Stránka ověření SMS pro odpověď na veřejnou soutěž

Když se společnost odpovídá na veřejnou nebo soukromou soutěž, je otázka právní hodnoty odeslaného souboru klíčová. Dokument podepsaný elektronicky bez mechanismu silného ověřování může být napadnut před soudem nebo odmítnut nákupčím. Právě zde vstupuje do hry stránka ověření s kódem SMS: tento krok ověřování pomocí jednorázového hesla (OTP) posiluje důkaz souhlasu zájemce, vyhovuje požadavkům nařízení eIDAS a zajišťuje úplnou sledovatelnost celého procesu podepisování. V tomto článku podrobně vysvětlujeme, proč a jak zavést toto opatření do vašeho workflow odpovídání na veřejné soutěže, včetně technických předpokladů, konfigurace krok za krokem a osvědčených postupů.

Proč integrovat ověření kódem SMS do vaší odpovědi na veřejnou soutěž

Důkazní hodnota v srdci veřejných soutěží

Rámec francouzských veřejných soutěží vyžaduje, aby nabídky podané elektronicky splňovaly požadavky stanovené dekretem č. 2016-360 ze 25. března 2016 o veřejných soutěžích. Od 1. října 2018 každá soutěž, jejíž odhadovaná hodnota překročí 40 000 € bez DPH, vyžaduje povinnou elektronickou formu prostřednictvím schválené platformy pro odevzdávání (profil nákupčího). V tomto kontextu je podpis kombinovaný s mechanismem OTP prostřednictvím SMS pokročilý elektronický podpis ve smyslu nařízení eIDAS, konkrétně:

• vázaný na podepisujícího jedinečným způsobem;
• umožňující identifikovat podepisujícího;
• vytvořený z dat, která může podepisující používat pod svou výhradní kontrolou;
• vázaný na podepsaná data takovým způsobem, aby byla umožněna detekce jakékoli následné změny.

Bez této úrovně ověřování může být jednoduchý podpis (kliknutí nebo zaškrtnutí) nedostatečný k právnímu zavázání zájemce, zejména pokud nákupčí vyžaduje podpis pokročilý nebo kvalifikovaný pro některé citlivé položky.

Snižování rizika sporů a nesrovnalostí

Soubor odpovědi na veřejnou soutěž může být prohlášen za nesouladný, pokud orgán zadávající soutěž usoudí, že identita podepisujícího není dostatečně prokázána. Přidání stránky ověření SMS vytváří druhý faktor ověřování (2FA), který v kombinaci s dříve ověřenou identitou tvoří pevný důkaz. V případě sporu před správním soudem nebo soudem pro smlouvy je datovaný audit log (timestamp, maskované telefonní číslo, IP adresa, hash dokumentu) přijatelným důkazem.

Další informace o základních principech najdete v úplném průvodci elektronickým podpisem, který vysvětluje různé úrovně podpisů a jejich právní důsledky v českém a evropském právu.

Technické součásti stránky ověření SMS

Architektura OTP a kanál SMS

Stránka ověření kódem SMS spočívá na třech vzájemně závislých součástech:

1. Generátor OTP (One-Time Password): algoritmus TOTP (Time-based OTP, RFC 6238) nebo HOTP (HMAC-based OTP, RFC 4226) generuje kód se 6 číslicemi, obvykle platný 5 až 10 minut.
2. Brána SMS (SMS gateway): certifikovaný operátor (např. Twilio, OVHcloud SMS, Brevo) doručuje kód na telefonní číslo zájemce, zaregistrované během fáze pozvání nebo registrace.
3. Zabezpečené rozhraní pro zadávání: webová stránka zobrazená zájemci musí splňovat požadavky WCAG 2.1 (přístupnost), jasně zobrazovat vypršení platnosti kódu a nabízet omezeným mechanismem pro opětovné odeslání (ochrana proti zneužití, maximálně 3 pokusy).

Z hlediska bezpečnosti musí být telefonní číslo ověřeno předem (ověření během onboardingu) a uloženo zašifrované v databázi v souladu s požadavky GDPR (článek 32 o bezpečnosti zpracování).

Integrace do workflow podepisování Certyneo

Na platformě Certyneo se přidání stránky ověření SMS provádí přímo z rozhraní pro konfiguraci procesu podepisování. Zde jsou kroky:

Krok 1 — Vytvoření nebo import dokumentu odpovědi Nahrajte vaši technickou zprávu, smlouvu o angažování nebo jakoukoli jinou součást nabídky. Generátor smluv poháněný AI od Certyneo také umožňuje předvyplnění některých standardních dokumentů.

Krok 2 — Konfigurujte podepisující Zadejte jméno, příjmení, e-mailovou adresu a číslo mobilního telefonu (formát E.164, např. +33 6 XX XX XX XX) každé osoby oprávněné podepsat nabídku. Toto pole je povinné pro aktivaci ověření SMS.

Krok 3 — Aktivujte ověřování OTP SMS V nabídce „Zabezpečení procesu" zaškrtněte možnost „Ověření kódem SMS". Můžete nakonfigurovat:

• dobu platnosti kódu (doporučeno: 5 minut);
• maximální počet pokusů (doporučeno: 3);
• přizpůsobené zprávy odeslané podepisujícímu (zmínka o soutěži, referenční číslo konzultace).

Krok 4 — Přizpůsobte stránku ověření Rozhraní Certyneo nabízí editor stránek „bez kódu", který umožňuje přidání loga vaší organizace, názvu konzultace a jasných pokynů pro zájemce. Toto přizpůsobení zvyšuje důvěru a snižuje opuštění procesu.

Krok 5 — Testujte proces v režimu sandbox Před skutečným odesláním použijte testovací režim Certyneo k simulaci přijetí SMS a zadání kódu. Ověřte, že audit log správně zachycuje: timestamp, SHA-256 hash dokumentu, maskované telefonní číslo a IP adresu terminálu uživatele.

Osvědčené postupy pro optimální konfiguraci

Předvídání operačních omezení zájemce

V rámci veřejné soutěže může být zájemcem fyzická osoba nebo právní zástupce malého podniku, dočasného sdružení podniků (DSP) nebo velkého koncernu. Několik operačních omezení by mělo být předvídáno:

• Nedostupnost telefonního čísla: pokud je určený podepisující na mezinárodní cestě, SMS nemusí přijít včas. Připravte možnost delegování podpisu s předchozím upozorněním.
• Rotace vedoucích pracovníků: ve velkých organizacích se ředitel podepisující může změnit mezi odesláním pozvání a termínem pro podání nabídky. Pole „telefonní číslo" by mělo být změnitelné správcem účtu do 24 hodin před uzavírací dobou.
• Přístupnost: někteří uživatelé se zdravotním postižením mohou mít potíže se zadáním dočasného kódu. Nabídněte hlasovou alternativu (automatický hovor se čtením kódu), pokud to vaše infrastruktura umožňuje.

Archivace a audit trail v souladu s požadavky

Stránka ověření SMS je pouze jedním článkem v řetězci důkazů. Aby byl celý soubor vymáhatelný, musí archivace odpovídat normě ETSI EN 319 132 (XAdES) nebo ETSI EN 319 122 (CAdES) v závislosti na zvoleném formátu podpisu. Certyneo automaticky generuje zprávu o podpisu v PDF/A obsahující:

• seznam podepisujících s jejich úrovní ověřování;
• certifikované časové razítko (RFC 3161);
• úplný denník všech SMS událostí (odeslání, potvrzení přijetí, správné nebo nesprávné zadání).

Tato zpráva musí být zachována po dobu platnosti smlouvy, případně i déle v případě sporu. Pro veřejné soutěže stanovuje Zákon o veřejných soutěžích (články L. 2194-1 a následující) lhůty uchovávání až 10 let. Ceny a možnosti dlouhodobé archivace jsou podrobně popsány na stránce cen Certyneo.

Integrace s platformami pro elektronickou komunikaci (profily nákupčích)

Pokud je odpověď na veřejnou soutěž podávána prostřednictvím třetí platformy (AWS Marchés, e-Attestations, Achat Public, Klekoon atd.), lze Certyneo použít předem k podepsání a ověření dokumentů tvořících nabídku interně před jejich odesláním na profil nákupčího. Podepsaný soubor (ve formátu XAdES nebo PAdES) je poté nahrán na platformu spolu se zprávou o podpisu Certyneo jako justifikace ověřování.

Pokud vaše organizace již používá konkurenční řešení, stránka migrace na Certyneo vysvětluje, jak přenést vaše stávající procesy bez ztráty dat nebo přerušení služby.

Bezpečnost, GDPR a správa telefonních dat

Zpracování osobních údajů telefonního čísla

Číslo mobilního telefonu je osobním údajem ve smyslu článku 4 GDPR. Jeho použití v kontextu ověřování OTP vyžaduje:

• jasně identifikovanou právní základnu: plnění smlouvy (čl. 6.1.b GDPR) nebo oprávněný zájem (čl. 6.1.f GDPR) v závislosti na vztahu mezi emitentem soutěže a zájemcem;
• předchozí informování zájemce o použití jeho čísla (zmínka v podmínkách nebo v e-mailu s pozvánkou);
• omezenou dobu uchovávání: číslo nesmí být uchováváno déle než do konce procesu podepisování, s výjimkou opodstatněné právní archivace.

Právní týmy a DPO najdou další zdroje v našem glosáři elektronického podpisu, který obsahuje klíčové definice GDPR aplikované na workflow podepisování.

Odolnost vůči útokům a antifraud

Ověření SMS je zranitelné vůči některým vektorům útoku (SIM swapping, intercepce SS7). Pro soutěže s vysokou sázkou (částky > 500 000 € bez DPH) doporučuje Certyneo kombinovat OTP SMS s:

• předchozím ověřením identity (KYC dokumentů nebo IDnow);
• kvalifikovaným časovým razítkem poskytnutým akreditovaným poskytovatelem služeb důvěry (Trust Service Provider, TSP) eIDAS;
• upozorněním v reálném čase v případě změny telefonního čísla během 48 hodin před podpisováním.

Tato další opatření změní podpis na úroveň kvalifikovaného eIDAS, nejvyšší uznávaný nařízením Evropské unie, a představují maximální záruku pro citlivé nebo klasifikované veřejné soutěže.

Právní rámec aplikovatelný na ověření SMS v průběhu veřejných soutěží

Nařízení eIDAS č. 910/2014 a jeho úrovně podpisů

Nařízení (EU) č. 910/2014 Evropského parlamentu a Rady (eIDAS) tvoří základní právní základ elektronického podpisu v Evropě. Rozlišuje tři úrovně:

• Jednoduchý elektronický podpis (čl. 3.10): data v elektronické podobě připojená nebo přidružená k dalším datům, která podepisující použije k podepsání. Omezená právní hodnota pro veřejné soutěže.
• Pokročilý elektronický podpis (čl. 3.11): splňuje požadavky čl. 26 eIDAS, včetně jedinečnosti vazby na podepisujícího a detekovatelnosti jakékoli změny. Ověření OTP SMS v kombinaci s předchozí identifikací umožňuje dosáhnout této úrovně.
• Kvalifikovaný elektronický podpis (čl. 3.12): vytvořený pomocí kvalifikovaného zařízení pro vytváření podpisů na základě kvalifikovaného certifikátu vydaného akreditovaným TSP. Jedinou úrovní s právním účinkem rovnocenným podpisu písemné formy ve všech členských státech (čl. 25.2 eIDAS).

Francouzský občanský zákoník – články 1366 a 1367

Článek 1366 občanského zákoníku stanoví, že „elektronický dokument má stejnou důkazní hodnotu jako dokument v tištěné podobě, za předpokladu, že lze řádně identifikovat osobu, od níž pochází, a že je vytvořen a uchováván takovým způsobem, který zaručuje jeho integritu". Článek 1367 objasňuje, že „elektronický podpis spočívá v použití spolehlivého postupu identifikace zaručujícího jeho spojení s aktem, kterého se týká".

OTP SMS přímo přispívá k splnění podmínky spolehlivé identifikace stanoveného článkem 1367 tím, že vytváří vazbu mezi registrovaným telefonním číslem a podepsaným aktem.

Zákon o veřejných soutěžích

Články R. 2132-7 a následující Zákona o veřejných soutěžích ukládají, aby nabídky podané elektronicky byly podepsány elektronickým podpisem alespoň pokročilým založeným na kvalifikovaném certifikátu. Ověření SMS je součástí zařízení umožňujícího dosáhnout tuto úroveň, za podmínky, že celý proces podepisování je dokumentován a archivován.

GDPR č. 2016/679 – Ochrana telefonních dat

Článek 32 GDPR ukládá vhodná technická a organizační opatření k zajištění bezpečnosti zpracovávaných údajů, zejména šifrování a pseudonymizaci. Telefonní číslo použité pro OTP SMS musí být zašifrováno v klidu a během přenosu (minimálně TLS 1.3). Článek 5.1.e ukládá omezení uchovávání: číslo lze uchovávat pouze po dobu přísně nezbytnou pro účel zpracování.

Použitelné normy ETSI

• ETSI EN 319 132 (XAdES): formát pokročilého XML podpisu, doporučený pro dokumenty veřejných soutěží ve formátu XML.
• ETSI EN 319 122 (CAdES): formát pokročilého CMS podpisu, vhodný pro binární soubory (PDF, ZIP).
• ETSI EN 319 102-1: postupy vytváření a ověřování elektronických podpisů včetně kvalifikovaného časového razítka RFC 3161.

Nedodržení těchto norem vystavuje emitenta nebo zájemce riziku odmítnutí nabídky pro formální nesoulad, nebo nezávaznosti podpisu v případě smluvního sporu.

Konkrétní scénáře použití

Scénář 1 – Inženýrská kancelář reagující na trh péče o projekty

Inženýrská kancelář zaměřená na infrastrukturu se třiceti inženýry a řízením průměrně 15 až 20 odpovědí na veřejné soutěže ročně musí podepsat několik dokumentů tvořících nabídku: smlouvu o angažování, technickou zprávu, doklady o daňové a sociální pravidelnosti. Před zavedením ověření SMS se postup opíral o výměnu ručně podepsaných PDF, jejich naskenování a opětovné odeslání e-mailem, což vytvářelo průměrné zpoždění 48 až 72 hodin na soubor.

Konfigurací procesu Certyneo s ověřením OTP SMS pro každého interního podepisujícího (technický ředitel, správce) zkrátila kancelář tuto dobu na méně než 2 hodiny. Automaticky generovaná zpráva o podpisu je přiložena k souboru odeslanému na profil nákupčího, čímž se splňují požadavky na pokročilý podpis. Sektorové studie o elektronizaci B2B odhadují 60-70% snížení času zpracování administrativy při přechodu na elektronický podpis se silným ověřováním.

Scénář 2 – Dočasné sdružení podniků (DSP) na veřejné soutěži staveb

V rámci veřejné soutěže staveb (zemní práce + hrubé stavby) tvoří dvě společnosti společné DSP. Každý mandatář musí podepsat smlouvu o angažování jménem své společnosti. Obě společnosti se nacházejí v různých městech a termín pro podání nabídek je v 12:00.

Beroucí výhody funkcionalitu paralelních podpisů Certyneo obdrží oba podepisující současně odkaz na pozvání e-mailem. Každý z nich přistoupí na svou stránku ověření, zadá svůj kód OTP přijatý SMS během méně než minuty a připojí svůj pokročilý elektronický podpis. Koordinátor DSP obdrží okamžitě upozornění na dokončení a může nahrát finalizovaný soubor před uzavírací dobou. Tento scénář ilustruje, jak ověření SMS eliminuje riziko zpoždění souvisejícího s koordinací více míst, problém, který podle některých studií představuje přibližně 30% pozdních odevzdání v odpovědích sdružení.

Scénář 3 – Místní orgán vydávající soutěž

Místní orgán střední velikosti (mezi 50 000 a 200 000 obyvateli), který chce nejen reagovat na veřejnou soutěž, ale vydávat ji, se může opřít o ověření SMS k zabezpečení interního podpisu dokumentů trhu (CCAP, CCTP, RC). Před uvedením konzultace na profil nákupčího musí ředitel technických služeb a oprávněný politik společně podepsat dokumenty tvořící soutěž.

Nasazením interního procesu Certyneo s ověřením OTP SMS pro každého institutionálního podepisujícího vytváří místní orgán průkazný záznam předchozího administrativního ověření. Tato sledovatelnost je obzvláště užitečná během legalitační kontroly, kterou provádí prefektura, nebo při auditu regionální účetní komory. Snížení právního rizika spojeného s neověřeným podpisem představuje hlavní otázku dodržování právních předpisů pro veřejné nákupčí, s ohledem na požadavky vyhlášky č. 2015-899 kodifikované v Zákoně o veřejných soutěžích.

Závěr

Integrace stránky ověření s kódem SMS do vaší odpovědi na veřejnou soutěž není pouhá technická formalita: je to právní záruka, dokumentovaný důkaz souhlasu a nástroj regulační shody ve smyslu nařízení eIDAS a Zákona o veřejných soutěžích. Ověřením každého podepisujícího prostřednictvím hodinovaného OTP SMS dosahujete úrovně pokročilého elektronického podpisu vyžadovaného většinou veřejných nákupčích, zatímco drasticky snižujete interní zpoždění a rizika odmítnutí za formální nesoulad.

Certyneo vám umožňuje nakonfigurovat tento proces během několika minut bez IT vývoje, s audit logem vyhovujícím normám ETSI a archivovaným v souladu s právními povinnostmi. Ať již jste jediný zájemce, člen DSP nebo veřejný nákupčí, řešení se přizpůsobuje vaší situaci.

Jste připraveni zabezpečit vaše příští odpovědi na veřejné soutěže? Vytvořte si bezplatný účet Certyneo a nakonfigurujte svůj první proces s ověřením SMS již dnes.