AntHTML

Внутри страны, особенно внутри одного провайдера - вообще без проблем. Даже под случайные блокировки скорее не попадете.
Тем более по обоим статическим IP и как сказал Юрий MikroTik можно его зарегистрировать.
По поводу использования платного mpls РТК или своего - решается информационнной безопасностью и защитой персональных данных.
в случае mpls РТК гарантирует что трафик будет идти только между вашими точками по кратчайшему маршруту. В случае самонатроенного - по общей маршрутизации (хоть через германию, хоть через гондурас) Ну и в mpls по умолчанию входит гарантированная полоса пропускания, отсюда и цена.
По поводу оборудования и протоколов - на сколько помню, там были какие-то терки с защитой персональных данных, всяких банковских и прочих тайн - для них нужно использовать отечественные криптошлюзы и ГОСТ протоколы, а обычный скуд можно и на микротах гонять.

требования к спецпомещениям, на помещения компании, где установлены сейфы с ЭЦП/сотрудники работают на АРМ с использованием токенов?

Мне кажется такая жесть со спецпомещениями может касаться только ключей шифрования гостайны.
Токен обычной ЭЦП всегда было достаточно хранить просто в запираемом ящике стола.

Насколько вообще законно то, что я запланировал?
Вполне законно

1) Нужна ли мне лицензия от ФСБ, чтобы не было проблем в случае публикации приложения?
Не обязательна, но в лицензионном соглашении приложения лучше прописать все моменты касательно безопасности, что приложение использует не сертифицированные алгоритмы шифрования и за хранение в нем по собственной инициативе пользователя различных ПД, КТ, ДСП, ГТ и тому подобного разработчик никакой ответственности не несет.

2) Обязан ли я хранить ключи пользователей?
Тогда ни о какой безопасности речи быть не может

3) Есть ли необходимость ограничивать длину ключа 56 битами в моем случае?
Немного интересный вопрос. Как ключи передаются между устройствами если не грузятся на сервер? Если опираться на самый распространенный принцип HTTPS, то там уже ключи от 128 используются и никаких проблем не наблюдается.

Акта сдачи-приёмки работ по всему проекту.

Итоговый закрывающий акт по проекту (до этого в принципе могут быть акты по этапам, если нужна поэтапная оплата, но всегда есть итоговый акт)

за бесплатно буду исправлять баги

Функционал прописанный в ТЗ, на основе которого составлен акт должен работать, если в программе в течении 12мес нашелся баг этого функционала не работающий из-за вашей ошибки в коде, то вы его устраняете бесплатно

Т.е. я не могу уволиться, пока 12 месяцев не прошли?

А при чем здесь это? если договор на разработку с организацией где вы работаете, то за него отвечает организация и он никак не влияет на ваш трудовой договор (ну если там ничего такого не написано), если это договор авторского заказа или подряда, то там понятия увольнения вообще нет.

Сколько обычно ставят срок гарантийного обслуживания?

Сколько договорятся. Обычно года боевой эксплуатации вполне хватает для выявления критичных багов разработки, но часто стараются сразу же параллельно заключать договор сопровождения на поддержку и фичи.

Скользское это дело - политика. Сейчас на хайпе импортозамещения и прочих с..о могли и приостановить. А глядишь лет через 5 помирятся и приложению капец, если патент раньше не закончится.
Так что тут нужно индивидуально изучать все риски и способы выхода/обхода.

В данной задаче вполне можно обойтись и без ПД
Имя - переименовать в имя/ник - ник вроде как не является ПД и дает право ввести вымышленный, чистое имя тоже не пд
Фамилия - вообще не нужна, я в душе не чаю какая фамилия у части знакомых/соседей, но это ни чуть не мешает по выходным резаться в футбол/волейбол етс.
Номер телефона - вполне достаточно заменить на id телеги, оттуда же можно и имя тянуть, кому нужен телефон сами спишутся
Фото - ну тут да, проблемка, нужно писать что загружая фото соглашаетесь с политикой и это согласие как-то хранить либо тянуть аватар из профиля телеги
Вес - как выше сказали, достаточно указать весовую категорию - это не пд
Рост - как выше сказали, достаточно указать ростовую категорию - это не пд
Город пользователя - само по себе не пд

Очень интересно решение и законное?

Для собственных целей вполне законное - технически опсосу пофиг кто на том конце сидит менеджер с айфоном или с гоипом
А вот сдавать номера в аренду могут только опсосы с лицензией связи.
Здесь единственный вариант - это как сказал Drno ставить гоип и комп с астериском на офисе клиета и продавать им это дело как оборудование+по+сопровождение и чтобы симки были их

У потенциальных заказчиков нужно узнавать какие именно защиты и сертификаты им нужны. Т.к. хранить Вы будете их данные, которые они Вам предоставляют. Ну и отсюда уже плясать по стоимости этого всего и необходимых доработок/вариантов.

Я б не стал.
Отдел К разбираться кто сидел с вашего IPшника не будет, им это не надо. А защитить себя будет практически не возможно.
Да и провайдер может за такое забанить, особенно если ему прилетит страйк за спам или сам обнаружит подозрения.

Вот если бы он собрал компы и не поставил на них винду, а отдал вам конверты с OEM, то проблем самим поставить винду бы небыло
А раз он компы не собрал, а не собрал потому что вы, походу, решили сэкономить и заказали комплектующие для ПК, а не ПЭВМ. Либо у поставщика нет лицензии на сборку ПЭВМ. То это не является готовым устройством для продажи и OEM на нее ставить по лицензии нельзя.

Да нормально все будет, на тубе полно всяких обзоров с гонениями и без, а если сможете в случае чего предоставить подтверждающие факты ваших слов, то админов тубы можно тоже подзаткнуть насчет требований вендора

А на вашей стороне никакого учета трафика нету? так понял кредитный метод оплаты, а была ли в договоре прописана максимальная сумма ухода в минус? Давить нужно пробывать на то что в 4й день скачано ровно 4гига, такая точность, да еще и канонического числа, возможна только в исключительных случаях и то теоретически. Тут на основании средней статистики других дней нужно давить на ошибку биллинга, потому как получить тютелька в тютельку 4 гига физически невозможно. Даже если там какой вирусняк или хацкер че скачивал/закачивал.