Pàgina de validació per SMS per respondre una licitació pública

Quan una empresa respon a una licitació pública o privada, la qüestió del valor jurídic del dossier transmès és central. Un document signat electrònicament sense mecanisme d'autenticació forta pot ser contestat davant un tribunal o rebutjat per l'adquirent públic. És precisament aquí que intervé la pàgina de validació amb codi SMS : aquesta fase d'autenticació per contrasenya d'ús únic (OTP) reforça la prova de consentiment del licitador, satisfà els requisits del reglament eIDAS i garanteix la traçabilitat completa del recorregut de signatura. En aquest article, detallarem per què i com implementar aquest dispositiu en el vostre workflow de resposta a licitacions, passant pels requisits tècnics, la configuració pas a pas i les bones pràctiques a seguir.

Per què integrar una validació per codi SMS en la vostra resposta a licitació

El valor probatori al cor dels mercats públics

El marc dels mercats públics francesos imposa que les ofertes transmeses per via desmaterialitzada satisfacin els requisits fixats pel decret n° 2016-360 del 25 de març de 2016 relatiu als mercats públics. Des de l'1 d'octubre de 2018, tota consulta amb valor estimat superior a 40.000 € HT implica una desmaterialització obligatòria mitjançant una plataforma de dipòsit autoritzada (perfil comprador). En aquest context, la signatura electrònica associada a un mecanisme d'OTP per SMS constitueix una signatura electrònica avançada en el sentit del reglament eIDAS, és a dir:

• vinculada al firmant de manera unívoca;
• que permet identificar el firmant;
• creada a partir de dades que el firmant pot utilitzar sota el seu control exclusiu;
• vinculada a les dades signades de forma que permet detectar qualsevol modificació posterior.

Sense aquest nivell d'autenticació, una signatura simple (clic o casella de selecció) pot ser insuficient per comprometre jurídicament el licitador, especialment quan l'adquirent exigeix una signatura avançada o qualificada per a certs lots sensibles.

Reduir els riscos de contestació i irregularitat

Un dossier de resposta a licitació pública pot ser declarat irregular si l'organisme adjudicador estima que la identitat del firmant no està suficientment establerta. L'afegit d'una pàgina de validació SMS crea un segon factor d'autenticació (2FA) que, combinat amb la identitat prèviament verificada, forma una prova sòlida. En cas de disputa davant el tribunal administratiu o el jutge del contracte, el registre d'auditoria amb marca de temps (timestamp, número de telèfon emmascarar, adreça IP, hash del document) constitueix una prova admissible.

Per anar més lluny en els fonaments, la guia completa de la signatura electrònica explica els diferents nivells de signatura i les seves implicacions legals en dret francés i europeu.

Els components tècnics d'una pàgina de validació SMS

Arquitectura OTP i canal SMS

Una pàgina de validació per codi SMS es basa en tres components interdependents:

1. Generador d'OTP (One-Time Password): un algoritme TOTP (Time-based OTP, RFC 6238) o HOTP (HMAC-based OTP, RFC 4226) genera un codi de 6 dígits, vàlid generalment entre 5 i 10 minuts.
2. Passarel·la SMS (SMS gateway): un operador certificat (ex. Twilio, OVHcloud SMS, Brevo) transporta el codi al número de telèfon del licitador, registrat durant la fase d'invitació o inscripció.
3. Interfície de saisida segura: la pàgina web mostrada al licitador ha de respectar els requisits WCAG 2.1 (accessibilitat), mostrar clarament l'expiració del codi i proposar un mecanisme d'reenviament limitat (anti-abús, màxim 3 intents).

Des del punt de vista de la seguretat, el número de telèfon ha de ser validat amb anterioritat (verificació durant l'integració) i emmagatzemat de manera xifrada a la base de dades, d'acord amb els requisits del RGPD (art. 32 sobre la seguretat dels tractaments).

Integració en el flux de treball de signatura Certyneo

A la plataforma Certyneo, l'afegit d'una pàgina de validació SMS s'efectua directament desde l'interfície de configuració d'un recorregut de signatura. Aquí tenim els passos:

Pas 1 — Crear o importar el document de resposta Pujeu la vostra memòria tècnica, el vostre acte de participació o qualsevol altra peça constituent de l'oferta. El generador de contractes per IA de Certyneo permet també preomplir certs documents tipus.

Pas 2 — Configurar els firmants Introduïu el nom, el cognomen, l'adreça de correu electrònic i el número de telèfon mòbil (format E.164, ex. +33 6 XX XX XX XX) de cada persona autoritzada per signar l'oferta. Aquest camp és obligatori per activar la validació SMS.

Pas 3 — Activar l'autenticació OTP SMS En el menú « Seguretat del recorregut », marqueu l'opció « Validació per codi SMS ». Podeu configurar:

• la durada de validesa del codi (recomanat: 5 minuts);
• el nombre màxim d'intents (recomanat: 3);
• el missatge personalitzat enviat al firmant (menció de la licitació, de la referència de la consulta).

Pas 4 — Personalitzar la pàgina de validació L'interfície Certyneo ofereix un editor de pàgina « no-code » que permet afegir el logo de la vostra organització, el títol de la consulta i instruccions clares destinades al licitador. Aquesta personalització reforça la confiança i redueix els abandonaments del recorregut.

Pas 5 — Provar el recorregut en mode sandbox Abans de l'enviament real, utilitzeu el mode prova de Certyneo per simular la recepció del SMS i la saisida del codi. Verifiqueu que el registre d'auditoria capturi bé: l'horodatació, el hash SHA-256 del document, el número de telèfon emmascarar i l'adreça IP del terminal utilitzat.

Bones pràctiques per a una configuració òptima

Anticipar les limitacions operacionals del licitador

En el marc d'una licitació pública, el licitador pot ser una persona física o el representant legal d'una PIME, d'un agrupament momentani d'empreses (AME) o d'un gran grup. Diverses limitacions operacionals han de ser anticipades:

• Indisponibilitat del número de telèfon: si el firmant designat està de viatge internacional, el SMS pot no arribar a temps. Prevegi una opció de delegació de signatura amb notificació prèvia.
• Rotació dels responsables: en les grans organitzacions, el conseller delegat firmant pot canviar entre l'enviament de l'invitació i la data límit de dipòsit. El camp « número de telèfon » ha de ser modificable pel responsable del compte fins a 24 hores abans del tancament.
• Accessibilitat: certs usuaris en situació de discapacitat poden trobar dificultats amb la saisida d'un codi temporal. Proposeu una alternativa vocal (trucada automàtica de lectura del codi) si la vostra infraestructura ho permet.

Arxivament i registre d'auditoria conforme

La pàgina de validació SMS no constitueix més que un nexe del dispositiu de prova. Perquè el conjunt del dossier sigui oposable, l'arxivament ha de ser conforme a la norma ETSI EN 319 132 (XAdES) o ETSI EN 319 122 (CAdES) segons el format de signatura retingut. Certyneo genera automàticament un informe de signatura en PDF/A que inclou:

• la llista dels firmants amb el seu nivell d'autenticació;
• els horodatacions certificades (RFC 3161);
• el registre complet dels esdeveniments SMS (enviament, recepció confirmada, saisida correcta o errònia).

Aquest informe ha de ser conservat durant tota la durada de validesa del mercat, fins i tot més allà en cas de controvèrsia. Per als mercats públics, el Codi de la contractació pública (art. L. 2194-1 i següents) preveu terminis de conservació que poden arribar fins a 10 anys. Els tarifes i les opcions d'arxivament a llarg termini es detallen a la pàgina de tarifes Certyneo.

Integració amb les plataformes de desmaterialització (perfils compradors)

Quan la resposta a licitació passa per una plataforma tercera (AWS Marchés, e-Attestations, Achat Public, Klekoon, etc.), Certyneo pot ser utilitzat en amont per fer signar i validar internament els documents constituents de l'oferta abans del seu dipòsit al perfil comprador. El fitxer signat (en format XAdES o PAdES) és després pujat a la plataforma, acompanyat de l'informe de signatura Certyneo com a justificant d'autenticació.

Si la vostra organització utilitza ja una solució competidora, la pàgina de migració cap a Certyneo explica com transferir els vostres recorreguts existents sense pèrdua de dades ni interrupció del servei.

Seguretat, RGPD i gestió de les dades de telefonía

Tractament de les dades personals del número de telèfon

El número de telèfon mòbil és una dada de caràcter personal en el sentit de l'article 4 del RGPD. El seu ús en el marc d'una validació OTP requereix:

• una base legal clarament identificada: l'execució del contracte (art. 6.1.b RGPD) o l'interès legítim (art. 6.1.f RGPD) segons la relació entre l'emissor de la licitació i el licitador;
• una informació prèvia del licitador sobre l'ús del seu número (menció en les CGU o en l'e-mail d'invitació);
• una durada de conservació limitada: el número no ha de ser conservat més allà de la fi del recorregut de signatura, excepte arxivament legal justificat.

Els equips jurídics i DPO trobaràn recursos complementaris en el nostre glossari de la signatura electrònica, que referencia les definicions clau del RGPD aplicades als workflows de signatura.

Resistència als atacs i anti-fraude

La validació SMS és vulnerable a certs vectors d'atac (SIM swapping, intercepció SS7). Per als mercats de gran repercussió (montants > 500.000 € HT), Certyneo recomana combinar l'OTP SMS amb:

• una verificació d'identitat amont (KYC documental o IDnow);
• un horodatació qualificada proporcionada per un prestador de serveis de confiança (Trust Service Provider, TSP) acreditat eIDAS;
• una alerta en temps real en cas de canvi de número de telèfon en les 48 hores anteriors a la signatura.

Aquestes mesures addicionals fan passar la signatura al nivell qualificat eIDAS, el més elevat reconegut pel reglament europeu, i constitueixen una garantia màxima per als mercats públics sensibles o classificats.

Marc legal aplicable a la validació SMS en les licitacions

Reglament eIDAS n° 910/2014 i els seus nivells de signatura

El reglament (UE) n° 910/2014 del Parlament Europeu i del Consell (eIDAS) constitueix la base reglamentària de la signatura electrònica a Europa. Distingeix tres nivells:

• Signatura electrònica simple (art. 3.10): dades en forma electrònica adjuntes o associades a altres dades, utilitzades pel firmant per signar. Valor jurídic limitat per als appels d'oferta públics.
• Signatura electrònica avançada (art. 3.11): satisfà els requisits de l'art. 26 eIDAS, inclosa la unicitat del vincle amb el firmant i la detectabilitat de qualsevol alteració. La validació OTP SMS, combinada amb una identificació prèvia, permet assolir aquest nivell.
• Signatura electrònica qualificada (art. 3.12): creada mitjançant un dispositiu de creació de signatura qualificat, basada en un certificat qualificat lliurat per un TSP acreditat. Únic nivell que té un efecte jurídic equivalent a la signatura manuscrita en tots els Estats membres (art. 25.2 eIDAS).

Codi civil francés — Articles 1366 i 1367

L'article 1366 del Codi civil estableix que « l'escrit electrònic té la mateixa força probatòria que l'escrit en suport paper, sota la reserva que pugui ser degudament identificada la persona de qui emana i que estigui establert i conservat en condicions de naturalesa a garantir la seva integritat ». L'article 1367 precisa que « la signatura electrònica consisteix en l'ús d'un procediment fiable d'identificació que garanteix el seu vincle amb l'acte al qual s'adjunta ».

L'OTP SMS contribueix directament a satisfer la condició d'identificació fiable plantejada per l'article 1367, creant un vincle entre el número de telèfon registrat i l'acte signat.

Codi de la contractació pública

Els articles R. 2132-7 i següents del Codi de la contractació pública imposen que les ofertes transmeses per via electrònica siguin signades per una signatura electrònica almenys avançada reposant en un certificat qualificat. La validació SMS entra en el dispositiu que permet assolir aquest nivell, sota la reserva que el conjunt del recorregut de signatura estigui documentat i arxivat.

RGPD n° 2016/679 — Protecció de les dades de telefonía

L'article 32 del RGPD imposa mesures tècniques i organitzatives apropiades per garantir la seguretat de les dades tractades, inclosos el xifrat i la pseudonymització. El número de telèfon utilitzat per l'OTP SMS ha de ser xifrat en repòs i en trànsit (TLS 1.3 mínim). L'article 5.1.e imposa la limitació de la conservació: el número no pot ser conservat més que el temps estrictament necessari per a la finalitat del tractament.

Normes ETSI aplicables

• ETSI EN 319 132 (XAdES): format de signatura XML avançada, recomanat per a peces de mercats públics en format XML.
• ETSI EN 319 122 (CAdES): format de signatura CMS avançada, adaptat als fitxers binaris (PDF, ZIP).
• ETSI EN 319 102-1: procediments de creació i validació de signatures electròniques, integrant l'horodatació qualificada RFC 3161.

El no respecte d'aquestes normes exposa l'emissor o el licitador a un risc de rebuig de l'oferta per irregularitat formal, o a una inopposabilitat de la signatura en cas de controvèrsia contractual.

Escenaris d'ús concrets

Escenari 1 — Un despatx d'enginyeria responent a un mercat de direcció d'obra

Un despatx d'enginyeria especialitzat en infraestructura, comptant una trentena d'enginyers i gestant en mitjana 15 a 20 respostes a licitacions per any, ha de signar diverses peces constituents d'una oferta: acte de participació, memòria tècnica, certificacions de regularitat fiscal i social. Abans de la implementació d'una validació SMS, el procediment reposava en un intercanvi de PDF signats manualment, escanejats i retransmesos per e-mail, cosa que generava terminis mitjans de 48 a 72 hores per dossier.

En configurar un recorregut Certyneo amb validació OTP SMS per a cada firmant intern (director tècnic, gerent), el despatx ha reduït aquest termini a menys de 2 hores. L'informe de signatura generada automàticament és adjunt al dossier dipositat al perfil comprador, satisfent els requisits de signatura avançada. Els estudis sectorials sobre desmaterialització B2B estimen en un 60-70% la reducció del temps de processament administratiu en passar a la signatura electrònica amb autenticació forta.

Escenari 2 — Un agrupament momentani d'empreses (AME) en un mercat de treballs

En el marc d'un mercat públic de treballs (lot moviments de terra + lot estructura), dues empreses formen un AME conjunt. Cada mandatari ha de signar l'acte de participació en nom de la seva societat. Les dues empreses estan situades en ciutats diferents, i la data límit de presentació de les ofertes és a les 12h00.

Gràcies a la funcionalitat de signatures paral·leles de Certyneo, els dos firmants reben simultàniament un enllaç d'invitació per e-mail. Cadascú accedeix a la seva pàgina de validació, introdueix el seu codi OTP rebut per SMS en menys d'un minut, i col·loca la seva signatura electrònica avançada. El coordinador de l'AME rep immediatament una notificació de finalització i pot pujar el dossier finalitzat abans del tancament. Aquest escenari il·lustra com la validació SMS elimina el risc de retard lligat a la coordinació multi-ubicacions, un problema que representa segons certs estudis aproximadament el 30% dels dipòsits tardans en respostes en agrupament.

Escenari 3 — Una col·lectivitat territorial emissora de la licitació

Una col·lectivitat territorial de mida intermèdia (entre 50.000 i 200.000 habitants) que desitja no resoldre una licitació sinó emetren una, pot també recolzar-se en la validació SMS per securitzar la signatura interna de les peces de mercat (CCAP, CCTP, RC). Abans de la posada en línia de la consulta al perfil comprador, el director de serveis tècnics i l'elegit delegat als mercats han de co-signar els documents constituents.

En desplegar un recorregut Certyneo intern amb validació OTP SMS per a cada firmant institucional, la col·lectivitat crea una traça probant de la validació administrativa prèvia. Aquesta traçabilitat és especialment útil durant els controls de legalitat exercits per la prefectura o en cas d'auditoria de la cambra regional de comptes. La reducció del risc jurídic associat a una signatura no autenticada representa un enjeu de conformitat major per als adquirents públics, respecte dels requisits de l'ordenança n° 2015-899 codificada al Codi de la contractació pública.

Conclusió

Integrar una pàgina de validació amb codi SMS en la vostra resposta a una licitació pública no és simplement una formalitat tècnica: és una garantia jurídica, una prova de consentiment documentada i una eina de conformitat reglamentària en el sentit del reglament eIDAS i del Codi de la contractació pública. En autenticar cada firmant mitjançant un OTP SMS horodatat, assolireu el nivell de signatura electrònica avançada exigit per la gran majoria dels adquirents públics, tot reduint drasticament els terminis interns i els riscos de rebuig per irregularitat formal.

Certyneo vos permet configurar aquest recorregut en pocs minuts, sense desenvolupament informàtic, amb un registre d'auditoria conforme a les normes ETSI i arxivat segons les obligacions legals. Tant si sou licitador únic, membre d'un AME o adquirent públic, la solució s'adapta al vostre context.

Preparats per securitzar les vostres pròximes respostes a licitacions? Creeu el vostre compte Certyneo gratuïtament i configureu el vostre primer recorregut amb validació SMS avui mateix.