Технологиялық жол картасы

1) Мақсаты және қағидаттары

Жол картасы біздің инженерлік бастамалар арқылы бизнес-метрикаға қалай қол жеткізетінімізді және олардың қашан жеткізілетінін сипаттайды.

• Outcome over output: мақсаттар SLO/бизнес-KPI (тапсырмалар санымен емес) өлшенеді.
• Құндылық ағындары бойынша декомпозиция: Платформа, Төлемдер, Деректер/BI/ML, Қауіпсіздік/Комплаенс, Сенімділік/Бақылау, DevEx/IDP.
• Көкжиектер: H1 (0-6 ай) - пайдалану; H2 (6-18 ай) - масштабтау; H3 (18 + ай) - зерттеу/инновация.
• Now/Next/Later және екі жылдамдықты стратегия: жылдам ұтыстар + іргелі жобалар.
• Evidence-based: әрбір мәлімдеме - метрика, эксперимент немесе аудит.

2) Жол картасының қаңқасы (артефактілер)

Vision/Норт-стар: 1 бет «қайда барамыз» (SLO, мақсатты нарықтар, лицензиялар).
Стратегиялық бағандар: Масштаб, Сенімділік, Қауіпсіздік, Жеткізу жылдамдығы, Экономика.
Тоқсандық инкременттері бар бастамалардың жылдық портфелі.
OKR (company → domain → team) және SLO (p95/TTFB, Time-to-Wallet, істен шығуға төзімділік).
Тәуелділік каталогы (реттеуіш, PSP/KYC провайдерлері, бэкенд/клиент релиздері).
Тәуекел-тізілім және ден қою жоспары.
Негізгі бастамалар бойынша RACI.
Релиздер мен freeze-терезелер күнтізбесі.
Деприкация саясаты және техдолг тізілімі.

3) Басымдық: қалай таңдау керек, бірінші не істеу керек

RICE (Reach, Impact, Confidence, Effort) - азық-түлік/платформалық фич үшін.
WSJF (Cost of Delay/Job Size) - инфрақұрылым және тәуекелдерді төмендету үшін.
Guardrails: өлшенетін KPI, таңдалған иесі және кері үйлесімділік жоспары болмайынша, инициатiven іске қосылмайды.

4) Ағындар (value streams) және мақсаттар

4. 1 Платформа/Инфрақұрылым

Мақсаттары: p95 API <1500 мс, автоскейлинг, канареялық релиздер, DR RTO ≤ 1 сағ/RPO ≤ 5 мин.
Жетілу: «қол релиздерінен» «policy-as-code + SLO бойынша автооткат».

4. 2 Төлемдер/Қорытындылар

Мақсаттары: Time-to-Wallet p95 ≤ 30с, депозиттер конверсиясының өсуі + X%, істен шығуға төзімді smart-routing PSP.

4. 3 Деректер/BI/ML

Мақсаттары: оқиғалардың бірыңғай келісімшарты, DWH + стриминг, антифрод-ML, азық-түлік талдауы.

4. 4 Қауіпсіздік/Комплаенс

Мақсаттары: PCI/GDPR readiness, SBOM + қолтаңбалар, «no humans in prod», PAM/SSO + MFA, eBPF/runtime-детект.

4. 5 Сенімділік/Бақылау

Мақсаттары: Error budget ≤ 1%, толассыз OTel, сыни сценарийлердің synthetic-мониторингі.

4. 6 DevEx/IDP (әзірлеуші платформа)

Мақсаттары: TTFPR ≤ 1 күн, per-PR алдын ала ортасы, барлық жерде келісімшарт-тесттер, үлгілер каталогтары.

5) Жылдық карта мысалы (Н1: 0-6 ай, Н2: 6-12 ай)

H1 (Q1-Q2 орамдары)

• IDP MVP: сервистердің үлгілері, негізгі CI (lint + unit + build), превью-орта.
• Observability 1. 0: OTel, p95/5xx/DLQ дашбордтары, SLO алаңдары.
• Payments v1: 2 PSP + failover, Idempotency-Key, webhooks қол қойған.
• Security Core: SSO + MFA, KMS, базалық admission-саясат, әрбір билдке SBOM.

• Canary/Blue-Green, SLO бойынша автооткат.
• Data Platform 1. 0: оқиғалардың бірыңғай шинасы, Data Catalog, келісім-шарт валидациясы.
• Anti-fraud Signals 1. 0 (ережелер + фичефлагтар).
• FinOps 1. 0: showback, бірінші бюджеттер мен квоталар.

H2 (Q3–Q4)

• Smart-routing PSP по SLA/гео, Shadow traffic.
• Resilience: staging chaos-тесттер, DR-драй-жаралар.
• Security 2. 0: кескіндердің қолтаңбасы + admission-enforce, SOAR ойнатқыштары.
• Data 2. 0: DWH + азық-түлік метриктерінің есептері, ML-скоринг (beta).

• Ring-deployments өңірлер/тенанттар бойынша.
• Cost Guardrails: idle-ресурстарды автоматты түрде өшіру, rightsizing.
• Compliance pack: PCI/GDPR артефакттары, «evidence-first» аудит-трейлері.
• Platform UX: DevPortal 2. 0, Golden Paths, Runbooks as Code.

6) Жылдық OKR (мысал)

• KR1: p95 API < 1. 5с; KR2: MTTR <30 мин; KR3: азық-түлік өнімдерінің жиілігі ≥ 2/күн.

• KR1: + 3 п.т. депозиттерді конверсиялау; KR2: Time-to-Wallet p95 ≤ 30с.

• KR1: бейнелердің 100% қол қойылған; KR2: 0 critical/high ерекшеліксіз> 14 күн; KR3: инфрақұрылымдық шығыстардың 20% -ын −/1000 RPS.

7) 12 айға арналған жеткізу жоспары (шаблон)

8) Ресурстар және командалар құрамы

Матрица навыков: Platform (K8s/IaC), Payments (PSP/KYC/crypto), Data (Kafka/DWH/DBT), Security (IAM/PAM/SAST/DAST), SRE (SLO/OTel), DevEx (Backstage/CLI).
Capacity-жоспар: 70% - карта бастамалары, 20% - қолдау/инциденттер, 10% - H3 зерттеулер.
Вендорлар: Build vs Buy критерийлері (TCO, lock-in, жылдамдық, бақылау, комплаенс).

9) Бюджет және FinOps

Unit-экономика: €/1000 RPS, €/TB-storage, €/деплой.
Бюджеттік SLO: сервистер/неймспейстер бойынша лимиттер; ауытқулар кезіндегі авто-алармдар.
Оңтайландыру: rightsizing, spot/жазылым, кэш, салқын сақтау, off-peak batch.

10) Жол картасындағы қауіпсіздік және комплаенс

Кіріктірілген «сапа қақпасы»: SBOM, қолтаңба, SAST/SCA, DAST, policy-as-code.
PCI/GDPR пакеттері: DPIA, токенизация, PAN аймағын сегменттеу, аудиттелетін журналдар.
Q3 соңына қарай «No humans in prod»: PAM, сессияларды жазу, аудитке «break-glass» шығару.

11) Бақылау және SLO

Единые service level indicators: latency p50/p95/p99, error-rate, saturation.
Business SLI: Time-to-Wallet, депозиттер конверсиясы, KYC бас тарту үлесі.
Error budget релиздік жылдамдықты басқарады: аяқталды - сенімділікке назар аударыңыз.

12) Коммуникация және басқару

Рәсімдер: апта сайынғы портфель (PM + EM + RM), ай сайынғы Steering, тоқсандық QBR.
Артефакттар: OKR/SLO/бюджет жиынтық дашборды, стратегиялық шешімдердің changelog.
Ашықтық: «тірі» жол картасымен DevPortal (Now/Next/Later, иелері).

13) Тәуекелдер мен тәуелділіктер (тізілім үлгісі)

14) RACI («Canary релиздері» үшін мысал)

Responsible: Release Manager, SRE

Accountable: Head of Platform

Consulted: Security Lead, QA Lead

Informed: Product/Support/Compliance

15) Бастаманы іске қосу: Definition of Ready/Done

DoR: иесі, нысаналы метрика, келісімшарт/схема, дизайн-док, тәуекелдер тізімі, қайтару жоспары.
DoD: жасыл тесттер (unit/contract/integration/e2e), дашбордтар/алерталар жаңартылды, runbook дайын, changelog жарияланды, метрика жақсарды.

16) Эксперименттер, A/B және фичефлагтар

Кез келген азық-түлік/тәуекел-моделі - фичефлаг арқылы, үдемелі белсенділікпен және әсер ету телеметриясымен (конверсия, latency, қателер).
Эксперименттер каталогта тіркеледі: гипотеза → нәтиже → шешім.

17) Деприкация және техдолг саясаты

Sunset-жоспар: қолдау мерзімі ≥ 2 шағын нұсқалар, көші-қон адаптерлері, EOL күні.
Техдолг тізілімі: тәуекелді/құнды бағалау, тоқсандық «борыштық спринттер».

18) Жол картасы жетілуінің чек-парағы

• Vision және стратегияның 5 бағаны бар.
• OKR/SLO өлшенетін 4-тоқсанға арналған портфель.
• Бірыңғай басымдық қағидалары (RICE/WSJF).
• Тәуекел-тізілім және тәуелділіктер апта сайын өзекті.
• RACI/иелері тағайындалды, ресурстар расталды.
• Карта DevPortal бағдарламасында бар және релиздер күнтізбесімен үндестірілген.
• Деприкация саясаты мен техникалық қарыз тізілімі жүргізілуде.
• SLO/Error budget релиздер қарқынын басқарады.
• FinOps-дашборд және бюджеттік гейттер қосылған.

19) «Now/Next/Later» мысалы (DevPortal үшін түрі)

Now: IDP MVP, Observability 1. 0. PSP v1 (2 провайдер), SSO + MFA + KMS.
Next: Canary, Data 1. 0. Smart-routing, DR тест, сурет қолтаңбалары (enforce).
Later: Ring-deployments, PCI/GDPR аудит, антифрод ML-скорингі, DevPortal 2. 0.

Қысқаша қорытынды

Технологиялық жол картасы - бұл бизнес пен инженерия арасындағы келісімшарт. Ол стратегияны орындалатын тоқсандық қадамдармен байланыстырады, нәтижелерге назар аударады (SLO, Time-to-Wallet, конверсия), жылдамдық пен тәуекелді теңестіреді және ашықтық жасайды: кім, не, қашан және не үшін. Осы үлгіге сүйене отырып, сіз масштабтауды және комплаенсті қатерлерден бәсекелестік артықшылыққа айналдырасыз.