Страница за потвърждение чрез SMS за отговор на обществени поръчки

Когато предприятие отговори на обществена или частна поръчка, вопросът за юридическата стойност на предаденото досие е централен. Документ с електронен подпис без механизъм за силна аутентификация може да бъде оспорен пред съд или отхвърлен от публичния закупувач. Точно там вмъква се страницата за потвърждение с SMS код: този етап на аутентификация чрез еднократна парола (OTP) укрепва доказателството за съгласието на участника, отговаря на изискванията на регламент eIDAS и гарантира пълна проследяемост на процеса на подписване. В тази статия описваме защо и как да внедрите този механизъм в вашия работен поток за отговор на обществена поръчка, включително технически предпоставки, конфигурация стъпка по стъпка и препоръчани практики.

Защо да интегрирате потвърждение чрез SMS код в отговора на обществена поръчка

Доказателствена стойност в центъра на публичните поръчки

Рамката на французьките публични поръчки налага да предадените оферти чрез демaterialизирани начини отговарят на изискванията, установени от декрет № 2016-360 от 25 март 2016 г., касаещ публичните поръчки. От 1 октомври 2018 г. всяко разискване със стойност над 40 000 € без ДДС предполага задължителна демaterialизация чрез одобрена платформа за депозиране (профил на закупувача). В този контекст електронният подпис, съчетан с механизъм за OTP чрез SMS, представлява усъвършенстван електронен подпис по смисъла на регламент eIDAS, а именно:

• свързан по уникален начин с подписващия;
• позволяващ идентификация на подписващия;
• създаден с использование на данни, които подписващият може да използва под своя изключително управление;
• свързан с подписаните данни по начин, който позволява откритието на всяка последваща промяна.

Без това ниво на аутентификация, обикновен подпис (кликване или отметка) може да е недостатъчен, за да ангажира юридически участника, особено когато закупувачът изисква усъвършенстван или квалифициран подпис за някои чувствителни лотове.

Намаляване на рисковете от оспорване и неправилност

Досие на отговор на обществена поръчка може да бъде обявено за неправилно, ако органът за присъждане счита, че личността на подписващия не е достатъчно установена. Добавянето на страница за потвърждение чрез SMS създава втори фактор на аутентификация (2FA), който, съчетан с предварително проверената личност, образува солидно доказателство. В случай на спор пред административния съд или съда по договори дневникът на одита с времева отметка (timestamp, маскиран номер на телефон, IP адрес, хеш на документа) представлява приемливо доказателство.

За да разберете повече основите, пълният справочник за електронен подпис обяснява различните нива на подпис и техните юридически последици по френско и европейско право.

Технически компоненти на страница за потвърждение чрез SMS

Архитектура OTP и SMS канал

Страница за потвърждение чрез SMS се опира на три взаимозависими компонента:

1. Генератор на OTP (One-Time Password): алгоритъм TOTP (Time-based OTP, RFC 6238) или HOTP (HMAC-based OTP, RFC 4226) генерира 6-цифрен код, валиден обикновено между 5 и 10 минути.
2. SMS шлюз (SMS gateway): сертифициран оператор (напр. Twilio, OVHcloud SMS, Brevo) проверява кода към телефонния номер на участника, регистриран по време на фаза на поканване или регистрация.
3. Интерфейс за безопасен въвод: уеб страницата, показана на участника, трябва да отговаря на изискванията WCAG 2.1 (достъпност), да показва ясно изтичането на кода и да предложи механизъм за повторно изпращане с ограничения (защита от злоупотреба, максимум 3 опита).

От гледна точка на сигурността телефонният номер трябва да бъде валидиран предварително (проверка по време на регистрация) и съхранен криптиран в базата данни, в съответствие с изисквания на GDPR (чл. 32 за сигурност на обработката).

Интеграция в работния поток за подписване на Certyneo

На платформата Certyneo добавянето на страница за потвърждение чрез SMS се извършва директно от интерфейса на конфигурация на процеса за подписване. Ето стъпките:

Стъпка 1 — Създаване или импортиране на документа за отговор Качете вашата техническа доклад, акт на участие или всяка друга съставна част на офертата. AI генератор за договори на Certyneo позволява също така предварително пълнене на определени типови документи.

Стъпка 2 — Конфигурация на подписващите Въведете име, фамилия, електронна поща и номер на мобилния телефон (формат E.164, напр. +33 6 XX XX XX XX) на всяко лице, оправомощено да подпише офертата. Това поле е задължително, за да се активира потвърждението чрез SMS.

Стъпка 3 — Активиране на OTP аутентификация чрез SMS От меню „Сигурност на процеса" отметнете опция „Потвърждение чрез SMS код". Можете да конфигурирате:

• продължителност на валидност на кода (препоръчано: 5 минути);
• максимален брой опити (препоръчано: 3);
• персонализирано съобщение, изпратено на подписващия (споменаване на обществената поръчка, справка на разискването).

Стъпка 4 — Персонализиране на страницата за потвърждение Интерфейсът на Certyneo предлага редактор на страница „без код", позволяващ добавяне на лого на вашата организация, название на разискването и ясни инструкции за участника. Това персонализиране укрепва доверието и намалява оставяне на процес.

Стъпка 5 — Тестване на процес в режим sandbox Преди действителното изпращане използвайте режим на тест на Certyneo за имитиране на получаване на SMS и въвеждане на кода. Проверете, че дневникът на одита улавя правилно: времева отметка, хеш SHA-256 на документа, маскиран телефонен номер и IP адрес на терминала на потребител.

Препоръчани практики за оптимална конфигурация

Предвиждане на оперативни ограничения на участника

В контекста на обществена поръчка участникът може да бъде физическо лице или законен представител на малко предприятие, временно обединение на предприятия (GMEA) или голяма група. Трябва да се предвидят няколко оперативни ограничения:

• Недостъпност на телефонния номер: ако определеният подписващ е в международно пътуване, SMS може да не пристигне навреме. Предвидете опция за делегиране на подпис с предварително известие.
• Ротация на отговорни лица: в големи организации генералният директор подписващ може да се промени между изпращането на покана и крайния срок на депозирането. Полето „номер на телефон" трябва да може да се редактира от администратора на акаунта до 24 часа преди крайния срок.
• Достъпност: някои потребители с увреждане могат да срещнат затруднения при въвеждане на временен код. Предложете вокална алтернатива (автоматичен обаждащ за прочитане на кода), ако вашата инфраструктура го позволява.

Архивиране и одитна следа в съответствие

Страницата за потвърждение чрез SMS представлява само едно звено в механизма за доказателство. За да бъде цялото досие противоположимо, архивирането трябва да отговаря на стандарт ETSI EN 319 132 (XAdES) или ETSI EN 319 122 (CAdES) в зависимост от избрания формат на подпис. Certyneo автоматично генерира доклад за подпис в PDF/A, включващ:

• списък на подписващите с тяхно ниво на аутентификация;
• сертифицирани времеви отметки (RFC 3161);
• пълен дневник на събитията чрез SMS (изпращане, потвърждение на получаване, коректен или неправилен въвод).

Този доклад трябва да се съхранява през цялото време на валидност на договора, дори по-надълго в случай на спор. За публичните поръчки Кодекс на публичното закупуване (чл. L. 2194-1 и следващи) предвижда периоди на съхранение, които могат да достигнат до 10 години. Цените и опциите за дългосрочно архивиране са описани на страница с цени на Certyneo.

Интеграция с платформи за демaterialизация (профили на закупувачи)

Когато отговорът на обществена поръчка преминава чрез платформа на трета страна (AWS Marchés, e-Attestations, Achat Public, Klekoon и т.н.), Certyneo може да се използва предварително за подписване и потвърждаване в брой на документите, съставляващи офертата, преди депозирането им на профила на закупувача. Подписаният файл (в формат XAdES или PAdES) след това се качва на платформата, придружен с доклад за подпис на Certyneo като обосновка за аутентификация.

Ако вашата организация вече използва конкурентно решение, страницата преход към Certyneo обяснява как да прехвърлите съществуващите си процеси без загуба на данни или прекъсване на услугата.

Сигурност, GDPR и управление на телефонни данни

Обработка на лични данни на номера на телефон

Номерът на мобилния телефон е лично дадено по смисъла на чл. 4 на GDPR. Използването му в контекст на валидация чрез OTP налага:

• ясно идентифицирана правна основа: изпълнение на договор (чл. 6.1.б GDPR) или законен интерес (чл. 6.1.в GDPR) в зависимост от отношението между издателя на разискване и участника;
• предварително информиране на участника относно използването на неговия номер (упоменаване в Общите условия или в писмо за покана);
• ограничена продължителност на съхранение: номерът не трябва да се съхранява след завършването на процеса на подписване, освен в случай на обосновано легално архивиране.

Правните екипи и DPO ще намерят допълнителни ресурси в нашия глосарий на електронния подпис, който разпределя ключовите определения на GDPR, приложени към работни потоци на подписване.

Устойчивост на атаки и защита от фалшификаност

Потвърждението чрез SMS е уязвимо на определени вектори на атаки (SIM суап, перехват на SS7). За поръчки с висок риск (суми > 500 000 € без ДДС) Certyneo препоръчва да се комбинира OTP чрез SMS с:

• предварителна проверка на самоличност (KYC документално или IDnow);
• квалифицирана времева отметка, предоставена от доставчик на услуга с доверие (Trust Service Provider, TSP), аредитиран eIDAS;
• известие в реално време в случай на промяна на номера на телефон в 48 часа преди подписването.

Тези допълнителни мерки преместват подписа към квалифициран ниво eIDAS, най-високото признано от европейския регламент, и представляват максимална гаранция за чувствителни или класифицирани публични поръчки.

Приложима правна рамка на потвърждението чрез SMS в публични поръчки

Регламент eIDAS № 910/2014 и неговите нива на подпис

Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета (eIDAS) образува нормативната основа на електронния подпис в Европа. Разграничава три нива:

• Обикновен електронен подпис (чл. 3.10): данни в електронна форма, свързани или съединени с други данни, използвани от подписващия за подписване. Ограничена юридическа стойност за публичните поръчки.
• Усъвършенстван електронен подпис (чл. 3.11): отговаря на изискванията на чл. 26 eIDAS, включително уникалност на връзката с подписващия и открияемост на всяко изменение. Потвърждението OTP чрез SMS, съчетано с предварителна идентификация, позволява достигане на това ниво.
• Квалифициран електронен подпис (чл. 3.12): създаден с използване на квалифициран девайс за създаване на подпис, основан на квалифициран сертификат, издан от TSP, аредитиран eIDAS. Единственото ниво със юридически ефект, еквивалентен на ръчен подпис във всички държави членки (чл. 25.2 eIDAS).

Френски гражданския кодекс — Членове 1366 и 1367

Член 1366 на Гражданския кодекс установява, че „електронния документ има същата доказателствена сила като документ на хартия, при условие че лицето, от което произтича, може да бъде надлежно идентифицирано и че е съставен и съхранен в условия, които гарантират неговата цялост". Член 1367 уточнява, че „електронния подпис се състои в използване на надеждна процедура за идентификация, гарантираща неговата връзка с акта, към който се прилага".

OTP чрез SMS преки допринася да отговори на условието за надежна идентификация, поставено от чл. 1367, създавайки връзка между регистрирания телефонен номер и подписания акт.

Кодекс на публичното закупуване

Членове R. 2132-7 и следващи на Кодекса на публичното закупуване налагат, че предадени по електронен път оферти трябва да бъдат подписани с поне усъвършенстван електронен подпис, базиран на квалифициран сертификат. Потвърждението чрез SMS попада в механизма, позволяващ достигане на това ниво, при условие че целият процес на подписване да е документиран и архивиран.

GDPR № 2016/679 — Защита на телефонни данни

Член 32 на GDPR налага подходящи технически и организационни мерки, за да гарантира сигурност на обработваните данни, включително криптиране и псевдонимизация. Номерът на телефон, използван за OTP чрез SMS, трябва да бъде криптиран в покой и при преминаване (TLS 1.3 минимум). Член 5.1.д налага ограничение на съхранението: номерът може да се съхранява само толкова, колкото е строго необходимо за целта на обработката.

Приложими стандарти ETSI

• ETSI EN 319 132 (XAdES): формат на усъвършенстван XML подпис, препоръчан за пиесите на публичните поръчки в формат XML.
• ETSI EN 319 122 (CAdES): формат на усъвършенстван CMS подпис, подходящ за двоични файлове (PDF, ZIP).
• ETSI EN 319 102-1: процедури за създаване и валидация на електронни подписи, включващи квалифицирана времева отметка RFC 3161.

Неспазването на тези стандарти излага издателя или участника на риск от отхвърляне на офертата за формална неправилност или неприложимост на подписа в случай на договорен спор.

Конкретни сценарии на използване

Сценарий 1 — Инженерен кабинет отговаря на пазар за проектанско управление

Инженерен кабинет, специализиран в инфраструктура, с около тридесет инженери и управляващ средно 15 до 20 отговори на публични поръчки годишно, трябва да подпише няколко съставни части на офертата: акт на участие, техническа доклад, удостоверения за редовност по отношение на данъци и социални вноски. Преди внедряването на потвърждението чрез SMS процедурата се опиралa на размяна на PDF файлове с подписи в ръко, сканирани и повторно преданe по имейл, което генерира средни закъснения от 48 до 72 часа на досие.

След конфигурирането на процес на Certyneo с потвърждение OTP чрез SMS за всеки вътрешен подписващ (технически директор, управител), кабинетът е намалил този период на по-малко от 2 часа. Доклад за подпис, автоматично генериран, се прилага към депозирано досие на профила на закупувача, отговаряйки на изискванията за усъвършенстван подпис. Отраслевите изследвания за демaterialизация B2B оценяват на 60-70% намаляването на времето на административна обработка при преход към електронния подпис с силна аутентификация.

Сценарий 2 — Временно обединение на предприятия (GMEA) на пазар от работи

В контекста на публична поръчка за работи (лот копаене + лот конструкция), две предприятия образуват GMEA съвместно. Всеки мандатант трябва да подпише акта на участие от името на своята компания. Двете предприятия са разположени в различни градове и крайният срок за предаване на оферти е 12:00.

Благодарение на функцията на паралелни подписи на Certyneo двамата подписващи получават едновременно линк на покана по имейл. Всеки получава достъп до своя страница на потвърждение, въвежда получения по SMS OTP код за по-малко от минута и прилага своя усъвършенстван електронен подпис. Координаторът на GMEA получава незабавно известие за завършване и може да качи финализираното досие преди крайния срок. Този сценарий илюстрира как потвърждението чрез SMS премахва риска от закъснение, свързан с многосайтовата координация, проблем, който според определени изследвания представлява около 30% на късни депозиции при отговори на обединение.

Сценарий 3 — Местна администрация издател на публична поръчка

Местна администрация със среден размер (между 50 000 и 200 000 жители), която иска не да отговори на публична поръчка, а да издаде една, може също да разчита на потвърждението чрез SMS за осигуряване на подписването на вътрешните пиеси на пазара (Технически спецификации, Условия, Гарантии). Преди публикуването на разискването на профила на закупувача директорът на техническите услуги и делегирания за поръчки трябва да под-подпишат съставните документи.

При внедряване на вътрешен процес на Certyneo с потвърждение OTP чрез SMS за всеки институционален подписващ администрацията създава проверима следа на предварителната административна валидация. Тази проследяемост е особено полезна при контролите на законност, осъществяни от префектурата, или при одит на регионалната камера на сметките. Намаляването на правния риск, свързан с неаутентифициран подпис, представлява основната проблематика на съответствие за публичните закупувачи, с оглед на изискванията на ордонанс № 2015-899, кодирана в Кодекса на публичното закупуване.

Заключение

Интегрирането на страница за потвърждение с SMS код в вашия отговор на публична поръчка не е просто техническа формалност: това е юридическа гаранция, документирано доказателство за съгласието и инструмент на нормативна съответствие по смисъла на регламент eIDAS и Кодекса на публичното закупуване. Чрез аутентификация на всеки подписващ чрез времева отметена OTP чрез SMS достигате нивото на усъвършенстван електронен подпис, изисквано от по-голямата част на публичните закупувачи, докато драстично намалявате вътрешните периоди и рисковете от отхвърляне за формална неправилност.

Certyneo ви позволява да конфигурирате този процес за няколко минути, без компютърни разработки, с дневник на одита в съответствие със стандартите ETSI и архивиран според юридическите задължения. Независимо дали сте единствен участник, член на GMEA или публичен закупувач, решението се адаптира към вашия контекст.

Готови ли сте да осигурите вашите следващи отговори на публични поръчки? Създайте безплатно вашия акаунт Certyneo и конфигурирайте вашия първи процес с потвърждение чрез SMS още днес.