Запилить форму онлайн-регистрации на 1000 человек, не разбираясь в шифровании? Да, могу!

Евгений Володин
Обложка: Запилить форму онлайн-регистрации на 1000 человек, не разбираясь в шифровании? Да, могу!

Помню момент, когда заказчик сразу обозначил масштаб: «Нам нужен корпоратив на тысячу человек, онлайн-регистрация гостей, именные бейджи, рассадка по зонам». И ты внутренне такой — конечно, работаем!

Хотя до этого ни с какой тысячью, да даже с пятьюстами нашему агентству ещё сталкиваться не приходилось. Но я был уверен в себе и своей команде. Команда у меня по умолчанию классная, а сам я в последнее время неплохо так себя прокачал: подтянул навык переговоров и лидерские качества, активно выстраиваю процессы в компании, потихоньку вайб-кодю. Так что решил, что потяну.

Как всё начиналось

Пока ребята занимались организаторскими вопросами, я возился с системой регистрации. Надо было настроить нарядную форму, связать с базой данных и подключить автоматическую рассылку писем с подтверждением.

В какой-то момент со стороны заказчика пришёл HR-директор и сказал, что им нужна интеграция с их внутренней системой учёта сотрудников. Чтобы гости, которые зарегистрировались, автоматически сверялись со списком действующих в компании.

А ещё скинул официальный регламент, в котором просил обозначить: как будут храниться персональные данные гостей, какое шифрование, у кого есть доступ к базе, какой регламент при утечке и соответствует ли система требованиям ФЗ-152. Я сел разбираться.

… и перевёл с корпоративного на человеческий

Значит, хранение персональных данных. Казалось бы, ну хранятся в базе, и ладно. Но выяснилось, что для юридических лиц это не просто где-то в интернете. Есть понятие локализации данных: если ты собираешь данные российских граждан, серверы должны физически находиться там, где они живут. Я не знал, где именно стоят серверы моего хостинга. Проверил — слава Богу, в России.

Дальше — доступы. Кто видит базу с данными гостей? Я начал перечислять: я сам, менеджер, иногда координатор, которого я привлекаю на крупные проекты. Потом вспомнил, что на всякий случай дал временный доступ знакомому разработчику, чтобы если что помог с одной технической штукой. Полез проверять. Да, действительно, аккаунт есть, надо убирать. Не страшно на этом этапе, но кто знает, чем бы всё закончилось, если бы не проверил.

Вопрос про шифрование поначалу вообще казался мне каким-то птичьим языком. Оказалось, что речь про то, передаются ли данные по защищённому соединению. Я проверил — с соединением всё было в порядке, https стоял.

Про ФЗ-152. Он же Федеральный закон о персональных данных. Если ты собираешь у людей имена, телефоны и почту (а любая форма регистрации на то и рассчитана), ты автоматически становишься оператором персональных данных. Со всеми вытекающими: нужно уведомить Роскомнадзор, разместить на сайте политику конфиденциальности, получить у пользователей явное согласие на обработку данных.

Ну и утечка данных. Что вообще значит «утечка»? Кто об этом должен узнать первым? В какие сроки нужны уведомления? Вообще, по-хорошему, этот регламент должен быть заранее прописан, но как я уже говорил, такого масштаба мероприятия мы раньше не проводили, у нас были в разы меньшие объёмы. Поэтому я сделал то, что делает любой нормальный человек в такой ситуации: нашёл в интернете примерный регламент, адаптировал под себя и отправил.

Самое интересное, что всю дорогу я ждал, что у меня будут за код спрашивать, а спрашивали в итоге за ответственность, риски и процессы. Корпораты мыслят иначе, этот факт.

Я привык мыслить как вайб-кодер: мне важно, чтобы форма работала, данные сохранялись и письма улетали. А им надо понимать, кто ответит, если случится утечка? Как мы управляем доступом? Что у нас за процессы?

Тут я понял, что вырос из подхода «сам всё настрою». Теперь за мной команда, репутация агентства и крупный заказчик.

Что в итоге

Мероприятие мы провели: регистрация работала как надо, гости остались довольны, деньги мы получили. Система, которую я самостоятельно собрал, справилась — и это был достойный результат того, чему я научился до этого.

Но я вышел из этого проекта с очень чётким ощущением, что дорос до точки, где одних инструментов уже недостаточно. Дальше нужна другая голова.

Мне, как владельцу бизнеса, теперь важно:

  • понимать, как устроена ИТ-инфраструктура, чтобы управлять ею (а не кодить её самому);
  • оценивать реальные риски безопасности и соответствие законам;
  • знать, какие вопросы задавать техническому специалисту, когда подрядчик или штатный разработчик предлагает решение;
  • выстроить процессы так, чтобы крупный проект не развалился из-за моей же неопытности в управлении.

Но если я планирую дальше расти и брать таких заказчиков, я обязан понимать, как в айти ставить задачи, контролировать риски, оптимизировать ресурсы.

Как раз для таких предпринимателей и существует курс «ИТ-директор». Что там внутри — подсвечивать не буду, если надо, сами разберётесь. А вот для себя уже подметил суперважные моменты про айти-инфраструктуру в контексте управления и рисков. Ещё впереди 4 созвона с техническим директором. Может, тоже что-нибудь расскажу, если что-то полезное вынесу.

По промокоду ДИРЕКТОР на данный момент доступна скидка 65% + открывают доступ ко второму курсу сверху. Если нужно уберечь себя от критичных ошибок, то лучшего варианта, чем обучиться заранее, не найти!

Реклама. Рекламодатель: ООО «Эдюсон» ИНН 7729779476, erid: 2W5zFHCCh5K

Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter