صفحة التحقق من رسائل SMS للرد على طلب تقديم العروض

عندما تقدم شركة ردًا على طلب عام أو خاص لتقديم العروض، تكون مسألة القيمة القانونية للملف المرسل مركزية. قد يتم الطعن في المستند الموقع إلكترونيًا بدون آلية مصادقة قوية أمام المحكمة أو قد يتم رفضه من قبل المشتري العام. وهنا بالضبط يأتي دور صفحة التحقق برمز SMS: هذه خطوة مصادقة باستخدام كلمة مرور لمرة واحدة (OTP) تعزز إثبات موافقة المشارك وتستوفي متطلبات لائحة eIDAS وتضمن التتبع الكامل لمسار التوقيع. في هذه المقالة، نشرح السبب والكيفية لتنفيذ هذه الآلية في سير عمل الرد على طلب تقديم العروض، مع مراعاة المتطلبات التقنية والتكوين خطوة بخطوة والممارسات الجيدة الواجب اتباعها.

لماذا يجب دمج التحقق برمز SMS في ردك على طلب تقديم العروض

القيمة الإثباتية في قلب المشتريات العامة

يفرض إطار المشتريات العامة الفرنسية أن تستوفي العروض المرسلة بطريقة إلكترونية المتطلبات المحددة في المرسوم رقم 2016-360 الصادر في 25 مارس 2016 المتعلق بالمشتريات العامة. منذ 1 أكتوبر 2018، أي استشارة تتجاوز قيمتها المقدرة 40,000 يورو بدون ضريبة تتطلب إلكترونية إلزامية عبر منصة إيداع معتمدة (ملف المشتري). في هذا السياق، يشكل التوقيع الإلكتروني مقترنًا بآلية OTP عبر SMS توقيعًا إلكترونيًا متقدمًا بموجب لائحة eIDAS، أي:

• مرتبط بالموقع بشكل فريد؛
• يسمح بتحديد هوية الموقع؛
• تم إنشاؤه من بيانات يمكن للموقع استخدامها تحت سيطرته الحصرية؛
• مرتبط بالبيانات الموقعة بطريقة تسمح بالكشف عن أي تعديل لاحق.

بدون هذا المستوى من المصادقة، قد تكون التوقيع البسيط (نقرة أو صندوق اختيار) غير كافٍ لالتزام المشارك قانونيًا، خاصة عندما يتطلب المشتري توقيعًا متقدمًا أو مؤهلاً للعناصر الحساسة.

تقليل مخاطر الطعن والمخالفات

قد يتم الإعلان عن ملف الرد على طلب تقديم العروض على أنه غير منتظم إذا اعتبر سلطة الإسناد أن هوية الموقع غير مثبتة بشكل كافٍ. إضافة صفحة التحقق من SMS تنشئ عامل مصادقة ثانٍ (2FA) الذي، عند دمجه مع الهوية التي تم التحقق منها مسبقًا، يشكل إثباتًا قويًا. في حالة نزاع أمام المحكمة الإدارية أو قاضي العقد، يشكل سجل التدقيق المؤرخ (الطابع الزمني، رقم الهاتف المخفي، عنوان IP، تجزئة المستند) إثباتًا يقبله القانون.

للمزيد من المعلومات حول الأساسيات، يشرح الدليل الشامل للتوقيع الإلكتروني مستويات التوقيع المختلفة وآثارها القانونية بموجب القانون الفرنسي والأوروبي.

المكونات التقنية لصفحة التحقق من SMS

بنية OTP وقناة SMS

تعتمد صفحة التحقق برمز SMS على ثلاثة مكونات مترابطة:

1. مولد OTP (كلمة مرور لمرة واحدة): تقوم خوارزمية TOTP (OTP المستندة إلى الوقت، RFC 6238) أو HOTP (OTP المستندة إلى HMAC، RFC 4226) بإنشاء رمز مكون من 6 أرقام، صالح عادة بين 5 و 10 دقائق.
2. بوابة SMS (SMS gateway): ينقل مشغل معتمد (على سبيل المثال Twilio و OVHcloud SMS و Brevo) الرمز إلى رقم هاتف المشارك، المسجل أثناء مرحلة الدعوة أو التسجيل.
3. واجهة إدخال آمنة: يجب أن تلتزم صفحة الويب المعروضة على المشارك بمتطلبات WCAG 2.1 (إمكانية الوصول)، وتعرض بوضوح انتهاء صلاحية الرمز وتقترح آلية إعادة إرسال محدودة (مكافحة الإساءة، أقصى 3 محاولات).

من منظور الأمان، يجب التحقق من رقم الهاتف مسبقًا (التحقق أثناء الاستعداد) وتخزينه بشكل مشفر في قاعدة البيانات، وفقًا لمتطلبات RGPD (المادة 32 المتعلقة بأمان المعالجة).

التكامل في سير عمل التوقيع في Certyneo

في منصة Certyneo، يتم إضافة صفحة التحقق من SMS مباشرة من واجهة تكوين مسار التوقيع. فيما يلي الخطوات:

الخطوة 1 — إنشاء أو استيراد مستند الرد قم بتحميل مذكرتك الفنية أو عقد التزامك أو أي جزء آخر من أجزاء العرض. يسمح منشئ العقود بواسطة الذكاء الاصطناعي في Certyneo أيضًا بملء مسبق لبعض المستندات القياسية.

الخطوة 2 — تكوين الموقعون أدخل الاسم والاسم الأول والبريد الإلكتروني ورقم الهاتف المحمول (بصيغة E.164، مثل +33 6 XX XX XX XX) لكل شخص مخول بتوقيع العرض. يعتبر هذا الحقل إلزاميًا لتفعيل التحقق من SMS.

الخطوة 3 — تفعيل المصادقة OTP SMS في القائمة "أمان المسار"، حدد خيار "التحقق برمز SMS". يمكنك تكوين:

• مدة صلاحية الرمز (موصى به: 5 دقائق)؛
• الحد الأقصى لعدد المحاولات (موصى به: 3)؛
• الرسالة المخصصة المرسلة إلى الموقع (ذكر طلب تقديم العروض أو مرجع الاستشارة).

الخطوة 4 — تخصيص صفحة التحقق توفر واجهة Certyneo محرر صفحة "بدون رمز" يسمح بإضافة شعار مؤسستك وعنوان الاستشارة وتعليمات واضحة موجهة للمشارك. يعزز هذا التخصيص الثقة ويقلل من عمليات التخلي عن المسار.

الخطوة 5 — اختبر المسار في وضع الرمل قبل الإرسال الفعلي، استخدم وضع الاختبار في Certyneo لمحاكاة استقبال SMS وإدخال الرمز. تحقق من أن سجل التدقيق يلتقط بشكل صحيح: الطابع الزمني وتجزئة SHA-256 للمستند ورقم الهاتف المخفي وعنوان IP للجهاز المستخدم.

الممارسات الجيدة للحصول على تكوين مثالي

توقع القيود التشغيلية للمشارك

في سياق طلب تقديم العروض، قد يكون المشارك شخصًا طبيعيًا أو الممثل القانوني لشركة صغيرة أو متوسطة أو تجمع مؤقت من الشركات (GME) أو مجموعة كبيرة. يجب توقع عدة قيود تشغيلية:

• عدم توفر رقم الهاتف: إذا كان الموقع المعين في رحلة دولية، قد لا يصل SMS في الوقت المناسب. توقع خيار تفويض التوقيع مع إشعار مسبق.
• تدوير المسؤولين: في المنظمات الكبيرة، قد يتغير المدير العام الموقع بين إرسال الدعوة وتاريخ انتهاء الإيداع. يجب أن يكون حقل "رقم الهاتف" قابلاً للتعديل من قبل مسؤول الحساب حتى 24 ساعة قبل الموعد النهائي.
• إمكانية الوصول: قد يواجه بعض المستخدمين في حالات الإعاقة صعوبات في إدخال رمز مؤقت. قدم بديلاً صوتيًا (استدعاء آلي لقراءة الرمز) إذا سمحت البنية التحتية الخاصة بك.

الأرشفة والمسار الدقيق المطابق

صفحة التحقق من SMS ليست سوى حلقة واحدة في آلية الإثبات. لكي يكون الملف بأكمله معترفًا به، يجب أن تتوافق الأرشفة مع معيار ETSI EN 319 132 (XAdES) أو ETSI EN 319 122 (CAdES) حسب صيغة التوقيع المختارة. ينشئ Certyneo تلقائيًا تقرير التوقيع بتنسيق PDF/A يتضمن:

• قائمة الموقعين مع مستوى المصادقة لديهم؛
• الطوابع الزمنية المعتمدة (RFC 3161)؛
• سجل كامل لأحداث SMS (الإرسال والاستقبال المؤكد والإدخال الصحيح أو غير الصحيح).

يجب الاحتفاظ بهذا التقرير طوال مدة صلاحية السوق، بل وأكثر من ذلك في حالة النزاع. بالنسبة للمشتريات العامة، يوفر قانون المشتريات العامة (المواد L. 2194-1 وما يليها) فترات حفظ قد تصل إلى 10 سنوات. تم تفصيل الأسعار والخيارات للأرشفة طويلة الأجل على صفحة أسعار Certyneo.

التكامل مع منصات الإلكترونية (ملفات المشتري)

عندما يمر الرد على طلب تقديم العروض عبر منصة طرف ثالث (AWS Marchés و e-Attestations و Achat Public و Klekoon وغيرها)، يمكن استخدام Certyneo مسبقًا للتوقيع والتحقق داخليًا من المستندات المكونة للعرض قبل إيداعها على ملف المشتري. يتم بعد ذلك تحميل الملف الموقع (بصيغة XAdES أو PAdES) على المنصة، مصحوبًا بتقرير التوقيع من Certyneo كإثبات على المصادقة.

إذا كانت مؤسستك تستخدم بالفعل حلاً منافسًا، توضح صفحة الترحيل إلى Certyneo كيفية نقل المسارات الموجودة لديك دون فقدان البيانات أو انقطاع الخدمة.

الأمان و RGPD وإدارة بيانات الهاتف

معالجة البيانات الشخصية لرقم الهاتف

رقم الهاتف المحمول هو بيانات شخصية بموجب المادة 4 من RGPD. يتطلب استخدامه في سياق التحقق من OTP:

• أساس قانوني محدد بوضوح: تنفيذ العقد (المادة 6.1.b RGPD) أو المصلحة المشروعة (المادة 6.1.f RGPD) حسب العلاقة بين مصدر طلب تقديم العروض والمشارك؛
• إخبار مسبق للمشارك حول استخدام رقمه (ذكر في الشروط والأحكام العامة أو في بريد الدعوة الإلكتروني)؛
• مدة حفظ محدودة: يجب عدم الاحتفاظ بالرقم بعد نهاية مسار التوقيع، إلا للأرشفة القانونية المبررة.

ستجد فريق العمل القانوني و DPO موارد إضافية في قاموس التوقيع الإلكتروني الذي يرجع إلى التعاريف الأساسية لـ RGPD المطبقة على مسارات التوقيع.

المقاومة للهجمات ومكافحة الاحتيال

يعتبر التحقق من SMS عرضة لمتجهات هجوم معينة (SIM swapping و SS7 interception). بالنسبة للأسواق عالية الرهان (المبالغ > 500,000 يورو بدون ضريبة)، توصي Certyneo بدمج OTP SMS مع:

• التحقق من الهوية المسبق (KYC الموثقة أو IDnow)؛
• الطابع الزمني المؤهل من قبل مزود خدمات موثوق (Trust Service Provider و TSP) مراعى eIDAS؛
• تنبيه في الوقت الفعلي في حالة تغيير رقم الهاتف في الـ 48 ساعة السابقة للتوقيع.

تحول هذه الإجراءات الإضافية التوقيع إلى المستوى المؤهل eIDAS وهو الأعلى المعترف به بموجب الحد الأوروبي، وتشكل ضمانة قصوى للأسواق العامة الحساسة أو المصنفة.

الإطار القانوني المنطبق على التحقق من SMS في طلبات تقديم العروض

لائحة eIDAS رقم 910/2014 ومستوياتها من التوقيع

تشكل لائحة (الاتحاد الأوروبي) رقم 910/2014 من البرلمان الأوروبي والمجلس (eIDAS) الأساس التنظيمي للتوقيع الإلكتروني في أوروبا. فإنها تميز ثلاثة مستويات:

• التوقيع الإلكتروني البسيط (المادة 3.10): البيانات الموجودة في شكل إلكتروني المرفقة أو المرتبطة ببيانات أخرى، يستخدمها الموقع للتوقيع. قيمة قانونية محدودة لطلبات تقديم العروض العامة.
• التوقيع الإلكتروني المتقدم (المادة 3.11): يستوفي متطلبات المادة 26 eIDAS، بما فيها تفرد الارتباط مع الموقع والقابلية للكشف عن أي تعديل. يسمح التحقق من OTP SMS مقترنًا بتحديد الهوية السابق بتحقيق هذا المستوى.
• التوقيع الإلكتروني المؤهل (المادة 3.12): تم إنشاؤه باستخدام جهاز إنشاء التوقيع المؤهل بناءً على شهادة مؤهلة صادرة عن TSP مراعى. المستوى الوحيد الذي له تأثير قانوني يعادل التوقيع اليدوي في جميع الدول الأعضاء (المادة 25.2 eIDAS).

القانون المدني الفرنسي — المواد 1366 و 1367

تنص المادة 1366 من القانون المدني على أن "الكتابة الإلكترونية لها نفس قوة إثبات الكتابة على ورقة، شريطة أن يمكن التعريف بشكل صحيح بالشخص الذي تنبثق عنه وأن يتم إنشاؤها والاحتفاظ بها في ظروف من شأنها أن تضمن تكاملها". توضح المادة 1367 أن "التوقيع الإلكتروني يتكون من استخدام عملية موثوقة للتعريف تضمن ارتباطه بالعمل الذي يرتبط به".

يساهم OTP SMS بشكل مباشر في استيفاء شرط التعريف الموثوق بموجب المادة 1367، من خلال إنشاء ارتباط بين رقم الهاتف المسجل والعمل الموقع.

قانون المشتريات العامة

تفرض المواد R. 2132-7 وما يليها من قانون المشتريات العامة أن تكون العروض المرسلة بطريقة إلكترونية موقعة بتوقيع إلكتروني متقدم على الأقل بناءً على شهادة مؤهلة. يندرج التحقق من SMS ضمن الآلية التي تسمح بتحقيق هذا المستوى، شريطة أن يتم توثيق سير عمل التوقيع بأكمله وأرشفته.

RGPD رقم 2016/679 — حماية بيانات الهاتف

تفرض المادة 32 من RGPD تدابير تقنية وتنظيمية مناسبة لضمان أمان البيانات المعالجة، بما في ذلك التشفير والإخفاء. يجب تشفير رقم الهاتف المستخدم لـ OTP SMS في الراحة والعبور (TLS 1.3 بحد أدنى). تفرض المادة 5.1.e قيود الحفظ: لا يمكن الاحتفاظ بالرقم إلا للوقت الضروري بدقة لتحقيق الغرض من المعالجة.

معايير ETSI المنطبقة

• ETSI EN 319 132 (XAdES): صيغة التوقيع XML المتقدمة، موصى بها لوثائق المشتريات العامة بصيغة XML.
• ETSI EN 319 122 (CAdES): صيغة توقيع CMS المتقدمة، المناسبة للملفات الثنائية (PDF و ZIP).
• ETSI EN 319 102-1: إجراءات إنشاء والتحقق من التوقيعات الإلكترونية، بما في ذلك الطابع الزمني المؤهل RFC 3161.

عدم الامتثال لهذه المعايير يعرض المصدر أو المشارك لخطر رفض العرض لعدم انتظام رسمي، أو لعدم قابلية التوقيع للمعارضة في حالة نزاع عقدي.

سيناريوهات الاستخدام الملموسة

السيناريو 1 — مكتب هندسة يرد على سوق الهندسة الاستشارية

يجب على مكتب هندسة متخصص في البنية التحتية، يضم حوالي ثلاثين مهندسًا ويدير ما متوسطه 15 إلى 20 ردًا على طلبات تقديم العروض سنويًا، التوقيع على عدة أجزاء من مكونات العرض: عقد الالتزام والمذكرة الفنية وشهادات الانتظام المالي والاجتماعي. قبل تنفيذ التحقق من SMS، اعتمدت الإجراءات على تبادل ملفات PDF موقعة يدويًا وممسوحة ضوئيًا وإعادة نقلها عبر البريد الإلكتروني، مما تسبب في تأخير متوسط قدره 48 إلى 72 ساعة لكل ملف.

من خلال تكوين مسار Certyneo مع التحقق من OTP SMS لكل موقع داخلي (مدير تقني وصاحب)، قلل المكتب هذا التأخير إلى أقل من ساعتين. يتم إرسال تقرير التوقيع الذي تم إنشاؤه تلقائيًا مع الملف المودع على ملف المشتري، مما يستوفي متطلبات التوقيع المتقدم. تقدر الدراسات القطاعية حول الإلكترونية B2B أن تقليل وقت معالجة الإدارة بنسبة 60-70٪ عند الانتقال إلى التوقيع الإلكتروني مع المصادقة القوية.

السيناريو 2 — تجمع مؤقت من الشركات (GME) في سوق الأشغال

في إطار سوق عام للأشغال (قطعة تسوية الأراضي + قطعة هيكل كبير)، تشكل شركتان تجمعًا مؤقتًا من الشركات. يجب على كل عضو مجموعة أن يوقع عقد الالتزام باسم شركته. تقع الشركتان في مدن مختلفة، وموعد تقديم العروض النهائي هو الساعة 12:00.

بفضل خاصية التوقيعات المتوازية في Certyneo، يتلقى كلا الموقعين رابط دعوة بشكل متزامن عبر البريد الإلكتروني. يمكن لكل منهما الوصول إلى صفحة التحقق الخاصة به، وإدخال رمز OTP الخاص به المستقبل عبر SMS في أقل من دقيقة، وتوقيع التوقيع الإلكتروني المتقدم. يتلقى منسق GME إشعارًا فوريًا بالإكمال ويمكنه تحميل الملف النهائي قبل انقضاء المهلة. يوضح هذا السيناريو كيف يزيل التحقق من SMS خطر التأخير المرتبط بالتنسيق متعدد المواقع، وهي مشكلة تمثل وفقًا لبعض الدراسات حوالي 30٪ من الإيداعات المتأخرة في الردود الجماعية.

السيناريو 3 — سلطة محلية تصدر طلب تقديم العروض

قد تستفيد سلطة محلية بحجم متوسط (بين 50,000 و 200,000 ساكن)، بدلاً من الرد على طلب تقديم عروض ولكن بإصداره، من التحقق من SMS لتأمين التوقيع الداخلي لوثائق السوق (CCAP و CCTP و RC). قبل وضع الاستشارة على الإنترنت على ملف المشتري، يجب على مدير الخدمات التقنية والمسؤول المنتخب المسؤول عن المشتريات التوقيع المشترك على الوثائق المكونة.

من خلال نشر مسار Certyneo داخلي مع التحقق من OTP SMS لكل موقع مؤسسي، تنشئ السلطة المحلية تتبعًا إثباتيًا للتحقق الإداري السابق. يعتبر هذا التتبع مفيدًا بشكل خاص أثناء عمليات التحكم في الشرعية التي تمارسها المحافظة أو في حالة تدقيق من قبل الغرفة الإقليمية للحسابات. يمثل تقليل المخاطر القانونية المرتبطة بالتوق