الانتقال إلى المحتوى الرئيسي
Certyneo

صفحة التحقق برسالة SMS للرد على استدعاء العروض

تأمين الرد على استدعاء العروض برمز SMS يعزز القيمة الإثباتية للمستند ويسرع الإجراء. اكتشف كيفية تكوين هذه الخطوة الأساسية.

Équipe éditoriale Certyneo11 دقيقة قراءة

Équipe éditoriale Certyneo

محرر — Certyneo · عن Certyneo

عندما تقوم شركة بالرد على استدعاء عروض عام أو خاص، تكون مسألة القيمة القانونية للملف المرسل محورية. قد يتم الطعن في المستند الموقع إلكترونياً دون آلية مصادقة قوية أمام المحكمة أو قد يرفضه المشتري العام. هنا بالضبط يأتي دور صفحة التحقق برمز SMS: هذه خطوة مصادقة باستخدام كلمة مرور لمرة واحدة (OTP) تعزز إثبات موافقة صاحب العرض، وتستوفي متطلبات لائحة eIDAS، وتضمن التتبع الكامل لمسار التوقيع. في هذه المقالة، نوضح لماذا وكيفية تنفيذ هذه الآلية في سير عمل ردك على استدعاء العروض، مروراً بالمتطلبات التقنية والتكوين خطوة بخطوة والممارسات الجيدة الواجب اتباعها.

لماذا تدمج التحقق برمز SMS في ردك على استدعاء العروض

القيمة الإثباتية في صميم المشتريات العامة

يفرض إطار المشتريات العامة الفرنسية أن تستوفي العروض المرسلة بطريقة إلكترونية المتطلبات التي حددها المرسوم رقم 2016-360 الصادر في 25 مارس 2016 بشأن المشتريات العامة. منذ 1 أكتوبر 2018، تستلزم أي استشارة تتجاوز قيمتها المقدرة 40000 يورو غير شامل الضرائب إلكترونية إلزامية عبر منصة إيداع معتمدة (ملف المشتري). في هذا السياق، يشكل التوقيع الإلكتروني المقترن بآلية OTP عبر SMS توقيع إلكتروني متقدم بمعنى لائحة eIDAS، أي:

  • مرتبط بالموقع بطريقة فريدة؛
  • يسمح بتحديد هوية الموقع؛
  • تم إنشاؤه من بيانات يمكن للموقع أن يستخدمها تحت سيطرته الحصرية؛
  • مرتبط بالبيانات الموقعة بطريقة تسمح بكشف أي تعديل لاحق.

بدون هذا المستوى من المصادقة، قد يكون التوقيع البسيط (النقر أو خانة اختيار) غير كافٍ لملزمة صاحب العرض قانونياً، خاصة عندما يطلب المشتري توقيع متقدم أو مؤهل لمجموعات معينة حساسة.

تقليل مخاطر الطعن والعدم الامتثال

قد يتم إعلان ملف الرد على استدعاء العروض بأنه غير منتظم إذا رأى صاحب الصفقة أن هوية الموقع لم تُثبت بشكل كافٍ. إضافة صفحة التحقق برسالة SMS تنشئ عامل مصادقة ثاني (2FA) الذي، عند دمجه مع الهوية المثبتة مسبقاً، يشكل إثبات قوي. في حالة نزاع أمام المحكمة الإدارية أو قاضي العقد، يشكل سجل التدقيق المختوم بالوقت (الطابع الزمني، رقم الهاتف المخفي، عنوان IP، بصمة المستند) إثبات مقبول.

لمزيد من المعلومات حول الأساسيات، يشرح الدليل الشامل للتوقيع الإلكتروني المستويات المختلفة للتوقيع وتداعياتها القانونية بموجب القانون الفرنسي والأوروبي.

المكونات التقنية لصفحة التحقق برسالة SMS

بنية OTP وقناة SMS

تعتمد صفحة التحقق برمز SMS على ثلاثة مكونات مترابطة:

  1. مولد OTP (كلمة المرور لمرة واحدة): تولد خوارزمية TOTP (OTP المستندة إلى الوقت، RFC 6238) أو HOTP (OTP المستندة على HMAC، RFC 4226) رمز مكون من 6 أرقام، صالح عادة لمدة 5 إلى 10 دقائق.
  2. بوابة SMS (بوابة الرسائل القصيرة): يقوم مشغل معتمد (على سبيل المثال Twilio أو OVHcloud SMS أو Brevo) بإيصال الرمز إلى رقم هاتف صاحب العرض المسجل أثناء مرحلة الدعوة أو التسجيل.
  3. واجهة إدخال آمنة: يجب أن تمتثل الصفحة الويب المعروضة لصاحب العرض لمتطلبات WCAG 2.1 (إمكانية الوصول)، وتعرض بوضوح انتهاء صلاحية الرمز وتقترح آلية إعادة إرسال محدودة (منع الإساءة، بحد أقصى 3 محاولات).

من منظور الأمان، يجب التحقق من رقم الهاتف مسبقاً (التحقق أثناء بدء التشغيل) وتخزينه بشكل مشفر في قاعدة البيانات، وفقاً لمتطلبات نظام حماية البيانات العام (RGPD) (المادة 32 بشأن أمان المعالجة).

التكامل في سير عمل التوقيع Certyneo

في منصة Certyneo، تتم إضافة صفحة التحقق برسالة SMS مباشرة من واجهة تكوين مسار التوقيع. فيما يلي الخطوات:

الخطوة 1 — إنشاء أو استيراد مستند الرد قم بتحميل ذاكرتك التقنية أو عملك الملتزم به أو أي جزء آخر يشكل العرض. يسمح مولد العقود بالذكاء الاصطناعي من Certyneo أيضاً بملء بعض المستندات النموذجية مسبقاً.

الخطوة 2 — تكوين الموقعين أدخل الاسم والنسب والبريد الإلكتروني ورقم الهاتف المحمول (صيغة E.164، على سبيل المثال +33 6 XX XX XX XX) لكل شخص مصرح له بتوقيع العرض. هذا الحقل إلزامي لتفعيل التحقق برسالة SMS.

الخطوة 3 — تفعيل مصادقة OTP SMS في قائمة «أمان المسار»، حدد الخيار «التحقق برمز SMS». يمكنك تكوين:

  • مدة صلاحية الرمز (موصى به: 5 دقائق)؛
  • الحد الأقصى لعدد المحاولات (موصى به: 3)؛
  • الرسالة المخصصة المرسلة للموقع (ذكر استدعاء العروض أو مرجع الاستشارة).

الخطوة 4 — تخصيص صفحة التحقق توفر واجهة Certyneo محرر صفحة «بدون كود» يسمح بإضافة شعار مؤسستك وعنوان الاستشارة وتعليمات واضحة لصاحب العرض. يعزز هذا التخصيص الثقة ويقلل من الهجران.

الخطوة 5 — اختبر المسار في وضع الحماية (Sandbox) قبل الإرسال الفعلي، استخدم وضع اختبار Certyneo لمحاكاة استقبال رسالة SMS وإدخال الرمز. تحقق من أن سجل التدقيق يلتقط بشكل صحيح: الطابع الزمني وبصمة SHA-256 للمستند ورقم الهاتف المخفي وعنوان IP للجهاز المستخدم.

الممارسات الجيدة للتكوين الأمثل

توقع القيود التشغيلية لصاحب العرض

في سياق استدعاء العروض، قد يكون صاحب العرض شخصاً طبيعياً أو الممثل القانوني لمؤسسة صغيرة ومتوسطة أو مجموعة مؤقتة من الشركات (GME) أو مجموعة كبيرة. يجب توقع عدة قيود تشغيلية:

  • عدم توفر رقم الهاتف: إذا كان الموقع المعين في رحلة خارجية دولية، قد لا تصل رسالة SMS في الوقت المناسب. توفير خيار تفويض التوقيع مع إخطار مسبق.
  • تناوب المسؤولين: في المنظمات الكبيرة، قد يتغير الرئيس التنفيذي الموقع بين إرسال الدعوة وتاريخ الانتهاء من الإيداع. يجب أن يكون حقل «رقم الهاتف» قابلاً للتعديل من قبل مسؤول الحساب حتى 24 ساعة قبل الموعد النهائي.
  • إمكانية الوصول: قد يواجه بعض المستخدمين ذوي الإعاقة صعوبات في إدخال رمز مؤقت. اقترح بديل صوتي (مكالمة آلية لقراءة الرمز) إذا سمحت بنيتك التحتية بذلك.

الأرشفة والمسار القابل للتدقيق المتوافق

صفحة التحقق برسالة SMS تشكل فقط حلقة واحدة في آلية الإثبات. لكي يكون الملف بأكمله قابلاً للاعتراض، يجب أن تكون الأرشفة متوافقة مع معيار ETSI EN 319 132 (XAdES) أو ETSI EN 319 122 (CAdES) وفقاً لصيغة التوقيع المختارة. ينشئ Certyneo تلقائياً تقرير توقيع بتنسيق PDF/A يتضمن:

  • قائمة الموقعين مع مستوى المصادقة الخاص بهم؛
  • الطوابع الزمنية المعتمدة (RFC 3161)؛
  • السجل الكامل لأحداث رسائل SMS (الإرسال والاستقبال المؤكد والإدخال الصحيح أو الخاطئ).

يجب الحفاظ على هذا التقرير طوال فترة صلاحية الاتفاق، وربما ما بعده في حالة نزاع. بالنسبة للمشتريات العامة، ينص قانون المشتريات العامة (المادتان L. 2194-1 وما يليها) على فترات حفظ قد تصل إلى 10 سنوات. توجد التفاصيل حول الأسعار وخيارات الأرشفة طويلة الأجل على صفحة أسعار Certyneo.

التكامل مع منصات إلغاء التصنيع (ملفات المشتري)

عندما ينتقل الرد على استدعاء العروض عبر منصة طرف ثالث (AWS Marchés أو e-Attestations أو Achat Public أو Klekoon وغيرها)، يمكن استخدام Certyneo مسبقاً لتوقيع والتحقق من المستندات المكونة للعرض داخلياً قبل إيداعها على ملف المشتري. يتم بعد ذلك تحميل الملف الموقع (بصيغة XAdES أو PAdES) على المنصة، مصحوباً بتقرير توقيع Certyneo كإثبات على المصادقة.

إذا كانت مؤسستك تستخدم بالفعل حلاً منافساً، فإن صفحة الترحيل إلى Certyneo توضح كيفية نقل مساراتك الحالية دون فقدان البيانات أو انقطاع الخدمة.

الأمان وحماية البيانات والعام وإدارة بيانات الهاتفية

معالجة البيانات الشخصية لرقم الهاتف

رقم الهاتف المحمول هو بيانات شخصية بمعنى المادة 4 من النظام الأوروبي لحماية البيانات (RGPD). يتطلب استخدامه في سياق التحقق من OTP:

  • أساس قانوني محدد بوضوح: تنفيذ العقد (المادة 6.1.b RGPD) أو المصلحة المشروعة (المادة 6.1.f RGPD) حسب العلاقة بين مُطلق استدعاء العروض وصاحب العرض؛
  • إخطار مسبق لصاحب العرض حول استخدام رقمه (ذكر في شروط الخدمة أو في بريد الدعوة)؛
  • فترة احتفاظ محدودة: لا يجب الاحتفاظ برقم الهاتف بعد انتهاء مسار التوقيع، إلا للأرشفة القانونية المبررة.

ستجد الفرق القانونية وموظفو حماية البيانات موارد إضافية في قاموس التوقيع الإلكتروني، الذي يشير إلى التعريفات الرئيسية للنظام العام لحماية البيانات المطبقة على سير عمل التوقيع.

مقاومة الهجمات ومكافحة الاحتيال

التحقق برسالة SMS معرض لمتجهات هجوم معينة (استبدال SIM وانقطاع SS7). بالنسبة للأسواق ذات المخاطر العالية (المبالغ > 500000 يورو غير شامل الضرائب)، توصي Certyneo بدمج OTP SMS مع:

  • التحقق من الهوية في المرحلة السابقة (KYC مستندات أو IDnow)؛
  • طابع زمني مؤهل يقدمه مزود خدمات موثوق (Trust Service Provider، TSP) معتمد eIDAS؛
  • تنبيه فوري في حالة تغيير رقم الهاتف في الساعات الـ 48 السابقة للتوقيع.

تجعل هذه التدابير الإضافية التوقيع ينزلق نحو المستوى المؤهل eIDAS، الأعلى المعترف به بموجب اللائحة الأوروبية، وتشكل ضماناً أقصى للأسواق العامة الحساسة أو المصنفة.

الإطار القانوني المنطبق على التحقق برسالة SMS في استدعاءات العروض

لائحة eIDAS رقم 910/2014 ومستويات التوقيع الخاصة بها

تشكل لائحة (الاتحاد الأوروبي) رقم 910/2014 من البرلمان الأوروبي والمجلس (eIDAS) الأساس التنظيمي للتوقيع الإلكتروني في أوروبا. وهي تميز بين ثلاثة مستويات:

  • توقيع إلكتروني بسيط (المادة 3.10): بيانات بصيغة إلكترونية مرتبطة أو مقترنة ببيانات أخرى، يستخدمها الموقع للتوقيع. قيمة قانونية محدودة للمشتريات العامة.
  • توقيع إلكتروني متقدم (المادة 3.11): يستوفي متطلبات المادة 26 eIDAS، بما في ذلك تفرد الارتباط بالموقع وقابلية الكشف عن أي تعديل. يسمح التحقق من OTP عبر SMS، المقترن بالتعريف المسبق، بالوصول إلى هذا المستوى.
  • توقيع إلكتروني مؤهل (المادة 3.12): تم إنشاؤه باستخدام جهاز إنشاء توقيع مؤهل، بناءً على شهادة مؤهلة صادرة عن TSP معتمد. المستوى الوحيد الذي له تأثير قانوني مكافئ للتوقيع اليدوي في جميع الدول الأعضاء (المادة 25.2 eIDAS).

القانون المدني الفرنسي — المادتان 1366 و1367

تنص المادة 1366 من القانون المدني على أن «الكتابة الإلكترونية لها نفس القوة الإثباتية للكتابة على ورق، بشرط أن يمكن تحديد هوية الشخص الذي تصدر عنه بشكل صحيح وأن يتم إثباتها والحفاظ عليها بطريقة من شأنها ضمان سلامتها». توضح المادة 1367 أن «التوقيع الإلكتروني يتضمن استخدام إجراء موثوق به للتعريف يضمن ارتباطه بالعمل الذي يتعلق به».

يساهم OTP عبر SMS بشكل مباشر في استيفاء شرط التعريف الموثوق به المحدد في المادة 1367، من خلال إنشاء ارتباط بين رقم الهاتف المسجل والعمل الموقع.

قانون المشتريات العامة

تفرض المادتان R. 2132-7 والمتابعة من قانون المشتريات العامة أن تكون العروض المرسلة بطريقة إلكترونية موقعة بتوقيع إلكتروني متقدم على الأقل يعتمد على شهادة مؤهلة. يدخل التحقق برسالة SMS في الآلية الكفيلة بتحقيق هذا المستوى، بشرط أن يتم توثيق وأرشفة مسار التوقيع بأكمله.

النظام العام لحماية البيانات (RGPD) رقم 2016/679 — حماية بيانات الهاتفية

تفرض المادة 32 من النظام العام لحماية البيانات تدابير تقنية وتنظيمية مناسبة لضمان أمان البيانات المعالجة، بما في ذلك التشفير والإخفاء. يجب تشفير رقم الهاتف المستخدم لـ OTP عبر SMS أثناء الراحة والنقل (TLS 1.3 على الأقل). تفرض المادة 5.1.e تحديد الاحتفاظ: لا يمكن الاحتفاظ برقم الهاتف إلا للمدة اللازمة تماماً لتحقيق الغاية من المعالجة.

معايير ETSI المنطبقة

  • ETSI EN 319 132 (XAdES): صيغة توقيع XML متقدمة، موصى بها لوثائق المشتريات العامة بصيغة XML.
  • ETSI EN 319 122 (CAdES): صيغة توقيع CMS متقدمة، مناسبة للملفات الثنائية (PDF، ZIP).
  • ETSI EN 319 102-1: إجراءات إنشاء والتحقق من التوقيعات الإلكترونية، مدمجة مع الطابع الزمني المؤهل RFC 3161.

عدم الامتثال لهذه المعايير يعرض مطلق العرض أو صاحب العرض لخطر رفض العرض لعدم انتظام شكلي، أو عدم قابلية التوقيع للاعتراض به في حالة نزاع عقدي.

سيناريوهات الاستخدام الملموسة

السيناريو 1 — مكتب هندسة يرد على عقد الهندسة المعمارية والهندسة

مكتب هندسي متخصص في البنية التحتية، يضم حوالي ثلاثين مهندساً ويدير في المتوسط من 15 إلى 20 رد على استدعاءات عروض سنوياً، يجب أن يوقع عدة مستندات تكوِّن العرض: العمل الملتزم به والمذكرة التقنية والشهادات على الانتظام المالي والاجتماعي. قبل تنفيذ التحقق برسالة SMS، كان الإجراء يعتمد على تبادل ملفات PDF موقعة يدوياً وممسوحة ضوئياً وإعادة نقلها عبر البريد الإلكتروني، مما تسبب في تأخير متوسط من 48 إلى 72 ساعة لكل ملف.

بتكوين مسار Certyneo مع التحقق من OTP عبر SMS لكل موقع داخلي (مدير تقني وصاحب)، قلل المكتب هذا التأخير إلى أقل من ساعتين. يتم إرسال تقرير التوقيع المُنشأ تلقائياً مع الملف المودع على ملف المشتري، مما يستوفي متطلبات التوقيع المتقدم. تُقدر الدراسات القطاعية حول إلغاء التصنيع بين الشركات بانخفاض 60-70% في وقت معالجة المعاملات الإدارية عند الانتقال إلى التوقيع الإلكتروني مع المصادقة القوية.

السيناريو 2 — مجموعة مؤقتة من الشركات (GME) على سوق أعمال

في إطار سوق مشتريات عامة للأعمال (إزالة الركام + الأساسات)، تشكل شركتان مجموعة مؤقتة مشتركة. يجب على كل موكل التوقيع على العمل الملتزم به نيابة عن شركته. تقع الشركتان في مدن مختلفة، وتاريخ انتهاء الحد الأقصى لتقديم العروض هو الساعة 12:00.

بفضل ميزة التوقيعات المتوازية في Certyneo، يتلقى كلا الموقعين في نفس الوقت رابط دعوة عبر البريد الإلكتروني. يحصل كل منهما على صفحة التحقق الخاصة به، ويدخل رمز OTP الخاص به المستقبل برسالة SMS في أقل من دقيقة، ويختم توقيعه الإلكتروني المتقدم. يتلقى منسق المجموعة المؤقتة على الفور إخطار الإكمال ويمكنه تحميل الملف النهائي قبل الموعد النهائي. يوضح هذا السيناريو كيف يقضي التحقق برسالة SMS على خطر التأخير المرتبط بتنسيق المواقع المتعددة، وهي مشكلة تمثل وفقاً لبعض الدراسات حوالي 30% من الإيداعات المتأخرة في الردود على التجميع.

السيناريو 3 — سلطة محلية تصدر استدعاء العروض

قد تعتمد السلطة المحلية بحجم متوسط (بين 50000 و200000 نسمة) التي تريد ليس الرد على استدعاء عروض بل إصداره على التحقق برسالة SMS لتأمين التوقيع الداخلي لوثائق السوق (CCAP و CCTP و RC). قبل نشر الاستشارة على ملف المشتري، يجب على مدير الخدمات التقنية والعضو المختار المسؤول عن المشتريات توقيع المستندات المكونة بشكل مشترك.

من خلال نشر مسار Certyneo داخلي مع التحقق من OTP عبر SMS لكل موقع مؤسسي، تنشئ السلطة محلية محلية أثر إثباتي للمصادقة الإدارية السابقة. تكون هذه القابلية للتتبع مفيدة ب

جرّبوا Certyneo مجاناً

أرسلوا مظروف التوقيع الأول في أقل من 5 دقائق. 5 مظاريف مجانية شهرياً، بدون بطاقة ائتمان.

ابدأوا مجاناًعرض الأسعار
جميع المقالات

تعمقوا في الموضوع

أدلتنا الشاملة لإتقان التوقيع الإلكتروني.

مقالات موصى بها

عمقوا معرفتكم بهذه المقالات ذات الصلة بالموضوع.

إرسال الميزانية المحاسبية للتوقيع: دليل شامل

يكتسب التحقق من الميزانية المحاسبية عن طريق التوقيع الإلكتروني زخماً في مكاتب الخبرة المحاسبية. اكتشف كيفية إرسال مستنداتك مع ضمان الامتثال القانوني الكامل.

8 min

إرسال مستند للتوقيع في قطاع الهندسة

في قطاع الهندسة والمكاتب الاستشارية، يعتبر توقيع المستندات التعاقدية عملية يومية وإستراتيجية. اكتشف كيفية تسهيل هذه العملية مع ضمان الامتثال للمتطلبات القانونية.

8 min

مساحة العميل الموقع في القطاع العام: دليل عملي

الهيئات المحلية والإدارات: إن إنشاء مساحة عميل موقع غير ورقية أصبح الآن أمراً حتمياً. اكتشف الدليل الكامل لتحقيق ذلك في الامتثال.

8 min