Накладення електронного підпису за допомогою Дія в Python

Метою задачі є створення Python-сервісу для накладення електронного підпису за допомогою Дія.Підпис.

Сервіс повинен забезпечити:

• створення заявки на підписання документа;
• підготовку документа до підпису;
• розрахунок hash документа, якщо це вимагається інтеграцією;
• створення сесії підписання;
• генерацію QR-коду або deep link для переходу в застосунок Дія;
• відображення користувачу статусу підписання;
• отримання callback / webhook від Дії;
• отримання результату підписання;
• збереження підпису;
• збереження підписаного документа або контейнера;
• перевірку підпису;
• перевірку цілісності документа;
• оновлення статусу документа в K2 ERP або іншій системі;
• журналювання всіх подій;
• контроль помилок;
• dashboard для відповідальних осіб.

Інтеграція може використовуватись для:

• договорів;
• актів виконаних робіт;
• рахунків;
• заяв;
• анкет;
• кадрових документів;
• первинних документів;
• документів ЕДО;
• документів K2 ERP;
• документів, які формуються в CRM;
• авторизації користувача через Дія.Підпис;
• підтвердження дії користувача в системі.

Дія.Підпис у межах цього ТЗ розглядається як зовнішній сервіс, який дозволяє користувачу підтвердити свою дію та накласти електронний підпис через застосунок Дія.

Для реалізації задачі необхідно отримати:

• партнерський доступ до інтеграції Дії;
• офіційну документацію Дія.Підпис;
• тестове середовище, якщо доступне;
• client_id або аналогічний ідентифікатор партнера;
• client_secret або інший секрет доступу;
• сертифікати, якщо вони потрібні для взаємодії;
• endpoint-и API Дії;
• callback URL, який буде приймати результат;
• правила формування QR/deep link;
• правила формування запиту на підпис;
• допустимі формати документів;
• максимальний розмір документа;
• правила зберігання результату підписання;
• правила перевірки підпису;
• контакт технічної підтримки Дії.

Користувач відкриває документ у K2 ERP або на сайті, натискає кнопку «Підписати через Дія.Підпис».

Система:

• створює запис документа;
• створює сесію підписання;
• генерує QR/deep link;
• показує QR користувачу;
• очікує callback;
• отримує результат;
• зберігає підпис;
• перевіряє підпис;
• змінює статус документа на SIGNED.

Користувач підписує декілька документів за один бізнес-процес.

Система повинна:

• створити пакет документів;
• перевірити всі документи;
• передати пакет на підписання, якщо це підтримується;
• отримати результат по кожному документу;
• показати частково підписані або помилкові документи;
• не втратити статус окремого документа.

Клієнт отримує посилання на документ.

Система:

• відкриває сторінку підписання;
• показує коротку інформацію про документ;
• показує QR/deep link;
• клієнт підтверджує підписання в Дії;
• система отримує результат;
• документ стає підписаним клієнтом.

Співробітник компанії підписує внутрішній документ.

Система:

• створює задачу на підпис;
• показує її у списку задач;
• контролює строк підписання;
• нагадує про прострочення;
• зберігає аудит дій.

Дія.Підпис може використовуватись не тільки для документа, а й для авторизації або підтвердження дії.

Система:

• створює authorization session;
• показує QR/deep link;
• отримує підтвердження;
• ідентифікує користувача згідно з дозволеним обсягом даних;
• створює або оновлює сесію користувача.

Як користувач, я хочу натиснути кнопку «Підписати через Дія.Підпис», щоб підписати документ без завантаження ключів у систему.

Як менеджер, я хочу бачити статус підписання документа, щоб знати, чи клієнт підписав документ.

Як адміністратор, я хочу бачити callback-и, помилки API та технічний журнал, щоб швидко знаходити причини невдалого підписання.

Як керівник, я хочу бачити кількість документів на підписі, підписаних, відхилених і прострочених, щоб контролювати документообіг.

K2 ERP / CRM / Website
        |
        | 1. Документ на підпис
        v
Python Diia.Sign Integration Service
        |
        | 2. Валідація, hash, створення сесії
        v
Diia Adapter
        |
        | 3. API Дії / QR / deep link
        v
Застосунок Дія
        |
        | 4. Користувач підтверджує підписання
        v
Callback URL Python-сервісу
        |
        | 5. Результат підписання
        v
Signature Storage + Verification Service
        |
        | 6. Збереження, перевірка, статус
        v
K2 ERP / Dashboard / Документообіг

Diia Client — це Python-клас або пакет, який інкапсулює роботу з API Дія.Підпис.

class DiiaSignatureClient:
    def check_connection(self) -> "ConnectionStatus":
        pass

    def authenticate(self) -> "AuthResult":
        pass

    def create_signature_session(self, payload: "CreateSignatureSessionPayload") -> "SignatureSessionResponse":
        pass

    def get_signature_session_status(self, session_id: str) -> "SignatureSessionStatusResponse":
        pass

    def get_signature_result(self, session_id: str) -> "SignatureResultResponse":
        pass

    def cancel_signature_session(self, session_id: str) -> "CancelSignatureSessionResponse":
        pass

from pydantic_settings import BaseSettings


class DiiaSignatureSettings(BaseSettings):
    base_url: str
    client_id: str
    client_secret: str
    callback_url: str
    redirect_url: str | None = None
    timeout_seconds: int = 30
    retry_count: int = 3
    retry_backoff_seconds: int = 5
    verify_ssl: bool = True
    session_ttl_minutes: int = 15
    max_document_size_mb: int = 10

Приклад `.env`:

DIIA_SIGNATURE_BASE_URL=https://partner-api.example.diia
DIIA_SIGNATURE_CLIENT_ID=********
DIIA_SIGNATURE_CLIENT_SECRET=********
DIIA_SIGNATURE_CALLBACK_URL=https://example.com/api/v1/diia-signature/callback
DIIA_SIGNATURE_REDIRECT_URL=https://example.com/signature/result
DIIA_SIGNATURE_TIMEOUT_SECONDS=30
DIIA_SIGNATURE_RETRY_COUNT=3
DIIA_SIGNATURE_SESSION_TTL_MINUTES=15
DIIA_SIGNATURE_MAX_DOCUMENT_SIZE_MB=10

POST /api/v1/diia-signature/integrations

POST /api/v1/diia-signature/integrations/{integration_id}/check-connection

POST /api/v1/diia-signature/documents

POST /api/v1/diia-signature/documents/{document_id}/signature-requests

GET /api/v1/diia-signature/signature-requests/{request_id}/link

GET /api/v1/diia-signature/signature-requests/{request_id}/status

POST /api/v1/diia-signature/callback

GET /api/v1/diia-signature/documents/{document_id}/signed-file

GET /api/v1/diia-signature/documents/{document_id}/signature-file

POST /api/v1/diia-signature/documents/{document_id}/verify

GET /api/v1/diia-signature/dashboard?date_from=2026-05-01&date_to=2026-05-31

{
  "external_document_id": "K2-DOC-2026-000123",
  "idempotency_key": "K2-DOC-2026-000123-sign-v1",
  "document_type": "CONTRACT",
  "document_name": "Договір поставки №123",
  "document_number": "123",
  "document_date": "2026-05-07",
  "file_id": "file-001",
  "file_name": "contract_123.pdf",
  "file_mime_type": "application/pdf",
  "signer": {
    "external_signer_id": "CLIENT-001",
    "full_name": "Іван Петренко",
    "phone": "+380671112233",
    "email": "client@example.com",
    "tax_id": "1234567890"
  },
  "callback_context": {
    "k2_entity": "contract",
    "k2_entity_id": "contract-001"
  },
  "expires_at": "2026-05-07T14:30:00+03:00"
}

Перед створенням заявки система повинна перевірити:

• наявність external_document_id;
• наявність idempotency_key;
• наявність файлу документа;
• файл доступний у сховищі;
• файл не порожній;
• розмір файлу не перевищує ліміт;
• MIME type дозволений;
• документ не був змінений після створення заявки;
• hash документа збережений;
• підписант визначений;
• строк підписання не минув;
• документ ще не підписаний цим підписантом;
• бізнес-процес дозволяє підписання;
• користувач має право ініціювати підписання.

Для кожного документа потрібно зберігати:

Приклад hash:

sha256(file_bytes)

Callback endpoint повинен:

• приймати тільки HTTPS-запити;
• перевіряти підпис або секрет callback, якщо передбачено API;
• перевіряти session_id;
• перевіряти request_id;
• перевіряти idempotency callback;
• зберігати raw payload;
• оновлювати статус сесії;
• зберігати файл підпису або посилання на результат;
• запускати перевірку підпису;
• повертати коректний HTTP status.

Після отримання результату підписання система повинна виконати перевірку.

Перевіряється:

• цілісність документа;
• відповідність підпису конкретній версії документа;
• валідність підпису;
• валідність сертифіката;
• дані підписанта;
• час підписання;
• статус відкликання сертифіката, якщо доступно;
• чи відповідає підписант очікуваному користувачу;
• чи не минув строк сесії;
• чи не змінювався документ після підпису.

Можливі результати:

Система повинна не допускати дублювання заявок і підписів.

Ключі дедублікації:

1. K2 ERP створює документ.
2. Користувач натискає «Підписати через Дія».
3. Python-сервіс перевіряє документ.
4. Створюється signature_request.
5. Створюється signature_session.
6. Користувачу показується QR/deep link.
7. Callback Controller приймає результат.
8. Signature Storage зберігає підпис.
9. Verification Service перевіряє підпис.
10. K2 ERP отримує фінальний статус.

from hashlib import sha256
from datetime import datetime, timezone


def create_signature_request(command: "CreateSignatureRequestCommand", db: "Session") -> "SignatureRequest":
    existing = signature_request_repository.get_by_idempotency_key(
        db=db,
        idempotency_key=command.idempotency_key,
    )

    if existing:
        return existing

    document = document_repository.get_by_external_id(
        db=db,
        external_document_id=command.external_document_id,
    )

    signature_validator.validate_document_for_signing(document, command)

    request = signature_request_repository.create(
        db=db,
        data={
            "document_id": document.id,
            "document_version_id": document.current_version_id,
            "signer_id": command.signer_id,
            "idempotency_key": command.idempotency_key,
            "status": "CREATING",
            "expires_at": command.expires_at,
        },
    )

    signature_queue.enqueue(
        task_name="create_diia_signature_session",
        payload={"signature_request_id": str(request.id)},
    )

    audit_logger.log(
        entity_type="signature_request",
        entity_id=request.id,
        event_type="SIGNATURE_REQUEST_CREATED",
        new_status="CREATING",
        payload={"external_document_id": command.external_document_id},
    )

    db.commit()
    return request

async def create_diia_signature_session(signature_request_id: str, db: "Session") -> None:
    request = signature_request_repository.get_by_id(db, signature_request_id)
    document_version = document_version_repository.get_by_id(db, request.document_version_id)

    try:
        payload = diia_mapper.to_signature_session_payload(
            request=request,
            document_version=document_version,
        )

        response = await diia_client.create_signature_session(payload)

        session = signature_session_repository.create(
            db=db,
            data={
                "signature_request_id": request.id,
                "diia_session_id": response.session_id,
                "qr_payload": response.qr_payload,
                "deep_link": response.deep_link,
                "status": "ACTIVE",
                "raw_request": payload,
                "raw_response": response.raw_payload,
                "expires_at": response.expires_at,
            },
        )

        request.status = "WAITING_SIGNATURE"

        audit_logger.log(
            entity_type="signature_session",
            entity_id=session.id,
            event_type="DIIA_SIGNATURE_SESSION_CREATED",
            new_status="ACTIVE",
            payload={"diia_session_id": response.session_id},
        )

    except Exception as exc:
        request.status = "SIGN_ERROR"
        audit_logger.log(
            entity_type="signature_request",
            entity_id=request.id,
            event_type="DIIA_SIGNATURE_SESSION_ERROR",
            new_status="SIGN_ERROR",
            payload={"error": str(exc)},
        )

    finally:
        db.commit()

from fastapi import APIRouter, Request, HTTPException

router = APIRouter()


@router.post("/api/v1/diia-signature/callback")
async def diia_signature_callback(request: Request):
    payload = await request.json()

    # Перевірка callback signature / secret залежить від офіційної документації Дії.
    if not callback_security_service.is_valid(request, payload):
        raise HTTPException(status_code=401, detail="Invalid callback signature")

    callback_id = callback_service.get_callback_id(payload)

    if callback_repository.exists(callback_id):
        return {"status": "already_processed"}

    callback_event = callback_repository.create_raw_event(payload)

    signature_session = signature_session_repository.get_by_diia_session_id(
        diia_session_id=payload["session_id"],
    )

    if not signature_session:
        callback_event.status = "UNKNOWN_SESSION"
        return {"status": "unknown_session"}

    callback_processor.process_signature_result(
        signature_session=signature_session,
        payload=payload,
    )

    return {"status": "ok"}

def process_signature_result(signature_session: "SignatureSession", payload: dict) -> None:
    request = signature_session.signature_request

    if payload.get("status") == "declined":
        signature_session.status = "DECLINED"
        request.status = "DECLINED_BY_USER"
        return

    if payload.get("status") != "signed":
        signature_session.status = "ERROR"
        request.status = "SIGN_ERROR"
        return

    signature_file = signature_storage.save_signature_result(
        signature_request_id=request.id,
        payload=payload,
    )

    signature_session.status = "COMPLETED"
    request.status = "SIGNED"

    verification_queue.enqueue(
        task_name="verify_signature",
        payload={
            "signature_request_id": str(request.id),
            "signature_file_id": str(signature_file.id),
        },
    )

def verify_signature(signature_request_id: str, signature_file_id: str, db: "Session") -> None:
    request = signature_request_repository.get_by_id(db, signature_request_id)
    document_version = document_version_repository.get_by_id(db, request.document_version_id)
    signature_file = signature_file_repository.get_by_id(db, signature_file_id)

    try:
        result = signature_verifier.verify(
            document_file_id=document_version.file_id,
            signature_file_id=signature_file.file_id,
            expected_hash=document_version.file_hash_sha256,
        )

        verification = signature_verification_repository.create(
            db=db,
            data={
                "signature_request_id": request.id,
                "result": result.code,
                "signer_name": result.signer_name,
                "signer_identifier": result.signer_identifier,
                "signed_at": result.signed_at,
                "certificate_info": result.certificate_info,
                "raw_result": result.raw,
            },
        )

        if result.code == "VALID":
            request.status = "VERIFIED"
            request.document.status = "VERIFIED"
        else:
            request.status = "VERIFY_ERROR"

    except Exception as exc:
        request.status = "MANUAL_REVIEW"
        audit_logger.log(
            entity_type="signature_request",
            entity_id=request.id,
            event_type="SIGNATURE_VERIFY_EXCEPTION",
            new_status="MANUAL_REVIEW",
            payload={"error": str(exc)},
        )

    finally:
        db.commit()

Retry дозволений для:

• timeout;
• HTTP 429;
• HTTP 500;
• HTTP 502;
• HTTP 503;
• HTTP 504;
• тимчасової помилки створення сесії;
• тимчасової помилки отримання статусу;
• тимчасової помилки перевірки підпису;
• повторного callback з тим самим callback_id.

Retry заборонений для:

• невалідного документа;
• документа, який змінився;
• простроченої сесії;
• відхилення користувачем;
• невірного callback signature;
• невідповідності підписанта;
• вже фінального статусу VERIFIED.

Система повинна забезпечити:

• HTTPS для всіх endpoint-ів;
• перевірку SSL;
• зберігання секретів тільки в secret storage;
• шифрування файлів підпису;
• шифрування документів або контроль доступу до них;
• обмеження доступу до callback endpoint;
• перевірку callback signature / secret;
• ідемпотентність callback;
• журнал усіх дій;
• маскування персональних даних у логах;
• контроль доступу до документів;
• окремі права на створення заявки;
• окремі права на повторне підписання;
• окремі права на ручну перевірку;
• заборону підписання зміненої версії документа.

Система повинна логувати:

До MVP входить:

• створення інтеграції Дія.Підпис;
• перевірка підключення;
• створення документа;
• збереження версії документа;
• розрахунок hash;
• створення заявки на підпис;
• створення сесії підписання;
• QR/deep link;
• callback endpoint;
• збереження результату підписання;
• базова перевірка підпису;
• статуси документа;
• журнал подій;
• dashboard API;
• retry для технічних помилок;
• ідемпотентність callback;
• unit-тести;
• mock Diia client.

До MVP не входить:

• масове підписання великого пакета документів;
• складний UI документообігу;
• власний кваліфікований надавач електронних довірчих послуг;
• повна юридична експертиза документів;
• інтеграція з усіма зовнішніми ЕДО-системами;
• автоматичне виправлення документів;
• архів довгострокового зберігання за окремими регламентами.

• отримати партнерську документацію;
• отримати тестові credentials;
• погодити callback URL;
• перевірити тестовий сценарій;
• визначити формат результату підписання;
• визначити правила перевірки підпису.

• створити FastAPI-проєкт;
• налаштувати PostgreSQL;
• створити моделі документів, заявок, сесій, підписів;
• налаштувати Alembic;
• реалізувати healthcheck.

• реалізувати authenticate;
• реалізувати create_signature_session;
• реалізувати get_signature_session_status;
• реалізувати get_signature_result;
• реалізувати обробку помилок.

• реалізувати завантаження документа;
• реалізувати версіонування;
• реалізувати hash;
• реалізувати валідацію;
• реалізувати дедублікацію.

• реалізувати callback endpoint;
• реалізувати перевірку callback;
• реалізувати збереження результату;
• реалізувати ідемпотентність;
• реалізувати raw event storage.

• реалізувати Verification Service;
• реалізувати статуси перевірки;
• реалізувати ручну перевірку;
• реалізувати журнал перевірок.

• реалізувати dashboard API;
• реалізувати список проблемних документів;
• реалізувати фільтри;
• реалізувати експорт, якщо потрібно.

• додати rate limiting;
• додати alerting;
• додати dead letter queue;
• додати backup файлів;
• додати моніторинг callback;
• додати безпечне зберігання секретів.

1. Чи вже є партнерський доступ до Дія.Підпис?
2. Який точний формат результату підписання: p7s, ASIC, PDF з підписом або інший?
3. Чи потрібно підписувати PDF, XML, DOCX або будь-який файл?
4. Який максимальний розмір документа?
5. Чи потрібне пакетне підписання?
6. Чи потрібна авторизація через Дія.Підпис?
7. Чи потрібно підписувати документи клієнтами, співробітниками або обома?
8. Чи потрібно перевіряти РНОКПП / ЄДРПОУ підписанта?
9. Чи потрібна інтеграція з K2 ERP?
10. Чи потрібно зберігати підписані документи в архіві довгострокового зберігання?
11. Чи потрібен UI для підписанта?
12. Чи потрібні email/SMS-нагадування?
13. Який строк дії сесії підписання?
14. Який callback security mechanism надає Дія?
15. Чи потрібна інтеграція з ЕДО-системами після підписання?

• Офіційна сторінка інтеграції Дії.
• Офіційна сторінка Дія.Підпис для партнерів.
• Офіційний FAQ Дія.Підпис.
• Офіційний сервіс КЕП Дії.
• Партнерська API-документація Дії, яка надається після підключення.
• Документація K2 ERP щодо документів і бізнес-процесів.

• Python
• FastAPI
• K2 ERP
• Дія
• Дія.Підпис
• Diia.Signature
• КЕП
• Електронний підпис
• Електронний документообіг
• Callback
• Webhook
• p7s
• Підписання документів
• API інтеграція