С чего начать?

Сначала соберите задачу, бюджет, сроки, примеры желаемого результата и ограничения по материалам или интеграциям.

Как не ошибиться?

Проверьте портфолио, техническое задание, смету, сроки, гарантию, порядок правок, поддержку и документы на материалы или услугу

Что важнее цены?

Прозрачность условий, надежность, поддержка и соответствие вашей задаче.

Когда нужен эксперт?

Если решение влияет на деньги, безопасность, сроки или долгосрочные обязательства.

Вопросы и ответы 28 июня 2026 г.

Как проверить надежность облачного сервиса для хранения данных: 5 критериев оценки

Проверка облачного сервиса сводится к пяти вещам: наличие международных сертификатов безопасности (ISO 27001, SOC 2 Type II), прозрачное SLA с указанными показателями доступности от 99,9 %…

Автор и проверка: Алексей Воронов, редакционный координатор Mini Web Sansar · Факты, документы, риски и применимость Опубликовано: 28 июня 2026 г. · 7 мин чтения

Как проверить надежность облачного сервиса для хранения данных: 5 критериев оценки

Критерии выбора

1. Сертификация и аудит безопасности

Первое, что смотрим, — наличие сертификатов. ISO/IEC 27001 подтверждает, что провайдер внедрил систему управления информационной безопасностью и проходит ежегодный внешний аудит. SOC 2 Type II проверяет не только наличие политик, но и их реальное соблюдение на протяжении минимум шести месяцев.

Дополнительные маркеры:

CSA STAR (Cloud Security Alliance) — реестр облачных провайдеров с оценкой рисков. Уровни Gold и Platinum означают расширенный аудит.

ISO 27018 — защита персональных данных в облаке. Особенно важно, если работаете с данными пользователей из ЕС.

PCI DSS — обязателен, если через сервис проходят платёжные данные.

Что проверять: зайдите на сайт провайдера и найдите страницу «Compliance» или «Безопасность». Серийные номера сертификатов должны быть доступны для скачивания. Если указан только логотип ISO без ссылки на документ — запросите у поддержки. Проверить подлинность ISO 27001 можно на сайте аккредитованного органа (например, BSI, Bureau Veritas).

2. Соглашение об уровне обслуживания (SLA)

SLA — это не маркетинговый текст, а юридически обязывающий документ. В нём должны быть указаны:

Параметр	Минимальное значение	Что смотреть
Доступность (Uptime)	99,9 % (допустимый простой — не более 8,76 часа в год)	Измеряется за календарный месяц, а не «среднее за год»
Время отклика инцидента	Критический — до 15 минут, высокий — до 1 часа	Есть ли разделение на приоритеты
Компенсация за простой	Кредит на аккаунт от 10 до 30 % от месячной стоимости при падении ниже 99,9 %	Автоматическое начисление или заявочный порядок
RTO (Recovery Time Objective)	Не более 4 часов	Время восстановления после сбоя
RPO (Recovery Point Objective)	Не более 1 часа	Максимальная потеря данных в минутах

Важно: проверяйте, что SLA не содержит оговорку «best effort» в ключевых пунктах — это означает, что провайдер не гарантирует результата, а лишь «постарается».

Как проверить: попросите у провайдера полную версию SLA (не маркетинговую выжимку). Изучите разделы «Exclusions» и «Limitations» — там указаны ситуации, при которых простой не засчитывается (плановые работы, форс-мажор, действия клиента). Сравните с конкурентами: AWS S3 Standard гарантирует 99,99 %, Google Cloud Storage — 99,95 %, Яндекс.Облако — 99,95 %.

3. Шифрование и управление ключами

Надёжный сервис шифрует данные на двух уровнях:

At rest (при хранении):

Алгоритм AES-256 — отраслевой стандарт. Если провайдер использует AES-128 — это не критично, но повод задать вопрос.

Шифрование должно быть включено по умолчанию, а не опционально.

In transit (при передаче):

TLS 1.2 или выше. TLS 1.0 и 1.1 признаны уязвимыми с 2020 года.

Проверьте, поддерживает ли сервис HSTS (HTTP Strict Transport Security).

Управление ключами (BYOK — Bring Your Own Key):

Возможность использовать собственные ключи шифрования через AWS KMS, Google Cloud KMS, Azure Key Vault или собственный HSM.

Это критично, если нужно сохранять контроль над данными при смене провайдера.

Как проверить: откройте техническую документацию сервиса (обычно в разделе «Encryption»). Запросите у поддержки ответ: «Какой алгоритм используется по умолчанию и могу ли я управлять своими ключами?». Если ответ уклончивый — сервис не подходит для чувствительных данных.

4. Юрисдикция и физическое расположение дата-центров

Где физически хранятся данные — определяет, какие законы применяются. Практические последствия:

Данные в дата-центрах на территории РФ — подпадают под ФЗ-152 «О персональных данных». Для обработки персональных данных россиян обязательно локальное хранение (требование Роскомнадзора с 2015 года).

Данные в ЕС — регулируются GDPR. Штрафы до 20 млн евро или 4 % годового оборота за нарушения.

Данные в США — возможен доступ по закону CLOUD Act (2018), который позволяет американским спецслужбам запрашивать данные у провайдеров даже при хранении за рубежом, если провайдер — американская компания.

Что проверять: зайдите на страницу провайдера с перечнем регионов (у AWS это «Global Infrastructure», у Google — «Locations»). Уточните в техподдержке, в каком конкретно регионе будут размещены ваши данные и можно ли это ограничить. Некоторые сервисы позволяют выбирать регион при создании проекта, другие — нет.

5. Политика удаления и портируемость данных

Провайдер должен чётко отвечать на два вопроса:

1. Как удаляются данные при закрытии аккаунта? Надёжный вариант — криптографическое стирание (destruction of encryption keys) в течение 30 дней. Дешёвые сервисы иногда хранят данные до 90 дней «для восстановления».

2. Можно ли забрать свои данные? Форматы экспорта: S3-совместимые API, экспорт в.zip/.tar, поддержка стандартных протоколов (SFTP, rsync). Если сервис использует проприетарный формат хранения без возможности экспорта — это блокировка (vendor lock-in).

Как проверить: создайте тестовый аккаунт, загрузите файл, попробуйте экспортировать его и удалить проект. Отследите, полностью ли удалились данные из панели управления. Запросите у поддержки письменное подтверждение сроков удаления — это пригодится при аудите.

Сравнение вариантов

Критерий	AWS S3	Google Cloud Storage	Яндекс.Облако	Dropbox Business
ISO 27001	✅	✅	✅	✅
SOC 2 Type II	✅	✅	✅	✅
SLA (Uptime)	99,99 %	99,95 %	99,95 %	99,9 %
Шифрование AES-256 по умолчанию	✅	✅	✅	✅
BYOK (свои ключи)	✅ (KMS)	✅ (Cloud KMS)	✅ (KMS)	❌ (только для Enterprise)
Выбор региона РФ	✅	❌ (нет РФ)	✅ (Москва)	❌ (нет РФ)
Экспорт данных	S3 API, CLI	gsutil, API	S3 API, CLI	ZIP-архив
Стоимость хранилища (Standard)	от $0,023/ГБ в месяц	от $0,020/ГБ в месяц	от 1,4 ₽/ГБ в месяц	от $15/пользователь в месяц

Что не вошло в таблицу:

Резервное копирование: AWS и Google предлагают версионирование объектов с настраиваемым сроком хранения. Яндекс.Облако — аналогично. Dropbox хранит версии файлов до 180 дней (Business Plus).

Прозрачность инцидентов: AWS и Google публикуют постмортем-отчёты после каждого серьёзного инцидента. Яндекс.Облако — не всегда. Dropbox — в личный кабинет администратора.

Когда облачный сервис не подходит — и что может пойти не так

Не используйте публичное облако, если:

Данные относятся к гостайне или регулируются ФЗ-149 «О государственной тайне» — нужна аттестованная инфраструктура с сертификатом ФСТЭК.

Требуется обработка биометрических данных в рамках ФЗ-152 — нужны отдельные меры, которые не все провайдеры поддерживают из коробки.

Объём данных менее 50 ГБ и нагрузка минимальна — дешевле обойтись выделенным сервером или VPS за 300–500 ₽ в месяц.

Что реально идёт не так:

Скрытые комиссии за трафик. Выгрузка 1 ТБ из AWS S3 стоит около $90. Если забираете данные — считайте заранее.

Блокировка аккаунта. При нарушении условий использования (даже случайном) аккаунт может быть заморожен без предупреждения. Резервная копия вне облака провайдера — обязательна.

Изменение тарифов. В 2023 году Google Cloud поднял цены на хранение в мультирегионе на 8 %. Долгосрочные проекты должны закладывать индексацию.

Потеря ключей при BYOK. Если вы управляете ключами сами и потеряете их — восстановить данные невозможно. Нужна процедура ротации и резервного хранения ключей.

Можно ли проверить облачный сервис без технических знаниений?

Да. Стандартные шаги: найдите на сайте провайдера страницу «Безопасность» или «Compliance», проверьте наличие логотипов ISO 27001 и SOC 2. Затем откройте раздел «SLA» и посмотрите, есть ли конкретные цифры uptime. Этого достаточно для первичной оценки.

Что надёжнее — собственное облако или публичный провайдер?

Для компаний с бюджетом менее 500 000 ₽ на инфраструктуру в год публичное облако (AWS, Google, Яндекс) обычно безопаснее: там работают целые команды безопасности и действуют международные стандарты. Собственное облако оправдано только при требованиях к полному контролю или работе с гостайной.

Как часто нужно перепроверять надёжность провайдера?

Раз в 12 месяцев. Проверяйте: не истёк ли сертификат ISO 27001, не изменился ли SLA, не было ли крупных инцидентов. Также мониторьте обновления тарифов — провайдеры меняют цены без прямых уведомлений.

Какие бесплатные инструменты помогут оценить провайдера?

CSA STAR Registry (cloudsecurityalliance.org) — реестр с оценками провайдеров.

Grafana + Prometheus — мониторинг реальной доступности вашего инстанса.

SSL Labs (ssllabs.com) — проверка качества TLS-соединения с серверами провайдера.

Индексы прозрачности (Google Transparency Report, AWS Artifact) — данные о запросах госорганов на доступ к данным.

Провайдер обещает 99,99 % uptime, но сайт лежит раз в месяц. Это нормально?

Нет. 99,99 % означает не более 4,38 минуты простоя в месяц. Если сайт недоступен чаще — запросите у провайдера отчёт по SLA и компенсацию. Фиксируйте простои сервисом UptimeRobot (бесплатно до 50 мониторов) или Pingdom и предъявляйте данные при споре.

Проверка первоисточников

Где сверить правила и документы

Ссылки помогают быстро перейти от советов в статье к официальным реестрам, правилам или справочным сервисам. Перед оплатой или претензией сохраняйте дату проверки.

Роскомнадзорперсональные данные и обязанности операторов ФСТЭК Россиитребования и реестры в сфере защиты информации Роспотребнадзорправа потребителя при оплате цифровых услуг