Уніфіковане накладання електронного підпису різних сервісних центрів України

Метою задачі є створення уніфікованого Python-сервісу електронного підпису для роботи з різними сервісними центрами та провайдерами КЕП України.

Сервіс повинен забезпечити:

• єдиний API для всіх видів підписання;
• підтримку декількох провайдерів підпису;
• створення заявки на підписання;
• підготовку документа до підпису;
• розрахунок hash документа;
• підписання PDF, XML, JSON, DOCX, ZIP або довільного файлу;
• підтримку відокремленого підпису;
• підтримку вкладеного підпису;
• підтримку підписаного контейнера;
• отримання результату підписання;
• перевірку підпису;
• перевірку цілісності документа;
• перевірку підписанта;
• перевірку сертифіката;
• збереження файлів підпису;
• збереження підписаних документів;
• журналювання всіх подій;
• dashboard контролю;
• fallback-сценарії для ручного підписання.

Уніфікований модуль використовується для:

• договорів;
• актів виконаних робіт;
• рахунків;
• заяв;
• кадрових документів;
• первинних бухгалтерських документів;
• податкових документів;
• документів ЕДО;
• заявок у CRM;
• документів K2 ERP;
• пакетів документів;
• XML-звітів;
• PDF-документів;
• підтвердження юридично значущих дій.

Для реалізації задачі необхідно отримати:

• перелік провайдерів підпису, які потрібно підтримати в MVP;
• офіційну документацію кожного API-провайдера;
• credentials для хмарних сервісів;
• тестові ключі або тестові акаунти;
• список форматів документів;
• вимоги до підпису: detached, embedded, container;
• правила перевірки підпису;
• список КНЕДП, які треба підтримати;
• вимоги до зберігання документів;
• вимоги до журналювання;
• вимоги до K2 ERP;
• вимоги до UI підписанта;
• вимоги до мобільного сценарію;
• вимоги до довгострокового архіву.

Використовується для Дія.Підпис, SmartID та інших хмарних КЕП.

Користувач використовує файловий КЕП.

На ПК користувача встановлюється агент підпису.

Користувач підписує документ поза системою та завантажує результат.

1. K2 ERP створює документ.
2. Python Signature Service створює версію документа.
3. Система розраховує hash документа.
4. Користувач або правило обирає провайдера підпису.
5. Створюється signature_request.
6. Обраний adapter створює сесію або локальну операцію підпису.
7. Користувач підтверджує підпис.
8. Система отримує результат.
9. Signature Storage зберігає файл підпису / контейнер.
10. Verification Service перевіряє підпис.
11. K2 ERP отримує фінальний статус.
12. Dashboard показує результат.

Як користувач, я хочу вибрати спосіб підписання: Дія, Приват24 SmartID, файловий КЕП або інший КНЕДП, щоб підписати документ зручним для мене способом.

Як розробник K2 ERP, я хочу викликати один API підписання, щоб не реалізовувати окрему логіку для кожного сервісного центру.

Як адміністратор, я хочу вмикати або вимикати провайдерів підпису, щоб контролювати доступні сценарії підписання.

Як керівник, я хочу бачити dashboard підписання, щоб контролювати прострочені, помилкові та непідписані документи.

K2 ERP / CRM / Website
        |
        | 1. Єдиний API підписання
        v
Python Unified Signature Service
        |
        | 2. Валідація, hash, версії, політики
        v
Signature Provider Router
        |
        | 3. Вибір адаптера
        v
Provider Adapters
        |
        |-- DiiaSignAdapter
        |-- SmartIDAdapter
        |-- FileKeyAdapter
        |-- IITAdapter
        |-- TaxCSKAdapter
        |-- ManualUploadAdapter
        |
        v
Signature Storage + Verification Service
        |
        | 4. Збереження і перевірка
        v
K2 ERP / Dashboard / Archive

from abc import ABC, abstractmethod


class SignatureProviderAdapter(ABC):
    @abstractmethod
    async def check_connection(self) -> dict:
        pass

    @abstractmethod
    async def create_signature_session(self, request: dict) -> dict:
        pass

    @abstractmethod
    async def get_session_status(self, session_id: str) -> dict:
        pass

    @abstractmethod
    async def get_signature_result(self, session_id: str) -> dict:
        pass

    @abstractmethod
    async def cancel_session(self, session_id: str) -> dict:
        pass

    @abstractmethod
    async def verify_signature(self, document: bytes, signature: bytes, options: dict) -> dict:
        pass

class SignatureProviderRouter:
    def __init__(self, adapters: dict[str, SignatureProviderAdapter]):
        self.adapters = adapters

    def get_adapter(self, provider_code: str) -> SignatureProviderAdapter:
        if provider_code not in self.adapters:
            raise ValueError(f"Unsupported signature provider: {provider_code}")
        return self.adapters[provider_code]

class SignaturePolicyEngine:
    def get_allowed_providers(self, document_type: str, signer_type: str) -> list[str]:
        if document_type == "TAX_REPORT":
            return ["IIT_CSK", "TAX_CSK", "FILE_KEY"]

        if signer_type == "CLIENT":
            return ["DIIA_SIGN", "PRIVAT24_SMARTID", "MANUAL_UPLOAD"]

        if signer_type == "EMPLOYEE":
            return ["FILE_KEY", "IIT_CSK", "PRIVAT24_SMARTID"]

        return ["DIIA_SIGN", "PRIVAT24_SMARTID", "FILE_KEY", "MANUAL_UPLOAD"]

GET /api/v1/signature/providers

POST /api/v1/signature/providers/{provider_code}/check-connection

POST /api/v1/signature/documents

GET /api/v1/signature/documents/{document_id}/available-providers

POST /api/v1/signature/documents/{document_id}/signature-requests

GET /api/v1/signature/signature-requests/{request_id}/status

POST /api/v1/signature/callback/{provider_code}

POST /api/v1/signature/documents/{document_id}/upload-signature

GET /api/v1/signature/documents/{document_id}/signature-file

GET /api/v1/signature/documents/{document_id}/signed-file

POST /api/v1/signature/documents/{document_id}/verify

GET /api/v1/signature/dashboard?date_from=2026-05-01&date_to=2026-05-31

{
  "external_document_id": "K2-DOC-2026-000123",
  "idempotency_key": "K2-DOC-2026-000123-sign-v1",
  "provider_code": "DIIA_SIGN",
  "signature_type": "DETACHED",
  "document_type": "CONTRACT",
  "document_name": "Договір поставки №123",
  "document_number": "123",
  "document_date": "2026-05-07",
  "file_id": "file-001",
  "file_name": "contract_123.pdf",
  "file_mime_type": "application/pdf",
  "signer": {
    "external_signer_id": "CLIENT-001",
    "signer_type": "CLIENT",
    "full_name": "Іван Петренко",
    "phone": "+380671112233",
    "email": "client@example.com",
    "tax_id": "1234567890"
  },
  "callback_context": {
    "k2_entity": "contract",
    "k2_entity_id": "contract-001"
  },
  "expires_at": "2026-05-07T14:30:00+03:00"
}

Перед створенням заявки система повинна перевірити:

• наявність документа;
• наявність актуальної версії документа;
• наявність file_id;
• доступність файлу у сховищі;
• розмір файлу;
• MIME type;
• hash документа;
• тип документа;
• тип підписанта;
• доступні провайдери для документа;
• чи підтримує провайдер формат документа;
• чи підтримує провайдер потрібний тип підпису;
• чи не був документ змінений після створення заявки;
• чи не підписаний документ цим підписантом раніше;
• чи є idempotency_key;
• чи дозволяє бізнес-процес підписання.

Кожна версія документа повинна мати:

Приклад:

sha256(file_bytes)

Verification Service повинен перевіряти:

• цілісність документа;
• відповідність підпису конкретній версії документа;
• валідність підпису;
• валідність сертифіката;
• підписанта;
• дату та час підписання;
• chain trust;
• статус відкликання сертифіката, якщо доступно;
• формат підпису;
• відповідність очікуваному типу підписанта;
• чи не змінювався документ після підпису.

Можливі результати:

Система повинна не допускати дублювання заявок і підписів.

async def create_signature_request(command: "CreateSignatureRequestCommand", db: "Session") -> "SignatureRequest":
    existing = signature_request_repository.get_by_idempotency_key(
        db=db,
        idempotency_key=command.idempotency_key,
    )

    if existing:
        return existing

    document = document_repository.get_by_external_id(
        db=db,
        external_document_id=command.external_document_id,
    )

    allowed_providers = policy_engine.get_allowed_providers(
        document_type=document.document_type,
        signer_type=command.signer.signer_type,
    )

    if command.provider_code not in allowed_providers:
        raise BusinessError("Provider is not allowed for this document")

    signature_validator.validate_document_for_signing(document, command)

    provider = provider_repository.get_by_code(db, command.provider_code)

    request = signature_request_repository.create(
        db=db,
        data={
            "document_id": document.id,
            "document_version_id": document.current_version_id,
            "provider_id": provider.id,
            "signer_id": command.signer_id,
            "signature_type": command.signature_type,
            "idempotency_key": command.idempotency_key,
            "status": "CREATING",
            "expires_at": command.expires_at,
        },
    )

    signature_queue.enqueue(
        task_name="start_signature_session",
        payload={"signature_request_id": str(request.id)},
    )

    db.commit()
    return request

async def start_signature_session(signature_request_id: str, db: "Session") -> None:
    request = signature_request_repository.get_by_id(db, signature_request_id)
    provider = request.provider
    adapter = provider_router.get_adapter(provider.code)

    try:
        payload = signature_mapper.to_provider_payload(request)

        response = await adapter.create_signature_session(payload)

        signature_session_repository.create(
            db=db,
            data={
                "signature_request_id": request.id,
                "provider_session_id": response.get("session_id"),
                "status": "ACTIVE",
                "qr_payload": response.get("qr_payload"),
                "deep_link": response.get("deep_link"),
                "raw_request": payload,
                "raw_response": response,
                "expires_at": response.get("expires_at"),
            },
        )

        request.status = "WAITING_SIGNATURE"

    except Exception as exc:
        request.status = "SIGN_ERROR"
        request.error_message = str(exc)

    finally:
        db.commit()

from fastapi import APIRouter, Request, HTTPException

router = APIRouter()


@router.post("/api/v1/signature/callback/{provider_code}")
async def signature_callback(provider_code: str, request: Request):
    payload = await request.json()

    adapter = provider_router.get_adapter(provider_code)

    if not await adapter.verify_callback(request, payload):
        raise HTTPException(status_code=401, detail="Invalid callback")

    callback_id = callback_service.get_callback_id(provider_code, payload)

    if callback_repository.exists(callback_id):
        return {"status": "already_processed"}

    callback_repository.create_raw_event(
        provider_code=provider_code,
        callback_id=callback_id,
        payload=payload,
    )

    result = await adapter.parse_callback(payload)

    signature_processor.process_provider_result(
        provider_code=provider_code,
        result=result,
    )

    return {"status": "ok"}

async def upload_manual_signature(document_id: str, file: "UploadedFile", user: "User", db: "Session"):
    document = document_repository.get_by_id(db, document_id)

    if document.status not in ["READY_TO_SIGN", "WAITING_SIGNATURE", "SIGN_ERROR"]:
        raise BusinessError("Document cannot accept signature in current status")

    stored_file = await file_storage.save(file)

    signature_file = signature_file_repository.create(
        db=db,
        data={
            "signature_request_id": None,
            "provider_id": provider_repository.get_by_code(db, "MANUAL_UPLOAD").id,
            "file_id": stored_file.id,
            "file_type": "signature",
            "signature_format": signature_format_detector.detect(file.filename, stored_file.bytes),
            "file_hash_sha256": stored_file.sha256,
            "source": "MANUAL_UPLOAD",
        },
    )

    verification_queue.enqueue(
        task_name="verify_uploaded_signature",
        payload={
            "document_id": str(document.id),
            "signature_file_id": str(signature_file.id),
        },
    )

    db.commit()
    return signature_file

async def verify_signature(signature_request_id: str, signature_file_id: str, db: "Session") -> None:
    request = signature_request_repository.get_by_id(db, signature_request_id)
    document_version = document_version_repository.get_by_id(db, request.document_version_id)
    signature_file = signature_file_repository.get_by_id(db, signature_file_id)

    verifier = verification_service_factory.get_verifier(signature_file.signature_format)

    result = await verifier.verify(
        document_file_id=document_version.file_id,
        signature_file_id=signature_file.file_id,
        expected_hash=document_version.file_hash_sha256,
        expected_signer_id=request.signer_id,
    )

    signature_verification_repository.create(
        db=db,
        data={
            "signature_request_id": request.id,
            "result": result.code,
            "signer_name": result.signer_name,
            "signer_identifier": result.signer_identifier,
            "provider_name": result.provider_name,
            "signed_at": result.signed_at,
            "certificate_info": result.certificate_info,
            "raw_result": result.raw,
        },
    )

    if result.code == "VALID":
        request.status = "VERIFIED"
        request.document.status = "VERIFIED"
    elif result.code in ["SIGNER_MISMATCH", "UNKNOWN_FORMAT"]:
        request.status = "MANUAL_REVIEW"
    else:
        request.status = "VERIFY_ERROR"

    db.commit()

Retry дозволений для:

• timeout;
• HTTP 429;
• HTTP 500;
• HTTP 502;
• HTTP 503;
• HTTP 504;
• тимчасової недоступності провайдера;
• тимчасової помилки polling;
• тимчасової помилки отримання результату;
• тимчасової помилки перевірки;
• повторного callback з тим самим callback_id.

Retry заборонений для:

• зміненого документа;
• невалідного callback;
• відхилення користувачем;
• невідповідності підписанта;
• невалідного пароля файлового ключа;
• фінального статусу VERIFIED;
• ручного рішення адміністратора.

Система повинна забезпечити:

• HTTPS для всіх endpoint-ів;
• зберігання секретів у secret storage;
• шифрування credentials;
• заборону зберігання пароля до файлового КЕП;
• заборону передачі приватного ключа на backend, якщо використовується локальний агент;
• перевірку callback signature;
• ідемпотентність callback;
• контроль версій документа;
• контроль hash;
• рольову модель;
• маскування персональних даних у логах;
• журнал усіх дій;
• контроль доступу до файлів;
• окремі права на ручну перевірку;
• окремі права на зміну провайдера;
• окремі права на повторне підписання.

Система повинна логувати:

До MVP входить:

• єдиний Signature API;
• довідник провайдерів;
• Provider Router;
• Signature Provider Interface;
• підтримка Дія.Підпис як адаптера, якщо є API-доступ;
• підтримка SmartID як адаптера, якщо є API-доступ;
• підтримка ручного завантаження p7s;
• підтримка файлового КЕП через локальний агент або ІІТ-адаптер;
• версіонування документа;
• hash документа;
• створення заявки;
• статуси;
• callback endpoint;
• polling worker;
• збереження підпису;
• перевірка підпису;
• dashboard API;
• журнал подій;
• retry;
• unit-тести;
• mock adapters.

До MVP не входить:

• повна підтримка всіх КНЕДП України;
• повна підтримка всіх форматів ASIC / XAdES;
• складний UI локального агента;
• архів довгострокового зберігання за окремим регламентом;
• автоматичне юридичне трактування підпису;
• повна інтеграція з усіма ЕДО-системами;
• власний КНЕДП.

• визначити провайдерів MVP;
• отримати документацію Дія.Підпис;
• отримати документацію SmartID;
• визначити локальну бібліотеку для файлового КЕП;
• визначити формати підпису;
• визначити правила перевірки.

• створити FastAPI-проєкт;
• налаштувати PostgreSQL;
• створити моделі провайдерів, документів, заявок, сесій;
• налаштувати Alembic;
• реалізувати healthcheck.

• реалізувати SignatureProviderAdapter;
• реалізувати ProviderRouter;
• реалізувати PolicyEngine;
• реалізувати SignatureRequestService.

• реалізувати DiiaSignAdapter;
• реалізувати SmartIDAdapter;
• реалізувати ManualUploadAdapter;
• реалізувати FileKey/IITAdapter;
• реалізувати mock adapters.

• реалізувати завантаження документа;
• реалізувати версіонування;
• реалізувати hash;
• реалізувати дедублікацію.

• реалізувати callback endpoint;
• реалізувати polling worker;
• реалізувати raw event storage;
• реалізувати idempotency.

• реалізувати VerificationService;
• реалізувати перевірку p7s;
• реалізувати перевірку контейнерів;
• реалізувати статуси перевірки;
• реалізувати ручну перевірку.

• реалізувати dashboard API;
• реалізувати списки проблемних документів;
• реалізувати статистику по провайдерах;
• реалізувати експорт журналу.

• додати rate limiting;
• додати alerting;
• додати dead letter queue;
• додати backup файлів;
• додати моніторинг провайдерів;
• додати secure secret storage.

1. Які провайдери мають бути в MVP?
2. Чи є офіційний API-доступ до Дія.Підпис?
3. Чи є офіційний API-доступ до SmartID?
4. Чи потрібен локальний агент для файлового КЕП?
5. Чи потрібно підтримувати ІІТ DLL/SO напряму?
6. Які формати документів підписуємо: PDF, XML, DOCX, ZIP?
7. Який тип підпису потрібен: detached, container, embedded?
8. Чи потрібно пакетне підписання?
9. Чи потрібно підписувати документи клієнтами?
10. Чи потрібно підписувати документи співробітниками?
11. Чи потрібно перевіряти РНОКПП / ЄДРПОУ підписанта?
12. Чи потрібен довгостроковий архів підписаних документів?
13. Чи потрібна інтеграція з K2 ERP задачами?
14. Чи потрібні нагадування про прострочення?
15. Чи потрібен mobile UI?
16. Чи потрібен експорт журналу в Excel?

• Офіційний сервіс КЕП Дії.
• Офіційна сторінка підписання документів на порталі Дія.
• Офіційна сторінка Дія.Підпис.
• Офіційна сторінка SmartID ПриватБанку.
• Інструкції ПриватБанку щодо створення SmartID.
• Документація ІІТ / Користувач ЦСК-1.
• Документація КНЕДП ДПС.
• Офіційна партнерська документація конкретних провайдерів.
• Внутрішня документація K2 ERP.

• Python
• FastAPI
• K2 ERP
• КЕП
• Електронний підпис
• Дія.Підпис
• Приват24
• SmartID
• ІІТ
• Користувач ЦСК-1
• ДПС
• КНЕДП
• p7s
• CAdES
• XAdES
• ASIC
• Електронний документообіг
• API інтеграція