
• Платёжный агент — приём платежей в свою пользу с последующим переводом (без использования ЮKassa)
• Инвестиционная платформа — привлечение инвестиций через краудфандинг (регулируется отдельно, ФЗ-259)
• Форекс-дилер — валютные операции с физлицами
• Страховой агент — заключение договоров страхования

Для большинства FinTech MVP стадии pre-seed лицензия не нужна — достаточно интегрировать лицензированный платёжный шлюз и выполнить требования ФЗ-152 и базового KYC.

Технические требования ЦБ РФ к информационной безопасности

Даже без лицензии ЦБ рекомендует следовать стандарту ГОСТ Р 57580 для финансовых организаций. На уровне MVP это означает:

• Разделение сред разработки и продакшна
• Регулярные бэкапы БД с тестированием восстановления
• Процедура реагирования на инциденты безопасности
• Сканирование уязвимостей зависимостей (OWASP Top 10)
• Пентест перед запуском (можно лёгкий automated scan для MVP)

Техническая архитектура для compliance: как это реализовать

Опыт показывает: compliance fintech стартап требует системного подхода.

Compliance — это не только юридические документы. Это конкретные технические решения, встроенные в архитектуру приложения. Вот как мы реализуем compliance в FinTech MVP за 22 рабочих дня.

Схема данных для FinTech с compliance

users                   — профиль пользователя (ФИО, email, phone)
users_kyc               — статус верификации, level, document_type, verified_at
users_consent           — версия документа, timestamp, ip_address (согласие ПДн)
transactions            — финансовые операции (append-only)
transactions_aml_flags  — флаги AML-проверок
audit_log               — все операции с ПДн (who, what, when, ip)

Стек и ключевые библиотеки

API-дизайн с учётом compliance

Несколько правил при проектировании API для FinTech:

• Никаких ПДн в URL-параметрах — паспортные данные, ИНН, СНИЛС только в теле POST-запроса, шифрованного TLS
• Версионирование API — /api/v1/ с явными версиями: при изменении логики обработки данных старая версия должна поддерживаться для аудита
• Идемпотентность транзакций — уникальный idempotency_key для каждой финансовой операции: повторный запрос не создаёт дублирующую транзакцию
• Структурированное логирование — каждый запрос к ПДн пишет в audit_log с correlation_id, позволяющим восстановить полный путь данных

Инфраструктура и деплой

Prod ← Dev/Staging разделены (разные окружения, разные БД)
Yandex Cloud Managed PostgreSQL — автобэкапы + PITR
Yandex Cloud Managed Redis — кеш + очереди Celery
GitLab CI/CD — автоматические security scans при каждом деплое
Dependabot / Safety — проверка уязвимостей зависимостей

Для AI-функций в FinTech MVP дополнительно учитываем: ML-модели не должны обучаться на реальных ПДн без явного согласия, inference-результаты (скоринговые баллы) относятся к категории чувствительных данных и логируются с тем же уровнем защиты.

Чек-лист compliance FinTech MVP: 20 пунктов

Понимание compliance fintech стартап критически важно для принятия решений.

Используйте этот чек-лист перед запуском или при выборе команды разработки — задайте им эти вопросы, чтобы проверить реальный уровень compliance-экспертизы.

ФЗ-152 (персональные данные)

• ☐ Сервер с ПДн физически расположен в РФ (Yandex Cloud / Selectel)
• ☐ Форма согласия на обработку ПДн реализована корректно (явный чекбокс, не проставленный по умолчанию)
• ☐ Политика конфиденциальности содержит все обязательные разделы
• ☐ Аудит-лог операций с ПДн ведётся и хранится ≥ 3 лет
• ☐ Пользователь может запросить выгрузку своих данных (право субъекта ПДн)
• ☐ Пользователь может запросить удаление личного профиля (финансовая история обезличивается)
• ☐ Уведомление Роскомнадзора подано через pd.rkn.gov.ru

Технические меры безопасности

• ☐ Шифрование ПДн в БД — AES-256 для чувствительных полей
• ☐ TLS 1.3 на всех API-эндпоинтах (HTTP полностью отключён)
• ☐ Пароли хешируются bcrypt/Argon2id (не MD5, не SHA-1)
• ☐ JWT access token с TTL ≤ 15 минут + refresh token rotation
• ☐ Rate limiting на эндпоинтах авторизации и OTP
• ☐ RBAC — разграничение доступа по ролям
• ☐ Секреты хранятся в vault (не в коде, не в репозитории)

KYC

• ☐ Определён уровень верификации, соответствующий лимитам транзакций
• ☐ Статус KYC хранится в отдельной таблице с аудит-логом изменений
• ☐ Изображения документов не хранятся дольше необходимого

AML

• ☐ Проверка пользователей по спискам Росфинмониторинга при регистрации
• ☐ Флаги AML-мониторинга транзакций ≥ 600 000 ₽
• ☐ История транзакций хранится ≥ 5 лет (append-only)
• ☐ Процедура обработки SAR (Suspicious Activity Report) описана и реализована

Если готовы к детальному разговору о compliance для вашего конкретного проекта — запишитесь на бесплатный Zoom-колл. Разберём вашу бизнес-модель и определим, какой уровень compliance нужен именно вам.

Сколько стоит compliance в FinTech MVP

В контексте compliance fintech стартап выделяется несколько ключевых факторов.

Один из самых частых вопросов: «Сколько это добавляет к стоимости разработки?» Ответ зависит от уровня compliance, который нужен вашей бизнес-модели.

В рамках наших пакетов IT2BE compliance ФЗ-152 + KYC Level 0/1 + базовый AML включены в базовую стоимость. KYC Level 2 с liveness check и интеграция с ЕСИА — опциональные расширения, добавляемые к пакету AI-расширенный.

Подробнее о стоимости разработки FinTech MVP с детализацией по компонентам — в соответствующем разделе.

Для команд, которые уже строят продукт и хотят проверить уровень compliance, — рекомендуем также изучить раздел как выбрать команду разработки, где разобраны конкретные вопросы для проверки подрядчика.