Supongo que ahora que está hablando del documento que el cliente firma y le envía, como un pedido o solicitud de servicio médico:
La mayoría de las soluciones que he visto en este caso, involucran firmas externas. Ergo, no firma con las funciones de firma de PDF, sino que firma todo el archivo como un objeto de datos opaco.
El motivo es que la firma de PDF requiere una CA válida o una "CA de elaboración propia" importada para que el lector de PDF vea la firma como auténtica.
Aquí en Suecia, cuando presta servicios médicos, rellena el formulario PDF (o el formulario web o lo que sea) y luego lo carga en el servicio médico. Luego utiliza una identificación electrónica, aquí en Suecia se llama "Mobilt BankID" (aplicación de identificación móvil) pero realmente no sé qué utiliza en su país para firmarla.
Y al firmarlo, básicamente toma el hash del archivo (SHA-1) y lo envía al servicio de firma electrónica. Por ejemplo:
"Archivo de firma form_2016-11-11_00: 05.pdf con valor de validación SHA1 5C: 1C: 2D ... (resto de hash SHA-1)"
A continuación, guarda efectivamente la firma que recibe del servicio de identificación electrónica, junto con el PDF.
Si aparece alguna duda sobre la manipulación, puede mostrar que el hash del archivo PDF recibido coincide con el hash dentro del mensaje de firma de ID electrónico, y la firma del mensaje coincide con la firma real.
Tenga en cuenta que no puede manipular el archivo PDF, como agregar notas y demás. Si necesita agregar contenido al PDF, debe copiar el PDF en un archivo nuevo, al que puede agregar notas.
Incluso si la mayoría de los usuarios no entienden cómo verificar que el hash coincida con el PDF cuando recibe el mensaje en pantalla "para firmar un archivo con hash XX: XX: XX ....", no importa. Es suficiente que algunos usuarios entiendan cómo verificarlo para hacer que la manipulación sea un riesgo de detección demasiado alto para un atacante.
Debe haber alguna solución oficial (como una identificación electrónica del gobierno o algo así) destinada al uso del cliente, que se puede usar de acuerdo con HIPAA o DPA.
Sin embargo, si, en cambio, está a punto de firmar los documentos que está enviando al cliente, es suficiente para comprar un certificado destinado a la firma de documentos. Luego utiliza las herramientas de firma de PDF para firmar el PDF.
El PDF se puede ver en cualquier computadora, y si el software PDF admite firmas digitales, la firma se validará automáticamente. El cliente NO necesita instalar ningún software personalizado.