Compliance часто воспринимается как «проблема enterprise». На практике — стартап, который забывает про compliance в первый год, переплачивает в третий. Когда приходит первый enterprise-клиент и просит SOC 2 + GDPR DPA + DPIA — приходится делать всё за квартал, а не за 3 года.
8 законов, которые нужно закрыть в год 1
1. 152-ФЗ (Россия, если есть RU-пользователи)
Политика ПД + согласия + уведомление в РКН. Делается за 1 день, забывается — на 3 года. Штрафы до 6 млн ₽.
2. GDPR (ЕС-пользователи)
Privacy Policy + Cookies consent + DPA с подрядчиками. За 1 неделю. Штрафы до €20 млн.
3. ФЗ-54 (онлайн-кассы)
Если принимаете платежи от физлиц — нужна облачная касса. Подключение за 1 день, цена 500–2000 ₽/мес.
4. Требования платёжных систем (PCI DSS Lite)
Если используете Stripe / ЮKassa — вы уже почти compliant. Если храните карты сами — нужен полный PCI DSS. Не храните карты сами.
5. CCPA / CPRA (Калифорния)
Если есть CA-пользователи — нужна политика + opt-out для продажи данных. Делается за пару дней.
6. Требования email-рассылок (CAN-SPAM, Госдума)
Unsubscribe в каждом письме + честный from. Нарушение в США — до $51 744 за email.
7. Whistleblowing / защита заявителей
Если в компании 50+ человек в ЕС — нужен канал для жалоб. EU Directive 2019/1937.
8. Accessibility (WCAG 2.1 AA)
В США — ADA Title III lawsuits. В ЕС — European Accessibility Act с июня 2025. Включите в roadmap с первого релиза.
Что отложить на год 2–3
- →SOC 2 Type II — нужен для enterprise, но не для Seed-stage
- →ISO 27001 — то же самое
- →HIPAA / FedRAMP — только если это ваш рынок
- →Полный NIS2 conformity assessment — если попадаете под NIS2, сделайте в первый год
- →AI Act high-risk assessment — если у вас high-risk AI
Как сэкономить время
Используйте готовые шаблоны. В FERSO Compliance Checklists — 15 готовых чеклистов для SMB с автоматическими напоминаниями, аудит-логом и экспортом для инвесторов/клиентов.
Средний стартап тратит 200+ часов на compliance в первый год. С готовыми шаблонами — 20–40 часов.
