Добавить в корзинуПозвонить
Найти в Дзене
CHIMITDORZHI STUDIO

Кто на самом деле владеет вашим сайтом, данными и аккаунтами

За шестнадцать с лишним лет в IT я видел десятки историй, где у бизнеса вроде бы есть сайт, трафик, клиенты — а юридически и технически компании не принадлежит почти ничего. Пока всё спокойно, это незаметно. Но стоит поссориться с подрядчиком, уволить администратора или просто потерять с ним связь — и выясняется, что домен оформлен на чужого человека, хостинг привязан к чужой почте, а исходники лежат у фрилансера, который уже не отвечает. В этой статье я разберу по элементам, кому на самом деле принадлежит ваш сайт и данные, где прячутся типичные ловушки и как вернуть себе контроль, оформив всё правильно. Сайт для большинства компаний давно перестал быть витриной. Это точка приёма заявок, база клиентов, история заказов, рекламные кампании с накопленной статистикой и репутация в поисковиках. Всё это — активы, которые стоят денег и нарабатываются годами. И когда я спрашиваю собственника, кому принадлежат эти активы, в ответ обычно слышу: «Ну, нам, конечно, мы же за всё платили». Платили
Оглавление

Коротко (TL;DR)

  • Сайт — это не один объект, а связка из домена, хостинга, исходного кода, рекламных кабинетов и аккаунтов. Владелец у каждого элемента может быть разный, и это главная ловушка.
  • Чаще всего бизнес теряет контроль не из-за взлома, а из-за того, что домен и доступы оформлены на подрядчика, фрилансера или бывшего сотрудника.
  • Проверьте прямо сейчас: на чьё имя зарегистрирован домен, в чьём личном кабинете лежит хостинг и кому принадлежат почта и рекламные аккаунты.
  • Права на исходный код по закону остаются у разработчика, пока вы не оформили их передачу письменно — устной договорённости недостаточно.
  • Если хотите разложить всё по полочкам и закрыть дыры в доступах — я провожу аудит владения и помогаю переоформить активы на компанию.

За шестнадцать с лишним лет в IT я видел десятки историй, где у бизнеса вроде бы есть сайт, трафик, клиенты — а юридически и технически компании не принадлежит почти ничего. Пока всё спокойно, это незаметно. Но стоит поссориться с подрядчиком, уволить администратора или просто потерять с ним связь — и выясняется, что домен оформлен на чужого человека, хостинг привязан к чужой почте, а исходники лежат у фрилансера, который уже не отвечает. В этой статье я разберу по элементам, кому на самом деле принадлежит ваш сайт и данные, где прячутся типичные ловушки и как вернуть себе контроль, оформив всё правильно.

Почему это критически важно

Сайт для большинства компаний давно перестал быть витриной. Это точка приёма заявок, база клиентов, история заказов, рекламные кампании с накопленной статистикой и репутация в поисковиках. Всё это — активы, которые стоят денег и нарабатываются годами. И когда я спрашиваю собственника, кому принадлежат эти активы, в ответ обычно слышу: «Ну, нам, конечно, мы же за всё платили». Платили — да. Но оплата счёта и владение активом — разные вещи.

Проблема в том, что доступ к активу и право на актив легко расходятся. Вы оплачиваете продление домена, но регистрация оформлена на личный аккаунт подрядчика. Вы заказали разработку и приняли работу, но договор не передал вам исключительные права на код. Вы вложили сотни тысяч в рекламу, но кабинет создан на личную почту маркетолога, который ушёл. Пока отношения хорошие, разница не видна. В момент конфликта она превращается в потерю бизнеса: сайт уводят, данные удаляют, рекламу останавливают, а восстановить контроль через суд долго и дорого. Поэтому разобраться с владением нужно заранее, на спокойную голову, а не когда уже горит.

Кто на самом деле владелец: домен, хостинг, код, аккаунты

Чтобы понять, чем вы владеете, сайт нужно разложить на отдельные слои. Их минимум пять, и у каждого свой владелец, своя точка контроля и свой риск.

Домен. Это ваше имя в интернете и, по сути, самый ценный неосязаемый актив. Домен регистрируется у регистратора на конкретное лицо — компанию или человека. Тот, на кого оформлена регистрация и у кого доступ к личному кабинету регистратора, фактически и распоряжается доменом: может его продлить, не продлить, перенести к другому регистратору или продать. Если домен оформлен на подрядчика, юридически он принадлежит подрядчику, а не вам, даже если деньги платили вы.

Хостинг и серверы. Здесь физически живут файлы сайта и база данных. Контроль определяется тем, в чьём личном кабинете хостинг-провайдера лежит услуга и к какой почте он привязан. Если аккаунт хостинга на стороне студии, у вас нет прямого доступа к собственным файлам и резервным копиям — вы получаете их только через посредника.

Исходный код. Самый недооценённый слой. По умолчанию исключительные права на программу остаются у её автора — разработчика. Факт оплаты сам по себе права не передаёт. Чтобы код стал вашим, в договоре должно быть прямо написано об отчуждении исключительных прав, а исходники — переданы вам, а не лежать только в чужом репозитории. Без этого вы не вправе дорабатывать сайт у другого подрядчика и формально зависите от первого. Когда я делаю ИТ-аудит, права на код — один из первых пунктов, который я проверяю по документам.

Рекламные кабинеты и аналитика. Кабинеты в Яндекс Директе, счётчики Метрики, аналитика — это накопленная история, аудитории и обучение алгоритмов. Если они созданы на личную почту сотрудника или агентства, с уходом этого человека вы теряете всю статистику и настроенные аудитории.

Аккаунты и доступы к данным. Корпоративная почта, CRM, базы клиентов, аккаунты в соцсетях и мессенджерах. Кому принадлежит почтовый домен и админский доступ к CRM — тот и контролирует клиентскую базу. А база клиентов — это ещё и персональные данные, за которые по закону отвечаете именно вы как оператор.

Типичные ловушки, когда вы не владелец

За годы практики ловушки повторяются почти дословно, поэтому их легко узнать заранее. Первая и самая частая — домен на подрядчике. Студия регистрирует домен на свой аккаунт «чтобы вам не возиться», а через два года, при расставании, выясняется, что переоформление они делать не спешат или просят за это денег. Юридически домен их, и спорить тяжело.

Вторая ловушка — хостинг и почта на личных данных сотрудника. Системный администратор или маркетолог заводит всё на свою личную почту. Человек увольняется в плохих отношениях — и доступ к серверу, домену и рекламе уходит вместе с ним. Иногда восстановить его не получается вовсе, потому что привязка идёт к недоступному телефону или ящику.

Третья — код только у разработчика. Сайт работает, но исходников у вас нет, репозиторий приватный и на аккаунте фрилансера. Любая правка возможна только через него. Если он пропал, новому подрядчику приходится разбираться вслепую или переписывать заново.

Четвёртая — один человек как единая точка отказа. Все доступы знает только один сотрудник или один фрилансер, и нигде это не записано. Болезнь, отпуск, увольнение или конфликт — и бизнес встаёт. Это типичный риск, который я подсвечиваю в рамках кибербезопасности: отсутствие управления доступами опаснее, чем кажется, потому что бьёт именно в самый неподходящий момент.

Пятая — персональные данные без оформления. На сайте собираются заявки, телефоны и почты клиентов, но политики обработки данных нет, согласие не берётся, а база лежит в чужой CRM. Здесь добавляются уже не только бизнес-риски, но и претензии по 152-ФЗ.

Как вернуть контроль и всё оформить правильно

Хорошая новость: навести порядок можно поэтапно, и для этого не нужно ничего ломать. Я обычно иду по такому маршруту.

Шаг первый — инвентаризация. Составьте список всех активов: домен, хостинг, код и репозиторий, почта, CRM, рекламные кабинеты, счётчики, аккаунты в соцсетях. Напротив каждого впишите, на чьё имя оформлено, к какой почте и телефону привязано и у кого есть доступ. Уже на этом шаге обычно вскрывается половина проблем.

Шаг второй — домен на компанию. Заведите аккаунт у регистратора на саму компанию (или на собственника), привязанный к корпоративной почте и телефону, к которым имеете доступ только вы. Переоформите домен на этот аккаунт. Это первое, что я рекомендую сделать всем, потому что домен — самый невосполнимый актив.

Шаг третий — хостинг и почта под контролем компании. Создайте корпоративные аккаунты хостинга и почтового сервиса на компанию. Подрядчику давайте технический доступ, но владельцем аккаунта оставайтесь сами. Подключите регулярные резервные копии и убедитесь, что можете их скачать без чьей-либо помощи.

Шаг четвёртый — права на код. Проверьте договор с разработчиком. В нём должно быть условие об отчуждении исключительных прав на результат в пользу заказчика и акт передачи. Если этого нет, оформите дополнительное соглашение и заберите исходники в свой репозиторий. Когда я веду веб-разработку, передачу прав и исходников клиенту я закладываю в договор сразу — это нормальная практика, а не любезность.

Шаг пятый — доступы и персональные данные. Внедрите принцип: доступы принадлежат компании, сотрудники получают их по ролям и теряют при увольнении. Заведите парольный менеджер, разграничьте права, включите двухфакторную защиту. Параллельно приведите в порядок 152-ФЗ: опубликуйте политику обработки персональных данных, настройте согласие на сайте и понимайте, где и как хранится клиентская база.

Частые вопросы

Я оплачивал домен много лет — значит, он мой? Не обязательно. Юридически домен принадлежит тому, на чей аккаунт он зарегистрирован. Оплата продлений права собственности не даёт, поэтому важно проверить именно владельца регистрации.

Мы заплатили за разработку — код ведь наш? Не автоматически. По закону исключительные права остаются у разработчика, пока договор прямо не передал их вам. Без условия об отчуждении прав код юридически не ваш, даже после полной оплаты.

Подрядчик не отдаёт доступы — что делать? Сначала поднимите договоры и переписку, где зафиксировано, что работы оплачены и сделаны для вас. Часто помогает аргументированное письменное требование. Если доступ к домену, лучше параллельно действовать через регистратора, подтверждая принадлежность компании.

Опасно ли держать рекламные кабинеты на сотруднике? Да. С его уходом вы рискуете потерять накопленную статистику и аудитории. Кабинеты и счётчики должны быть оформлены на компанию, а сотрудникам выдаваться доступ по ролям.

Что грозит, если игнорировать 152-ФЗ? Сбор персональных данных без политики и согласия — это нарушение, за которое предусмотрены штрафы, и они растут. Кроме того, чужая, неоформленная база клиентов — это и репутационный, и операционный риск для бизнеса.

Коротко о главном

Владение сайтом — это не про то, кто платит счета, а про то, на чьё имя оформлены домен, хостинг, код, кабинеты и доступы. Разложите свой сайт на эти слои, проверьте каждый и переоформите всё на компанию, пока отношения с подрядчиками и сотрудниками спокойные. Так вы превращаете набор разрозненных доступов в реальные активы, которые принадлежат вам и которые у вас никто не сможет увести в неподходящий момент.