Технологическая дорожная карта

1) Назначение и принципы

Дорожная карта описывает, как мы достигаем бизнес-метрик через инженерные инициативы и когда они доставляются.

• Outcome over output: цели измеряются SLO/бизнес-KPI (а не количеством задач).
• Декомпозиция по потокам ценности: Платформа, Платежи, Данные/BI/ML, Безопасность/Комплаенс, Надежность/Наблюдаемость, DevEx/IDP.
• Горизонты: H1 (0–6 мес) — эксплуатация; H2 (6–18 мес) — масштабирование; H3 (18+ мес) — исследование/инновации.
• Now/Next/Later и двухскоростная стратегия: быстрые выигрыши + фундаментальные проекты.
• Evidence-based: каждое утверждение — метрика, эксперимент или аудит.

2) Каркас дорожной карты (артефакты)

Vision/Норт-стар: 1 страница «куда идем» (SLO, целевые рынки, лицензии).
Стратегические столпы: Масштаб, Надежность, Безопасность, Скорость поставки, Экономика.
Годовой портфель инициатив с квартальными инкрементами.
OKR (company → domain → team) и SLO (p95/TTFB, Time-to-Wallet, отказоустойчивость).
Каталог зависимостей (регуляторика, провайдеры PSP/KYC, релизы бэкенда/клиента).
Риск-реестр и план реагирования.
RACI по ключевым инициативам.
Календарь релизов и freeze-окна.
Политика деприкаций и реестр техдолга.

3) Приоритизация: как выбирать, что делать первым

RICE (Reach, Impact, Confidence, Effort) — для продуктовых/платформенных фич.
WSJF (Cost of Delay / Job Size) — для инфраструктуры и снижения рисков.
Guardrails: не запускаем инициativen без измеримых KPI, выделенного владельца и плана обратной совместимости.

4) Потоки (value streams) и цели

4.1 Платформа/Инфраструктура

Цели: p95 API < 1500 мс, автоскейлинг, канареечные релизы, DR RTO≤1ч/RPO≤5мин.
Зрелость: от «ручных релизов» к «policy-as-code + автооткат по SLO».

4.2 Платежи/Выводы

Цели: Time-to-Wallet p95 ≤ 30с, рост конверсии депозитов +X%, отказоустойчивый smart-routing PSP.

4.3 Данные/BI/ML

Цели: единый контракт событий, DWH+стриминг, антифрод-ML, продуктовая аналитика.

4.4 Безопасность/Комплаенс

Цели: PCI/GDPR readiness, SBOM+подписи, «no humans in prod», PAM/SSO+MFA, eBPF/runtime-детект.

4.5 Надежность/Наблюдаемость

Цели: Error budget ≤ 1%, сквозной OTel, synthetic-мониторинг критичных сценариев.

4.6 DevEx/IDP (платформа разработчика)

Цели: TTFPR ≤ 1 день, превью-окружения per-PR, контракт-тесты везде, каталоги шаблонов.

5) Пример годовой карты (H1: 0–6 мес, H2: 6–12 мес)

H1 (Кварталы Q1–Q2)

• IDP MVP: шаблоны сервисов, базовый CI (lint+unit+build), превью-окружения.
• Observability 1.0: OTel, дашборды p95/5xx/DLQ, алерты SLO.
• Payments v1: 2 PSP + failover, Idempotency-Key, подписанные webhooks.
• Security Core: SSO+MFA, KMS, базовые admission-политики, SBOM на каждый билд.

• Canary/Blue-Green, автооткат по SLO.
• Data Platform 1.0: единая шина событий, Data Catalog, контракт-валидация.
• Anti-fraud Signals 1.0 (правила + фичефлаги).
• FinOps 1.0: showback, первые бюджеты и квоты.

H2 (Q3–Q4)

• Smart-routing PSP по SLA/гео, Shadow traffic.
• Resilience: chaos-тесты на staging, DR-драй-раны.
• Security 2.0: подпись образов + admission-enforce, SOAR плейбуки.
• Data 2.0: DWH + отчеты продуктовых метрик, ML-скоринг (beta).

• Ring-deployments по регионам/тенантам.
• Cost Guardrails: авто-выключение idle-ресурсов, rightsizing.
• Compliance pack: PCI/GDPR артефакты, аудит-трейлы «evidence-first».
• Platform UX: DevPortal 2.0, Golden Paths, Runbooks as Code.

6) Годовые OKR (пример)

• KR1: p95 API < 1.5с; KR2: MTTR < 30 мин; KR3: частота прод-релизов ≥ 2/день.

• KR1: +3 п.п. конверсия депозитов; KR2: Time-to-Wallet p95 ≤ 30с.

• KR1: 100% образов подписано; KR2: 0 critical/high без исключений > 14 дней; KR3: −20% инфраструктурных расходов/1000 RPS.

7) План поставки на 12 месяцев (шаблон)

8) Ресурсы и состав команд

Матрица навыков: Platform (K8s/IaC), Payments (PSP/KYC/crypto), Data (Kafka/DWH/DBT), Security (IAM/PAM/SAST/DAST), SRE (SLO/OTel), DevEx (Backstage/CLI).
Capacity-план: 70% — инициативы карты, 20% — поддержка/инциденты, 10% — исследования H3.
Вендоры: критерии Build vs Buy (TCO, lock-in, скорость, контроль, комплаенс).

9) Бюджет и FinOps

Unit-экономика: €/1000 RPS, €/TB-storage, €/деплой.
Бюджетные SLO: лимиты по сервисам/неймспейсам; авто-алармы при отклонениях.
Оптимизации: rightsizing, spot/подписки, кэширование, холодное хранилище, off-peak batch.

10) Безопасность и комплаенс в дорожной карте

Встроенные «ворота качества»: SBOM, подпись, SAST/SCA, DAST, policy-as-code.
PCI/GDPR пакеты: DPIA, токенизация, сегментация PAN-зоны, аудируемые журналы.
«No humans in prod» к концу Q3: PAM, запись сессий, выпуск «break-glass» под аудит.

11) Наблюдаемость и SLO

Единые service level indicators: latency p50/p95/p99, error-rate, saturation.
Business SLI: Time-to-Wallet, конверсия депозитов, доля отказов KYC.
Error budget управляет релизной скоростью: исчерпали — фокус на надежности.

12) Коммуникации и управление

Церемонии: еженедельный портфель (PM+EM+RM), ежемесячный Steering, квартальные QBR.
Артефакты: сводный дашборд OKR/SLO/бюджет, changelog стратегических решений.
Прозрачность: DevPortal с дорожной картой «живьем» (Now/Next/Later, владельцы).

13) Риски и зависимости (шаблон реестра)

14) RACI (пример для «Canary релизы»)

Responsible: Release Manager, SRE

Accountable: Head of Platform

Consulted: Security Lead, QA Lead

Informed: Product/Support/Compliance

15) Запуск инициативы: Definition of Ready/Done

DoR: владелец, целевая метрика, контракт/схема, дизайн-док, список рисков, план отката.
DoD: тесты зеленые (unit/contract/integration/e2e), дашборды/алерты обновлены, runbook готов, changelog опубликован, метрика улучшилась.

16) Эксперименты, A/B и фичефлаги

Любая продуктовая/риск-модель — через фичефлаг, с прогрессивной активацией и телеметрией влияния (конверсия, latency, ошибки).
Эксперименты фиксируются в каталоге: гипотеза → результат → решение.

17) Политика деприкаций и техдолг

Sunset-план: срок поддержки ≥ 2 минорных версий, миграционные адаптеры, дата EOL.
Реестр техдолга: оценка риска/стоимости, квартальные «долговые спринты».

18) Чек-лист зрелости дорожной карты

• Есть Vision и 5 столпов стратегии.
• Портфель на 4 квартала с измеримыми OKR/SLO.
• Единые приоритезационные правила (RICE/WSJF).
• Риск-реестр и зависимости актуальны еженедельно.
• RACI/владельцы назначены, ресурсы подтверждены.
• Карта доступна в DevPortal и синхронизирована с календарем релизов.
• Политика деприкаций и реестр техдолга ведутся.
• SLO/Error budget управляют темпом релизов.
• FinOps-дашборд и бюджетные гейты включены.

19) Пример «Now/Next/Later» (вид для DevPortal)

Now: IDP MVP, Observability 1.0, PSP v1 (2 провайдера), SSO+MFA+KMS.
Next: Canary, Data 1.0, Smart-routing, DR тест, подписи образов (enforce).
Later: Ring-deployments, PCI/GDPR аудит, ML-скоринг антифрода, DevPortal 2.0.

Краткий вывод

Технологическая дорожная карта — это живой контракт между бизнесом и инженерией. Она соединяет стратегию с исполнимыми квартальными шагами, удерживает фокус на результатах (SLO, Time-to-Wallet, конверсия), балансирует скорость и риск, и создает прозрачность: кто, что, когда и зачем. Следуя этому шаблону, вы превращаете масштабирование и комплаенс из угроз в конкурентное преимущество.