Вопрос о том, может ли SaaS-продукт получить статус доверенного программного обеспечения, — один из самых частых, которые мы слышим от разработчиков облачных решений. Ответ неоднозначный, и именно это создаёт проблемы: одни консультанты говорят «невозможно», другие — «всё решаемо», а разработчики остаются без понимания реальной картины. Постановление № 1937 не содержит прямого запрета на доверенный статус для SaaS. Но оно содержит требования, часть из которых для облачных продуктов выполнить значительно сложнее, чем для on-premise решений. Разбираем ситуацию честно.
Что именно создаёт трудности для SaaS при получении доверенного статуса
Требования постановления № 1937 создавались с учётом классической модели распространения программного обеспечения — когда продукт устанавливается в инфраструктуре заказчика. SaaS-модель по природе своей другая: продукт работает на серверах разработчика, заказчик получает доступ через интернет. Это создаёт несколько специфических точек напряжения.
🖥️
Требование совместимости с доверенными ОС
Для SaaS серверная часть работает на инфраструктуре разработчика, а не заказчика. Требование совместимости с двумя доверенными ОС в этом контексте интерпретируется как требование к клиентской части: web-интерфейс должен корректно работать через доверенные браузеры на доверенных ОС у пользователя. Серверная среда при этом проверяется отдельно.
🌍
Расположение серверной инфраструктуры
Данные государственных заказчиков должны обрабатываться на серверах, расположенных на территории России. Если SaaS-платформа использует зарубежные дата-центры или международные CDN для хранения и обработки данных — это серьёзное препятствие. Требование о локализации данных закреплено в 149-ФЗ и 152-ФЗ.
🔒
Контроль над данными заказчика
При SaaS-модели данные государственного заказчика физически находятся на серверах разработчика. Центр тестирования проверяет механизмы защиты, изоляции данных между клиентами, разграничение доступа и возможность полного удаления данных по требованию заказчика.
📡
Зависимость от внешних сервисов
Многие SaaS-продукты используют сторонние API, облачные сервисы, CDN иностранных провайдеров. Каждая такая зависимость — потенциальный вопрос при экспертизе. Продукт, который не может функционировать без подключения к иностранному сервису, имеет принципиальное препятствие.
Три сценария для SaaS-продуктов
Практика работы с облачными продуктами показывает, что ситуации разработчиков сильно различаются. Мы выделяем три принципиально разных сценария, каждый из которых имеет свой путь.
Сценарий 1: SaaS на российской инфраструктуре
Продукт полностью работает на серверах в российских дата-центрах, не использует иностранные зависимости, данные заказчиков не покидают территорию России.
- Наиболее реалистичный путь к доверенному статусу
- Требует подтверждения локализации данных документально
- Web-интерфейс должен работать через доверенные браузеры
- Серверная среда проверяется на соответствие требованиям ИБ
- Вывод: получение статуса реально при соблюдении всех условий
Сценарий 2: Гибридная модель (SaaS + on-premise)
Продукт доступен как в облачной версии, так и в версии для развёртывания в инфраструктуре заказчика. On-premise версия является полнофункциональным самостоятельным продуктом.
- Доверенный статус получает on-premise версия
- SaaS-версия для госзаказчиков разворачивается в их контуре
- Наиболее распространённая стратегия для корпоративного сегмента
- Требует поддержания двух версий продукта
- Вывод: оптимальная стратегия для большинства B2B-разработчиков
Сценарий 3: Чистый SaaS с иностранной инфраструктурой
Продукт работает на зарубежных облачных платформах (AWS, Azure, GCP), данные хранятся за рубежом, иностранные зависимости являются архитектурно неотъемлемыми.
- Получение доверенного статуса в текущей конфигурации невозможно
- Требуется миграция на российскую инфраструктуру
- Замена иностранных зависимостей на отечественные аналоги
- Срок подготовки: от 6 месяцев до нескольких лет
- Вывод: нужна стратегическая программа переработки архитектуры
Требования к SaaS-продукту при экспертизе
Для SaaS-продуктов, которые претендуют на доверенный статус, центр тестирования проверяет специфический набор характеристик в дополнение к стандартным требованиям постановления № 1937.
Требование Для on-premise ПО Специфика для SaaS Совместимость с доверенными ОС Продукт работает на доверенных ОС у заказчика Web-интерфейс корректно работает через доверенные браузеры на доверенных ОС Требования ИБ Безопасность продукта в инфраструктуре заказчика Безопасность мультиарендной среды, изоляция данных, безопасность API Локализация данных Данные у заказчика по умолчанию Подтверждение хранения и обработки данных на серверах в России Исключительные права Стандартная проверка Стандартная проверка, без специфики SaaS-модели Внешние зависимости Проверяются open source компоненты Дополнительно — все внешние API и облачные сервисы
Российская облачная инфраструктура: на что опираться
Для SaaS-продуктов, которые работают на российской инфраструктуре, выбор облачной платформы влияет на позицию при экспертизе. Отечественные облачные провайдеры — Яндекс Облако, SberCloud, МТС Cloud, Selectel, CloudMTS — обеспечивают хранение и обработку данных на серверах в России. Работа на их инфраструктуре снимает вопрос локализации данных.
Важный нюанс: сам факт использования российского облачного провайдера не гарантирует автоматического соответствия всем требованиям. Если SaaS-платформа при этом использует иностранные CDN для статических ресурсов, иностранные почтовые шлюзы, иностранные системы аналитики или иностранные API для ключевой функциональности — каждая такая зависимость подлежит проверке.
Что делать с иностранными зависимостями в SaaS-архитектуре
Большинство SaaS-продуктов накопили иностранные зависимости органически: Stripe для платежей, SendGrid для почты, Cloudflare для CDN, Intercom для поддержки. Для получения доверенного статуса критично разделить зависимости на два класса: те, что обрабатывают данные заказчиков (их нужно заменить), и те, что не касаются данных государственных заказчиков (можно рассмотреть вопрос о допустимости). Эта граница устанавливается при техническом аудите.
Стратегия для SaaS-разработчика: как выстроить путь к доверенному статусу
1
Аудит архитектуры на соответствие требованиям
Инвентаризируем всю инфраструктуру и внешние зависимости. Определяем, какие компоненты обрабатывают данные заказчиков. Оцениваем локализацию данных. Проверяем совместимость web-интерфейса с доверенными браузерами. По итогам — честная картина: что нужно изменить и насколько это реалистично в вашем горизонте. Срок: 7–14 рабочих дней.
2
Выбор архитектурной стратегии
На основе аудита определяем оптимальный путь: получение статуса для текущей SaaS-версии, создание on-premise версии, гибридная модель или поэтапная миграция на российскую инфраструктуру. Стратегия зависит от технических возможностей, ресурсов команды и дедлайна по категории продукта.
3
Техническая подготовка
Реализуем выбранную стратегию: замена иностранных зависимостей, адаптация web-интерфейса под доверенные браузеры, настройка инфраструктуры на российских серверах, документирование механизмов изоляции данных. Для гибридной модели — подготовка on-premise версии к экспертизе.
4
Юридическая проверка и подготовка к подаче
Параллельно с технической частью — проверка исключительных прав, корпоративной структуры, лицензионной чистоты компонентов. Готовим документальное подтверждение локализации данных: договоры с российскими дата-центрами, сетевые схемы, политики обработки данных.
5
Сопровождение процедуры до получения отметки
Подача заявления, выбор центра тестирования, сопровождение экспертизы, взаимодействие с правительственной комиссией. Для SaaS-продуктов при экспертизе важно чётко объяснить архитектуру — центр тестирования должен понять, как именно работает продукт и как обеспечивается безопасность данных.
Стоимость и сроки для SaaS-продуктов
Бюджет для SaaS-продукта существенно зависит от выбранной стратегии и текущего состояния инфраструктуры. Ниже — ориентиры для двух наиболее распространённых сценариев.
Сценарий Бюджет консалтинга и экспертизы Срок SaaS на российской инфраструктуре, готов к экспертизе от 540 000 до 890 000 ₽ 4–6 месяцев Создание on-premise версии для госсегмента от 190 000 ₽ (консалтинг) + стоимость экспертизы зависит от готовности on-premise версии Аудит текущей архитектуры и стратегическое планирование от 60 000 ₽ 7–14 рабочих дней Миграция на российскую инфраструктуру индивидуально от 6 месяцев
Вопросы SaaS-разработчиков о доверенном статусе
Мы уже включены в реестр российского ПО как SaaS. Означает ли это, что нам могут дать и доверенный статус?
Включение в реестр российского ПО — обязательное предварительное условие для доверенного статуса, и хорошо, что оно уже выполнено. Но реестровая запись не говорит ничего о соответствии требованиям постановления № 1937. Оценивать реальные перспективы доверенного статуса нужно отдельно — именно для этого существует аудит. Наличие реестровой записи как SaaS не является ни препятствием, ни гарантией.
Наш SaaS работает на Яндекс Облаке. Этого достаточно для подтверждения локализации данных?
Яндекс Облако — российский провайдер с дата-центрами в России, и это хорошая база. Для подтверждения локализации нужно зафиксировать это документально: договор с провайдером, указание конкретных регионов размещения данных, схема архитектуры с указанием, что все данные заказчиков хранятся и обрабатываются только в российских регионах. Если при этом используются внешние сервисы — их нужно проверить отдельно.
Можно ли получить доверенный статус на SaaS-версию, которая используется только частными компаниями, а государственным заказчикам продавать on-premise?
Это рабочая стратегия, которую применяют многие вендоры. Доверенный статус получает on-premise версия продукта с отдельной реестровой записью. SaaS-версия продолжает работать для коммерческих клиентов без доверенного статуса. Государственные заказчики получают on-premise поставку, которая соответствует требованиям постановления № 1937. Нюанс: on-premise и SaaS должны быть позиционированы как отдельные продукты с отдельными реестровыми записями.
Мы используем AWS EU с GDPR-compliant конфигурацией. Это не поможет при российской экспертизе?
GDPR-соответствие и российские требования к локализации данных — принципиально разные регуляторные режимы. AWS EU с европейскими серверами не удовлетворяет требованию о хранении персональных данных российских граждан на серверах в России (152-ФЗ, ст. 18.1). Для государственных заказчиков это не просто рекомендация, а обязательное требование. Европейская GDPR-конфигурация при российской экспертизе доверенного ПО значения не имеет.
Нам нужно сохранить SaaS-модель по бизнес-причинам. Есть ли вообще путь?
Если принципиально важно сохранить SaaS-модель для государственных заказчиков — путь есть, но он требует серьёзной архитектурной работы. Private cloud deployment на инфраструктуре заказчика или на выделенной российской инфраструктуре с изолированным контуром для государственного сегмента — это SaaS по операционной модели, но on-premise по расположению данных. Такой подход применяют, например, некоторые крупные платформенные компании для работы с государственным сектором. Детали реализации нужно прорабатывать индивидуально.
Главный вывод для SaaS-разработчиков
Доверенный статус для SaaS — не «нет» и не «да», а «зависит от архитектуры». Самостоятельно оценить, где именно находится ваш продукт на этой шкале, сложно: нужен технический и юридический взгляд со знанием требований постановления № 1937. Именно для этого существует предварительный аудит — он даёт честный ответ и конкретный план действий, а не общие слова об «изучении вопроса».
149-ФЗ и 152-ФЗ — базовые законы о локализации данных 7–14 дн. срок аудита архитектуры SaaS от 60 000 ₽ стоимость аудита и стратегического планирования 10 лет работа с реестрами Минцифры
Разобраться с перспективами доверенного статуса для вашего SaaS
Расскажите об архитектуре продукта: где работает серверная часть, какие внешние зависимости используются, есть ли on-premise версия. Проведём аудит и дадим конкретный ответ о реалистичности и стоимости получения доверенного статуса.
Телефон / WhatsApp / Telegram: +7 920-898-17-18
Email: reestrgarant@mail.ru
Первичная консультация бесплатная в рабочее время.
Оригинальная статья
Полная версия статьи на нашем сайте: https://vnesenie-v-reestr.ru/news/doverennyy-status-dlya-saas-i-oblachnogo-po-mozhno-li-poluchit-i-kak
Мы занимаемся включением в реестр Минпромторга
📞 Телефон: +7 920-898-17-18
✉️ Email: reestrgarant@mail.ru