SaaS-решение, попадающее под 1 класс персональных данных (ФЗ-№152). Какие бывают нюансы, грабли, проблемы?

Question

[paradoxs]

Имеется SaaS-решение разработанное на Java, попадающее под 1 класс персональных данных согласно 152-ФЗ.

Известно, что закон предъявляет некоторые требования к решению. Как минимум необходима сертификация оборудования, софта, а так же собственного ПО и т.д.

Меня интересует какие бывают подводные камни в этой процедуре и как наиболее оптимальным образом ее провести.
Хотелось бы услышать мнения людей, которые имели по этой части реальный боевой опыт.