Хранение электронной подписи для КЭДО сводится к одному выбору: держать закрытый ключ на физическом токене или вынести его в облако. От этого решения зависит, сколько вы заплатите за подпись каждого сотрудника, как быстро человек подпишет трудовой договор и не споткнётесь ли вы на массовой выдаче подписей при приёме целого отдела. В этом материале разберём, чем отличаются неизвлекаемые ключи на Рутокене от облачной подписи и Госключа, какой способ хранения подходит работнику, а какой — работодателю, и сколько это стоит в 2026 году.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Какие виды электронной подписи нужны для КЭДО
Прежде чем спорить про токен и облако, надо понять, что именно вы храните. В кадровом электронном документообороте используют три вида подписи: простую (ПЭП), усиленную неквалифицированную (УНЭП) и усиленную квалифицированную (УКЭП). Распределение по документам жёстко прописано в статье 22.3 ТК РФ, и логику тут искать бессмысленно — её нужно просто выполнять.
Работодатель ключевые документы подписывает только УКЭП. Это трудовой договор, договор о материальной ответственности, ученический договор и договор на обучение, приказ о дисциплинарном взыскании, уведомление об изменении условий трудового договора. Работник те же документы подписывает либо УКЭП, либо УНЭП — в том числе той неквалифицированной подписью, что выпускается прямо внутри информационной системы по правилам Постановления Правительства. Всё остальное — заявления, ознакомления с ЛНА, согласия — сотрудник может подписывать простой электронной подписью.
Почему это важно для темы хранения? Потому что УКЭП почти всегда живёт на токене или в облаке аккредитованного удостоверяющего центра, УНЭП чаще всего облачная, а ПЭП вообще не имеет сертификата и хранится как пара логин-пароль с подтверждением через одноразовый код. То есть способ хранения напрямую завязан на тип подписи, а тип подписи — на документ. Если кто-то обещает вам подписать трудовой договор простой электронной подписью, это логическая невозможность: ПЭП для трудового договора не подходит.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Самая частая путаница у эйчаров — думают, что всем сотрудникам нужна УКЭП на флешке. Нет. Для работника в большинстве кадровых процессов хватает УНЭП, а это совсем другие денежки и совсем другой способ хранения. УКЭП на токене мы обычно оставляем работодателю — кадровику и руководителю.»
Где физически хранится электронная подпись: три варианта
Закрытый ключ — та самая закрытка, которой и формируется подпись — должен где-то находиться. Вариантов по факту три: аппаратный токен, облачное хранилище и Госключ как частный случай облака от государства. Разберём каждый, потому что выбор для КЭДО строится именно на этом.
Токен и флешка — аппаратное хранение
Токен (в народе — флешка, хотя это не флешка) это защищённый пин-кодом носитель: Рутокен, JaCarta и подобные. Здесь есть тонкость, которую мало кто понимает с первого раза. Ключи на токене делятся на извлекаемые и неизвлекаемые.
Извлекаемые ключи генерируются программным крипто-провайдером, а токен выступает просто как защищённое хранилище. Во время подписания закрытый ключ ненадолго выгружается в оперативную память компьютера — отсюда и название. Такие ключи бывают экспортируемые и неэкспортируемые. Удостоверяющий центр ФНС, например, выдаёт только неэкспортируемый контейнер: скопировать его нельзя, это сделано ради безопасности.
Неизвлекаемые ключи (формат ФКН) — другая история. Они рождаются внутри крипто-ядра микроконтроллера и наружу не выходят никогда. Подпись формируется на борту самого токена, ключевая информация в компьютер не передаётся. Скопировать такой ключ невозможно физически. Самое защищённое решение — ФКН с защитой канала по протоколу SESPAKE, когда даже пин-код не передаётся в открытом виде.
Практический нюанс с моделями. Рутокен Лайт — пассивный токен, он умеет быть только хранилищем для извлекаемых ключей, крипто-ядра внутри нет. Рутокен ЭЦП 3.0 — активный, генерирует неизвлекаемые ключи и при этом может работать в пассивном режиме, если переключить. Чтобы всё это заработало, на каждом компьютере, где подписывают, нужен установленный КриптоПро CSP с лицензией. Версия 4.0 умеет только извлекаемые ключи, 5.0 уже гибридная — тянет и пассивные, и активные, и ФКН. На один токен помещается порядка 31 контейнера в обычном формате, а если контейнеры тяжёлые, с большими сертификатами, то и десяток уже много (один контейнер с обвязкой это примерно 12 килобайт).
И вот тут начинаются грабли для КЭДО. Установить КриптоПро и раздать токены десятку бухгалтеров — нормально. Раздать токены трём тысячам линейного персонала, обучить каждого вставлять флешку и вводить пин — трудоёмкий процесс, на котором тонет любой проект внедрения. В практике Добыто этап обучения сотрудников работе с носителями почти всегда занимает больше времени, чем закладывает заказчик.
Облачная подпись — ключ хранится на сервере
Облачная (она же дистанционная) подпись убирает токен из уравнения. Закрытый ключ хранится не у пользователя на столе, а в защищённом модуле на сервере — в инфраструктуре удостоверяющего центра или провайдера. Когда сотрудник нажимает кнопку подписания, документ уходит на сервер, там формируется подпись, и результат возвращается обратно. Технологически в России это реализуют через КриптоПро DSS и связку с мобильным приложением MyDSS.
Для кадрового документооборота это удобно по очевидной причине: сотруднику не нужно ничего устанавливать, носить с собой и терять. Подписал с телефона — в командировке, в отпуске, из дома. Отдельный плюс — бесконтактная подпись через NFC, когда токен прикладывается к смартфону, но даже она для массовых процессов проигрывает чистому облаку, где носителя нет вообще.
Минус облака — доверие к инфраструктуре. Ключ лежит не у вас, и вы полагаетесь на безопасность хранилища провайдера. Поэтому при выборе облачного решения смотрят на сертификаты ФСБ и ФСТЭК, на соответствие 152-ФЗ и на то, где физически стоят серверы. В сервисе Добыто облачные подписи сотрудников выпускаются и хранятся в защищённом контуре, а для компаний с жёсткими требованиями ИБ есть поставка on-premise, когда вся инфраструктура разворачивается внутри периметра заказчика.
Мария Ж, судебный эксперт в сфере трудового права:
«Когда кадровик слышит ‘ключ в облаке’, первая реакция — а это вообще законно и устоит ли в суде. Устоит. Облачная УНЭП, выпущенная по правилам в информационной системе, ничем не хуже подписи с токена. Юридическая значимость держится на 63-ФЗ и 377-м законе, а не на том, лежит закрытка на флешке или на сервере.»
Госключ — облачная мобильная подпись от Минцифры
Госключ (в обиходе — гусключ) это мобильное приложение от Минцифры, по сути частный случай облачной подписи. Оно формирует усиленную неквалифицированную подпись, а с недавнего времени и квалифицированную. Ключ хранится в государственной защищённой инфраструктуре, идентификация проходит дистанционно за несколько минут, ехать никуда не надо. Регулируется это Постановлением Правительства от 01.12.2021 № 2152.
Для работника главное преимущество — сервис бесплатный для граждан, и подпись доступна примерно семи миллионам пользователей старше 14 лет с подтверждённой учётной записью. Сотрудник подписывает трудовой договор или заявление на отпуск, не приходя в офис. Раньше у Госключа был ощутимый недостаток — отдельное приложение, отделённое от Госуслуг. Сейчас он переехал внутрь приложения Госуслуг, барьер снимается. Подробно про возможности подписи можно посмотреть на странице сервиса Госключ на портале Госуслуг.
На текущий момент Госключ выглядит как технология, которая может заменить почти все виды подписей в любых правоотношениях — от КЭДО до договоров купли-продажи недвижимости. Но для кадровика тут есть нюанс: не все процессы и не все категории сотрудников он закрывает одинаково гладко, и интеграция Госключа в систему КЭДО требует отдельной настройки на стороне оператора.
Образцы документов для перехода на КЭДО и настройки подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец личной карточки работника | Скачать |
Токен или облако: сравнение для кадрового документооборота
Сведём различия в одну таблицу. Она не про то, что лучше вообще, а про то, что подходит под кадровые задачи и под численность штата.
| Критерий | Токен (аппаратный носитель) | Облако / Госключ |
|---|---|---|
| Где лежит ключ | На физическом носителе у пользователя | На защищённом сервере провайдера или государства |
| Нужно ставить КриптоПро | Да, на каждое рабочее место | Нет, подпись с телефона или браузера |
| Подпись с телефона | Только через NFC-модели | Да, штатно |
| Массовая выдача сотрудникам | Трудоёмко, дорого на масштабе | Быстро, без раздачи носителей |
| Риск потери носителя | Есть (флешку теряют) | Нет физического носителя |
| Где уместно | Работодатель, кадровик, руководитель (УКЭП) | Линейный персонал, удалёнщики (УНЭП/ПЭП) |
Вывод из таблицы простой: для одного-двух подписантов со стороны работодателя токен оправдан, потому что УКЭП и так почти всегда живёт на носителе. Для штата от нескольких сотен человек тащить токены каждому — значит закопать проект внедрения в логистике и обучении. Здесь выигрывает облако.
Как выбрать способ хранения ЭП для сотрудников и для работодателя
Разделите задачу на две роли, и всё встанет на места. Работодатель — это юрлицо в лице руководителя и кадровиков, которые подписывают документы со стороны компании. Им нужна УКЭП, и хранить её логично на токене с неизвлекаемым ключом: самый защищённый формат, ключ не утекает, подпись формируется на борту. Это, как правило, единичные носители, а не массовка.
Сотрудники — другая история. Им в большинстве кадровых процессов достаточно УНЭП, а для части документов и ПЭП. Закрытка тут уходит в облако: либо в инфраструктуру оператора КЭДО, либо в Госключ. Важный момент по деньгам — расходы на получение и использование подписи работника несёт работодатель, перекладывать их на сотрудника нельзя. Поэтому облачная УНЭП, которая выпускается бесплатно прямо внутри сервиса, экономит бюджет напрямую.
Самый частый затык на внедрении — это именно момент массовой выдачи подписей, когда нужно за неделю подключить несколько сотен человек, а половина из них работает удалённо и токен им физически не довезти. Если на этом этапе пойти не тем путём, проект растягивается на лишний месяц. В сервисе Добыто массовая выдача облачных подписей делается одним нажатием, без оформления каждого сотрудника поштучно, и мы сопровождаем клиента до первых пятидесяти подписаний.
Отдельная категория — самозанятые и работники по ГПХ. Их тоже можно подключить к КЭДО, и для них облачная подпись практически безальтернативна, потому что выдавать токен подрядчику никто не будет. Кстати, выбор подходящего инструмента для подписания удобно начинать с обзора программ для подписания документов ЭЦП — там видно, какой софт под какой носитель заточен.
Как подключить электронную подпись сотрудникам в КЭДО: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Определите, кто и что подписывает: для работодателя по ключевым документам — УКЭП на токене, для сотрудников — облачная УНЭП или Госключ.
- Шаг 2. Получите согласие работников на ведение КЭДО и оформите положение о КЭДО — без этого переводить штат на электронный документооборот нельзя по статье 22.2 ТК РФ.
- Шаг 3. Для работодателя выпустите УКЭП в удостоверяющем центре ФНС и запишите её на токен с неизвлекаемым ключом, установите КриптоПро CSP на рабочие места кадровой службы.
- Шаг 4. Для сотрудников настройте выпуск облачной УНЭП внутри сервиса КЭДО или подключите Госключ, проведите идентификацию через подтверждённую учётную запись.
- Шаг 5. Запустите пилот на одной группе, проверьте маршруты подписания, и только потом раскатывайте на всю компанию.
Подписать документ электронной подписью онлайн
Проверить, как работает облачное подписание без токена и установки программ, можно прямо здесь.
Безопасность и долговременное хранение подписанных документов
Хранение ключа и хранение подписанного документа — две разные задачи, и вторую часто забывают. По ключу всё понятно: неизвлекаемый формат на токене максимально защищён, потому что закрытка не покидает носитель, а облако защищается шифрованием канала, сертификатами ФСБ и ФСТЭК, соответствием 152-ФЗ.
А вот документы, подписанные электронной подписью, нужно хранить долго — кадровые сроки доходят до 50 лет. Проблема в том, что сертификат подписи действует ограниченный срок, а крипто-алгоритмы со временем меняются. Чтобы подпись оставалась проверяемой через годы, на неё накладывают метки доверенного времени и периодически добавляют подпись поверх старой при смене алгоритмов. В профессиональной среде это называют ухаживанием за подписью. Для КЭДО это значит, что система должна уметь не только подписать, но и сохранить всю цепочку с отметками времени — это защита при проверках ГИТ и в суде. В Добыто вся цепочка подписей фиксируется с метками времени, а архив доступен даже при расторжении договора с провайдером.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Компании смотрят на крипту в момент подписания и забывают про хранение. А потом через пять лет инспектор ГИТ просит документ, а подпись уже нечем проверить, потому что за ней не ухаживали. Поэтому при выборе системы я всегда спрашиваю не только про токен или облако, но и про то, как сервис держит архив и метки времени.»
Стоимость хранения электронной подписи и тарифы КЭДО в 2026 году
Итоговая стоимость складывается из двух частей: подписка на сам сервис КЭДО и стоимость подписей. На способе хранения экономят как раз за счёт облака — не нужно покупать токены и лицензии КриптоПро на каждого сотрудника, облачная УНЭП и ПЭП обычно уже входят в тариф. Цена сервиса зависит от численности персонала, набора подписей и нужных модулей.
| Тариф | Стоимость | Что входит |
|---|---|---|
| Старт | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка |
| Бизнес | от 50 ₽ за сотрудника / мес * | Неограниченно сотрудников, ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив, приоритетная поддержка |
| Корпорация | По запросу | Всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции |
По тарифу Бизнес действует условие минимальной оплаты — 50 сотрудников за 30 000 ₽ в год. Точная сумма для вашей компании зависит от штата, нужен ли электронный архив и интеграция с 1С, какие виды подписи подключаете — актуальные тарифы сервиса Добыто помогут рассчитать бюджет под вашу численность. Если в смету закладываете УКЭП для работодателя на токене, отдельно посчитайте лицензии КриптоПро через калькулятор КриптоПро.
Выводы: что важно запомнить о хранении ЭП для КЭДО
Способ хранения электронной подписи в КЭДО привязан к роли и к виду подписи. Работодатель ключевые документы подписывает УКЭП, и её разумно держать на токене с неизвлекаемым ключом — это самый защищённый формат, где закрытый ключ не покидает носитель. Сотрудникам в большинстве процессов хватает УНЭП или ПЭП, и для них облачное хранение практичнее: ничего не нужно устанавливать, носить и терять, а подписать можно с телефона. Распределение подписей по документам задаёт статья 22.3 ТК РФ, юридическую силу обеспечивают 63-ФЗ и 377-ФЗ.
На практике выбор почти всегда сводится к численности. До нескольких десятков подписантов токен оправдан, при штате от сотен человек массовая раздача носителей становится трудоёмкой, и выигрывает облако или Госключ. Расходы на подпись работника несёт работодатель, поэтому бесплатная облачная УНЭП внутри сервиса напрямую снижает бюджет. Не забывайте про вторую сторону вопроса — долговременное хранение: подпись нужно сопровождать метками времени, иначе через годы её нечем будет проверить.
В перспективе ближайших лет рынок движется к облаку и Госключу: государство постепенно расширяет охват Госключа, и он встроен прямо в Госуслуги. КЭДО пока остаётся необязательным, но по аналогии с электронной отчётностью и счетами-фактурами движение к обязательности — вопрос времени. Закладывать гибкую систему хранения подписи стоит уже сейчас.
Часто задаваемые вопросы
Чем отличается извлекаемый ключ от неизвлекаемого?
Можно ли вести КЭДО без токенов и КриптоПро?
Безопасно ли хранить электронную подпись в облаке?
Сколько подписей помещается на один токен?
Кто оплачивает электронную подпись сотрудника в КЭДО?
Что такое Госключ и подходит ли он для кадровых документов?
Какая версия КриптоПро CSP нужна для работы с токеном?
Что выбрать для удалённых сотрудников — токен или облако?
Можно ли подписать кадровый документ простой электронной подписью?
Как хранить подписанные документы, чтобы подпись осталась действительной через годы?
Можно ли подписывать с телефона по NFC?
Выбор между токеном и облаком на бумаге выглядит простым, а на внедрении упирается в численность, удалёнщиков, требования безопасности и сроки хранения документов. Сервис Добыто закрывает обе роли сразу: УКЭП на токене для работодателя и облачную подпись для сотрудников в одном интерфейсе, без раздачи носителей и без установки КриптоПро каждому.
За время работы мы подключили к КЭДО сотни компаний разного масштаба — от небольших команд до организаций с тысячами сотрудников и удалёнными подразделениями. Подберём способ хранения подписи под вашу численность и требования ИБ, проведём пилот и доведём до самостоятельной работы.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Мобильное приложение для подписания с телефона — в командировке, в отпуске, без похода в отдел кадров
- Массовая выдача облачных подписей одним нажатием — не нужно оформлять каждого сотрудника поштучно
- Три вида поставки — облачная, on-premise, гибридная — под требования ИБ и VPN-периметра компании
- Вся цепочка подписей фиксируется с метками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Работа со штатными сотрудниками, самозанятыми и ГПХ в одном сервисе