КадрЭДО

ЕСИА и ЭП в КЭДО: виды подписей, выпуск через Госключ, нормы 2026

Мария Ж. 15 мин чтения

«Вход через Госуслуги» сам по себе не подписывает кадровые документы — и это самая дорогая путаница при внедрении КЭДО: документ, подписанный не тем видом подписи, суд признает неподписанным со всеми последствиями для работодателя. Ниже разобрано, как через инфраструктуру ЕСИА удаленно выпускаются УНЭП и УКЭП в приложении Госключ, какая подпись закрывает какие документы по ст. 22.3 ТК РФ, чем агентская схема подключения Госключа отличается от самостоятельной с обезличенным сертификатом и на каких шагах выпуск подписи блокируется. Материал сэкономит недели при внедрении кадрового электронного документооборота.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Что делает ЕСИА, а что — электронная подпись: модель без путаницы

ЕСИА (Единая система идентификации и аутентификации) отвечает на вопрос «кто передо мной»: сверяет ФИО, СНИЛС и паспортные данные с государственными реестрами и подтверждает личность при входе. Электронная подпись отвечает на другой вопрос — «кто и в каком виде утвердил этот документ»: она криптографически связывает файл с конкретным лицом и фиксирует его неизменность. В КЭДО механизмы работают в связке: сотрудник авторизуется через ЕСИА, на основании подтвержденной учетной записи в приложении Госключ выпускается сертификат УНЭП или УКЭП, и уже этой подписью подписываются документы. Право работника использовать УНЭП, выданную с использованием инфраструктуры электронного правительства, закреплено в ч. 2 ст. 22.3 ТК РФ, а правила создания такого сертификата утверждены постановлением Правительства РФ от 01.12.2021 № 2152.

В практике Добыто смешение этих двух ролей — самая частая ошибка в локальных актах: компании описывают в положении о КЭДО «вход через Госуслуги» как подпись, хотя вход документ не подписывает.

Три вида электронной подписи по 63-ФЗ в связке с идентификацией через ЕСИА

ПЭП ЕСИА и УНЭП Госключа: почему их путают и чем это опасно

Логин и пароль от Госуслуг — это простая электронная подпись ЕСИА (ПЭП ЕСИА). УНЭП, выпущенная в приложении Госключ, — усиленная неквалифицированная подпись в инфраструктуре электронного правительства (в документах — УНЭП ИЭП или УНЭП ЕСИА). Названия похожи, юридические последствия разные. ПЭП ЕСИА в кадровом документообороте применяется только в периметре государственной платформы «Работа в России». В коммерческой системе КЭДО работник подписывает документы УНЭП: либо выпущенной в информационной системе работодателя, либо УНЭП Госключа.

Разница не только в периметре. Для УНЭП, выпущенной в информационной системе работодателя, с работником заключается соглашение об использовании такой подписи. Для УНЭП Госключа отдельное соглашение не требуется: ч. 2 ст. 22.3 ТК РФ прямо допускает ее применение, а порядок создания сертификата урегулирован постановлением № 2152. Это один документ меньше в пакете внедрения на каждого сотрудника.

Мария Ж, юрист по трудовому праву, судебный эксперт: «Когда в положении о КЭДО написано, что работник подписывает документы ‘учетной записью Госуслуг’, при споре это читается как ПЭП. А ПЭП по ст. 22.3 ТК не закрывает договор о материальной ответственности или уведомление об изменении условий трудового договора. Формулировка в ЛНА должна называть подпись точно: УНЭП, выданная с использованием инфраструктуры электронного правительства.»

Какая подпись нужна для каких кадровых документов

Статья 22.3 ТК РФ распределяет виды подписи по типам документов и сторонам. Со стороны работодателя для наиболее значимых документов обязательна УКЭП. Со стороны работника для большинства документов достаточно ПЭП или УНЭП, но для отдельного перечня нужна усиленная подпись.

Документ Подпись работника Подпись работодателя
Трудовой договор, договор о материальной ответственности, ученический договор, согласие на перевод УКЭП, УНЭП Госключа или УНЭП ИС (по соглашению) Только УКЭП
Заявления, уведомления, приказы по личному составу, ознакомление с ЛНА ПЭП (при соглашении), УНЭП, УКЭП УКЭП или УНЭП по правилам ЛНА
Согласование внутри маршрута (руководитель визирует отпуск подчиненного) ПЭП или УНЭП

Какие документы вообще нельзя вести в КЭДО

Статья 22.1 ТК РФ выводит из электронного контура акт о несчастном случае на производстве, приказ (распоряжение) об увольнении и документы, подтверждающие прохождение инструктажей по охране труда, а также бумажную трудовую книжку. Их подписание любой электронной подписью, включая УКЭП, юридической силы не создает — правильно настроенная система обязана оставить для них бумажный маршрут.

Как через ЕСИА выпускается подпись: механика и точки отказа

УНЭП в Госключе

Сотрудник скачивает приложение Госключ, авторизуется через подтвержденную учетную запись ЕСИА, и сертификат УНЭП выпускается сразу после авторизации — дополнительных документов и визитов не требуется. Данные для сертификата (ФИО, СНИЛС) берутся из профиля ЕСИА, поэтому качество данных в профиле напрямую определяет, состоится ли выпуск. Наши специалисты перед раскаткой сверяют карточки сотрудников в системе с данными Госуслуг: расхождение в СНИЛС или устаревший паспорт в профиле — типовая причина, по которой человек застревает на первом шаге.

Путь подписания кадрового документа через приложение Госключ после идентификации в ЕСИА

УКЭП физического лица

Для квалифицированного сертификата одной авторизации в ЕСИА мало — нужна дополнительная идентификация. По материалам ФГБУ «ЦЭКИ» доступны варианты: загранпаспорт нового образца с NFC-чипом (телефон считывает чип), подтвержденная биометрия, действующий сертификат УКЭП либо очная идентификация в банке или МФЦ. После идентификации запрос уходит в удостоверяющий центр, сертификат приходит в Госключ, и сотрудник подписывает документы УКЭП с телефона.

Где выпуск блокируется

Выпуск не состоится, если учетная запись ЕСИА не подтверждена, если данные профиля расходятся с реестрами (старый паспорт, ошибка в СНИЛС) или если у сотрудника нет смартфона. Лечится это в понятном порядке: обновить документы в профиле Госуслуг, подтвердить учетную запись, а для сотрудников без смартфона предусмотреть в ЛНА резервный контур — УНЭП информационной системы или бумагу. Резервный маршрут стоит закладывать в положение о КЭДО сразу, а не после первого инцидента.

Матрица выбора подписи: шесть вариантов по данным ЦЭКИ

На вебинаре ФГБУ «ЦЭКИ» по внедрению Госключа в КЭДО (апрель 2026) представлено сравнение шести вариантов подписи по безопасности, удобству клиентского пути и применимости в КЭДО.

Вариант Безопасность Удобство Применимость в КЭДО Плата за использование
Простая ЭП 10% 100% 10% Стоимость каждого СМС
ПЭП ЕСИА 30% 85% 30% Бесплатно
УНЭП ИС работодателя 50% 75% 80% Около 500 руб. в год на сотрудника
УНЭП Госключ 75% 50% 80% Бесплатно, разовые затраты на интеграцию
УКЭП Госключ 100% 30% 100% Бесплатно, разовые затраты на интеграцию
УКЭП удостоверяющего центра 100% 10% 100% От 2 до 5 тыс. руб. в год на сотрудника

Вывод ЦЭКИ: УНЭП Госключа дает баланс между удобством и безопасностью при отсутствии операционных затрат. Поэтому в типовых внедрениях она становится основной подписью работника, а УКЭП остается за работодателем и за перечнем документов из ст. 22.3 ТК.

Мария Ж, соучредитель сервиса КЭДО Добыто: «Компании часто выбирают подпись по цене и упираются в удобство: УКЭП из удостоверяющего центра надежна, но клиентский путь сотрудника настолько тяжелый, что охват подписания падает. Матрица нужна, чтобы выбирать по трем осям сразу, а не по одной.»

Два способа подключить Госключ к системе КЭДО

Технически интеграция идет через API ЕПГУ: система-инициатор отправляет документ, сотрудник подписывает его в Госключе, обратно возвращается документ и файл подписи sig. Организационно есть две модели, и выбор между ними — это выбор контура персональных данных и объема операционной нагрузки.

Агентская схема: API-ключ вендора

Компания работает через API-ключ, выпущенный на вендора системы КЭДО. Плюс — подключение без собственной регистрации в инфраструктуре. Цена вопроса — персональные данные: раз документы сотрудников идут через инфраструктуру вендора, от каждого работника требуется согласие на передачу ПДн в сторону вендора по 152-ФЗ. Этот пакет согласий надо собрать до раскатки, и его отсутствие — реальное замечание при проверках.

Калькулятор соответствия 152-ФЗ
Проверка готовности обработки персональных данных работников
Базовый режим. Шесть ключевых требований 152-ФЗ к работодателю. Отметьте то, что выполнено в компании.
соответствие 152-ФЗ
Проверено профессионалами · Источник: dobyto.ru — КЭДО Добыто

Самостоятельная схема: свой API-ключ и обезличенный сертификат

Компания получает собственный API-ключ и выпускает обезличенный сертификат электронной подписи. Основание — ч. 3 ст. 14 и пп. 5 ч. 1 ст. 17.2 закона 63-ФЗ, порядок описан в разъяснении ФНС России об обезличенных сертификатах. Ключ формируется с использованием сертифицированных СКЗИ (например, КриптоПро CSP или ViPNet CSP) — самостоятельно заявителем или на рабочем месте оператора УЦ ФНС. Операционные ограничения, о которых молчат инструкции: получить такой сертификат может только руководитель организации, срок действия — один год, перевыпуск ежегодный и личный. При этом группа компаний, работающая в одной информационной системе, вправе использовать один API-ключ и один обезличенный сертификат на несколько организаций — это подтвержденная позиция Минцифры и заметная экономия усилий для холдингов.

Регистрация собственной системы в инфраструктуре проходит четыре шага: регистрация в тестовом контуре API ЕПГУ, доработка ИС, совместное тестирование с Минцифры и подключение к продуктивной среде; на тестовый контур отводится не более 30 дней. Этот срок закладывается в план внедрения отдельной вехой, потому что сдвинуть его усилиями компании нельзя.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Мария Ж, эксперт по внедрению КЭДО: «Выбор схемы — это на 80% вопрос к службе ИБ, а не к кадрам. Агентская схема быстрее, но добавляет согласие на передачу ПДн в пакет каждого сотрудника. Самостоятельная убирает вендора из контура данных, но вешает на генерального директора ежегодный личный перевыпуск сертификата. Обе схемы легитимны, важно честно посчитать нагрузку.»

Образцы документов для запуска подписания через ЕСИА и Госключ

Открыть список документов
Документ Скачать
Приказ о введении КЭДО Скачать
Приказ об утверждении Положения о КЭДО Скачать
Положение о ведении КЭДО Скачать
Уведомление работнику о переходе на КЭДО Скачать
Заявление о согласии на переход на КЭДО Скачать
Заявление об отказе от перехода на КЭДО Скачать
Заявление на выпуск квалифицированного сертификата ЭП Скачать
Заявление на аннулирование сертификата ЭП Скачать

Выбор между агентской и самостоятельной схемой подключения Госключа проще принимать на живом примере: мы показываем, как выглядит контур персональных данных в каждой модели, сколько занимает регистрация в API ЕПГУ и какие документы попадут в пакет сотрудника. Наши специалисты настраивали обе схемы и знают их подводные камни на практике, а не по инструкции.

Настроить выпуск подписей через ЕСИА

Стоимость подписей и тарифы КЭДО с Госключом

Расходы на создание электронной подписи работника несет работодатель — это требование ст. 22.2 ТК РФ, переложить их на сотрудника нельзя. Итоговая стоимость схемы складывается из платы за подписи (для Госключа — ноль), разовых затрат на интеграцию и абонентской платы за систему КЭДО, которая зависит от численности, тарифа и набора модулей. Ориентир по эффекту: в проекте на 1100 сотрудников перевод подписания на УНЭП Госключа сократил документооборот по одному процессу с нескольких недель до 15-30 минут и дал экономию около 0,5 млн руб. в год только на электронных подписях. Для сравнения: при коммерческой УНЭП по 400 руб. на 2500 сотрудников расходы на подписи составляют 1 млн руб. в год.

Тариф Для кого Стоимость Что входит
Старт Небольшие компании, начинающие переход на КЭДО от 30 руб. за сотрудника / мес До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка
Бизнес Средний бизнес с полным набором функций от 50 руб. за сотрудника / мес Без лимита сотрудников, ПЭП/УНЭП/УКЭП, кастомные шаблоны, интеграция с 1С, приоритетная поддержка, электронный архив
Корпорация Крупный бизнес с расширенными требованиями и SLA По запросу Все из Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции

Итоговая цифра зависит от численности, выбранного вида подписи и схемы подключения Госключа, поэтому точный расчет удобнее делать по актуальным тарифам Добыто КЭДО под свой состав документов и модулей.

Пограничные случаи: где связка ЕСИА и подписи ломается

Иностранные сотрудники. Госключ доступен нерезиденту при подтвержденной учетной записи Госуслуг, но подтвердить ее иностранец может только в центрах «Мои документы» — банки в подтверждении отказывают. Это удлиняет онбординг иностранца на визит в МФЦ, что стоит заложить в срок приема.

Штампы подписания. Приложение Госключ не проставляет визуальный штамп на документ. Система КЭДО получает файл подписи sig и может сформировать печатную версию со штампом, но юридически значимым остается исходный документ без штампа — именно он проходит проверку целостности. Путать подписанный файл и его визуализацию нельзя, особенно при передаче документов в суд.

Истекший сертификат. Сертификат УНЭП имеет срок действия, но контролировать его работодателю не нужно: при попытке подписать документ приложение само сообщит об истечении, а выпуск нового сертификата занимает несколько минут. В маршруте подписания достаточно предусмотреть повторную отправку документа.

Сотрудник не справился. По опыту реальных внедрений часть сотрудников не осваивает приложение самостоятельно, случаются и технические сбои на стороне Госключа. Работает связка из базы знаний с короткими роликами процесса подписания и резервного маршрута в ЛНА. Первая волна обращений в поддержку приходится на первые две недели раскатки и дальше падает кратно.

Что проверит ГИТ и суд в схеме с ЕСИА и Госключом

Проверяющих интересует не название приложения, а доказуемость: каким видом подписи подписан документ, было ли на это правовое основание и когда состоялось подписание. Для УНЭП информационной системы работодателя понадобится соглашение с работником; для УНЭП Госключа — корректная формулировка в положении о КЭДО со ссылкой на ч. 2 ст. 22.3 ТК РФ. Момент подписания подтверждается файлом подписи и штампами времени, а полномочия кадровика, подписывающего от имени компании, — действующей МЧД: неотозванная доверенность уволенного сотрудника и истекший срок МЧД — две типовые ошибки, которые всплывают именно при проверке.

Цена ошибки конкретна: документ, подписанный не тем видом подписи или без правового основания, при споре признается неподписанным. Для трудового договора или уведомления об изменении условий это означает риск восстановления работника и выплат за вынужденный прогул, плюс административную ответственность по ст. 5.27 КоАП РФ. Клиенты сервиса со схемой, выстроенной по описанным правилам, уже успешно проходили проверки.

Проверка электронной подписи онлайн

Убедиться, что полученный файл подписи корректен и сертификат действовал на момент подписания, можно без установки программ.

notify

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Файл подписи

Инструменты для ручной работы с файлами подписи, включая программы для подписания документов ЭЦП, пригодятся администратору системы при разборе спорных случаев. Официальная информация о приложении опубликована на странице Госключа портала Госуслуг.

Выводы: три решения перед запуском подписания через ЕСИА

Первое решение — вид подписи работника. Для большинства внедрений это УНЭП Госключа: она бесплатна, выпускается за минуты после авторизации в ЕСИА и по ч. 2 ст. 22.3 ТК РФ не требует отдельного соглашения с работником; УКЭП остается за работодателем и за перечнем документов из ст. 22.3 ТК, а акт о несчастном случае, приказ об увольнении и инструктажи по охране труда ведутся на бумаге по ст. 22.1 ТК.

Второе решение — схема подключения Госключа: агентская с API-ключом вендора и пакетом согласий на передачу ПДн либо самостоятельная со своим API-ключом и обезличенным сертификатом, который руководитель ежегодно перевыпускает лично. Третье решение — резервный маршрут в ЛНА для сотрудников без смартфона и на случай сбоев. Перед раскаткой останется выверить данные сотрудников относительно профилей ЕСИА и формулировки о видах подписи в положении о КЭДО — именно в этих трех точках схема чаще всего ломается, а экономика решения измерима: около 0,5 млн руб. в год на подписях в проекте на 1100 сотрудников.

FAQ: частые вопросы про ЕСИА и подписи в КЭДО

Можно ли подписывать Госключом документы от имени организации?
Госключ выпускает сертификаты физического лица, в том числе УКЭП. Подписывать от имени компании таким сертификатом можно при наличии машиночитаемой доверенности (МЧД), подтверждающей полномочия подписанта.
Какие СКЗИ нужны для обезличенного сертификата?
Формирование ключа и запроса на сертификат выполняется сертифицированными СКЗИ, например КриптоПро CSP или ViPNet CSP, либо на рабочем месте оператора УЦ ФНС. Основание — ч. 3 ст. 14 и пп. 5 ч. 1 ст. 17.2 закона 63-ФЗ.
Может ли группа компаний использовать один API-ключ Госключа?
Да. Несколько организаций группы, работающих в одной информационной системе, вправе использовать один API-ключ и один обезличенный сертификат — это подтвержденная позиция Минцифры.
Сколько занимает подключение своей системы к API ЕПГУ?
Путь состоит из четырех шагов: регистрация в тестовом контуре, доработка системы, совместное тестирование с Минцифры и выход в продуктивную среду. На работу в тестовом контуре отводится не более 30 дней.
Какие варианты идентификации доступны для выпуска УКЭП физлица?
Загранпаспорт нового образца с NFC-чипом, подтвержденная биометрия, действующий сертификат УКЭП или очная идентификация в банке либо МФЦ. После идентификации сертификат выпускает удостоверяющий центр и он появляется в Госключе.
Кто оплачивает выпуск электронной подписи работника?
Работодатель — это требование ст. 22.2 ТК РФ. Для УНЭП и УКЭП Госключа плата за использование отсутствует, остаются только разовые затраты на интеграцию.
Получает ли мессенджер MAX доступ ко всем документам сотрудника при интеграции с Госключом?
Нет. В чат-бот направляется только конкретный документ на подпись; после выбора подписи происходит переход в Госключ, а обратно возвращаются документ и файл подписи sig.
Почему выпуск подписи может заблокироваться при верных, на взгляд сотрудника, данных?
Данные профиля ЕСИА сверяются с государственными реестрами. Устаревший паспорт в профиле, ошибка в СНИЛС или неподтвержденная учетная запись останавливают выпуск до исправления данных на Госуслугах.

Связка ЕСИА и электронной подписи закрывает главный барьер КЭДО — выпуск юридически значимой подписи сотруднику без визитов и затрат. Дальше все решает качество настройки: точные формулировки в положении о КЭДО, выверенные данные сотрудников, правильно выбранная схема подключения Госключа и резервные маршруты на пограничные случаи.

Добыто КЭДО (реестр отечественного ПО № 22664) помогает пройти этот путь на практике: от подготовки локальных актов и согласий до подписания документов УНЭП и УКЭП через Госключ, с внедрением от 1 дня и соответствием требованиям 377-ФЗ, 63-ФЗ и 152-ФЗ.

  • ПЭП и УНЭП для сотрудников бесплатно, без визитов в удостоверяющий центр
  • Подключение Госключа по агентской или самостоятельной схеме с учетом требований ИБ
  • Маршруты подписания с УКЭП работодателя и контролем МЧД подписантов
  • Сверка карточек сотрудников с данными ЕСИА до раскатки, чтобы выпуск подписей не блокировался
  • Электронный архив с файлами подписи sig и штампами времени для проверок ГИТ и суда
  • Опыт внедрений, прошедших проверки, и поддержка сотрудников на этапе освоения Госключа

Запустить КЭДО с Госключом

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Поделиться:

Попробуйте ДОБЫТО КЭДО

Подписывайте кадровые документы электронно. Оставьте заявку и начните работу.