Основатель FinTech-стартапа показывает мне архитектуру своего MVP. Бэкенд — на Supabase, база данных — на их облаке в eu-west-1, Frankfurt. «Отличный стек» — говорю я. — «Только вы только что нарушили ФЗ-152». Он смотрит на меня с непониманием: «Но данные же зашифрованы». Хранение персональных данных на серверах рф — это не про шифрование. Это про физическое местонахождение железа.
Что на самом деле требует ФЗ-152
Рассмотрим, как хранение персональных данных на серверах рф работает на практике.
Статья 18.1 Федерального закона №152-ФЗ говорит конкретно: при сборе персональных данных российских граждан оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.
Ключевое слово — «территория Российской Федерации». Не «с шифрованием», не «с SOC 2 сертификатом», не «на серверах надёжного провайдера». Физически — в России.
Что попадает под требование: имя, фамилия, email, телефон, дата рождения, адрес, паспортные данные, СНИЛС, ИНН, история платежей, привязанные банковские карты (токены). Для FinTech — это весь основной массив данных.
Что не требует локализации: трансграничная передача данных (вы можете их передавать за рубеж после первичного сохранения в РФ), агрегированная аналитика без персональных атрибутов, данные иностранных граждан без российского гражданства. CDN — отдельная история, об этом ниже.
Типичные ошибки — что делают 80% стартапов
Вопрос хранение персональных данных на серверах рф заслуживает детального анализа.
Разберу три самых частых кейса, с которыми приходят к нам.
Supabase без кастомной конфигурации. Supabase по умолчанию разворачивает базу данных в AWS eu-west-1 (Ирландия) или us-east-1 (Вирджиния). Великолепный инструмент, удобный PostgreSQL-хостинг — но физически сервера в ЕС или США. Self-hosted Supabase на российском облаке — работает. Managed Supabase «из коробки» — нарушение.
Firebase без выбора региона. Google Firebase позволяет выбрать регион для Firestore и Storage. Доступные регионы для Russian compliance — нет ни одного российского. europe-west3 (Frankfurt) — ближе, но это всё равно Германия, а не РФ. Firebase как основная база персональных данных для российского FinTech — не вариант по закону.
Vercel + PlanetScale + Cloudflare Workers. Модный edge-стек. PlanetScale — AWS us-east-1 или eu-west-1. Данные пользователей в США или ЕС. Штраф по ФЗ-152 — от 6 до 18 миллионов рублей для юридического лица (поправки 2022 года значительно увеличили санкции). Повторное нарушение — до 18 миллионов.
Важный нюанс с CDN: статические файлы (картинки, видео, CSS) через CDN с зарубежными edge-узлами — не нарушение, если исходные данные хранятся в РФ. CDN кеширует контент, а не хранит персональные данные. Но если вы передаёте через CDN токены сессий или профили пользователей — это уже персональные данные, и тут нужно разбираться отдельно.
Российские облака: реальное сравнение для FinTech
Именно хранение персональных данных на серверах рф определяет результат для бизнеса.
Три основных варианта — Yandex Cloud, VK Cloud и Selectel. Кратко по каждому с точки зрения FinTech-специфики.
Yandex Cloud — наиболее зрелая экосистема из российских. Managed PostgreSQL и MySQL (не нужно администрировать базу самому), Managed Kubernetes, Object Storage (S3-совместимое хранилище), API Gateway, очереди сообщений. Для FinTech есть сертификация PCI DSS для части инфраструктуры — важно при работе с платёжными данными. Ценник — средний, но за Managed-сервисы платите наценку как везде. Документация хорошая, сообщество активное.
VK Cloud (бывший Mail.ru Cloud Solutions) — конкурентный по цене вариант. Managed-базы, S3, Kubernetes. Меньший выбор managed-сервисов по сравнению с Yandex Cloud, но для базовой архитектуры MVP хватает. Техподдержка чуть медленнее, документация менее подробная. Подходит если бюджет ограничен и нужен стандартный стек.
Selectel — изначально хостинг-провайдер, выросший в облачную платформу. Хорошая репутация в плане стабильности и честных цен без сюрпризов. Меньше managed-сервисов из коробки — придётся больше администрировать самостоятельно. Зато дешевле на виртуальных машинах и хранилище. Хорошо подходит для команд с DevOps-компетенцией.
Что выбрать для FinTech MVP? Для большинства проектов на старте — Yandex Cloud. Managed PostgreSQL снимает головную боль с администрированием базы, PCI DSS-сертификация закрывает часть compliance-вопросов, экосистема позволяет добавлять сервисы по мере роста. Для строгого бюджета — VK Cloud как компромисс. Selectel — если у вас есть DevOps и вы хотите максимального контроля за инфраструктурой.
«Сервер в РФ» — что это значит на практике
Три варианта физического размещения, каждый со своими плюсами и минусами.
VPS (виртуальный сервер) у российского хостера — самый дешёвый вариант. Timeweb, Beget, FirstVDS, 1cloud — все предоставляют VPS с серверами в российских ЦОД. Цена: от 500 рублей в месяц. Минус: вы сами управляете всем стеком — ОС, СУБД, бэкапы, обновления безопасности. Для MVP с нетехническим основателем это операционная нагрузка, которую легко недооценить.
Облако (managed services) — Yandex Cloud, VK Cloud, Selectel. Вы платите больше за ресурсы, но managed-сервисы берут на себя администрирование базы данных, автоматические бэкапы, патчинг ОС. Для стартапа без выделенного DevOps — правильный выбор. Цена Managed PostgreSQL в Yandex Cloud: от 3 000–8 000 рублей в месяц за конфигурацию, достаточную для MVP.
Colocation — аренда места в стойке ЦОД для своего железа. Для MVP — избыточно. Это история для enterprise с особыми требованиями к изоляции данных или компаний, у которых уже есть своё оборудование.
Для FinTech MVP на старте оптимальная схема: Yandex Cloud как основная инфраструктура (Managed PostgreSQL + Object Storage + виртуальные машины или Kubernetes). Всё в одном облаке — проще администрирование, единый биллинг, нет проблем с сетевыми задержками между компонентами.
Как IT2BE встраивает compliance с первого дня
Частая ошибка — думать о локализации данных как о задаче «на потом». «Сначала сделаем MVP, потом перенесём на российские серверы». На практике это означает: переписать конфигурации инфраструктуры, перенести базу данных с неизбежным даунтаймом, изменить строки подключения во всём коде, проверить, что все data pipeline-компоненты не тянут данные через зарубежные сервисы. Это работа на несколько дней, которая тормозит продажи и вызывает стресс.
В IT2BE мы проектируем инфраструктуру FinTech MVP с учётом ФЗ-152 на этапе архитектуры — до написания первой строки кода. Это означает:
- Выбор облачного провайдера с дата-центрами в РФ (Yandex Cloud или VK Cloud в зависимости от требований)
- Разграничение хранилищ: персональные данные — только на российских серверах, аналитические агрегаты — можно в любом облаке
- Документирование потоков персональных данных для Роскомнадзора (реестр операторов персональных данных — обязательная регистрация)
- Политика конфиденциальности и согласие на обработку данных — юридически корректные тексты, а не скопированные с другого сайта
Стоимость «встроить compliance с нуля» — ноль дополнительных рублей поверх стандартной разработки, только правильный выбор инструментов. Стоимость «переделать compliance в уже работающем продукте» — недели работы и остановка фичеверки.
Что нужно сделать прямо сейчас
Если вы уже строите или планируете строить FinTech-продукт для российского рынка — пройдите по этому списку.
Первое — проверьте, где физически находятся ваши базы данных. В AWS Console, Supabase Dashboard, Firebase Console — найдите регион. Если это eu-west, us-east, или любое другое нероссийское — у вас нарушение.
Второе — проверьте все сторонние сервисы, которые получают персональные данные. Аналитика (Amplitude, Mixpanel, Heap) — передача данных за рубеж требует отдельного правового основания. CRM (HubSpot, Pipedrive) — то же самое. Для каждого такого сервиса должно быть либо дополнительное соглашение, либо переход на российский аналог.
Третье — зарегистрируйтесь как оператор персональных данных в реестре Роскомнадзора. Это бесплатно, занимает 30 минут через gosuslugi.ru, но без регистрации вы уже нарушаете закон — независимо от того, где хранятся данные.
Если вы только планируете запускать MVP — закладывайте compliance в архитектуру с самого начала. Если у вас уже работающий продукт с нарушениями — лучше исправить сейчас, пока не пришла проверка.
В IT2BE мы готовы провести compliance-аудит архитектуры вашего FinTech-проекта и помочь выстроить правильную инфраструктуру. Запишитесь на Zoom-колл — за 45 минут разберём вашу конкретную ситуацию и составим план действий.
FAQ о хранении персональных данных на серверах РФ
Распространяется ли ФЗ-152 на ИП или только на юридические лица?
ФЗ-152 распространяется на всех операторов персональных данных — физических лиц, ИП и юридических лиц. Разница только в размере штрафов: для физических лиц санкции ниже, для юридических — выше. Но требование локализации данных на серверах РФ распространяется на всех без исключения, как только вы начинаете собирать персональные данные российских граждан в рамках предпринимательской деятельности.
Можно ли использовать зарубежный сервис аналитики (Amplitude, Mixpanel)?
Технически — да, при соблюдении условий. Вы можете передавать персональные данные за рубеж, если: страна получателя обеспечивает адекватную защиту (список стран утверждён Роскомнадзором), или получено согласие субъекта на трансграничную передачу, или есть иное правовое основание. Для аналитики — либо передавайте только анонимизированные данные (без email, phone, user_id), либо убедитесь, что у вас правильно составлено согласие на обработку данных с упоминанием трансграничной передачи.
Что будет, если проигнорировать требование локализации?
С 2022 года санкции существенно ужесточились. Первичное нарушение — штраф от 6 до 18 миллионов рублей для юридического лица. Повторное нарушение — до 18 миллионов. Кроме штрафа — блокировка сервиса по решению суда (именно так Роскомнадзор заблокировал LinkedIn в 2016 году). Для FinTech-стартапа блокировка означает немедленную потерю всех пользователей и, вероятно, гибель бизнеса.
Нужно ли переносить данные уже существующих пользователей, если сейчас они хранятся за рубежом?
Да, и это один из самых сложных аспектов исправления нарушения постфактум. Вам потребуется: экспортировать данные из зарубежной базы, импортировать в российскую с проверкой целостности, обновить все строки подключения в коде, настроить новую инфраструктуру, проверить работоспособность всех функций. Это минимум 3–5 рабочих дней для небольшого MVP плюс неизбежный даунтайм при переключении. Именно поэтому правильнее встроить compliance в архитектуру с самого начала, а не переделывать потом.