Критерии выбора легального API
Юридическая база
Перед покупкой у вас на руках должны быть четыре документа. Terms of Service (ToS) описывает общие правила работы с API, ответственность сторон и применимое право (обычно штат Калифорния, Делавэр или Ирландия). Acceptable Use Policy (AUP) задаёт список запрещённых сценариев: спам, обход авторизации, перепродажа данных, использование в gambling или фармацевтике. Data Processing Agreement (DPA) определяет, как поставщик обрабатывает персональные данные — обязателен, если вы работаете в РФ, ЕС или США. Master Service Agreement (MSA) фиксирует коммерческие условия, лимит ответственности (часто $10 000–$1 000 000), порядок уведомлений и арбитраж.
Если хотя бы один из этих документов недоступен до оплаты — это красный флаг. У большинства крупных провайдеров (Stripe, Twilio, AWS, Google Cloud, Cloudflare, GitHub, OpenAI, Anthropic) полный пакет лежит на сайте в разделе Legal или Policies. У мелких SaaS часто только короткая страница «Terms» без DPA — с такими работайте только через помесячный план.
Лицензирование и допустимое использование
Проверьте, разрешает ли лицензия ваш сценарий. Для OpenAI API запрещены: использование результатов для обучения других моделей, генерация запрещённого контента, бенчмарки конкурентов. Для Google Maps Platform требуется атрибуция и запрет на офлайн-кеширование тайлов дольше 30 дней. Для Twilio — запрет на голосовые вызовы для телемаркетинга без отдельного соглашения. Нарушение — автоматическая блокировка аккаунта без возврата остатка на балансе.
Лимиты и тарифы
Запросите актуальные лимиты на 2025–2026 год. Типовые значения: Stripe API — 100 запросов в секунду на аккаунт, жёсткий потолок при превышении; Twilio Programmable Messaging — 1 сообщение в секунду на один номер по умолчанию, увеличивается через request; GitHub REST API — 5 000 запросов в час при аутентификации; OpenAI API — 60 RPM для Tier 1, до 10 000 RPM на Tier 4; AWS API Gateway — 10 000 RPS по умолчанию с возможностью повышения через support ticket; Google Maps Platform — $200 бесплатного кредита в месяц, затем $5–$7 за 1000 запросов к Geocoding API.
Цены на корпоративные тарифы: Slack — $15 за пользователя в месяц (Pro), $25 (Business+), с API-доступом от плана Pro; Notion API — $10 за пользователя в месяц (Plus); Airtable API — $20 за пользователя в месяц (Team); SendGrid — $19,95/месяц за 50 000 писем (Essentials), $249/месяц за 1,5 млн (Premier); HubSpot API — от $890/месяц (Professional). Проверьте, включён ли API в выбранный тариф — у некоторых поставщиков API открывается только с плана Business+ или Enterprise.
SLA и компенсации
Минимально приемлемый SLA для production-нагрузки — 99,9% (≈43 минуты простоя в месяц). Для финансовых и медицинских систем требуется 99,99% (≈4 минуты). Примеры: AWS даёт 99,9% uptime для большинства сервисов с кредитом 10–100% месячной платы при простое; Google Cloud — 99,95% для Cloud Storage, 99,9% для Compute Engine; Cloudflare — 100% uptime claim для CDN с компенсацией через кредиты; Twilio — 99,95% для голосовых сервисов. Если в договоре SLA нет или он ниже 99,5% — откажитесь от интеграции в критичных процессах.
Регион хранения и обработки данных
Для российских компаний критично: где физически лежат данные. Если провайдер хранит их только в US и не предлагает регион EU/Asia — вы нарушаете ФЗ-152 «О персональных данных» (ст. 18, ч. 5). Штрафы для юрлиц — до 75 млн ₽ за повторное нарушение по нормам, действующим с 2025 года. Решения: AWS Frankfurt (eu-central-1), Google Cloud europe-west3, Yandex Cloud ru-central1, Selectel, VK Cloud. Аналогично для GDPR: нужен регион EEA или SCC (Standard Contractual Clauses) в договоре.
Права на данные и интеллектуальную собственность
Уточните: кому принадлежат результаты генерации (текст, изображение, embeddings). У OpenAI — пользователю, но не права на оригинальные данные для обучения моделей. У Midjourney — ограниченная лицензия, без коммерческого использования на плане Basic. У Stability AI — права у пользователя, но запрещена генерация для обхода биометрии. У ElevenLabs — пользовательские права на сгенерированный голос с ограничениями по deepfake. Если в ToS сказано «we retain all rights» — это критическая проблема для коммерческого использования.
Таблица проверки перед подписанием
| Параметр | Где смотреть | Что должно быть | Красный флаг |
|---|---|---|---|
| Применимое право | ToS, раздел Governing Law | Штат, страна, арбитражный суд | «Мы оставляем за собой право» без указания юрисдикции |
| Лимит ответственности | ToS, Limitation of Liability | Не ниже 12 месячных платежей или $50 000 | «В пределах $100» или «без гарантий» |
| Уведомление об изменениях | ToS, раздел Changes | Минимум 30 дней до вступления | «В одностороннем порядке в любое время» |
| Права на данные | ToS, DPA, раздел Your Data | Пользователю, с правом экспорта | «Мы можем использовать анонимизированно» без ограничений |
| Регион хранения | DPA, документация | EU/US/Asia на выбор | Только US без альтернативы |
| SLA uptime | Service Level Agreement | ≥ 99,9% с компенсацией | Нет SLA в договоре |
| Rate limits | Pricing page, API docs | Конкретные RPM/RPD, путь повышения | «По усмотрению провайдера» |
| Поддержка | ToS, Pricing | 24/7, SLA на первый ответ | Только email с ответом 5 рабочих дней |
| Возврат средств | ToS, Refund Policy | Пропорционально за неиспользованный период | «Без возврата» |
| Запрещённые use cases | AUP | Конкретный список с примерами | Общая фраза «включая, но не ограничиваясь» |
| Sub-processors | DPA, раздел Subprocessors | Список с возможностью возразить | Без раскрытия |
| Право на аудит | DPA | Раз в год или при инциденте | «Только по запросу» с отказом |
Заполните таблицу для 3–5 кандидатов и сравните по сумме совпадений с «зелёной» колонкой. Если у двух кандидатов более четырёх красных флагов одновременно — исключайте их из шорт-листа.
Сравнение вариантов оплаты
Бесплатный тариф (Free Tier)
Подходит для прототипа и проверки гипотезы. Лимиты: OpenAI даёт $5 кредита на 3 месяца, GitHub — 5 000 запросов/час к public API, Stripe — без комиссии в тестовом режиме, Twilio — $15 trial-кредит. Минусы: нет SLA, нет DPA, нет приоритетной поддержки, ToS может измениться без уведомления. Используйте только для разработки, не для production.
Платный тариф с помесячной оплатой
Оптимальный выбор на этапе проверки. Цена: от $20/месяц (Notion, Airtable) до $890/месяц (HubSpot). Преимущества: можно отказаться в любой момент, потеря — не больше месячной платы, доступ к полному ToS и DPA. Подходит для MVP и нагрузки до 1 млн запросов/месяц.
Годовая подписка со скидкой
Экономия 15–25% (Stripe даёт 2 месяца бесплатно при оплате за год, Notion — 20%). Риски: ToS может измениться, тариф пересмотрят в середине периода, при блокировке возврат не гарантирован. Берите только после 3 месяцев успешной работы на месячном плане.
Enterprise / Custom
Цена: от $5 000/месяц до $500 000+/год. Включает: индивидуальный SLA 99,99%, выделенный аккаунт-менеджер, custom DPA, юридический ревью ToS, приоритетный rate limit, on-premise deployment. Подходит для компаний с оборотом от $10 млн/год или критичных регулируемых отраслей (финтех, медицина, телеком).
Pay-as-you-go
Платите только за фактическое использование. Примеры: AWS API Gateway ($3,50 за 1 млн запросов), Google Maps Platform ($5 за 1000 запросов к Places API), Cloudflare Workers ($0,30 за 1 млн запросов), OpenAI ($0,15 за 1 млн input-токенов для GPT-4o-mini). Преимущества: нет лишних расходов, прозрачное масштабирование. Минусы: сложнее прогнозировать бюджет, при резком росте нагрузки счёт может вырасти в 10 раз.
Партнёрский доступ через агрегатор
Доступ к API через реселлера (RapidAPI, AWS Marketplace, Apigee). Преимущества: единый договор на десятки API, упрощённый биллинг. Минусы: наценка 10–30%, дополнительный слой ответственности, задержка в поддержке. Подходит, если вы интегрируете 5+ сервисов одновременно и хотите сократить юридические процессы.
Когда API не подходит и какие риски
Несовпадение use case с AUP
Если ваш сценарий попадает в список запрещённых — не пытайтесь обходить. OpenAI запрещает использование для генерации политического контента в предвыборный период, Twilio — для массовых уведомлений без согласия, Stripe — для high-risk бизнеса (азартные игры, криптовалютные ICO) без дополнительного согласования. Блокировка приходит в течение 24 часов с удержанием остатка на счёте.
Несоответствие региональному законодательству
Хранение данных россиян на серверах в US без локализации — нарушение ФЗ-152. Штрафы: 300 000–700 000 ₽ для юрлиц, до 1,8 млн ₽ при повторном нарушении. Решение: выбирайте провайдера с регионом ru-central1 или eu-central-1, либо заключайте дополнительное соглашение с sub-processor в РФ.
Лимиты ниже вашей нагрузки
Если вы рассчитываете на 100 RPM, а провайдер даёт 60 — вы упрётесь в потолок через месяц. Последствия: 429 Too Many Requests, потеря пользователей, упущенная выручка. Перед подписанием проведите нагрузочный тест: 10 000 запросов за 60 секунд.
Отсутствие или слабый SLA
Без SLA провайдер не отвечает за downtime. Stripe даёт 99,99% для платёжного API, но только для клиентов с объёмом от $10 млн/год. Мелкие SaaS часто пишут «best effort» — это юридически не обязывает их ничего компенсировать. Для критичных процессов (авторизация, платежи, медицинские данные) — отказ от такого поставщика.
Скрытые расходы
ToS может включать плату за «excessive API calls», «data egress», «premium support». AWS берёт $0,09/GB за исходящий трафик из EC2, Google Maps — $7 за 1000 запросов к Street View API (отдельная категория). Без предварительного аудита счёт может вырасти с $200 до $5 000 за месяц.
Vendor lock-in
Если API проприетарный и нет open-source альтернативы, при повышении цен или закрытии сервиса вы не сможете мигрировать за неделю. Примеры: Firebase Cloud Messaging, Twilio Verify, некоторые endpoints AWS. Решение: используйте абстракционный слой в коде, имейте план миграции на альтернативу (Postmark вместо SendGrid, Pinecone вместо managed vector DB).
Одностороннее изменение ToS
Некоторые провайдеры оставляют за собой право менять ToS без уведомления (особенно в beta-стадии). Если вы встроили API в production, изменение условий может стоить вам месяца на рефакторинг. Проверяйте раздел Changes в ToS — должно быть минимум 30 дней уведомления.
Прекращение поддержки API
Sunset policy: провайдер обязуется поддерживать API N месяцев после объявления о закрытии. У AWS — 12 месяцев для большинства сервисов, у Google Cloud — 12, у Cloudflare — 6. Если sunset policy нет — вы рискуете в один день получить 410 Gone на все запросы.