Miskler

Адекватный сайт, полезный контент и авторитетные ссылки - всё равно это в приоритете)

Наймите fullstack-разработчика и адекватного дизайнера. Получите MVP в адекватные сроки, дальше уже будет видно из задач, кто требуется, fullstack со временем перейдет в стан менеджмента и будет разруливать вопросы найма специалистов самостоятельно.

Это, конечно, если бюджеты ограничены. Если нет: делаете три команды на фронт, пять на бек, в каждом по пять человек, сеньоры, джуны, тимлиды, есть еще несколько команд тестировщиков, продакт-менеджеров, отдельно технического директора, в каждое направление еще по руководителю. Все должны сраться друг с другом 24/7, продакт менеджеры должны каждый день таскать ВСЕХ участников на ОБЯЗАТЕЛЬНЫЕ совещания в зуме, имитируя бурную деятельность и обсуждая, на сколько пикселей сдвинуть новую кнопку (команда бэкенда обязательно должна присутствовать). Команда разработчиков обязательно должна пилить говнолегаси, которое будет оправдывать тем, что "бизнес задачи важнее", а "техдолг потом потихоньку разберем, отрефакторим".

Хахахаха, что-то меня понесло. Но я к тому, что на самом деле можно обойтись малыми силами даже в крупных проектах, зачастую выигрывая как в качестве, так и в скорости разработки. Личный опыт.

Прочтите книгу RE:Work, там много лайфхаков касательно построения процессов в IT стартапах.

ФЗ № 406 от 31.07.2023:

Владелец сайта и (или) страницы сайта в сети "Интернет", и (или) информационной системы, и (или) программы для электронных вычислительных машин, являющийся российским юридическим лицом или гражданином Российской Федерации и осуществляющий свою деятельность в сети "Интернет" на территории Российской Федерации, в случае, если доступ к информации, размещенной на его сайте и (или) странице сайта в сети "Интернет", и (или) в его информационной системе, и (или) программе для электронных вычислительных машин, предоставляется пользователям, прошедшим авторизацию, обязан проводить ее в отношении пользователей, находящихся на территории Российской Федерации, одним из следующих способов:

- с использованием абонентского номера оператора подвижной радиотелефонной связи в порядке...
- ЕСИА...
- ЕБС...
- с использованием иной информационной системы, обеспечивающей авторизацию пользователей сайтов и (или) страниц сайтов в сети "Интернет"...

Закон обязывает всех владельцев "веб-площадок" (зарегистрированных на территории РФ) с возможность авторизации пользователей (находящихся на территории РФ) производить эту "авторизацию" любым из перечисленных способов.

Тут интересный момент в "находящихся на территории РФ" пользователей. Соответственно, Вы обязаны удостовериться, находится ли пользователь на территории РФ или нет. Варианты определения геолокации пользователя:
- IP-адрес (своя бд, сторонний сервис, WebRTC).
- HTML5 Geolocation API.
- Часовой пояс браузера.
- Геолокация у мобильных устройств.

Но в отношение IP имеется №152-ФЗ, который гласит "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)", а значит IP сюда тоже можно "натянуть на глобус", соответственно, вначале необходимо спросить разрешение на обработку данных о любой геолокации пользователя, а затем, если он разрешит - проверять, "верблюд ли он". Соответственно, если пользователь не разрешит, то Вы не имеете право предоставлять авторизацию, через "иные сервисы".

Т.е. единственный выход выходит сервисы которые каким-то образом ассоциируют IP со страной/регионом/городом и делятся этой информацией по подписке, либо предоставляют готовую БД, но у неё проблема в потере актуальности со временем

Именно, платить в случае не верного определения - Вам.

Как это работает, покажет правоприменительная практика.

Далее идут изыскания и мнение диванного юриста.

В законе не сказано про регистрацию. В законе говорится об "авторизации", причем в определениях закона (N 149-ФЗ ст.2) такой термин отсутствует. Но этот термин есть в ГОСТ Р 58833-2020 (на сколько я знаю, пока действующий) в котором таки дано определение, что

3.50
санкционирование доступа, авторизация: Предоставление субъекту доступа прав доступа, а
также предоставление доступа в соответствии с установленными правилами управления доступом.
[Адаптировано из [7], статья 3.5.10]
Примечание — Положительный результат идентификации и аутентификации является одним из оснований для авторизации субъекта доступа.

Кстати, регистрация по этому ГОСТ это первичная идентификация.

3.41 первичная идентификация: Действия по формированию и регистрации информации о субъекте доступа или объекте доступа, а также действия по присвоению идентификатора доступа субъекту
доступа или объекту доступа и его регистрации в перечне присвоенных идентификаторов доступа.
Примечание — Первичная идентификация рассматривается применительно к конкретному субъекту доступа и/или конкретному объекту доступа.

Указаны 4 способа "авторизации": 1) телефон (договор о идентификации); 2) ЕСИА (где ИА - идентификация и аутентификация); 3) биометрия (под капотом ЕСИА); 4) информационная система обеспечивающую авторизацию.

И так, только четвертый способ хоть как-то попадает в авторизацию.

Возвращаемся к закону N 149-ФЗ статье 2 части 13

13) сайт в сети "Интернет" - совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет") по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети "Интернет";

То есть сайт уже является информационной системой.

Отсюда я (диванный юрист) делаю вывод, что если сайт соответствует требованиям к информационным системам указанным в четвертом способе, он (сайт) может самостоятельно проводить авторизацию, чтобы там под авторизацией не подразумевалось в законе.