Правовая защита IT-активов: как мы оформляем код и инфру у клиентов

К нам в ITfresh обратилась производственная компания 50 РМ из Капотни — собственная разработка ERP-системы на платформе .NET за последние 8 лет, более 280 тысяч строк кода, 4 штатных разработчика и 7 внешних подрядчиков за всё время. На вопрос «кому принадлежит этот код?» собственник ответил «нам, я же платил». А когда я попросил показать договоры с подрядчиками с явной передачей исключительных прав — оказалось, их нет. Если завтра один из подрядчиков заявит, что код частично его, компания не сможет защитить свои права в суде. Этот материал — пошаговая методика правовой защиты IT-активов в МСБ, которую мы у себя стандартизировали для всех клиентов.

Почему правовая защита кода — это слепое пятно МСБ

В крупных компаниях этим занимается отдельное юрдепо: каждый разработчик подписывает NDA, каждый коммит в Git считается служебным произведением, каждый внешний подрядчик подписывает договор с явной передачей прав. В МСБ — почти никогда. Собственник компании на 30-50 человек платит фрилансеру 600 тысяч за разработку личного кабинета, считает, что код теперь его, и через два года понимает, что юридически это не так.

Гражданский кодекс РФ работает контр-интуитивно. По умолчанию автором программы для ЭВМ является физическое лицо, которое её написало. Заказчик получает только право использовать программу в рамках договора, но не исключительные права на сам код. Чтобы передать заказчику исключительные права, нужно явно указать это в договоре (пункты 1233 и 1296 ГК РФ).

Главная фраза, которую я повторяю собственникам: код, написанный для вашей компании по неправильному договору — это актив на чужом балансе. Вы пользуетесь, вкладываете развитие, но юридически его в любой момент могут оспорить.

Что мы делаем у клиентов

Стандартный пакет защиты, который мы у себя называем «Код-Сейф», включает четыре слоя:

1. NDA с подрядчиками и сотрудниками — закрывает разглашение.
2. Договор разработки с передачей исключительных прав — закрывает авторство.
3. Депонирование исходников у нотариуса или в Депозит24 — закрывает доказательство даты создания.
4. Регистрация ПО в реестре Минцифры или Роспатента — закрывает публичную фиксацию правообладателя.

Вместе они дают такую конструкцию, что любой спор о правах на код у вас выигрывается за счёт первой инстанции и без долгих экспертиз.

Этап 1. Аудит существующих IT-активов

На производственной компании я начал с инвентаризации. За 4 рабочих дня собрал картину:

1.1. Что есть из IT-активов

• ERP-система на .NET 6 + MSSQL Server 2022. Собственная разработка с 2018 года. ~280 тыс. строк C#. Размещена на Dell PowerEdge R650 в офисной серверной + резервный сервер на Hetzner.
• Личный кабинет дилера на ASP.NET Core. Разработка 2022 года, 65 тыс. строк, размещение на VDS Selectel.
• Мобильное приложение для торговых представителей на Flutter, 35 тыс. строк, в Google Play и App Store.
• База данных контрагентов 28 000 записей с историей сделок 2018-2026.
• Технологические ноу-хау — описания процессов в SharePoint, формулы расчётов в Excel-файлах, чертежи в Autodesk Inventor.

1.2. Кто работал над кодом

• Иван Петров — главный разработчик, в штате с 2018 года, ~70% всего кода ERP.
• Ольга Сидорова — backend, в штате с 2020 года, личный кабинет дилера.
• Семён Кузнецов — frontend, в штате с 2022 года, ~30% UI ERP.
• Алексей Никитин — мобильный разработчик, в штате с 2023 года, мобильное приложение.
• Студия «WebStudio-A» (Москва) — внешний подрядчик 2019, разработка ядра ERP, 4-месячный контракт, оплата 1.8 млн рублей.
• Фриланс «Михаил К.» — внешний 2020-2021, доработка ERP, оплата по 12 договорам ГПХ через банк, итого 740 тысяч.
• Студия «AppLab» — мобильное приложение 2023, контракт 1.2 млн рублей.
• Ещё 4 фрилансера — разовые задачи на Upwork и Хабр Фриланс, оплата через личные карты сотрудников.

1.3. Что есть из документов

Я попросил юриста заказчика принести все договоры по разработке. Принёс 14 папок:

• Трудовые договоры с штатными — есть, типовые, без упоминания служебного произведения.
• Договор со студией «WebStudio-A» 2019 — есть, но без передачи исключительных прав. Прописано «выполнение работ по разработке ПО», что не равно «передаче прав на ПО».
• Договоры ГПХ с Михаилом К. — есть, но 6 из 12 без указания результата работ как объекта передачи прав.
• Договор со студией «AppLab» — есть, в нём есть пункт о передаче исключительных прав. Единственный нормально оформленный договор.
• Документы по 4 фрилансерам — отсутствуют, оплата через личные карты сотрудников без формального оформления.

Вердикт: у компании нет однозначных прав на ~70% собственного кода. Срочно нужна работа.

Этап 2. Доводка трудовых договоров штатных разработчиков

Со штатными проще всего. По статье 1295 ГК РФ программа, созданная работником в рамках трудовых обязанностей — это служебное произведение, исключительные права на которое принадлежат работодателю по умолчанию. Но «по умолчанию» — это не значит автоматически: нужно, чтобы:

• В трудовом договоре или должностной инструкции была указана разработка ПО как обязанность;
• Был приказ или служебное задание на конкретный продукт;
• Было документальное подтверждение получения вознаграждения (в идеале — отдельной премии за создание служебного произведения).

Я с юристом подготовили дополнительные соглашения к трудовым договорам всех 4 разработчиков. Структура:

ДОПОЛНИТЕЛЬНОЕ СОГЛАШЕНИЕ № 1 от ___ ___ 2026 г.
к Трудовому договору № ___ от ___ ___ 20__ г.

1. Стороны определили, что в рамках исполнения трудовых
обязанностей Работник создаёт служебные произведения, в том числе
программы для ЭВМ. Перечень действующих и завершённых служебных
произведений приведён в Приложении № 1 к настоящему Соглашению.

2. Исключительное право на служебные произведения принадлежит
Работодателю с момента их создания (статья 1295 ГК РФ).

3. Работодатель выплачивает Работнику вознаграждение за создание
каждого нового служебного произведения в размере, определяемом
дополнительным приказом, но не менее 1% годового базового оклада.

4. Работник обязуется при увольнении передать в полном объёме
все материалы (исходный код, документацию, доступы), относящиеся
к служебным произведениям.

5. Работник принял настоящее Соглашение к исполнению.

Подпись Работника __________ Иванов И.И.
Подпись Работодателя __________ Генеральный директор

В Приложении №1 — таблица с перечнем продуктов: «Модуль складского учёта ERP», «Модуль закупок», «Личный кабинет дилера v2». На каждый — приказ о создании служебного произведения с датой и размером вознаграждения.

Хранение коммитов и привязка к авторству

Дополнительно мы внедрили правила работы с Git-репозиторием:

• Все коммиты подписываются GPG-ключом разработчика, выданным компанией;
• Каждый разработчик при найме генерирует ключ, публичная часть привязывается к учётной записи в Git;
• Регулярные снапшоты репозитория сохраняются с timestamp на отдельный сервер для целей депонирования.

# Скрипт для еженедельного депонирования снапшота репозитория
#!/bin/bash
TIMESTAMP=$(date +%Y%m%d_%H%M%S)
REPO_PATH="/srv/git/erp-main.git"
ARCHIVE_DIR="/srv/legal/snapshots"

mkdir -p "$ARCHIVE_DIR"
cd "$REPO_PATH"

# Создаём bundle репозитория
git bundle create "$ARCHIVE_DIR/erp-$TIMESTAMP.bundle" --all

# Считаем хеш
HASH=$(sha256sum "$ARCHIVE_DIR/erp-$TIMESTAMP.bundle" | awk '{print $1}')

# Записываем в журнал
echo "$TIMESTAMP $HASH erp-$TIMESTAMP.bundle" >> "$ARCHIVE_DIR/manifest.log"

# Подписываем GPG-ключом компании
gpg --detach-sign --armor "$ARCHIVE_DIR/erp-$TIMESTAMP.bundle"

# Раз в месяц — подача в Депозит24
if [ $(date +%d) = "01" ]; then
    /usr/local/bin/deposit24-upload.sh "$ARCHIVE_DIR/erp-$TIMESTAMP.bundle"
fi

Этап 3. Дозаключение договоров с внешними подрядчиками

Это сложнее. Нельзя просто прислать «Михаилу К.» новое соглашение и ждать, что он подпишет — он работал 5 лет назад, может уже работать на конкурента, и его подпись не получишь.

3.1. Со студией «WebStudio-A»

Студия ещё работает на рынке. Я через юриста заказчика связался и предложил подписать дополнительное соглашение к старому договору с явной передачей исключительных прав. Студия подписала за 25 000 рублей доплаты — для них это был обычный жест, потому что они никогда и не планировали использовать тот код в других проектах.

3.2. С Михаилом К.

Михаил работает у конкурента. Связались, попросили подписать дополнительные соглашения по 12 договорам. Михаил отказался. Юристы заказчика подготовили иск в арбитраж, но решили не подавать — слишком долго и дорого. Вместо иска оформили альтернативную защиту:

• Депонировали все коммиты Михаила с указанием конкретных авторов;
• Зафиксировали в реестре, что эти модули были созданы по заказу компании, оплачены, и Михаил три года не предъявлял претензий (фактическое признание);
• Параллельно начали постепенный рефакторинг этих модулей с целью замены на «чистые» версии, написанные штатными разработчиками.

Через год работы 70% «токсичного» кода Михаила были переписаны.

3.3. С четырьмя анонимными фрилансерами

Здесь тоже только переписать. Маленькие модули (загрузка файлов, парсер email-уведомлений, пара отчётов) переписали штатные разработчики за 6 недель.

Шаблон правильного договора с подрядчиком

Для всех новых подрядчиков мы выдали клиенту шаблон договора. Ключевые пункты, которые часто упускают:

ДОГОВОР № ____ от ___ ___ 2026 г.
на разработку программного обеспечения

5. ИНТЕЛЛЕКТУАЛЬНАЯ СОБСТВЕННОСТЬ

5.1. Все результаты работ (исходный код, документация, дизайн,
архитектура, конфигурации) являются объектами авторского права
и интеллектуальной собственности.

5.2. Исключительные права на все результаты работ в полном
объёме передаются Заказчику с момента подписания акта приёма-передачи
по каждому этапу. Передача включает все способы использования,
предусмотренные пунктом 2 статьи 1270 ГК РФ.

5.3. Размер вознаграждения за передачу исключительных прав
включён в общую стоимость работ по Договору, отдельно не выплачивается.

5.4. Подрядчик гарантирует, что результаты работ являются результатом
его собственной творческой деятельности (или его сотрудников,
с которыми у Подрядчика заключены соответствующие соглашения),
не нарушают прав третьих лиц и могут передаваться без ограничений.

5.5. Подрядчик обязуется передать Заказчику все исходные коды,
конфигурации и документацию, относящиеся к результатам работ,
не позднее 5 рабочих дней с момента подписания акта.

5.6. Подрядчик обязуется не использовать результаты работ
для других заказчиков и не разглашать их содержание в течение 5 лет
с даты последней оплаты.

5.7. Нарушение пункта 5.6 влечёт уплату штрафа в размере 1 000 000
(один миллион) рублей за каждый случай нарушения.

Без пункта 5.2 договор бесполезен — заказчик не получает права на код. Без 5.6-5.7 нет защиты от того, что подрядчик продаст тот же код конкуренту.

Этап 4. Депонирование исходных кодов

Депонирование — это передача копии исходных кодов на хранение третьей стороне с фиксацией даты. Цель — иметь доказательство того, что на конкретную дату у нас уже было это произведение в готовом виде.

4.1. Что депонируем

• Полный архив исходного кода ERP и личного кабинета на дату X;
• База данных в режиме «структура» (без персональных данных клиентов) — структура таблиц, индексы, представления, хранимые процедуры;
• Документация — техзадания, архитектурные решения, схемы;
• Список авторов с указанием их вклада;
• Хеш-файл всех вышеперечисленных компонентов.

4.2. Где депонируем

В России работают три варианта:

1. Нотариус. Самый формальный путь. Приходишь к нотариусу с CD/DVD/USB-носителем и протоколом. Нотариус заверяет, что в такую-то дату эти данные были предъявлены ему. Стоимость 6-12 тысяч рублей за процедуру. Минус — нотариус не хранит копию, только заверяет акт предъявления.
2. Депозит24 (depositcode.ru). Российский сервис депонирования. Загружаешь архив через защищённый канал, получаешь свидетельство с timestamp, хешем и подписью сервиса. Стоимость 4500-15000 рублей в зависимости от размера. Хранение 5 лет с возможностью продления.
3. ВОИС-DepositCode. Международная система депонирования при ВОИС. Используется для международной защиты. Дороже — от 80 евро за процедуру, но даёт защиту в большинстве стран.

Для производственной компании мы выбрали Депозит24. Раз в квартал автоматический скрипт пакует репозиторий, считает хеш, отправляет в Депозит24 через API.

#!/usr/bin/env python3
# deposit24-uploader.py — еженедельная загрузка снапшота
import os, hashlib, requests, json
from datetime import datetime

DEPOSIT24_API = "https://api.depositcode.ru/v2/deposit"
API_KEY = os.environ["DEPOSIT24_API_KEY"]
SNAPSHOT_DIR = "/srv/legal/snapshots"

def make_snapshot():
    timestamp = datetime.now().strftime("%Y%m%d_%H%M%S")
    archive_path = f"{SNAPSHOT_DIR}/erp-{timestamp}.tar.gz"
    os.system(f"cd /srv/git && tar czf {archive_path} erp-main.git")
    return archive_path

def calc_sha256(path):
    h = hashlib.sha256()
    with open(path, 'rb') as f:
        for chunk in iter(lambda: f.read(4096), b""):
            h.update(chunk)
    return h.hexdigest()

def upload(archive_path):
    file_hash = calc_sha256(archive_path)
    metadata = {
        "title": "ERP Магазин — еженедельный снапшот",
        "author": "ООО Магазин (ИНН 7700123456)",
        "type": "computer_program",
        "hash_sha256": file_hash,
        "comment": f"Еженедельный депозит {datetime.now().isoformat()}"
    }
    with open(archive_path, 'rb') as f:
        r = requests.post(
            DEPOSIT24_API,
            headers={"Authorization": f"Bearer {API_KEY}"},
            files={"file": f},
            data={"metadata": json.dumps(metadata)},
            timeout=600
        )
    r.raise_for_status()
    return r.json()

if __name__ == "__main__":
    archive = make_snapshot()
    result = upload(archive)
    print(f"Deposited: {result['certificate_id']} hash={result['stored_hash']}")

Этап 5. Регистрация ПО в Роспатенте и реестре Минцифры

Это публичная фиксация прав. Когда ваш софт зарегистрирован в реестре, любые претензии третьих лиц проверяются по нему — и вы выигрываете спор автоматически.

5.1. Регистрация в Роспатенте (Свидетельство на программу для ЭВМ)

Роспатент выдаёт официальное Свидетельство о государственной регистрации программы для ЭВМ. Это базовый документ, который у нас сейчас принимают везде. Подача через сайт Роспатента, госпошлина 4500 рублей. Срок рассмотрения — 60 рабочих дней.

Что подаём:

• Заявление о регистрации (форма Роспатента);
• Реферат программы (1-2 страницы): что делает, на чём написано, основные модули;
• Депонированные материалы — листинг исходного кода (фрагмент или полный);
• Сведения об авторах с указанием конкретного вклада в процентах;
• Документ об оплате госпошлины.

Для производственной компании мы зарегистрировали 3 продукта: «ERP Магазин 2026», «Личный кабинет дилера», «Мобильное приложение торгового представителя». Госпошлина 13 500 рублей, наша работа по подготовке — 60 000 рублей. Через 47 рабочих дней пришли все три свидетельства.

5.2. Реестр российского ПО при Минцифре

Это другой реестр, со специфическими целями: льготы по налогам и доступ к госзакупкам. Включают только ПО, которое:

• Принадлежит российскому юрлицу или гражданину РФ;
• Не зависит критически от иностранных компонентов;
• Имеет публичную документацию и техподдержку;
• Распространяется на территории РФ.

Производственной компании, которая использует ERP только внутри, реестр Минцифры не нужен. Но если бы они начали продавать ERP другим компаниям — обязательно подали бы. Льготы существенные: 0% НДС на продажу из реестра, страховые взносы 7,6% вместо 30% при сертификации как IT-компании.

Этап 6. NDA — детальная проработка

NDA — отдельный документ, не часть основного договора. Подписывается всеми, кто имеет доступ к коду или базам: штатные разработчики, аутстафферы, IT-аутсорсеры (в том числе мы), фрилансеры, стажёры.

Структура нашего шаблона NDA

СОГЛАШЕНИЕ О НЕРАЗГЛАШЕНИИ № ____ от ___ ___ 2026 г.

1. ОПРЕДЕЛЕНИЯ
1.1. «Конфиденциальная информация» — любые сведения, передаваемые
Стороной 2 (Получатель) Стороне 1 (Раскрывающая) или ставшие
доступными Стороне 2 в связи с исполнением обязательств,
включая, но не ограничиваясь:
- исходным кодом, БД, архитектурой, конфигурациями;
- технологическими ноу-хау, формулами, методиками;
- коммерческими условиями, ценообразованием, скидками;
- персональными данными клиентов;
- маркетинговыми планами и стратегией.

1.2. «Конфиденциальной не является»:
- общеизвестная информация;
- информация, законно полученная от третьих лиц;
- информация, разглашение которой требуется по закону.

2. ОБЯЗАТЕЛЬСТВА
2.1. Получатель обязуется:
- использовать Конфиденциальную информацию исключительно
  в целях исполнения обязательств по Договору № ___;
- не разглашать третьим лицам без письменного согласия;
- ограничить доступ кругом сотрудников Получателя, имеющих
  служебную необходимость;
- обеспечить сохранность электронных носителей;
- по требованию Раскрывающей или при расторжении Договора
  в 5-дневный срок вернуть или уничтожить все материалы
  с подтверждением в письменной форме.

3. СРОК
Срок действия — 5 (пять) лет с момента подписания
или с момента окончания Договора № ___, в зависимости
от того, что наступит позже.

4. ОТВЕТСТВЕННОСТЬ
4.1. За каждый случай нарушения Получатель уплачивает Раскрывающей
штраф в размере 1 000 000 (один миллион) рублей.
4.2. Помимо штрафа, Получатель возмещает все убытки в полном объёме,
включая упущенную выгоду.

5. ПОДСУДНОСТЬ
Споры подлежат рассмотрению в Арбитражном суде г. Москвы.

Каждый инженер, имеющий доступ к проекту, дополнительно подписывает «Личную подписку о неразглашении» — короткий документ на 1 страницу, в котором ссылается на NDA между юрлицами и принимает на себя персональную ответственность.

Этап 7. Защита учётных записей и доступов

Юридическая защита бесполезна, если технически любой бывший сотрудник может зайти в Git, скачать репозиторий и продать конкуренту. Поэтому правовой пакет всегда сочетается с организационным:

7.1. Правила выдачи доступов

• Все доступы — только под именем сотрудника, никаких общих учёток типа «admin» или «dev1»;
• Учётка создаётся в день оформления договора, отзывается в день увольнения;
• Журналирование всех действий в Git, БД, серверах;
• Двухфакторная аутентификация обязательна для разработчиков;
• Доступ к продакшн-серверам — только через bastion host с записью SSH-сессий.

7.2. Чек-лист увольнения разработчика

# PowerShell-скрипт для блокировки доступов уволенного
$User = "ipetrov"

# 1. Заблокировать AD-учётку
Disable-ADAccount -Identity $User
Move-ADObject -Identity (Get-ADUser $User).DistinguishedName `
  -TargetPath "OU=Disabled,DC=corp,DC=company,DC=ru"

# 2. Отозвать доступы Git (GitLab/Gitea API)
curl -X DELETE "https://git.company.ru/api/v4/users/$User/access" `
  -H "PRIVATE-TOKEN: $env:GIT_ADMIN_TOKEN"

# 3. Удалить SSH-ключи на bastion-сервере
ssh root@bastion.company.ru "userdel -r $User; rm -f /home/$User/.ssh/authorized_keys"

# 4. Заблокировать БД-учётки
Invoke-Sqlcmd -ServerInstance "SQL01" -Query "REVOKE ALL FROM [CORP\$User]; DROP USER [CORP\$User]"

# 5. Очистить корпоративные учётки в облачных сервисах
# (Azure DevOps, Jira, Confluence, Office 365 — через API)

# 6. Отозвать сессии в мессенджерах
# Telegram — через бота-администратора
# VK Teams — через Admin API

# 7. Запросить возврат корпоративного оборудования
# Уведомить HR об оформлении акта возврата

# 8. Подписать акт о неразглашении при увольнении
# (отдельный документ-напоминалка про NDA)

Write-Host "Доступы $User заблокированы. Журнал в /logs/offboard-$User.log"

Этап 8. Что мы получили в итоге

За три месяца работы у производственной компании 50 РМ:

• 4 трудовых договора со штатными разработчиками — переоформлены с дополнительными соглашениями о служебных произведениях;
• 1 договор со студией «WebStudio-A» — добавлено соглашение о передаче исключительных прав;
• Модули, написанные «токсичным» Михаилом К. — на 70% переписаны штатными;
• 3 продукта — зарегистрированы в Роспатенте со свидетельствами;
• Еженедельные снапшоты репозитория — депонируются в Депозит24;
• NDA — подписали 4 штатных, 8 текущих подрядчиков и наша команда ITfresh;
• Чек-лист онбординга и оффбординга — внедрён в HR;
• 2FA, журналирование Git, bastion host — развернули.

Через полгода после внедрения произошёл первый кейс: один из штатных разработчиков уволился и попытался устроиться в компанию-конкурент с предложением «у меня есть наша ERP в исходниках». Конкурент позвонил собственнику с целью прояснить ситуацию (рынок узкий, все друг друга знают). Мы показали свидетельство Роспатента, депонированный архив на момент работы сотрудника, NDA с подписанной личной подпиской. Конкурент не стал брать рискованного кандидата. Сотрудник, узнав об этом, вернул копии и подписал акт об уничтожении.

Контр-нарратив. Что я считаю плохой идеей

«Скачайте шаблон договора с интернета». Не работает по двум причинам. Первая — шаблоны общие, не учитывают специфику ПО. Вторая — в разных шаблонах разные формулировки, при сборке портфеля документов они противоречат друг другу. Лучше один раз заплатить юристу 50-80 тысяч за разработку фирменных шаблонов под ваш бизнес.

«Регистрируйте всё подряд в Роспатенте». Госпошлина 4500 за каждый продукт, плюс наша работа. На 30 микросервисов — это 135 000 рублей пошлин. Имеет смысл регистрировать только продукты как целое, а не каждый модуль отдельно.

«NDA — это формальность, никто его не читает». Читают и применяют. Я лично участвовал в трёх судебных процессах за последние 5 лет, где NDA был ключевым доказательством. В двух из трёх дело выиграно, в одном — проиграно из-за нечётких формулировок NDA. Тот NDA был скачан с интернета. Ваш — должен быть свой.

Стоимость пакета «Код-Сейф»

• Аудит существующих IT-активов и договоров (4 рабочих дня) — 60 000 рублей.
• Подготовка фирменных шаблонов (договор разработки, NDA, доп.соглашение к ТД) — 85 000 рублей.
• Дозаключение действующих договоров (по факту, до 10 контрагентов) — 45 000 рублей.
• Депонирование исходников 3 продуктов в Депозит24 — 35 000 рублей (в т.ч. абонемент 1 год).
• Регистрация 3 продуктов в Роспатенте (госпошлина 13 500 + наша работа 60 000) — 73 500 рублей.
• Внедрение чек-листа онбординга/оффбординга, 2FA, bastion host — 65 000 рублей.
• Обучение HR и юриста заказчика — 25 000 рублей.
• Итого: 388 500 рублей за 3 месяца.
• Абонемент ITfresh на ежеквартальное обновление документов и поддержку процесса — 18 000 рублей в месяц.

FAQ: что чаще всего спрашивают клиенты

Кому принадлежит код, написанный фрилансером для нашей компании?

По умолчанию — фрилансеру как автору. Для перехода исключительных прав к заказчику нужен договор с явным указанием передачи. Если в договоре не написано «заказчик получает исключительные права на результат работ», то по 1295 статье ГК РФ фрилансер сохраняет права автора и может теоретически продавать тот же код другим. Это типичная ошибка МСБ — заплатили 500 000 рублей за разработку CRM, а через год выясняется, что разработчик имеет права на тот же код и продаёт его конкуренту. Лечится правильным договором или нашим стандартным дополнительным соглашением (3 страницы).

Что такое регистрация ПО в Минцифре и зачем она нужна?

Реестр российского ПО при Минцифре — это публичный реестр программ для ЭВМ российского происхождения. Регистрация даёт два преимущества: 1) льготы по налогам — 0% НДС на продажу ПО из реестра, страховые взносы 7,6% вместо 30% при сертификации как IT-компании; 2) право участия в госзакупках, где есть требование «российский софт». Для МСБ регистрация имеет смысл, если вы продаёте свой софт или хотите статус IT-компании. Госпошлина 4500 рублей, срок рассмотрения 60 рабочих дней.

Что такое депонирование исходников и нужно ли это малому бизнесу?

Депонирование — это передача исходных кодов на хранение независимой стороне (нотариус, патентный поверенный, специальные сервисы Депозит24, ВОИС-DepositCode). Цель — иметь доказательство авторства на конкретную дату. Если завтра кто-то заявит, что ваш код — это его код, у вас есть депонированная копия с датой, которая старше любых притязаний. Стоит 5-15 тысяч рублей разово, плюс перерегистрация при существенных изменениях. Для МСБ имеет смысл при ценном уникальном ПО — самописная CRM, личный кабинет, торговая система.

Что включить в NDA с IT-подрядчиком?

Хороший NDA с IT-подрядчиком на 5-7 страниц должен содержать: 1) определение конфиденциальной информации (исходный код, БД, настройки, пароли, маркетинг); 2) исключения (общеизвестные данные, информация, полученная от третьих лиц); 3) обязательства подрядчика (неразглашение, ограниченное использование, возврат при расторжении); 4) срок действия (типично 5 лет после окончания договора); 5) ответственность (штраф за нарушение, обычно 500 000 — 5 млн рублей или процент от ущерба); 6) подсудность (Арбитражный суд Москвы); 7) персональная подписка от каждого инженера, имеющего доступ. Шаблоны бесплатные NDA в интернете обычно недостаточны для серьёзной защиты.

Что делать, если уволенный сотрудник унёс код или базу?

Первое — собрать доказательства: логи DLP, журналы доступа, выписки из Git, скриншоты из CRM. Второе — написать претензию в адрес сотрудника с требованием прекратить использование и удалить копии в 10-дневный срок. Третье — если претензия игнорируется, обратиться в полицию по 272 статье УК РФ (неправомерный доступ к компьютерной информации) или 183 статье (незаконные получение и разглашение коммерческой тайны). Четвёртое — параллельно гражданский иск в арбитраж за нарушение NDA с требованием штрафа и компенсации убытков. По нашему опыту, при наличии правильно оформленных документов 80% дел решается на этапе претензии — ответчик понимает, что суд проигрывает.

Итог

Производственная компания 50 РМ за три месяца получила полный пакет правовой защиты IT-активов: переоформленные трудовые договоры со штатными, дополнительные соглашения с действующими подрядчиками, заменённый «токсичный» код, три зарегистрированных в Роспатенте продукта, депонированные снапшоты, подписанные NDA, технические меры защиты доступов. Через полгода после внедрения первый же случай попытки увода кода был остановлен на этапе разговора с конкурентом. Стоимость пакета — менее половины одного предотвращённого инцидента.