Как защитить данные в CRM с точки зрения закона и не только?

Планируется создание CRM для печати договоров, учета истории обращений клиентов, сбора статистики своих продаж и т.п. по модели Saas.
Я перечитала кучу статей на хабре про ФСТЭК, защиту ПД, но так и не поняла, есть ли конкретные законодательные требования для таких CRM?
Планируется:
PHP +Mysql на VDS На Centos
- SSL сертификат. где-то прочитала, что нужен по ГОСТУ, а он от 30 к в год, че правда?))
- разграничение прав доступа внутри CRM
- авторизация по логину и паролю
- после трех неудачных попыток ввода пароля ограничение на следующую попытку в 15 минут по IP пользователя
- логи действий каждого пользователя
- на отдельную организацию своя БД Mysql

нужно уведомление в Роскомнадзор? Получение каких-то лицензий?
К лову сказать, не нашла на сайтах отраслевых систем какие-то сведения о защите в соответствии с требованиями ФСТЭК и ФСБ, и у той же AmoCRM не нашла. В итоге требуется или нет? И какие еще моменты по безопасности учесть?