Накладення електронного підпису за допомогою електронного підпису Приват24

Метою задачі є створення Python-сервісу для накладення електронного підпису за допомогою КЕП ПриватБанку / SmartID / Приват24.

Сервіс повинен забезпечити:

• створення заявки на підписання документа;
• підготовку документа до підпису;
• розрахунок hash документа;
• створення сесії підписання;
• передачу документа або hash у сервіс підписання;
• ініціацію підтвердження підпису користувачем у Приват24 / SmartID;
• отримання результату підписання;
• збереження файлу підпису;
• збереження підписаного контейнера, якщо він повертається сервісом;
• перевірку підпису;
• перевірку цілісності документа;
• оновлення статусу документа в K2 ERP або іншій системі;
• журналювання всіх подій;
• контроль помилок;
• dashboard для відповідальних осіб.

Інтеграція може використовуватись для:

• договорів;
• актів виконаних робіт;
• рахунків;
• заяв;
• анкет;
• кадрових документів;
• первинних документів;
• податкових і бухгалтерських документів;
• документів ЕДО;
• документів K2 ERP;
• документів CRM;
• документів особистого кабінету клієнта;
• підтвердження юридично значущих дій користувача.

SmartID у межах цього ТЗ розглядається як хмарний КЕП ПриватБанку, який користувач створює та використовує через Приват24.

ПриватБанк описує SmartID як КЕП, що може використовуватись для підписання документів, звітів, підтвердження особистості й отримання послуг онлайн. :contentReference[oaicite:1]{index=1}

Для реалізації задачі необхідно отримати:

• доступ до сервісу SmartID / хмарного КЕП ПриватБанку;
• офіційну технічну документацію API;
• тестове середовище, якщо доступне;
• ідентифікатор партнера / клієнта API;
• технічні ключі або сертифікати сервісу;
• правила авторизації;
• правила шифрування запитів;
• правила отримання сесії підписання;
• правила формування запиту на підпис;
• правила отримання результату;
• правила перевірки підпису;
• допустимі формати документів;
• максимальний розмір документа;
• callback URL або polling-сценарій;
• контакт технічної підтримки ПриватБанку.

Python-сервіс напряму інтегрується з API SmartID.

Користувач сам підписує документ через Приват24 або SmartID, а потім завантажує підписаний документ / файл підпису в K2 ERP.

Система підтримує обидва режими:

• автоматичне створення сесії підписання через SmartID API;
• ручне завантаження підписаного документа, якщо API недоступне або користувач підписав документ поза системою.

Користувач відкриває документ у K2 ERP або на сайті та натискає кнопку «Підписати через Приват24 / SmartID».

Система:

• створює запис документа;
• створює версію документа;
• розраховує hash;
• створює заявку на підпис;
• створює сесію SmartID;
• очікує підтвердження користувачем;
• отримує результат підписання;
• зберігає підпис;
• перевіряє підпис;
• змінює статус документа на VERIFIED.

Користувач підписує декілька документів в одному бізнес-процесі.

Система повинна:

• створити пакет документів;
• перевірити всі документи;
• створити окрему заявку на кожен документ або одну пакетну заявку, якщо це підтримується API;
• отримати результат по кожному документу;
• показати частково підписані або помилкові документи;
• не втратити статус окремого документа.

Клієнт отримує посилання на документ.

Система:

• відкриває сторінку підписання;
• показує коротку інформацію про документ;
• запускає сценарій підпису через Приват24 / SmartID;
• клієнт підтверджує підписання;
• система отримує результат;
• документ стає підписаним клієнтом.

Співробітник компанії підписує внутрішній документ.

Система:

• створює задачу на підпис;
• показує її у списку задач K2 ERP;
• контролює строк підписання;
• нагадує про прострочення;
• зберігає аудит дій.

Користувач підписує документ поза системою, наприклад у Приват24, і завантажує результат.

Система:

• приймає файл підпису або підписаний контейнер;
• перевіряє hash вихідного документа;
• перевіряє підпис;
• визначає підписанта;
• змінює статус документа;
• зберігає результат перевірки.

Як користувач, я хочу натиснути кнопку «Підписати через Приват24 / SmartID», щоб підписати документ без завантаження приватного ключа в систему.

Як менеджер, я хочу бачити статус підписання документа, щоб знати, чи клієнт або співробітник підписав документ.

Як адміністратор, я хочу бачити callback-и, помилки API та технічний журнал, щоб швидко знаходити причини невдалого підписання.

Як керівник, я хочу бачити кількість документів на підписі, підписаних, відхилених і прострочених, щоб контролювати документообіг.

K2 ERP / CRM / Website
        |
        | 1. Документ на підпис
        v
Python Privat24 / SmartID Signature Service
        |
        | 2. Валідація, hash, створення заявки
        v
SmartID Adapter
        |
        | 3. API SmartID / ПриватБанк
        v
Приват24 / SmartID
        |
        | 4. Користувач підтверджує підписання
        v
Callback або polling Python-сервісу
        |
        | 5. Результат підписання
        v
Signature Storage + Verification Service
        |
        | 6. Збереження, перевірка, статус
        v
K2 ERP / Dashboard / Документообіг

SmartID Client — це Python-клас або пакет, який інкапсулює роботу з API ПриватБанку / SmartID.

class SmartIDSignatureClient:
    def check_connection(self) -> "ConnectionStatus":
        pass

    def get_service_certificate(self) -> "ServiceCertificateResponse":
        pass

    def create_session(self, payload: "CreateSessionPayload") -> "SignatureSessionResponse":
        pass

    def create_signature_request(self, session_id: str, payload: "SignaturePayload") -> "SignatureRequestResponse":
        pass

    def get_session_status(self, session_id: str) -> "SignatureSessionStatusResponse":
        pass

    def get_signature_result(self, session_id: str) -> "SignatureResultResponse":
        pass

    def cancel_session(self, session_id: str) -> "CancelSessionResponse":
        pass

from pydantic_settings import BaseSettings


class SmartIDSignatureSettings(BaseSettings):
    base_url: str
    partner_id: str
    partner_secret: str | None = None
    service_certificate_path: str | None = None
    private_key_path: str | None = None
    callback_url: str | None = None
    timeout_seconds: int = 30
    retry_count: int = 3
    retry_backoff_seconds: int = 5
    verify_ssl: bool = True
    session_ttl_minutes: int = 15
    max_document_size_mb: int = 10

Приклад `.env`:

SMARTID_BASE_URL=https://acsk.privatbank.ua/cloud/api/back
SMARTID_PARTNER_ID=********
SMARTID_PARTNER_SECRET=********
SMARTID_SERVICE_CERTIFICATE_PATH=/run/secrets/smartid_service_cert.pem
SMARTID_PRIVATE_KEY_PATH=/run/secrets/smartid_private_key.pem
SMARTID_CALLBACK_URL=https://example.com/api/v1/smartid/callback
SMARTID_TIMEOUT_SECONDS=30
SMARTID_RETRY_COUNT=3
SMARTID_SESSION_TTL_MINUTES=15
SMARTID_MAX_DOCUMENT_SIZE_MB=10

POST /api/v1/smartid-signature/integrations

POST /api/v1/smartid-signature/integrations/{integration_id}/check-connection

POST /api/v1/smartid-signature/documents

POST /api/v1/smartid-signature/documents/{document_id}/signature-requests

GET /api/v1/smartid-signature/signature-requests/{request_id}/status

POST /api/v1/smartid-signature/callback

GET /api/v1/smartid-signature/documents/{document_id}/signed-file

GET /api/v1/smartid-signature/documents/{document_id}/signature-file

POST /api/v1/smartid-signature/documents/{document_id}/upload-signature

POST /api/v1/smartid-signature/documents/{document_id}/verify

GET /api/v1/smartid-signature/dashboard?date_from=2026-05-01&date_to=2026-05-31

{
  "external_document_id": "K2-DOC-2026-000123",
  "idempotency_key": "K2-DOC-2026-000123-smartid-sign-v1",
  "document_type": "CONTRACT",
  "document_name": "Договір поставки №123",
  "document_number": "123",
  "document_date": "2026-05-07",
  "file_id": "file-001",
  "file_name": "contract_123.pdf",
  "file_mime_type": "application/pdf",
  "signer": {
    "external_signer_id": "CLIENT-001",
    "full_name": "Іван Петренко",
    "phone": "+380671112233",
    "email": "client@example.com",
    "tax_id": "1234567890"
  },
  "callback_context": {
    "k2_entity": "contract",
    "k2_entity_id": "contract-001"
  },
  "expires_at": "2026-05-07T14:30:00+03:00"
}

Перед створенням заявки система повинна перевірити:

• наявність external_document_id;
• наявність idempotency_key;
• наявність файлу документа;
• файл доступний у сховищі;
• файл не порожній;
• розмір файлу не перевищує ліміт;
• MIME type дозволений;
• документ не був змінений після створення заявки;
• hash документа збережений;
• підписант визначений;
• строк підписання не минув;
• документ ще не підписаний цим підписантом;
• бізнес-процес дозволяє підписання;
• користувач має право ініціювати підписання;
• телефон або ідентифікатор підписанта відповідає даним користувача, якщо це потрібно для SmartID-сценарію.

Для кожного документа потрібно зберігати:

Приклад hash:

sha256(file_bytes)

Callback endpoint повинен:

• приймати тільки HTTPS-запити;
• перевіряти підпис або секрет callback, якщо передбачено API;
• перевіряти session_id;
• перевіряти request_id;
• перевіряти idempotency callback;
• зберігати raw payload;
• оновлювати статус сесії;
• зберігати файл підпису або посилання на результат;
• запускати перевірку підпису;
• повертати коректний HTTP status.

Якщо API не надсилає callback, Python-сервіс повинен періодично перевіряти статус сесії.

1. Створити сесію підписання.
2. Перевести заявку у WAITING_SIGNATURE.
3. Запустити polling worker.
4. Перевіряти статус кожні N секунд.
5. Після отримання фінального статусу зберегти результат.
6. Запустити перевірку підпису.
7. Оновити K2 ERP.

Після отримання результату підписання система повинна виконати перевірку.

Перевіряється:

• цілісність документа;
• відповідність підпису конкретній версії документа;
• валідність підпису;
• валідність сертифіката;
• дані підписанта;
• час підписання;
• статус відкликання сертифіката, якщо доступно;
• чи відповідає підписант очікуваному користувачу;
• чи не минув строк сесії;
• чи не змінювався документ після підпису.

Можливі результати:

Система повинна не допускати дублювання заявок і підписів.

Ключі дедублікації:

1. K2 ERP створює документ.
2. Користувач натискає «Підписати через Приват24 / SmartID».
3. Python-сервіс перевіряє документ.
4. Створюється signature_request.
5. Створюється signature_session.
6. Користувач підтверджує підпис у Приват24 / SmartID.
7. Callback Controller або Polling Worker отримує результат.
8. Signature Storage зберігає підпис.
9. Verification Service перевіряє підпис.
10. K2 ERP отримує фінальний статус.

def create_signature_request(command: "CreateSignatureRequestCommand", db: "Session") -> "SignatureRequest":
    existing = signature_request_repository.get_by_idempotency_key(
        db=db,
        idempotency_key=command.idempotency_key,
    )

    if existing:
        return existing

    document = document_repository.get_by_external_id(
        db=db,
        external_document_id=command.external_document_id,
    )

    signature_validator.validate_document_for_signing(document, command)

    request = signature_request_repository.create(
        db=db,
        data={
            "document_id": document.id,
            "document_version_id": document.current_version_id,
            "signer_id": command.signer_id,
            "idempotency_key": command.idempotency_key,
            "status": "CREATING",
            "expires_at": command.expires_at,
        },
    )

    signature_queue.enqueue(
        task_name="create_smartid_signature_session",
        payload={"signature_request_id": str(request.id)},
    )

    audit_logger.log(
        entity_type="signature_request",
        entity_id=request.id,
        event_type="SIGNATURE_REQUEST_CREATED",
        new_status="CREATING",
        payload={"external_document_id": command.external_document_id},
    )

    db.commit()
    return request

async def create_smartid_signature_session(signature_request_id: str, db: "Session") -> None:
    request = signature_request_repository.get_by_id(db, signature_request_id)
    document_version = document_version_repository.get_by_id(db, request.document_version_id)

    try:
        payload = smartid_mapper.to_signature_session_payload(
            request=request,
            document_version=document_version,
        )

        response = await smartid_client.create_session(payload)

        session = signature_session_repository.create(
            db=db,
            data={
                "signature_request_id": request.id,
                "smartid_session_id": response.session_id,
                "status": "ACTIVE",
                "raw_request": payload,
                "raw_response": response.raw_payload,
                "expires_at": response.expires_at,
            },
        )

        request.status = "WAITING_SIGNATURE"

        audit_logger.log(
            entity_type="signature_session",
            entity_id=session.id,
            event_type="SMARTID_SIGNATURE_SESSION_CREATED",
            new_status="ACTIVE",
            payload={"smartid_session_id": response.session_id},
        )

    except Exception as exc:
        request.status = "SIGN_ERROR"
        audit_logger.log(
            entity_type="signature_request",
            entity_id=request.id,
            event_type="SMARTID_SIGNATURE_SESSION_ERROR",
            new_status="SIGN_ERROR",
            payload={"error": str(exc)},
        )

    finally:
        db.commit()

async def poll_smartid_session(signature_session_id: str, db: "Session") -> None:
    session = signature_session_repository.get_by_id(db, signature_session_id)

    if session.status in ["COMPLETED", "DECLINED", "EXPIRED", "ERROR"]:
        return

    status_response = await smartid_client.get_session_status(session.smartid_session_id)

    new_status = smartid_status_mapper.from_api(status_response.status)

    if new_status == "COMPLETED":
        result = await smartid_client.get_signature_result(session.smartid_session_id)
        signature_file = signature_storage.save_signature_result(
            signature_request_id=session.signature_request_id,
            payload=result.raw_payload,
        )

        session.status = "COMPLETED"
        session.signature_request.status = "SIGNED"

        verification_queue.enqueue(
            task_name="verify_signature",
            payload={
                "signature_request_id": str(session.signature_request_id),
                "signature_file_id": str(signature_file.id),
            },
        )

    elif new_status in ["DECLINED", "EXPIRED", "ERROR"]:
        session.status = new_status
        session.signature_request.status = smartid_status_mapper.to_request_status(new_status)

    db.commit()

from fastapi import APIRouter, Request, HTTPException

router = APIRouter()


@router.post("/api/v1/smartid-signature/callback")
async def smartid_signature_callback(request: Request):
    payload = await request.json()

    # Перевірка callback signature / secret залежить від офіційної документації SmartID.
    if not callback_security_service.is_valid(request, payload):
        raise HTTPException(status_code=401, detail="Invalid callback signature")

    callback_id = callback_service.get_callback_id(payload)

    if callback_repository.exists(callback_id):
        return {"status": "already_processed"}

    callback_event = callback_repository.create_raw_event(payload)

    signature_session = signature_session_repository.get_by_smartid_session_id(
        smartid_session_id=payload["session_id"],
    )

    if not signature_session:
        callback_event.status = "UNKNOWN_SESSION"
        return {"status": "unknown_session"}

    callback_processor.process_signature_result(
        signature_session=signature_session,
        payload=payload,
    )

    return {"status": "ok"}

def upload_manual_signature(
    document_id: str,
    signature_file: "UploadedFile",
    current_user: "User",
    db: "Session",
) -> "SignatureFile":
    document = document_repository.get_by_id(db, document_id)

    if document.status not in ["READY_TO_SIGN", "WAITING_SIGNATURE", "SIGN_ERROR"]:
        raise BusinessError("Document cannot accept signature in current status")

    stored_file = file_storage.save(signature_file)

    signature_record = signature_file_repository.create(
        db=db,
        data={
            "signature_request_id": None,
            "file_id": stored_file.id,
            "file_type": "signature",
            "file_hash_sha256": stored_file.sha256,
            "source": "MANUAL_UPLOAD",
        },
    )

    verification_queue.enqueue(
        task_name="verify_manual_signature",
        payload={
            "document_id": str(document.id),
            "signature_file_id": str(signature_record.id),
        },
    )

    audit_logger.log(
        entity_type="document",
        entity_id=document.id,
        event_type="MANUAL_SIGNATURE_UPLOADED",
        payload={"uploaded_by": str(current_user.id)},
    )

    db.commit()
    return signature_record

def verify_signature(signature_request_id: str, signature_file_id: str, db: "Session") -> None:
    request = signature_request_repository.get_by_id(db, signature_request_id)
    document_version = document_version_repository.get_by_id(db, request.document_version_id)
    signature_file = signature_file_repository.get_by_id(db, signature_file_id)

    try:
        result = signature_verifier.verify(
            document_file_id=document_version.file_id,
            signature_file_id=signature_file.file_id,
            expected_hash=document_version.file_hash_sha256,
        )

        signature_verification_repository.create(
            db=db,
            data={
                "signature_request_id": request.id,
                "result": result.code,
                "signer_name": result.signer_name,
                "signer_identifier": result.signer_identifier,
                "signed_at": result.signed_at,
                "certificate_info": result.certificate_info,
                "raw_result": result.raw,
            },
        )

        if result.code == "VALID":
            request.status = "VERIFIED"
            request.document.status = "VERIFIED"
        else:
            request.status = "VERIFY_ERROR"

    except Exception as exc:
        request.status = "MANUAL_REVIEW"
        audit_logger.log(
            entity_type="signature_request",
            entity_id=request.id,
            event_type="SIGNATURE_VERIFY_EXCEPTION",
            new_status="MANUAL_REVIEW",
            payload={"error": str(exc)},
        )

    finally:
        db.commit()

Retry дозволений для:

• timeout;
• HTTP 429;
• HTTP 500;
• HTTP 502;
• HTTP 503;
• HTTP 504;
• тимчасової помилки створення сесії;
• тимчасової помилки отримання статусу;
• тимчасової помилки отримання результату;
• тимчасової помилки перевірки підпису;
• повторного callback з тим самим callback_id.

Retry заборонений для:

• невалідного документа;
• документа, який змінився;
• простроченої сесії;
• відхилення користувачем;
• невірного callback signature;
• невідповідності підписанта;
• вже фінального статусу VERIFIED.

Система повинна забезпечити:

• HTTPS для всіх endpoint-ів;
• перевірку SSL;
• зберігання секретів тільки в secret storage;
• шифрування файлів підпису;
• шифрування документів або контроль доступу до них;
• обмеження доступу до callback endpoint;
• перевірку callback signature / secret;
• ідемпотентність callback;
• журнал усіх дій;
• маскування персональних даних у логах;
• контроль доступу до документів;
• окремі права на створення заявки;
• окремі права на повторне підписання;
• окремі права на ручне завантаження підпису;
• окремі права на ручну перевірку;
• заборону підписання зміненої версії документа;
• заборону зберігання пароля користувача до SmartID.

Система повинна логувати:

До MVP входить:

• створення інтеграції SmartID / Приват24;
• перевірка підключення;
• створення документа;
• збереження версії документа;
• розрахунок hash;
• створення заявки на підпис;
• створення сесії підписання, якщо доступний API;
• polling або callback для отримання результату;
• збереження результату підписання;
• ручне завантаження p7s / підписаного контейнера як fallback;
• базова перевірка підпису;
• статуси документа;
• журнал подій;
• dashboard API;
• retry для технічних помилок;
• ідемпотентність callback / polling;
• unit-тести;
• mock SmartID client.

До MVP не входить:

• масове підписання великого пакета документів;
• складний UI документообігу;
• власний кваліфікований надавач електронних довірчих послуг;
• повна юридична експертиза документів;
• інтеграція з усіма зовнішніми ЕДО-системами;
• автоматичне виправлення документів;
• архів довгострокового зберігання за окремими регламентами.

• отримати офіційну технічну документацію;
• отримати тестові credentials;
• погодити callback URL або polling-сценарій;
• перевірити тестовий сценарій;
• визначити формат результату підписання;
• визначити правила перевірки підпису.

• створити FastAPI-проєкт;
• налаштувати PostgreSQL;
• створити моделі документів, заявок, сесій, підписів;
• налаштувати Alembic;
• реалізувати healthcheck.

• реалізувати get_service_certificate;
• реалізувати create_session;
• реалізувати create_signature_request;
• реалізувати get_session_status;
• реалізувати get_signature_result;
• реалізувати обробку помилок.

• реалізувати завантаження документа;
• реалізувати версіонування;
• реалізувати hash;
• реалізувати валідацію;
• реалізувати дедублікацію.

• реалізувати callback endpoint;
• реалізувати polling worker;
• реалізувати перевірку callback;
• реалізувати збереження результату;
• реалізувати ідемпотентність;
• реалізувати raw event storage.

• реалізувати upload endpoint;
• реалізувати перевірку типу файлу;
• реалізувати збереження p7s / контейнера;
• реалізувати зв'язок із документом;
• реалізувати перевірку підпису.

• реалізувати Verification Service;
• реалізувати статуси перевірки;
• реалізувати ручну перевірку;
• реалізувати журнал перевірок.

• реалізувати dashboard API;
• реалізувати список проблемних документів;
• реалізувати фільтри;
• реалізувати експорт, якщо потрібно.

• додати rate limiting;
• додати alerting;
• додати dead letter queue;
• додати backup файлів;
• додати моніторинг callback / polling;
• додати безпечне зберігання секретів.

1. Чи є офіційний API-доступ до SmartID для цього проєкту?
2. Який точний формат результату підписання: p7s, ASIC, PDF з підписом або інший?
3. Чи потрібно підписувати PDF, XML, DOCX або будь-який файл?
4. Який максимальний розмір документа?
5. Чи потрібне пакетне підписання?
6. Чи потрібен fallback зі ручним завантаженням p7s?
7. Чи потрібно підписувати документи клієнтами, співробітниками або обома?
8. Чи потрібно перевіряти РНОКПП / ЄДРПОУ підписанта?
9. Чи потрібна інтеграція з K2 ERP?
10. Чи потрібно зберігати підписані документи в архіві довгострокового зберігання?
11. Чи потрібен UI для підписанта?
12. Чи потрібні email/SMS-нагадування?
13. Який строк дії сесії підписання?
14. Який callback security mechanism надає SmartID?
15. Чи потрібна інтеграція з ЕДО-системами після підписання?

• Офіційна сторінка SmartID ПриватБанку.
• Офіційна сторінка SmartID для бізнесу.
• Інструкція ПриватБанку щодо створення SmartID.
• Технічна документація SmartID API, яка надається після підключення.
• Документація K2 ERP щодо документів і бізнес-процесів.
• Законодавчі вимоги до КЕП і електронного документообігу.

• Python
• FastAPI
• K2 ERP
• Приват24
• ПриватБанк
• SmartID
• КЕП
• Електронний підпис
• Електронний документообіг
• Callback
• Webhook
• p7s
• Підписання документів
• API інтеграція