Технологічна дорожня карта

1) Призначення та принципи

Дорожня карта описує, як ми досягаємо бізнес-метрик через інженерні ініціативи і коли вони доставляються.

• Outcome over output: цілі вимірюються SLO/бізнес-KPI (а не кількістю завдань).
• Декомпозиція по потоках цінності: Платформа, Платежі, Дані/BI/ML, Безпека/Комплаенс, Надійність/Спостережуваність, DevEx/IDP.
• Горизонти: H1 (0-6 міс) - експлуатація; H2 (6-18 міс) - масштабування; H3 (18 + міс) - дослідження/інновації.
• Now/Next/Later і двошвидкісна стратегія: швидкі виграші + фундаментальні проекти.
• Evidence-based: кожне твердження - метрика, експеримент або аудит.

2) Каркас дорожньої карти (артефакти)

Vision/Норт-стар: 1 сторінка «куди йдемо» (SLO, цільові ринки, ліцензії).
Стратегічні стовпи: Масштаб, Надійність, Безпека, Швидкість поставки, Економіка.
Річний портфель ініціатив з квартальними інкрементами.
OKR (company → domain → team) і SLO (p95/TTFB, Time-to-Wallet, відмовостійкість).
Каталог залежностей (регуляторика, провайдери PSP/KYC, релізи бекенду/клієнта).
Ризик-реєстр і план реагування.
RACI за ключовими ініціативами.
Календар релізів і freeze-вікна.
Політика деприкацій і реєстр техборгу.

3) Пріоритизація: Як вибрати, що робити першим

RICE (Reach, Impact, Confidence, Effort) - для продуктових/платформних фіч.
WSJF (Cost of Delay/Job Size) - для інфраструктури та зниження ризиків.
Guardrails: не запускаємо ініціativen без вимірюваних KPI, виділеного власника і плану зворотної сумісності.

4) Потоки (value streams) і цілі

4. 1 Платформа/Інфраструктура

Цілі: p95 API <1500 мс, автоскейлінг, канарські релізи, DR RTO≤1ch/RPO≤5min.
Зрілість: від «ручних релізів» до «policy-as-code + автовідкат по SLO».

4. 2 Платежі/Висновки

Цілі: Time-to-Wallet p95 ≤ 30с, зростання конверсії депозитів + X%, відмовостійкий smart-routing PSP.

4. 3 Дані/BI/ML

Цілі: єдиний контракт подій, DWH + стрімінг, антифрод-ML, продуктова аналітика.

4. 4 Безпека/Комплаєнс

Цілі: PCI/GDPR readiness, SBOM + підписи, «no humans in prod», PAM/SSO + MFA, eBPF/runtime-детект.

4. 5 Надійність/Спостережуваність

Цілі: Error budget ≤ 1%, наскрізний OTel, synthetic-моніторинг критичних сценаріїв.

4. 6 DevEx/IDP (платформа розробника)

Цілі: TTFPR ≤ 1 день, превью-оточення per-PR, контракт-тести скрізь, каталоги шаблонів.

5) Приклад річної карти (H1: 0-6 міс, H2: 6-12 міс)

H1 (Квартали Q1-Q2)

• IDP MVP: шаблони сервісів, базовий CI (lint + unit + build), прев'ю-оточення.
• Observability 1. 0: OTel, дашборди p95/5xx/DLQ, алерти SLO.
• Payments v1: 2 PSP + failover, Idempotency-Key, підписані webhooks.
• Security Core: SSO + MFA, KMS, базові admission-політики, SBOM на кожен білд.

• Canary/Blue-Green, автовідкат по SLO.
• Data Platform 1. 0: єдина шина подій, Data Catalog, контракт-валідація.
• Anti-fraud Signals 1. 0 (правила + фічефлаги).
• FinOps 1. 0: showback, перші бюджети і квоти.

H2 (Q3–Q4)

• Smart-routing PSP по SLA/гео, Shadow traffic.
• Resilience: chaos-тести на staging, DR-драй-рани.
• Security 2. 0: підпис образів + admission-enforce, SOAR плейбуки.
• Data 2. 0: DWH + звіти продуктових метрик, ML-скоринг (beta).

• Ring-deployments по регіонах/тенантах.
• Cost Guardrails: авто-вимикання idle-ресурсів, rightsizing.
• Compliance pack: PCI/GDPR артефакти, аудит-трейли «evidence-first».
• Platform UX: DevPortal 2. 0, Golden Paths, Runbooks as Code.

6) Річні OKR (приклад)

• KR1: p95 API < 1. 5с; KR2: MTTR <30 хв; KR3: частота прод-релізів ≥ 2/день.

• KR1: + 3 п. п. конверсія депозитів; KR2: Time-to-Wallet p95 ≤ 30с.

• KR1: 100% образів підписано; KR2: 0 critical/high без винятків> 14 днів; KR3: −20% інфраструктурних витрат/1000 RPS.

7) План поставки на 12 місяців (шаблон)

8) Ресурси та склад команд

Матриця навичок: Platform (K8s/IaC), Payments (PSP/KYC/crypto), Data (Kafka/DWH/DBT), Security (IAM/PAM/SAST/DAST), SRE (SLO/OTel), DevEx (Backstage/CLI).
Capacity-план: 70% - ініціативи карти, 20% - підтримка/інциденти, 10% - дослідження H3.
Вендори: критерії Build vs Buy (TCO, lock-in, швидкість, контроль, комплаєнс).

9) Бюджет і FinOps

Unit-економіка: €/1000 RPS, €/TB-storage, €/деплою.
Бюджетні SLO: ліміти по сервісах/неймспейсах; авто-аларми при відхиленнях.
Оптимізації: rightsizing, spot/підписки, кешування, холодне сховище, off-peak batch.

10) Безпека і комплаєнс в дорожній карті

Вбудовані «ворота якості»: SBOM, підпис, SAST/SCA, DAST, policy-as-code.
PCI/GDPR пакети: DPIA, токенізація, сегментація PAN-зони, аудіруемие журнали.
«No humans in prod» до кінця Q3: PAM, запис сесій, випуск «break-glass» під аудит.

11) Спостережуваність і SLO

Єдині service level indicators: latency p50/p95/p99, error-rate, saturation.
Business SLI: Time-to-Wallet, конверсія депозитів, частка відмов KYC.
Error budget управляє релізною швидкістю: вичерпали - фокус на надійності.

12) Комунікації та управління

Церемонії: щотижневий портфель (PM + EM + RM), щомісячний Steering, квартальні QBR.
Артефакти: зведений дашборд OKR/SLO/бюджет, changelog стратегічних рішень.
Прозорість: DevPortal з дорожньою картою «живцем» (Now/Next/Later, власники).

13) Ризики та залежності (шаблон реєстру)

14) RACI (приклад для «Canary релізи»)

Responsible: Release Manager, SRE

Accountable: Head of Platform

Consulted: Security Lead, QA Lead

Informed: Product/Support/Compliance

15) Запуск ініціативи: Definition of Ready/Done

DoR: власник, цільова метрика, контракт/схема, дизайн-док, список ризиків, план відкату.
DoD: тести зелені (unit/contract/integration/e2e), дашборди/алерти оновлені, runbook готовий, changelog опублікований, метрика покращилася.

16) Експерименти, A/B і фічефлаги

Будь-яка продуктова/ризик-модель - через фічефлаг, з прогресивною активацією і телеметрією впливу (конверсія, latency, помилки).
Експерименти фіксуються в каталозі: гіпотеза → результат → рішення.

17) Політика деприкацій і техдолг

Sunset-план: термін підтримки ≥ 2 мінорних версій, міграційні адаптери, дата EOL.
Реєстр техборгу: оцінка ризику/вартості, квартальні «боргові спринти».

18) Чек-лист зрілості дорожньої карти

• Є Vision і 5 стовпів стратегії.
• Портфель на 4 квартали з вимірними OKR/SLO.
• Єдині пріоритезаційні правила (RICE/WSJF).
• Ризик-реєстр і залежності актуальні щотижня.
• RACI/власники призначені, ресурси підтверджені.
• Карта доступна в DevPortal і синхронізована з календарем релізів.
• Політика деприкацій і реєстр техборгу ведуться.
• SLO/Error budget управляють темпом релізів.
• FinOps-дашборд і бюджетні гейти включені.

19) Приклад «Now/Next/Later» (вид для DevPortal)

Now: IDP MVP, Observability 1. 0, PSP v1 (2 провайдера), SSO + MFA + KMS.
Next: Canary, Data 1. 0, Smart-routing, DR тест, підписи образів (enforce).
Later: Ring-deployments, PCI/GDPR аудит, ML-скоринг антифроду, DevPortal 2. 0.

Короткий висновок

Технологічна дорожня карта - це живий контракт між бізнесом та інженерією. Вона з'єднує стратегію з виконуваними квартальними кроками, утримує фокус на результатах (SLO, Time-to-Wallet, конверсія), балансує швидкість і ризик, і створює прозорість: хто, що, коли і навіщо. Дотримуючись цього шаблону, ви перетворюєте масштабування і комплаєнс з загроз в конкурентну перевагу.