Коротко (TL;DR)
- Сайт — это не один объект, а связка из домена, хостинга, исходного кода, рекламных кабинетов и аккаунтов. Владелец у каждого элемента может быть разный, и это главная ловушка.
- Чаще всего бизнес теряет контроль не из-за взлома, а из-за того, что домен и доступы оформлены на подрядчика, фрилансера или бывшего сотрудника.
- Проверьте прямо сейчас: на чьё имя зарегистрирован домен, в чьём личном кабинете лежит хостинг и кому принадлежат почта и рекламные аккаунты.
- Права на исходный код по закону остаются у разработчика, пока вы не оформили их передачу письменно — устной договорённости недостаточно.
- Если хотите разложить всё по полочкам и закрыть дыры в доступах — я провожу аудит владения и помогаю переоформить активы на компанию.
За шестнадцать с лишним лет в IT я видел десятки историй, где у бизнеса вроде бы есть сайт, трафик, клиенты — а юридически и технически компании не принадлежит почти ничего. Пока всё спокойно, это незаметно. Но стоит поссориться с подрядчиком, уволить администратора или просто потерять с ним связь — и выясняется, что домен оформлен на чужого человека, хостинг привязан к чужой почте, а исходники лежат у фрилансера, который уже не отвечает. В этой статье я разберу по элементам, кому на самом деле принадлежит ваш сайт и данные, где прячутся типичные ловушки и как вернуть себе контроль, оформив всё правильно.
Почему это критически важно
Сайт для большинства компаний давно перестал быть витриной. Это точка приёма заявок, база клиентов, история заказов, рекламные кампании с накопленной статистикой и репутация в поисковиках. Всё это — активы, которые стоят денег и нарабатываются годами. И когда я спрашиваю собственника, кому принадлежат эти активы, в ответ обычно слышу: «Ну, нам, конечно, мы же за всё платили». Платили — да. Но оплата счёта и владение активом — разные вещи.
Проблема в том, что доступ к активу и право на актив легко расходятся. Вы оплачиваете продление домена, но регистрация оформлена на личный аккаунт подрядчика. Вы заказали разработку и приняли работу, но договор не передал вам исключительные права на код. Вы вложили сотни тысяч в рекламу, но кабинет создан на личную почту маркетолога, который ушёл. Пока отношения хорошие, разница не видна. В момент конфликта она превращается в потерю бизнеса: сайт уводят, данные удаляют, рекламу останавливают, а восстановить контроль через суд долго и дорого. Поэтому разобраться с владением нужно заранее, на спокойную голову, а не когда уже горит.
Кто на самом деле владелец: домен, хостинг, код, аккаунты
Чтобы понять, чем вы владеете, сайт нужно разложить на отдельные слои. Их минимум пять, и у каждого свой владелец, своя точка контроля и свой риск.
Домен. Это ваше имя в интернете и, по сути, самый ценный неосязаемый актив. Домен регистрируется у регистратора на конкретное лицо — компанию или человека. Тот, на кого оформлена регистрация и у кого доступ к личному кабинету регистратора, фактически и распоряжается доменом: может его продлить, не продлить, перенести к другому регистратору или продать. Если домен оформлен на подрядчика, юридически он принадлежит подрядчику, а не вам, даже если деньги платили вы.
Хостинг и серверы. Здесь физически живут файлы сайта и база данных. Контроль определяется тем, в чьём личном кабинете хостинг-провайдера лежит услуга и к какой почте он привязан. Если аккаунт хостинга на стороне студии, у вас нет прямого доступа к собственным файлам и резервным копиям — вы получаете их только через посредника.
Исходный код. Самый недооценённый слой. По умолчанию исключительные права на программу остаются у её автора — разработчика. Факт оплаты сам по себе права не передаёт. Чтобы код стал вашим, в договоре должно быть прямо написано об отчуждении исключительных прав, а исходники — переданы вам, а не лежать только в чужом репозитории. Без этого вы не вправе дорабатывать сайт у другого подрядчика и формально зависите от первого. Когда я делаю ИТ-аудит, права на код — один из первых пунктов, который я проверяю по документам.
Рекламные кабинеты и аналитика. Кабинеты в Яндекс Директе, счётчики Метрики, аналитика — это накопленная история, аудитории и обучение алгоритмов. Если они созданы на личную почту сотрудника или агентства, с уходом этого человека вы теряете всю статистику и настроенные аудитории.
Аккаунты и доступы к данным. Корпоративная почта, CRM, базы клиентов, аккаунты в соцсетях и мессенджерах. Кому принадлежит почтовый домен и админский доступ к CRM — тот и контролирует клиентскую базу. А база клиентов — это ещё и персональные данные, за которые по закону отвечаете именно вы как оператор.
Типичные ловушки, когда вы не владелец
За годы практики ловушки повторяются почти дословно, поэтому их легко узнать заранее. Первая и самая частая — домен на подрядчике. Студия регистрирует домен на свой аккаунт «чтобы вам не возиться», а через два года, при расставании, выясняется, что переоформление они делать не спешат или просят за это денег. Юридически домен их, и спорить тяжело.
Вторая ловушка — хостинг и почта на личных данных сотрудника. Системный администратор или маркетолог заводит всё на свою личную почту. Человек увольняется в плохих отношениях — и доступ к серверу, домену и рекламе уходит вместе с ним. Иногда восстановить его не получается вовсе, потому что привязка идёт к недоступному телефону или ящику.
Третья — код только у разработчика. Сайт работает, но исходников у вас нет, репозиторий приватный и на аккаунте фрилансера. Любая правка возможна только через него. Если он пропал, новому подрядчику приходится разбираться вслепую или переписывать заново.
Четвёртая — один человек как единая точка отказа. Все доступы знает только один сотрудник или один фрилансер, и нигде это не записано. Болезнь, отпуск, увольнение или конфликт — и бизнес встаёт. Это типичный риск, который я подсвечиваю в рамках кибербезопасности: отсутствие управления доступами опаснее, чем кажется, потому что бьёт именно в самый неподходящий момент.
Пятая — персональные данные без оформления. На сайте собираются заявки, телефоны и почты клиентов, но политики обработки данных нет, согласие не берётся, а база лежит в чужой CRM. Здесь добавляются уже не только бизнес-риски, но и претензии по 152-ФЗ.
Как вернуть контроль и всё оформить правильно
Хорошая новость: навести порядок можно поэтапно, и для этого не нужно ничего ломать. Я обычно иду по такому маршруту.
Шаг первый — инвентаризация. Составьте список всех активов: домен, хостинг, код и репозиторий, почта, CRM, рекламные кабинеты, счётчики, аккаунты в соцсетях. Напротив каждого впишите, на чьё имя оформлено, к какой почте и телефону привязано и у кого есть доступ. Уже на этом шаге обычно вскрывается половина проблем.
Шаг второй — домен на компанию. Заведите аккаунт у регистратора на саму компанию (или на собственника), привязанный к корпоративной почте и телефону, к которым имеете доступ только вы. Переоформите домен на этот аккаунт. Это первое, что я рекомендую сделать всем, потому что домен — самый невосполнимый актив.
Шаг третий — хостинг и почта под контролем компании. Создайте корпоративные аккаунты хостинга и почтового сервиса на компанию. Подрядчику давайте технический доступ, но владельцем аккаунта оставайтесь сами. Подключите регулярные резервные копии и убедитесь, что можете их скачать без чьей-либо помощи.
Шаг четвёртый — права на код. Проверьте договор с разработчиком. В нём должно быть условие об отчуждении исключительных прав на результат в пользу заказчика и акт передачи. Если этого нет, оформите дополнительное соглашение и заберите исходники в свой репозиторий. Когда я веду веб-разработку, передачу прав и исходников клиенту я закладываю в договор сразу — это нормальная практика, а не любезность.
Шаг пятый — доступы и персональные данные. Внедрите принцип: доступы принадлежат компании, сотрудники получают их по ролям и теряют при увольнении. Заведите парольный менеджер, разграничьте права, включите двухфакторную защиту. Параллельно приведите в порядок 152-ФЗ: опубликуйте политику обработки персональных данных, настройте согласие на сайте и понимайте, где и как хранится клиентская база.
Частые вопросы
Я оплачивал домен много лет — значит, он мой? Не обязательно. Юридически домен принадлежит тому, на чей аккаунт он зарегистрирован. Оплата продлений права собственности не даёт, поэтому важно проверить именно владельца регистрации.
Мы заплатили за разработку — код ведь наш? Не автоматически. По закону исключительные права остаются у разработчика, пока договор прямо не передал их вам. Без условия об отчуждении прав код юридически не ваш, даже после полной оплаты.
Подрядчик не отдаёт доступы — что делать? Сначала поднимите договоры и переписку, где зафиксировано, что работы оплачены и сделаны для вас. Часто помогает аргументированное письменное требование. Если доступ к домену, лучше параллельно действовать через регистратора, подтверждая принадлежность компании.
Опасно ли держать рекламные кабинеты на сотруднике? Да. С его уходом вы рискуете потерять накопленную статистику и аудитории. Кабинеты и счётчики должны быть оформлены на компанию, а сотрудникам выдаваться доступ по ролям.
Что грозит, если игнорировать 152-ФЗ? Сбор персональных данных без политики и согласия — это нарушение, за которое предусмотрены штрафы, и они растут. Кроме того, чужая, неоформленная база клиентов — это и репутационный, и операционный риск для бизнеса.
Коротко о главном
Владение сайтом — это не про то, кто платит счета, а про то, на чьё имя оформлены домен, хостинг, код, кабинеты и доступы. Разложите свой сайт на эти слои, проверьте каждый и переоформите всё на компанию, пока отношения с подрядчиками и сотрудниками спокойные. Так вы превращаете набор разрозненных доступов в реальные активы, которые принадлежат вам и которые у вас никто не сможет увести в неподходящий момент.