Что должно быть в договоре IT-аутсорсинга: чек-лист от Семёнова Е.С.
Я Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет на рынке IT-аутсорсинга в Москве я подписал больше двухсот договоров — со стороны подрядчика, как клиент в обратную сторону при субподрядах, и как консультант, помогая знакомым компаниям проверять чужие договоры. В этой статье — подробный чек-лист пунктов, без которых договор аутсорсинга не стоит подписывать.
Главное правило: аутсорсинг — это ответственность, а не услуга
Самая распространённая ошибка — рассматривать аутсорсинг как «оплату часов работы». Это не так. Аутсорсинг — это передача ответственности за непрерывность IT-функции внешнему подрядчику. Если ваш подрядчик в договоре пишет только «оказывает услуги по техническому обслуживанию» без указания за какой результат он отвечает, бегите. Это не аутсорсинг, это эксплуатация дешёвой рабочей силы.
Хороший договор аутсорсинга должен чётко отвечать на пять ключевых вопросов:
- Что именно подрядчик берёт на себя? (предмет договора)
- За какие результаты он отвечает? (SLA)
- Сколько и как это стоит? (тарификация)
- Что будет, если он плохо работает? (ответственность)
- Как мы расстанемся, если что? (выход)
Если хоть на один из этих вопросов в договоре нет конкретного ответа — это плохой договор.
Раздел 1: Предмет договора и зона обслуживания
Самая частая мина в этом разделе — обтекаемые формулировки типа «Исполнитель оказывает услуги по техническому обслуживанию вычислительной техники Заказчика». Что такое «вычислительная техника»? Принтеры — это? Сетевое оборудование — это? IP-АТС — это? В каждом случае может быть разная трактовка.
- Полный перечень обслуживаемого оборудования с инвентарными номерами (как приложение)
- Полный перечень обслуживаемого ПО с указанием версий
- Адреса офисов, где работают пользователи
- Количество рабочих мест и пользователей (с порогом «при изменении более чем на 10 % — пересмотр стоимости»)
- Перечень удалённых пользователей и их распределение по локациям
- Конкретные виды работ: установка ПО, восстановление учёток, обновление AD, бэкапы, мониторинг, антивирус, реакция на инциденты безопасности
- Что НЕ входит в обслуживание (важно!) — например, разработка ПО, дизайн сайтов, бухгалтерская поддержка 1С
Я всегда настаиваю на максимально подробном перечне. У одного нашего клиента в 2023 году был случай — предыдущий подрядчик «обслуживал всё», и они потребовали написать инструкцию по работе с CRM Битрикс24 для новой сотрудницы. Подрядчик отказался — «это не наш профиль». Конфликт. Сейчас у нас в договоре чётко: «обучение пользователей работе с прикладным ПО (CRM, 1С, программы 1С) — не входит в обслуживание». Никаких разночтений.
Раздел 2: SLA — главный документ договора
SLA (Service Level Agreement) — это сердце договора аутсорсинга. Если у подрядчика нет приложения SLA, а в основном тексте написано «реагирует в разумные сроки» — даже не разговаривайте. «Разумные сроки» в моём представлении — 5 минут. В представлении подрядчика — 5 дней. Кто прав, никто не знает.
Минимально SLA должен содержать:
| Параметр | Что должно быть |
|---|---|
| Категории инцидентов | 3–4 уровня (критичный, высокий, средний, низкий) с критериями отнесения |
| Время реакции | Конкретные минуты для каждой категории (например, критичный — 15 мин, средний — 2 часа) |
| Время восстановления | Конкретные часы (критичный — 2 ч, высокий — 4 ч, средний — рабочий день) |
| Режим работы | 8×5 (рабочие часы) или 24×7 — обязательно с указанием праздничных дней |
| Каналы обращений | Telegram-бот, email, телефон, тикет-система — с приоритетами |
| Эскалация | Кому звонить, если линия 1 не реагирует. ФИО и телефон руководителя. |
| Метрики качества | Доступность серверов в %, % выполненных в срок заявок, среднее время решения |
| Штрафы | Конкретный процент от месячной абонентки за каждое нарушение |
Раздел 3: Стоимость и порядок расчётов
Самый «скользкий» раздел, где больше всего скрытых платежей. Что должно быть прописано однозначно:
- Размер месячной абонентки и что в неё включено
- Стоимость дополнительных работ (час инженера) с разбивкой по квалификации (junior/middle/senior)
- Тариф на работы в выходные и ночное время (повышающий коэффициент)
- Тариф на выезды за пределы МКАД с шагом расстояния
- Стоимость закупаемых для клиента лицензий — с какой наценкой
- Сроки выставления счетов и оплаты (обычно 5 рабочих дней до начала месяца)
- Условия индексации цен (раз в 12 месяцев на ИПЦ или индекс ROSSTAT)
- Способ фиксации фактически выполненных работ (отчёт, акт)
Из моей практики: каждые 100 тыс. руб. месячного бюджета должны быть детализированы. Если в договоре написано «абонентская плата 250 000 руб.» без расшифровки — это формула для того, чтобы через полгода вы недоумевали, за что платите.
Раздел 4: Конфиденциальность и безопасность данных
В 2026 году с новыми поправками в 152-ФЗ и резко выросшими штрафами за утечки этот раздел стал критическим. Что должно быть в договоре:
- Отдельное соглашение о конфиденциальности (NDA) с ответственностью не менее 5 млн руб.
- Перечень данных, которые подрядчик обрабатывает (включая персональные данные сотрудников клиента)
- Обязательство хранить все пароли в защищённом хранилище (Bitwarden Enterprise, Hashicorp Vault, KeePass с двухфакторкой)
- Запрет на использование личной почты, мессенджеров и облаков для рабочих данных
- Перечень сотрудников подрядчика, имеющих доступ (с обязательством уведомлять об изменениях)
- Обязательство уведомлять о любом подозрении на инцидент безопасности в течение 4 часов
- Обязательство передать все доступы и данные при расторжении в течение 5 рабочих дней
- Обязательство уничтожить копии данных после расторжения с подписанием акта уничтожения
У нас в АйТи Фреш обязательным приложением идёт «Регламент работы с конфиденциальной информацией» — 8 страниц, в которых прописано, как наши инженеры подключаются к инфраструктуре клиента, где хранят пароли, как передают данные между собой и кому имеют право об этом рассказывать. Если у потенциального подрядчика такого регламента нет — это огромный красный флаг.
Раздел 5: Ответственность сторон
Здесь часто бывают перекосы в обе стороны. Подрядчик пишет «ответственность ограничена ежемесячной абонентской платой» (то есть максимум вернёт месяц), клиент в ответ требует «полная имущественная ответственность за любые убытки» (никто не подпишет). Реалистичный баланс выглядит так:
| Тип нарушения | Реалистичная ответственность |
|---|---|
| Нарушение SLA | Скидка 2–10 % от месячной абонентки, накопительно |
| Систематическое нарушение SLA (3+ месяца подряд) | Право клиента на одностороннее расторжение без штрафов |
| Утечка персональных данных по вине подрядчика | 5–10 млн руб. + покрытие штрафов от регулятора |
| Потеря данных при наличии работающих бэкапов у подрядчика | До 5 млн руб. + расходы на восстановление |
| Простой инфраструктуры более 24 часов по вине подрядчика | Возврат месячной абонентки + 50 % штрафа |
| Несанкционированное использование данных клиента | До 10 млн руб. + уголовное преследование |
Важный момент: ответственность должна быть взаимной. Если клиент задерживает оплату — подрядчик имеет право приостановить работы (но не критичные функции типа бэкапов). Если клиент намеренно скрывает информацию о своей инфраструктуре — подрядчик не отвечает за инциденты, связанные с этой скрытой частью.
Раздел 6: Документирование и передача знаний
Это пункт, который большинство клиентов забывает, и потом плачет при расставании. Подрядчик годами обслуживает вашу инфраструктуру, в его головах и системах копится море знаний. При выходе из договора эти знания должны достаться вам.
- Подрядчик обязан вести актуальную документацию инфраструктуры (схемы сети, описание серверов, регламенты)
- Документация передаётся клиенту по запросу в любой момент — не только при расторжении
- Все пароли и доступы хранятся в системе клиента или в общем доступе обеих сторон
- Подрядчик обязан проводить ежегодный «аудит передачи дел» — теоретически готовить инфраструктуру к смене подрядчика
- При расторжении подрядчик обязан передать новому подрядчику все знания за 5–10 рабочих дней (с оплатой за этот период)
- Передача оформляется актом с перечислением переданных документов и доступов
Я часто вижу договоры, где подрядчик «обязан вести документацию», но без права клиента в любой момент эту документацию запросить. В итоге — документация формально есть, но клиент её никогда не видел. У нас в АйТи Фреш каждому клиенту автоматически открыт доступ к Confluence-странице с документацией его инфраструктуры, и он может её скачать в любую секунду.
Раздел 7: Срок и порядок расторжения
Срок договора — компромисс между скидкой за длительность и гибкостью. Мои рекомендации:
- 3 месяца — пробный период с правом расторжения за 2 недели. Цена обычная, без скидок.
- 12 месяцев — оптимальный срок. Скидка 7–15 % к стандартной цене. Расторжение за 30 дней.
- 24+ месяца — только если получаете скидку 20 %+ и есть пункт о пересмотре цен и услуг каждые 12 месяцев.
- Срок уведомления — 30 дней (стандарт), не более 60 дней
- Возможность одностороннего расторжения клиентом без штрафа при систематическом нарушении SLA подрядчиком
- Возможность одностороннего расторжения подрядчиком при просрочке оплаты более 60 дней
- Передача всей документации, паролей и доступов в течение 5 рабочих дней после уведомления
- Параллельная работа со старым подрядчиком 1–2 недели за дополнительную плату
- Запрет подрядчику удалять данные клиента, даже если оплата задержана
- Акт сверки взаиморасчётов с возвратом неотработанной предоплаты
Раздел 8: Форс-мажор и ограничение ответственности
Стандартный пункт, но в нём бывают «подарки». Подрядчик может пытаться записать в форс-мажор: «недоступность интернет-провайдера», «изменение законодательства РФ», «вирусные атаки» и тому подобное. Это всё не форс-мажор. Это нормальная операционная среда, в которой подрядчик и должен работать.
Реальный форс-мажор — это землетрясение, военные действия, объявление чрезвычайного положения. Всё остальное — это операционные риски подрядчика. Если он пытается их перевалить на форс-мажор — это попытка избежать ответственности.
- Чёткий перечень обстоятельств форс-мажора по ст. 401 ГК РФ
- Срок уведомления о наступлении форс-мажора (3–5 рабочих дней)
- Подтверждение форс-мажора Торгово-промышленной палатой
- Подрядчик НЕ освобождается от обязанности обеспечить безопасность данных при форс-мажоре
- При форс-мажоре более 30 дней — право на расторжение без штрафов для обеих сторон
Раздел 9: Подсудность и применимое право
В 99 % случаев — Арбитражный суд г. Москвы и право Российской Федерации. Если подрядчик предлагает третейский суд при какой-то ассоциации — лучше отказаться. Третейские суды бывают предвзятыми в пользу той стороны, которая в этой ассоциации «своя».
Также внимательно читайте пункт «досудебный порядок». Стандартно — претензия и 30 дней на ответ. Если подрядчик пишет «60 дней» или «обязательное досудебное урегулирование с участием медиатора» — это попытка затянуть судебный процесс на полгода.
Готовый чек-лист перед подписанием
- Предмет договора детализирован, есть приложение с перечнем оборудования и ПО
- SLA вынесен в отдельное приложение с конкретными минутами/часами и штрафами
- Все тарифы прозрачны, есть расценки на дополнительные работы
- Подписан NDA с ответственностью не менее 5 млн руб.
- Прописана ответственность подрядчика за утечки данных по 152-ФЗ
- Указан режим работы (8×5 / 24×7) с праздничными днями
- Названы конкретные ФИО ответственных лиц с обеих сторон
- Документация передаётся клиенту по запросу в любой момент
- Срок уведомления о расторжении не более 60 дней
- Подрядчик обязан передать пароли и доступы в течение 5 рабочих дней при расторжении
- Подсудность — Арбитражный суд г. Москвы
- Форс-мажор не включает «обычные» риски
- Цены индексируются не чаще раза в 12 месяцев
- Есть пункт о приостановке работ при просрочке оплаты (но не остановки бэкапов и мониторинга)
Лайфхак из 15-летнего опыта
Когда вы получили проект договора от подрядчика, попросите его выслать договор в открытом формате (DOCX), а не PDF. Мотивируйте тем, что хотите внести правки на согласование. Если подрядчик отказывается давать DOCX — это говорит о двух вещах: либо он не готов обсуждать условия (тогда зачем он вам), либо у него в договоре зашиты «защитные механизмы», которые он боится показать в редактируемом виде.
Нормальный подрядчик с радостью даст вам DOCX, потому что он рассчитывает на долгое сотрудничество и хочет, чтобы условия устраивали обе стороны. У нас в АйТи Фреш стандартный договор открыт для обсуждения — мы регулярно меняем формулировки по запросам клиентов и считаем это нормальным процессом.
Получите бесплатный аудит инфраструктуры
Перед подписанием договора с любым подрядчиком стоит получить независимый взгляд на состояние вашей инфраструктуры. Я лично выезжаю на аудит в офисы Москвы и Подмосковья. За 2–3 рабочих дня вы получите письменный отчёт со списком уязвимостей, оценкой работы текущего подрядчика и реалистичной оценкой стоимости IT-обслуживания. Без обязательств заключать с нами договор.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по договору IT-аутсорсинга
- Какой срок договора IT-аутсорсинга оптимален?
- Оптимальный срок — 12 месяцев с пролонгацией. Это даёт скидку 7–15 % к месячной цене и при этом не блокирует вас на 3 года, как любят прописывать крупные подрядчики.
- Должен ли SLA быть приложением к договору?
- Обязательно отдельным приложением с подписями обеих сторон. SLA должен содержать конкретные минуты/часы реакции, штрафы за нарушение, способ фиксации обращений и процедуру эскалации.
- Что прописать про конфиденциальность?
- NDA с ответственностью не менее 5 млн руб., ссылка на 152-ФЗ о персональных данных, обязательство хранить пароли в защищённом хранилище, запрет передачи данных третьим лицам без согласования.
- Как описать процедуру выхода из договора?
- Уведомление за 30–60 дней, передача документации в полном объёме, передача всех паролей и доступов в течение 5 рабочих дней, акт сверки взаиморасчётов. Подрядчик не должен иметь права удалить информацию о клиенте.
- Какая ответственность подрядчика реалистична?
- Стандарт по рынку — до 3 месячных абонентских плат за нарушение SLA, до 5–10 млн руб. за инциденты безопасности с утечкой данных. Больше — обычно подписать никто не готов.