Avalehekülg SMS-valideerimiseks hankemenetluses osalemisel

Kui ettevõte osaleb avaliku või eraõiguslikul hankemenetlusel, on esitatud dossee õiguslik väärtus kesksete küsimuste seas. Elektrooniliselt allkirjastatud dokument ilma tugeva autentimismehhanismita võib kohtus vaidlustada või avaliku hankija poolt tagasi lükata. Täpselt siin tuleb mängu SMS-koodiga valideerimisleht: see autentimissamm ühekordse parooli (OTP) kaudu tugevdab pakkuja nõusoleku tõendust, vastab eIDAS määruse nõuetele ja garanteerib allkirjastamise protsessi täieliku jälgitavuse. Selles artiklis käsitleme üksikasjalikult, miks ja kuidas rakendada seda mehhanismi oma hankemenetluse vastuse töövoos, sealhulgas tehniline eeltingimused, samm-sammu konfigureerimise ja järgitavad head tavad.

Miks integreerida SMS-koodi valideerimine oma hankemenetluse vastusesse

Tõendusväärtus avalike hangetite keskmes

Prantsusmaa avalike hangete raamistik nõuab, et demateriaalse teel esitatud pakkumised vastavad 25. märtsi 2016. aasta dekreedi nr 2016-360 sätetud nõuetele deekreedi kohta avalikud hanked. Alates 1. oktoobrist 2018 nõuab iga konsultatsioon, mille hinnanguline väärtus ületab 40 000 € ilma käibemaksuta, kohustusliku dematerialiseerimise vastava platvormi kaudu (ostja profiil). Selles kontekstis on SMS kaudu OTP-ga seotud elektrooniline allkiri täiustatud elektrooniline allkiri eIDAS määruse mõttes, see tähendab:

• seotud allkirjastajaga üheselt ;
• võimaldab allkirjastajat tuvastada ;
• loodud andmete abil, mida allkirjastaja saab kasutada oma ainuisikulise kontrolli all ;
• seotud allkirjastatud andmetega nii, et võimalik on tuvastada igasugune hilisem muudatus.

Ilma selle autentimistasemeta võib lihtne allkiri (klõps või märkeruut) olla ebapiisav pakkuja õiguslikult seovaks, eriti juhul kui ostja nõuab teatud tundlikesse lottodesse täiustatud või kvalifitseeritud allkirja.

Vaidluste ja ebakorrektsuse riskide vähendamine

Hankemenetluse vastuse dossee võib tunnistada ebakorrektseks, kui hankeorgan leiab, et allkirjastaja isikut pole piisavalt kindlaks tehtud. SMS-valideerimislehe lisamine loob teise autentimisteguri (2FA), mis koos eelnevalt kontrollitud isikuga moodustab kindla tõendi. Juhul kui tekkib vaidlus haldusohtuniku või lepingu kohtumisel, loetakse ajakirjaandmete tehtud audit (ajatempel, peitmata telefoninumber, IP-aadress, dokumendi räsi) vastuvõetavaks tõendiks.

Vähem teada olevatest asjadest saate rohkem informatsiooni elektroonilise allkirja täisõpikust, mis selgitab erinevaid allkirja tasemeid ja nende õiguslikke tagajärgi prantsusmaa ja euroopa õiguses.

SMS-valideerimislehe tehilised komponendid

OTP-arhitektuur ja SMS-kanal

SMS-koodiga valideerimisleht põhineb kolmel omavahel seotud komponendil:

1. OTP-generaator (One-Time Password) : algoritm TOTP (Time-based OTP, RFC 6238) või HOTP (HMAC-based OTP, RFC 4226) loob tavaliselt 5 kuni 10 minutit kehtiva 6-kohalise koodi.
2. SMS-värav (SMS gateway) : sertifitseeritud operaator (nt Twilio, OVHcloud SMS, Brevo) edastab koodi pakkuja telefoninumbrile, mis on registreeritud kutsumise või registreerumise ajal.
3. Turvaline sisestuskeskkond : pakkujale näidatav veebileht peab vastama WCAG 2.1 nõuetele (juurdepääsetavus), näitama selgelt koodi aegumisaega ja pakkuma piiratud edastamise mehhanismi (kuritarvitamise vastane, maksimaalselt 3 katset).

Turvalisuse vaates tuleb telefoninumber eelnevalt kontrollida (verifitseerimine kasutuselevõtu ajal) ja andmebaasis krüptitult salvestada, järgides GDPR-i nõudeid (artikkel 32 andmetöötluse turvalisuse kohta).

Integreerimine Certyneo allkirjastamisvoo

Certyneo platvormil teostub SMS-valideerimislehe lisamine otse allkirjastamisvoo konfiguratsiooniinterfaasist. Siin on sammud:

Samm 1 — Loo või impordi hankemenetluse dokument Laadige üles oma tehnilise memorandumi, kohustusliku dokumendi või muu pakkumise koostava dokumendi. Certyneo AI lepingute generaator võimaldab ka teatud standarddokumentide eelnevalt täita.

Samm 2 — Konfigureeri allkirjastajad Sisestage kõigi pakkumist allkirjastada volitatud isikute nimi, perekonnanimi, e-maili aadress ja mobiilse telefoni number (E.164 vorming, nt +33 6 XX XX XX XX). See väli on SMS-valideerimise aktiveerimiseks kohustuslik.

Samm 3 — Aktiveerige SMS OTP autentimine Menüüs « Turvaline voog » märkige valik « SMS-koodi valideerimine ». Saate seadistada:

• koodi kehtivusaega (soovitatav: 5 minutit) ;
• katuste maksimaalset arvu (soovitatav: 3) ;
• allkirjastajale saadetud isikupärastatud sõnumit (hankemenetluse märkus, konsulteerimise number).

Samm 4 — Isikupärastage valideerimislehte Certyneo-liides pakub « no-code » lehe redaktorit, mis võimaldab lisada teie organisatsiooni logo, konsulteerimise nimetuse ja selgeid juhiseid pakkuja jaoks. See isikupärastamine tugevdab usaldust ja vähendab voo katkemist.

Samm 5 — Testige voodu liivakastis Enne tegelikku saatmist kasutage Certyneo katserežiimi SMS vastuvõtmise ja koodi sisestamise simuleerimiseks. Kontrollige, et audit kaapab õigesti: ajatempel, dokumendi SHA-256 räsi, peitunud telefoninumber ja kasutaja terminali IP-aadress.

Head tavad optimaalse konfiguratsiooni jaoks

Pakkuja tegevuslike piirangute ennustamine

Hankemenetluse otsuste käigus võib pakkuja olla füüsiline isik või väikeettevõtte, ajutise ettevõteteühenduse (GME) või suure kontserni seaduslik esindaja. Mitut tegevuslikku piirangut tuleb ennustada:

• Telefoninumbri mittesaadavus : kui määratud allkirjastaja on rahvusvahelisel reisil, ei pruugi SMS õigel ajal saabuda. Pakkuge allkirja delegeerimise valikut eelneva teatisega.
• Vastutavate isikute vahetus : suurtes organisatsioonides võib kutsumise saatmise ja dossee esitamise tähtaja vahel muutuda allkirjastava juhataja. Väli « Telefoninumber » peab olema muudetav kontohalduri poolt kuni 24 tundi enne tähtaega.
• Juurdepääsetavus : mõned puudega inimesed võivad kohata raskusi ajutise koodi sisestamisel. Pakkuge alternatiivset häälestust (automaatne helistamine koodi lugemiseks), kui teie infrastruktuur seda võimaldab.

Arhiveerimine ja audit jälgid vastavalt

SMS-valideerimisleht on vaid tõendisüsteemi üks osa. Selleks et kogu dossee oleks kaitstud, peab arhiveerimine vastama ETSI EN 319 132 (XAdES) või ETSI EN 319 122 (CAdES) standardile, olenevalt valitud allkirjaformaadist. Certyneo loob automaatselt allkirja aruande PDF/A-s, mis sisaldab:

• allkirjastajate loendit nende autentimistasemega ;
• sertifitseeritud ajatempleid (RFC 3161) ;
• täieliku SMS-sündmuste logi (saatmine, vastuvõtmine kinnitatud, õige või vale sisestamine).

Seda aruannet tuleb säilitada kogu turulepingu kehtivusperioodi jooksul ja isegi ulatuslikult vaidlustusjuhtude puhul. Avalike hangete puhul nõuab Hangetekoodeks (artikkel L. 2194-1 ja edasi) konserveerimisaegade, mis võivad ulatuda kuni 10 aastani. Hinnad ja pikaajalise arhiveerimise valikud on kirjeldatud Certyneo hinnaleheküljel.

Integreerimine dematerialiseerimisplatvormidega (ostja profiilid)

Kui hankemenetluse vastus läheb läbi kolmanda osapoole platvormi (AWS Marchés, e-Attestations, Achat Public, Klekoon jne), saab Certyneot kasutada eelnevalt pakkumist koostava dokumendi sisenemise ja valideerimiseks enne ostja profiilile laadimist. Allkirjastatud fail (XAdES või PAdES formaadis) laetakse siis platvormi üles koos Certyneo allkirjaaruandega autentimisetõendina.

Kui teie organisatsioon kasutab juba konkurentsiolulist lahendust, selgitab Certyneole ülemineku leht kuidas üle võtta teie olemasolevad vood ilma andmete kadumiseta ega teenuse katkemiseta.

Turvalisus, GDPR ja telefoninumbrite andmete haldus

Telefoninumbri isikuandmete töötlemine

Mobiilne telefoninumber on GDPR artikli 4 mõttes isikuandmed. Selle kasutamine OTP-valideerimiseks nõuab:

• selgelt määratletud õiguslikku aluseid : lepingu täitmist (artikkel 6.1.b GDPR) või seaduslikke huve (artikkel 6.1.f GDPR) vastavalt hankemenetluse väljaandja ja pakkuja suhtele ;
• eelnevat teavitamist pakkujale tema numbri kasutamisest (märge tingimuste lõpus või kutsumisel) ;
• piiramata säilitustaiga : arv tuleb säilitada kuni allkirjastamisvoo lõpuni, välja arvatud õiguslik arhiveerimine.

Juriidilised ja DPO-käitusasutused leiavad täiendavaid ressursse meie elektroonilise allkirja sõnastikust, mis viitab GDPR-i peamistele määratlustele, mis rakenduvad allkirjastamisvoogudele.

Vastupidavus rünnakutele ja pettuste vastase kaitse

SMS-valideerimine on haavatav teatud rünnakvektoritele (SIM swap, SS7 pealtkuulamine). Suure panusega turul (summad > 500 000 € ilma käibemaksuta) soovitab Certyneo kombineerida OTP SMS-iga:

• eelnev identiteedikontroll (KYC dokumentaalne või IDnow) ;
• sertifitseeritud ajatempel, mis on väljaantud eIDAS sertifieeritud usalduseelistuse teenuse pakkujale (TSP) ;
• reaalajas hoiatus telefoninumbri muutmisel 48 tunni jooksul enne allkirjastamist.

Need täiendavad meetmed muudavad allkirja sertifitseeritud tasemeks eIDAS, kõrgeimaks tunnustatud standardiks, ning esindavad maksimaalseid garantiisid tundliku või klassifitseeritud avalike hangete puhul.

Hankemenetluse valideerimisele kohaldatav õigusraam

Määrus eIDAS nr 910/2014 ja selle allkirja tasemed

Euroopa Parlamendi ja Nõukogu määrus (EL) nr 910/2014 (eIDAS) moodustab Euroopas elektroonilise allkirja õigusraamistiku aluse. See eristab kolme taset:

• Lihtne elektrooniline allkiri (artikkel 3.10) : andmed elektroonilisel kujul, mis on seotud muude andmetega, mida allkirjastaja kasutab allkirjastamiseks. Avalike hangete suhtes piiratud õiguslik väärtus.
• Täiustatud elektrooniline allkiri (artikkel 3.11) : vastab eIDAS artikli 26 nõuetele, sealhulgas allkirjastajale ainuisiku sidet ja muudatuste tuvastamise võimet. SMS OTP valideerimine, mis on kombineeritud eelneva identifitseerimisega, võimaldab seda taset saavutada.
• Kvalifitseeritud elektrooniline allkiri (artikkel 3.12) : loodud kvalifitseeritud allkirja loomise seadmega, mis põhineb TSP akrediteeritud poolt väljastatud kvalifitseeritud sertifikaadil. Ainus tase, millel on õiguslik mõju samaväärselt käsitsi allkirjaga kõigis liikmesriikides (artikkel 25.2 eIDAS).

Prantsusmaa tsiviilkoodeks — Artikled 1366 ja 1367

Tsiviilkoodeksi artikkel 1366 ütleb, et « elektrooniline dokument on sama tõendustusväärtusega kui paberile kirjutatud dokument, tingimusel et saab õigesti kindlaks teha isiku, kellest see pärineb, ja et see on koostatud ja säilitatud tingimustes, mis on loodud selle terviklikkuse garanteerimiseks ». Artikkel 1367 täpsustab, et « elektrooniline allkiri koosneb usaldusväärse tuvastamismeetodi kasutamisest, mis garanteerib selle seose dokumendiga, millele see on kinnitatud ».

OTP SMS aitab otseselt täita artikli 1367 nõutavate usaldusväärsete tuvastamise tingimuseid, luues seose registreeritud telefoninumbri ja allkirjastatud dokumendi vahel.

Hangetekoodeks

Hangetekoodeksi artikled R. 2132-7 ja edasi nõuavad, et elektrooniliselt esitatud pakkumised allkirjastataks vähemalt täiustatud elektroonilise allkirjaga, mis põhineb sertifitseeritud sertifikaadil. SMS valideerimine kuulub mehhanismi, mis võimaldab seda taset saavutada, tingimusel et terve allkirjastamisvoog on dokumenteeritud ja arhiveeritud.

GDPR nr 2016/679 — Telefoninumbrite andmete kaitse

GDPR artikkel 32 nõuab asjakohaseid tehilisi ja organisatsioonilisi meetmeid andmete turvalisuse tagamiseks, sealhulgas krüptimine ja pseudonomiseerimine. SMS OTP jaoks kasutatav telefoninumber peab olema krüptitud puhkeolekus ja transiidis (TLS 1.3 minimaalselt). Artikkel 5.1.e nõuab konserveerimise piiramist: arv saab säilitada vaid otstarbeks vajaliku aja.

Kohaldatavad ETSI standardid

• ETSI EN 319 132 (XAdES) : täiustatud XML-allkirja vorming, soovitatav avalike hangetute materjalide puhul XML-vormingus.
• ETSI EN 319 122 (CAdES) : täiustatud CMS-allkirja vorming, sobib binaarfailidele (PDF, ZIP).
• ETSI EN 319 102-1 : elektrooniliste allkirjade loomise ja valideerimise protseduurid, sisaldab sertifitseeritud ajatemplust RFC 3161.

Nende standardite mittejärgimine eksponerib väljastajat või pakkujat riski, et pakkumine lükatakse tagasi vormilise ebakorrektsuse tõttu, või et allkiri on lepingulises vaidluses kaitstud.

Konkreetsed kasutusjuhtumid

Juhtum 1 — Inseneritöö gabinet osaleb tehnikaajastu turule

Infrastruktuuri erikoolitusega inseneritöö kabinet, kus on umbes kolmkümmend insenerit ja keskmiselt 15 kuni 20 hankemenetluse vastust aastas, peab allkirjastama mitut pakkumise osist: kohustusliku dokumendi, tehnilise memorandumi, maksude ja sotsiaalsete korrektsuse kinnitused. Enne SMS-valideerimise rakendamist põhines protseduur käsitsi allkirjastatud PDF-ide vahetusel, millega skaneeriti uuesti ja saadeti e-postiga, tekitades keskmiselt 48 kuni 72 tunnise viivituse dossee kohta.

Certyneo voolu konfigureerimisel iga sisemine allkirjastaja (tehniline juht, juhataja) jaoks SMS OTP valideerimisega, vähendasid kabinet selle viivituse vähem kui 2 tunni peale. Automaatselt loodud allkirjaaruanne lisatakse ostja profiilile laaditud dossee juurde, rahuldades täiustatud allkirja nõudeid. Sektori uuringud B2B dematerialiseerimisest hindasid haldusaja vähendamist 60-70% juures elektroonilistele allkirjadele tugevalt autentimisega.

Juhtum 2 — Ajutine ettevõteteühendus (GME) ehitustöö hankel

Avaliku ehitustöö hanke raames (maatöö lot + ehitus lot) moodustavad kaks ettevõtet GME-i koostoimes. Iga mandataar peab allkirjastada kohustusliku dokumendi oma ettevõtte nimel. Kaks ettevõtet asuvad erinevates linnades ja pakkumiste esitamise tähtaeg on kell 12:00.

Certyneo paralleelsete allkirjade funktsiooniga saavad kaks allkirjastajat samaaegselt kutsumise e-maili. Kumbki pääseb juurde oma valideerimisleheküljele, sisestab oma SMS-is saadud OTP-koodi vähem kui minut ja teeb selle elektroonilise täiustatud allkirja. GME-koordinaator saab koheselt täitmisteatise ja võib laadida lõplikud dosseed enne tähtaega. See juhtum näitab, kuidas SMS-valideerimine kõrvaldab mitmekohalise koordineerimisega seotud viivituse riski, probleemi, mis esineb ligikaudu 30% hilistest esitustest gruppides.

Juhtum 3 — Kohalik erinevhangete väljaandja

Keskmise suurusega kohalik omavalitsus (50 000 kuni 200 000 elanikkonda) soovides mitte osaleda hankemenetlusel, vaid väljastada selle, võib samuti tugineda SMS-valideerimisele oma sisehangetute dokumentide allkirjastamiseks (CCAP, CCTP, RC). Enne hanked profiilile avaldamist, peab peavolinik ja käsitlevale valitsusele määratud vallutatud kaasallkirjastama dokumentid.

Sisene Certyneo voog iga institutsioonilise allkirjastaja jaoks SMS OTP valideerimisega, loob omavalitsus jälgitava kinnituse halduslikust eelvalidatsioonist. See jälgitavus on eriti kasulik prefektuuri poolt teostatud seaduslikkuse kontrollide puhul või piirkondliku arvekontori auditi ajal. Mitteautentitud allkirjastamisega seotud õigusriski vähendamine on avalike hangetajate jaoks oluline vastavusvajalikkuse probleem vastavalt määrusele nr 2015-899, mis on kodifitseeritud Hangetekoodeksis.

Järeldus

SMS-koodi valideerimislehe integreerimine oma hankemenetluse vastusesse ei ole üksnes lihtne tehniline formaalsus: see on õiguslik garantii, dokumenteeritud nõusoleku tõendi ja eIDAS määruse ning Hangetekoodeksi mõttes vastavusreegelduse tööriist. Igal allkirjastajal SMS OTP-ga autentimisel ajatempliga saavutat allkirja täiustatud taseme, mida nõuab suurem osa avalikest hangetajatest, samal ajal vähendades drastiliselt sisemisi viivitusi ja vormiliste ebakorrektsuste tagasikaltutamise riski.

Certyneo võimaldab seadistada seda voolu mõne minutiga, ilma IT-arenduseta, ETSI standarditele vastavate audit pöialdea ja õiguslike kohustustega archiveeritud. Olgu te ainumenetleja, GME liige või avalik hanketaja, lahendus kohaneb teie kontekstiga.

Valmis turvama oma järgmisi hankemenetluse vastuseid? Looge oma Certyneo konto tasuta ja seadistage oma esimene voog SMS valideerimisega juba täna.