صفحة التحقق بواسطة رسالة نصية قصيرة للرد على طلب عرض الأسعار

عندما تقدم شركة ردها على طلب عرض أسعار عام أو خاص، فإن مسألة القيمة القانونية للملف المرسل تكون محورية. قد يتم الطعن في وثيقة موقعة إلكترونياً بدون آلية مصادقة قوية أمام المحكمة أو قد يرفضها المشتري العام. هنا تأتي أهمية صفحة التحقق برمز SMS: هذه خطوة المصادقة باستخدام كلمة مرور لاستخدام واحد (OTP) تعزز إثبات الموافقة من قبل صاحب العرض، وتفي بمتطلبات لائحة eIDAS وتضمن المتابعة الكاملة لمسار التوقيع. في هذه المقالة، نوضح السبب والكيفية لتطبيق هذه الآلية في سير عملك لتقديم طلب العرض، من خلال المتطلبات التقنية والتكوين خطوة بخطوة والممارسات الجيدة التي يجب اتباعها.

لماذا تدمج التحقق برمز SMS في ردك على طلب عرض الأسعار

القيمة الإثباتية في قلب المشتريات العامة

يفرض إطار المشتريات العامة الفرنسية أن تفي العروض المرسلة بطريقة منزوعة الورق بالمتطلبات المحددة في المرسوم رقم 2016-360 بتاريخ 25 مارس 2016 المتعلق بالمشتريات العامة. منذ 1 أكتوبر 2018، يتطلب أي استشارة تتجاوز قيمتها المقدرة 40,000 يورو خصم ضريبة القيمة المضافة منزوعة الورق إلزامية عبر منصة إيداع معتمدة (ملف المشتري). في هذا السياق، يشكل التوقيع الإلكتروني المقترن بآلية OTP عبر SMS توقيعاً إلكترونياً متقدماً بمعنى لائحة eIDAS، أي:

• مرتبط بالموقع بطريقة فريدة؛
• يتيح تحديد الموقع؛
• تم إنشاؤه من بيانات يمكن للموقع استخدامها تحت سيطرته الحصرية؛
• مرتبط بالبيانات الموقعة بطريقة تسمح بكشف أي تعديل لاحق.

بدون هذا المستوى من المصادقة، قد يكون التوقيع البسيط (نقرة أو خانة اختيار) غير كافٍ لالتزام صاحب العرض قانونياً، خاصة عندما يتطلب المشتري توقيعاً متقدماً أو مؤهلاً لأجزاء معينة حساسة.

تقليل مخاطر الطعن والعدم الامتثال

قد يتم إعلان ملف رد طلب العرض غير نظامي إذا رأى الجهة المانحة أن هوية الموقع لم يتم تأسيسها بشكل كافٍ. يضيف إضافة صفحة التحقق عبر SMS عامل مصادقة ثانٍ (2FA) الذي، عند دمجه مع الهوية المتحققة مسبقاً، يشكل إثباتاً قوياً. في حالة النزاع أمام محكمة إدارية أو قاضي العقد، يشكل سجل التدقيق بالتاريخ والوقت (الطابع الزمني، رقم الهاتف المقنع، عنوان IP، بصمة المستند) إثباتاً مقبولاً.

للمزيد من المعلومات حول الأساسيات، يشرح الدليل الشامل للتوقيع الإلكتروني المستويات المختلفة للتوقيع وآثارها القانونية بموجب القانون الفرنسي والأوروبي.

المكونات التقنية لصفحة التحقق برسالة SMS

بنية OTP وقناة SMS

تعتمد صفحة التحقق برمز SMS على ثلاثة مكونات مترابطة:

1. مولد OTP (كلمة مرور لاستخدام واحد): تنتج خوارزمية TOTP (OTP المستندة على الوقت، RFC 6238) أو HOTP (OTP المستندة على HMAC، RFC 4226) رمزاً مكوناً من 6 أرقام، صالحاً عموماً بين 5 و 10 دقائق.
2. بوابة SMS (SMS gateway): ينقل عامل معتمد (مثل Twilio أو OVHcloud SMS أو Brevo) الرمز إلى رقم الهاتف المحمول لصاحب العرض، المسجل خلال مرحلة الدعوة أو التسجيل.
3. واجهة إدخال آمنة: يجب أن تتوافق الصفحة المعروضة على صاحب العرض مع متطلبات WCAG 2.1 (إمكانية الوصول)، وتعرض بوضوح انتهاء صلاحية الرمز وتقترح آلية إعادة إرسال محدودة (مكافحة الإساءة، الحد الأقصى 3 محاولات).

من وجهة نظر الأمان، يجب التحقق من رقم الهاتف مسبقاً (التحقق أثناء الإعداد الأولي) وتخزينه بشكل مشفر في قاعدة البيانات، وفقاً لمتطلبات RGPD (المادة 32 بشأن أمان المعالجات).

التكامل في سير عمل التوقيع على Certyneo

في منصة Certyneo، يتم إضافة صفحة التحقق بـ SMS مباشرة من واجهة تكوين مسار التوقيع. فيما يلي الخطوات:

الخطوة 1 — إنشاء أو استيراد مستند الرد حمل ملف الذاكرة التقنية الخاصة بك أو صك التزامك أو أي وثيقة أخرى مكونة للعرض. يتيح منشئ العقود بالذكاء الاصطناعي من Certyneo أيضاً ملء مسبق لوثائق نموذجية معينة.

الخطوة 2 — تكوين الموقعين أدخل الاسم والاسم الأول وعنوان البريد الإلكتروني ورقم الهاتف المحمول (تنسيق E.164، مثل +33 6 XX XX XX XX) لكل شخص مصرح له بالتوقيع على العرض. هذا الحقل إلزامي لتفعيل التحقق برسالة نصية.

الخطوة 3 — تفعيل مصادقة OTP عبر SMS في القائمة "أمان المسار"، حدد خيار "التحقق برمز SMS". يمكنك تكوين:

• مدة صلاحية الرمز (موصى به: 5 دقائق)؛
• الحد الأقصى للمحاولات (موصى به: 3)؛
• الرسالة المخصصة المرسلة إلى الموقع (ذكر طلب العرض ورقم الاستشارة).

الخطوة 4 — تخصيص صفحة التحقق توفر واجهة Certyneo محرر صفحات "بدون رمز" يسمح بإضافة شعار مؤسستك وعنوان الاستشارة وتعليمات واضحة لصاحب العرض. يعزز هذا التخصيص الثقة ويقلل من المغادرة المبكرة للمسار.

الخطوة 5 — اختبر المسار في وضع sandbox قبل الإرسال الفعلي، استخدم وضع الاختبار من Certyneo لمحاكاة استقبال رسالة SMS وإدخال الرمز. تحقق من أن سجل التدقيق يجمع بشكل صحيح: الطابع الزمني وبصمة SHA-256 للمستند ورقم الهاتف المقنع وعنوان IP للجهاز المستخدم.

أفضل الممارسات للتكوين الأمثل

الاستباق للقيود التشغيلية لصاحب العرض

في سياق طلب عرض أسعار، قد يكون صاحب العرض شخصاً طبيعياً أو ممثلاً قانونياً لشركة صغيرة ومتوسطة أو تجمعاً مؤقتاً من الشركات أو مجموعة كبيرة. يجب توقع عدة قيود تشغيلية:

• عدم توفر رقم الهاتف: إذا كان الموقع المعين في إجازة دولية، قد لا تصل رسالة SMS في الوقت المناسب. توفير خيار تفويض التوقيع مع إشعار مسبق.
• دوران المسؤولين: في المنظمات الكبيرة، قد يتغير الرئيس التنفيذي الموقع بين إرسال الدعوة والموعد النهائي للإيداع. يجب أن يكون حقل "رقم الهاتف" قابلاً للتعديل من قبل مسؤول الحساب حتى 24 ساعة قبل الموعد النهائي.
• إمكانية الوصول: قد يواجه بعض المستخدمين ذوي الإعاقة صعوبات في إدخال رمز مؤقت. قدم بديلاً صوتياً (استدعاء آلي لقراءة الرمز) إذا كانت البنية الأساسية لديك تسمح بذلك.

الأرشفة والمتابعة بما يتوافق مع المعايير

صفحة التحقق برسالة SMS هي مجرد حلقة واحدة في جهاز الإثبات. لكي يكون الملف الكامل قابلاً للمعارضة، يجب أن تكون الأرشفة متوافقة مع المعيار ETSI EN 319 132 (XAdES) أو ETSI EN 319 122 (CAdES) وفقاً لصيغة التوقيع المختارة. تولد Certyneo تلقائياً تقرير توقيع في PDF/A يتضمن:

• قائمة الموقعين مع مستوى المصادقة الخاص بهم؛
• الطوابع الزمنية المعتمدة (RFC 3161)؛
• السجل الكامل لأحداث SMS (الإرسال والاستقبال المؤكد والإدخال الصحيح أو الخاطئ).

يجب الاحتفاظ بهذا التقرير طوال فترة سريان المشروع، أو حتى بعد ذلك في حالة النزاع. بالنسبة للمشتريات العامة، ينص قانون الشراء العام (المواد L. 2194-1 وما يليها) على فترات احتفاظ قد تصل إلى 10 سنوات. يتم تفصيل الأسعار والخيارات للأرشفة طويلة الأجل على صفحة أسعار Certyneo.

التكامل مع منصات منزوعة الورق (ملفات المشتري)

عند مرور الرد على طلب عرض الأسعار عبر منصة تابعة لجهة خارجية (AWS Marchés أو e-Attestations أو Achat Public أو Klekoon وغيرها)، يمكن استخدام Certyneo مسبقاً لتوقيع والتحقق داخلياً من الوثائق المكونة للعرض قبل إيداعها على ملف المشتري. يتم بعد ذلك تحميل الملف الموقع (بتنسيق XAdES أو PAdES) على المنصة، مصحوباً بتقرير التوقيع من Certyneo كإثبات للمصادقة.

إذا كانت مؤسستك تستخدم بالفعل حلاً منافساً، فإن صفحة الترحيل إلى Certyneo توضح كيفية نقل المسارات الموجودة لديك دون فقدان البيانات أو انقطاع الخدمة.

الأمان و RGPD وإدارة بيانات الهاتف

معالجة البيانات الشخصية لرقم الهاتف

رقم الهاتف المحمول يعتبر بيانات شخصية بمعنى المادة 4 من RGPD. يتطلب استخدامه في سياق التحقق من OTP:

• أساس قانوني واضح المعالم: تنفيذ العقد (المادة 6.1.ب RGPD) أو المصلحة المشروعة (المادة 6.1.و RGPD) حسب العلاقة بين مصدر طلب العرض وصاحب العرض؛
• إعلام مسبق لصاحب العرض باستخدام رقمه (إشارة في شروط الاستخدام أو في بريد الدعوة الإلكتروني)؛
• مدة احتفاظ محدودة: لا يجب الاحتفاظ برقم الهاتف بعد انتهاء مسار التوقيع، إلا الأرشفة القانونية المبررة.

ستجد فريق الشؤون القانونية و DPO موارد إضافية في قاموس التوقيع الإلكتروني، الذي يرجع التعاريف الرئيسية لـ RGPD المطبقة على مسارات سير العمل للتوقيع.

المقاومة للهجمات والحماية من الاحتيال

التحقق برسالة SMS عرضة لمتجهات هجوم معينة (استبدال SIM وقراصنة SS7). بالنسبة للعطاءات ذات المخاطر العالية (المبالغ > 500,000 يورو خصم ضريبة القيمة المضافة)، توصي Certyneo بدمج OTP عبر SMS مع:

• التحقق المسبق من الهوية (KYC الموثق أو IDnow)؛
• طابع زمني مؤهل قدمه مزود خدمة موثوق (مزود خدمات الثقة، TSP) معتمد من eIDAS؛
• إنذار فوري في حالة تغيير رقم الهاتف في غضون 48 ساعة قبل التوقيع.

تحول هذه الإجراءات الإضافية التوقيع إلى مستوى مؤهل eIDAS، وهو الأعلى المعترف به من قبل اللائحة الأوروبية، وتشكل ضماناً قصوى للمشتريات العامة الحساسة أو المصنفة.

الإطار القانوني المعمول به للتحقق برسالة SMS في طلبات العروض

لائحة eIDAS رقم 910/2014 ومستوياتها من التوقيع

تشكل لائحة (الاتحاد الأوروبي) رقم 910/2014 للبرلمان الأوروبي والمجلس (eIDAS) الأساس الأساسي للتوقيع الإلكتروني في أوروبا. تميز بين ثلاثة مستويات:

• التوقيع الإلكتروني البسيط (المادة 3.10): بيانات بصيغة إلكترونية مرتبطة أو مرفقة بيانات أخرى، يستخدمها الموقع للتوقيع. قيمة قانونية محدودة لطلبات العروض العامة.
• التوقيع الإلكتروني المتقدم (المادة 3.11): يفي بمتطلبات المادة 26 eIDAS، بما فيها تفرد الرابط مع الموقع وقابلية كشف أي تعديل. يسمح التحقق من OTP عبر SMS المقترن بتحديد هوية مسبق بتحقيق هذا المستوى.
• التوقيع الإلكتروني المؤهل (المادة 3.12): تم إنشاؤه باستخدام جهاز إنشاء توقيع مؤهل، بناءً على شهادة مؤهلة صادرة من TSP معتمد. المستوى الوحيد الذي له تأثير قانوني معادل للتوقيع بخط اليد في جميع الدول الأعضاء (المادة 25.2 eIDAS).

القانون المدني الفرنسي — المواد 1366 و 1367

تنص المادة 1366 من القانون المدني على أن "الكتابة الإلكترونية لها نفس قوة الإثبات مثل الكتابة على دعم ورقي، شريطة أن يمكن تحديد هوية الشخص الذي تصدر عنه بشكل صحيح وأن تثبت وتحفظ بطريقة من شأنها ضمان سلامتها". توضح المادة 1367 أن "التوقيع الإلكتروني يتكون من استخدام إجراء موثوق لتحديد الهوية يضمن ارتباطه بالعمل الذي يرفقه".

يساهم OTP عبر SMS مباشرة في تلبية شرط التحديد الموثوق الذي تفرضه المادة 1367، من خلال إنشاء رابط بين رقم الهاتف المسجل والعمل الموقع.

قانون الشراء العام

تفرض المواد R. 2132-7 وما يليها من قانون الشراء العام أن العروض المرسلة بطريقة إلكترونية يجب أن تكون موقعة بتوقيع إلكتروني متقدم على الأقل يستند إلى شهادة مؤهلة. يدخل التحقق برسالة SMS في الجهاز الذي يسمح بتحقيق هذا المستوى، شريطة أن يكون سير العمل بأكمله موثقاً ومؤرشفاً.

RGPD رقم 2016/679 — حماية بيانات الهاتف

تفرض المادة 32 من RGPD تدابير تقنية وتنظيمية مناسبة لضمان أمان البيانات المعالجة، بما في ذلك التشفير والتعريب. يجب تشفير رقم الهاتف المستخدم لـ OTP عبر SMS في الحالة السكنية والنقل (TLS 1.3 على الأقل). تفرض المادة 5.1.ه قيد الاحتفاظ: لا يمكن الاحتفاظ برقم الهاتف إلا للوقت اللازم بحتة لتحقيق الغاية.

معايير ETSI المعمول بها

• ETSI EN 319 132 (XAdES): صيغة التوقيع المتقدمة XML، الموصى بها لوثائق المشتريات العامة بصيغة XML.
• ETSI EN 319 122 (CAdES): صيغة التوقيع CMS المتقدمة، مناسبة للملفات الثنائية (PDF، ZIP).
• ETSI EN 319 102-1: إجراءات إنشاء والتحقق من التوقيعات الإلكترونية، تشمل الطابع الزمني المؤهل RFC 3161.

يعرض عدم الامتثال لهذه المعايير المصدر أو صاحب العرض لخطر رفض العرض لعدم امتثال رسمي، أو عدم قبول التوقيع في حالة النزاع العقدي.

سيناريوهات الاستخدام الملموسة

السيناريو 1 — مكتب هندسة يرد على سوق الهندسة والتصميم

يجب على مكتب هندسة متخصص في البنية التحتية، يضم حوالي 30 مهندساً ويدير بمتوسط 15 إلى 20 رداً على طلبات عروض سنوياً، توقيع عدة وثائق مكونة للعرض: صك الالتزام، والمذكرة التقنية، وشهادات الامتثال المالي والاجتماعي. قبل تطبيق التحقق برسالة نصية، كان الإجراء يستند إلى تبادل ملفات PDF موقعة يدوياً، والمسح الضوئي وإعادة النقل عبر البريد الإلكتروني، مما أدى إلى تأخيرات متوسطة تتراوح بين 48 و 72 ساعة لكل ملف.

من خلال تكوين مسار Certyneo مع التحقق OTP عبر SMS لكل موقع داخلي (مدير تقني، مدير)، قلل المكتب هذا التأخير إلى أقل من ساعتين. يتم دمج تقرير التوقيع المولد تلقائياً في الملف المودع على ملف المشتري، مما يفي بمتطلبات التوقيع المتقدم. تشير الدراسات القطاعية حول منزوعة الورق B2B إلى تقليل 60-70٪ في وقت معالجة المعاملات الإدارية عند الانتقال إلى التوقيع الإلكتروني مع المصادقة القوية.

السيناريو 2 — تجمع مؤقت من الشركات على سوق الأشغال

في سياق مشروع عام للأعمال (حفريات + أساسات قوية)، تشكل شركتان تجمعاً مؤقتاً مشتركاً. يجب على كل وكيل أن يوقع صك الالتزام باسم شركته. تقع الشركتان في مدن مختلفة، وموعد تقديم العروض النهائي هو الساعة 12:00.

بفضل ميزة التوقيعات المتوازية في Certyneo، يتلقى الموقعان معاً رابط دعوة عبر البريد الإلكتروني. يمكن لكل منهما الوصول إلى صفحة التحقق الخاصة به، وإدخال رمز OTP المستقبل عبر SMS في أقل من دقيقة، وتطبيق التوقيع الإلكتروني المتقدم. يتلقى منسق التجمع إشعاراً فوري بالإكمال ويمكنه تحميل الملف المكتمل قبل الموعد النهائي. يوضح هذا السيناريو كيف يزيل التحقق برسالة SMS من خطر التأخير المرتبط بالتنسيق بين عدة مواقع، وهي مشكلة تمثل وفقاً لبعض الدراسات حوالي 30٪ من التقديمات المتأخرة في الردود على التجمعات.

السيناريو 3 — جهة بلدية مصدرة لطلب عرض الأسعار

قد تعتمد جهة بلدية بحجم متوسط (بين 50,000 و 200,000 نسمة)، بدلاً من الرد على طلب عرض أسعار ولكن لإصداره، على التحقق برسالة SMS لتأمين التوقيع الداخلي على وثائق المشروع (CCAP، CCTP، RC). قبل نشر الاستشارة على ملف المشتري، يجب على مدير الخدمات التقنية والمسؤول المنتخب للشؤون العامة توقيع الوثائق المكونة معاً.

من خلال نشر مسار Certyneo داخلي مع التحقق OTP عبر SMS لكل موقع مؤسسي، تنشئ الجهة البلدية آثار إثبات موثوقة للتحقق الإداري المسبق. تعتبر هذه المتابعة مفيدة بشكل خاص أثناء فحوصات الشرعية التي تجريها المحافظة أو في حالة تدقيق الغرفة الإقليمية للحساب