SMS balioaren bidez eskaintza eskaerari erantzuteko balidazio-orria

Enpresa batek eskaintza publiko edo pribatuari erantzuten dionean, transmititutako expedientearen baliotsutasun juridikoa bera da gaia. Mekanismo indartsuko autentifikaziorik gabe elektronikoki sinatutako dokumentua epaitegian galdatu daiteke edo erosketa-agenteak baztertu. Hori da, hain zuzen, SMS kodedun balidazio-orriak sartzen diren tokia: autentifikazio-urrats hau, erabileran bakarra den pasahari oinarritua (OTP) —One-Time Password—, inkesta egilea baimetzaile moduan azaltzen duen froga sendotzen du, eIDAS araudia bete egiten du eta sinatze-bidea osoa jarraikitzeko berrespena bermatzen du. Artikulu honetan argitzen dugu zergatik eta nola jarri praktikan tresna hau zure eskaintza-prozesuaren fluxuan, aurrebaldintzak teknikoak, urratsak eta jarraibideak aginduz.

Zergatik integratu SMS-bidezko balidazioa zure eskaintza eskaerari

Froga-balioa merkatu publikoetan funtsezko

Frantziako merkatu publikoen marko arautzaileak eskatzen du desmaterializatutako bidez bidaltzen diren eskaintzak 2016ko martxoaren 25eko 2016-360 dekretuan zehazturiko baldintzak bete ditzazaten merkatu publikoari buruzko arau. 2018ko urriaren 1tik, kalkulatutako balioa 40 000 € HT baino gehiago duten kontsultetan desmaterializazioa derrigorrezkoa da agindutako denegatutako plataforma batean (erosketa-profila). Testuinguru honetan, elektronikoki sinatutakoa OTP-kidean SMS bidez batekin gauzatua sinadura elektroniko aurreratua da eIDAS araudioan zehar arrazoi hauek:

• sinadulea modu bakantean lotu;
• sinadulea identifikatzea ahalbidetzen duena;
• sinadulea bere kontrolean aldetik erabiltzen duen datu lagunetan sortu;
• sinatutako datuekin aldearekin lotu, ondoren egindako aldaketa osoa detektatuta gela daiteze.

Autentifikazio-maila honen gabe, sinadura sinplea (klik edo kaxatxoa) ez da aski inkestatzailearen juridikaski behera maiatzeko, batez ere erosketa-agenteak sinadura aurreratua edo kalifikatua eskatzen diotenean lote sentikorretan.

Lehia-arriskua eta ezalditasun-arriskua murriztu

Eskaintza eskaeraren expedientea irregularrtzat adieraz daiteke adjudikatzeak esannarren sinadulear identitatea ez bada osoa ezarrita. SMS balidazio-orri bat gehitzeak bigarren autentifikazio-faktorea sortzen du (2FA) aurrean egiaztatu ziren identitatearekin batean, lotsa gogoan adierazpena sendoa bihurtzen duena. Auzitegi administratiboan edo kontratu-epaileen aurrean lehian, egun-orduko egiaztapen-liburuak (timestamp, telefonoen zenbakia maskara, helbidea IP-ean, dokumentuaren hash) froga onartua bihurtzen dira.

Sakonagoan ikusteko, sinadura elektronikoaren gida osoa sinaduraren maila desberdinak eta haien ondorioak azaltzen ditu Frantziaren eta Europaren zuzenbidean.

SMS balidazio-orriaren osagai teknikoak

OTP arkitektura eta SMS kanala

SMS-bidezko balidazio-orria hiru osagai elkarloturetan oinarritua:

1. OTP sorgailua (One-Time Password) : TOTP algoritmoa (Time-based OTP, RFC 6238) edo HOTP (HMAC-based OTP, RFC 4226) 6 zifrarako kodea sortzen du, normalean 5 eta 10 minutuen bitartean baliozkoa.
2. SMS ataka (SMS gateway) : denegatutako operadorea (adibidez Twilio, OVHcloud SMS, Brevo) kodea inkestatzailearen telefonoen zenbakira bidaltzen du, gonbitean edo inskripzioan erregistratua.
3. Sarrera segurua interfazea : inkestatzaileari erakutsitako web-orriak WCAG 2.1 baldintzak bete behar ditu (erabilerragarritasuna), kodea iraungiaren garbia erakutsi eta bidalketa mugatua ( aurka-abusoa, gehienez 3 saiakera) proposatu.

Segurtasunaren ikuspuntutik, telefonoen zenbakia aurrebaldinean balidatu behar da (onboarding-ean egiaztapena) eta datu-basean enkriptatuta gorde, RGPD-rekin (32. artikulua, trataketaren segurtasunean).

Integrazio Certyneo sinatze-fluxuan

Certyneo plataforman, SMS balidazio-orria gehitua zuzenean sinatze-bideen konfigurazio-interfazetik egiten da. Hona urrats hauek:

1. urratsean — Dokumentua sortu edo inportatu Zure teknika-memoria, konpromisoaren akta edo eskaintzan parte hartzen duten edonolako agiriak igo. Certyneok AI kontratuen sorgailua ahalbidetzen du dokumentu motak aurre-betetzea.

2. urratsean — Sinadureak konfiguratu Izenaren, abizenaren, posta-helbidearen eta mugikorraren telefonoen zenbakia sar (E.164 formatua, adib. +33 6 XX XX XX XX) eskaintza sinatzeko baimena duen pertsona bakoitzarenean. Eremu hau derrigorrezkoa da SMS balidazioa aktibatzeko.

3. urratsean — OTP SMS autentifikazioa aktibatu « Bideen seguritatea » menuean, « SMS-kodez balidazioa » kaxatxoa marraztu. Zuk parametrizatu dezakezu:

• kodea iraungiaren denbora (gomendatua: 5 minutu) ;
• gehieneko saiakera zenbakia (gomendatua: 3) ;
• sinadulearentzat bidaltzearren mezu pertsonalizatua (merkatu publikoaren aipamena, kontsultaren erreferentzia).

4. urratsean — Balidazio-orria pertsonalizatu Certyneo interfazeak « no-code » orrialdearen editorea proposatzen du zure erakundearen logoa, kontsultaren izenburua eta sinaduralearen argibideak gehitu ditzazun. Pertsonalizazio honek konfiantza sendotzen du eta bidea abandoneetan murrizten du.

5. urratsean — Bidea testan jarri sandbox moduan Benetako bidalketa aurretik, Certyneok test modua erabili SMS jasotzea eta kodea sartzea simulatzeko. Egiaztatu egun-orduko liburuak ondo hartzen duena: horodatua, dokumentuaren SHA-256 hash, telefonoen zenbakia maskara eta erabiltzailearen terminalaren IP helbidea.

Jarraibideak konfigurazio hobearentzat

Ineskatzailearen eragiketa-mugen aurreikustea

Merkatu publiko baten barnean, ineskatzailea pertsona fisikoa edo PME-ko irudia edo enpresen momentuko taldeak (GME) edo talde handia adieraz daiteke. Hainbat eragiketa-mugen aldean:

• Telefonoen zenbakiaren ez-izatea : sinadurea designa dena munduko bidaian badago, SMSa ez daiteke denboran iritsi. Sinatze delegazioaren aukera aurreikusi, aurreko notifikazioa duena.
• Arduradunen biraketa : erakundeetan, sinatze delegazioaren aukera aurreikusi, aurreko notifikazioa duena.
• Erabilerragarritasuna : diskantsioa duten erabiltzaileak kode tenporala sartzean arazoak topatu ditzakete. Ahotsa alternatiboa proposatu (kodea irakurtzeko automatiko deiu) zure infrastrukturak badarezake.

Artxibaketa eta egiaztapen-bista legala

SMS balidazio-orria froga-tresnaaren kate bat besterik ez. Expediente osoa oposgarria izan dadin, artxibaketa ETSI EN 319 132 (XAdES) edo ETSI EN 319 122 (CAdES) norma bete behar du sinatze-formatuaren arabera. Certyneo automatikoki sinatze-txosten bat sortzen du PDF/A-n:

• sinadureak sinatzearen autentifikazio-mailez;
• denbora-markak sertifikatuak (RFC 3161) ;
• SMS ereigniseen egun-orduko liburua osoa (bidalketa, jasotzea baieztatu, sarrera zuzena edo okerra).

Txosten hau merkatu-validitatearen denbora osoan gorde behar da, baina judizialean ere. Merkatu publikoetan, Kode Publikoaren Kode-a (32. artikuluak 2194-1 eta jarraipena) 10 urtean artean iraupen denbora ezarri. Araudiak eta artxibaketa-aukerak Certyneok tarifa orrian azaltzen ditu.

Desmaterializazio-plataformen (erosketa-profilak) integrazio

Merkatu publikoen eskaera plataforma batean bidaltzen denean (AWS Merkatu Publikoak, e-Atestiguak, Erosketa Publikoa, Klekoon, etab.), Certyneo aurretik erabili daiteke barnean dokumentuak sinatzen eta balidatzen diren bitartean erosketa-profilean gorde aurretik. Sinatutako agiriak (XAdES edo PAdES formatuan) plataforman igo egiten dira, Certyneok sinatze-txosten bat autentifikazio-egiaztapena izango dute.

Zure erakuntzak baditzake jadanik beste soluzio bat, Certyneora migrazio orria zure bidea dagoen transferit nola egiten du datuen ez-galerarik ez zerbitzua etena gabe.

Seguritatea, RGPD eta telefonoen datu-kudeazioa

Telefonoen zenbakiaren pertsonak informazioa tratzea

Mugikorraren telefonoen zenbakia RGPD-ren 4. artikuluaren araberako pertsonaren datu-portua. Honen erabilera OTP baliotzen tresnan:

• oinarri legala argi identifikatua: kontratua betetzea (6.1.b RGPD) edo interes legitima (6.1.f RGPD) eskaeraren emitleari eta ineskatzailearen arteko erlazioaren arabera;
• aurreko informazioa ineskatzaileari bere zenbakiaren erabilerari buruz (mención CGU-en edo gonbita-e-mailan);
• gorde denbora mugatua: zenbakia ez gorde sinatze-bidea amaitutzat, legezko artxibaketa justifikatua salbuespena.

Zuzenbide-taldeek eta DPO-k baliabide gehigarria aurki dezakete gure sinadura elektroniko glossarioan, RGPD-ko defintzioak sinatze-bidean aplikatutako aipu bihurtzen direnak.

Erasoei aurreikustea eta antifrau

SMS balidazioa erasoen bektore batzuetan ahula (SIM swapping, SS7 intertzeptazioa). Merkatu kezka handian (zenbakia > 500 000 € HT), Certyneo OTP SMS-a konbinatu gomendiatzoa:

• aurrean identitate egiaztapena (KYC dokumentaria edo IDnow) ;
• denbora-marka kalifikatua firentzia trusts (TSP) akatua eIDAS-ak;
• denbora errealean alerta telefonoen zenbakiaren aldaketa kasuan 48 orduetan aurrean sinatzearen.

Neurri gehigarri hoiek sinadurarentzat saltoa eIDAS kalifikatua maila, araudian onartuak, eta merkatu pribatuen edo sailkatzearren bazuna dira merkatu publikoetan.

Merkatu publikoetan SMS balidazioari aplikagarria den arau-giroa

eIDAS n° 910/2014 araudia eta sinaduraren mailak

(EU) 910/2014 Parlamentuak eta Kontseiluak eIDAS araudian Europan sinadura elektonikoaren oinarri arautzailea da. Hiru maila dauzka:

• Sinadura elektroniko sinplea (3.10 artikulua): elektonikoaren edukiak beste datuekin lotu, sinadulearengatik sinatzeko erabilia. Merkatu publikoetan baliotsutasun legala mugatua.
• Sinadura elektroniko aurreratua (3.11 artikulua): eIDAS-ren 26. artikuluko baldintzak bete, batzuk sinadurearenzat bakantasuna eta aldaketaren detektagarritasuna. OTP SMS balidazioak aurre identifikazio batekin, maila hori lortzea ahalbidetzen du.
• Sinadura elektroniko kalifikatua (3.12 artikulua): sinatze kalifikatua-tresna baten bidez sortu, TSP akatua duten kalifikatua ziurtagiriak oinarritua. Maila bakar estatu-kidean sinatze-eskuzaleak berdina diren (25.2 eIDAS artikulua).

Frantziako zibil-kodea — 1366 eta 1367 artikulua

1. artikulua zera esan: « elektroniko agiria agirri paperean berdina dela, betiere sinadura duen pertsona nola egin bai eta agiri osoa gorde daiteke integritatean bermatua ». 1367. artikulua zehazten du « sinadura elektronikoa prozesu fidagarriaren erabilera dela sinadulearengatik lotzen duen eta akta duena ».

OTP SMSa zuzenean 1367. artikuluak posaturiko identifikazio fidagarriaren baldintzak bete laguntzen du, telefonoen zenbakia erregistratua eta akta sinatura artean lotasunik sortuz.

Merkatu Publikoaren Kodea

2132-7 artikulu eta jarraipena eta Merkatu Publikoaren Kodeak eskatzen dute elektroniko bidez transmititutako eskaitzak sinadura elektroniko gutxienez aurreratua sinatuta izan, kalifikatua ziurtagirira. SMS balidazioak maila lortzen dispositiboan sartzen da, betiere sinatze-bidea osoa dokumentatua eta artxibaketa den aldean.

RGPD n° 2016/679 — Telefonoen datu-babesa

RGPD-ren 32. artikulua eskatzen du egoki neurriak tekniko eta antolaketa tratatzen diren datuak, batez ere enkriptzioa eta seudonimizazioa. Telefonoen SMSa OTP balidazioaren erabilitako zenbakia enkripta gorde behar da errestan eta trantsitan (TLS 1.3 gutxienez). 5.1.e artikuloa gorde denbara mugatua: zenbakia gorde baitezake benetako denbora hori ondoriozko nahia den.

Aplikagarria den ETSI araubideak

• ETSI EN 319 132 (XAdES) : XML sinadura aurreratua formatua, merkatu publikoen agirietan gomendatua XML formatuan.
• ETSI EN 319 122 (CAdES) : CMS sinadura aurreratua formatua, fitxategi binariak egoki (PDF, ZIP).
• ETSI EN 319 102-1 : sinadura elektronikoaren sortzea eta balioztatzea prozedura, denbora-marka kalifikatua RFC 3161 biltzen duena.

Araubide honak ez betetzeak emititzailea edo ineskatzailea irregularitate formalaren eskaitza baztertzea aurrean, edo sinaduraren inoposagarritasuna kontratua lehian.

Erabilpen-szenario konkretuak

Szenarioa 1 — Ingeniaritza-bulegoa maisu-obra merkatu baten eskaitza

Ingeniaritza-bulegoa infrastrukturarik espezialista, hamar hogeita ingeniariaren zenbakia eta batez beste 15 20 merkatu publikoen eskaitza kudeatzea, dokumentu batzuk sinatu beharko ditu: konpromisoaren akta, teknika-memoria, fiskala eta soziala normakunea. Aurretik SMS balidaziorik gabe, prozedura SKY sinatzen handik-handik, bilaketa eta retransmisio bidez oinarritua izaten zen, zeinak 48 72 orduetan batez bestean erantzun egiten du expediente.

Certyneok sinatze-bidea konfiguratzean sinadulaie bakoitzarentzat OTP SMS balidazioa (direktorea teknikoa, kudatzailea) bulegoak denbora hau 2 orduetan murriztu du. Automatikoki sortutako sinatze-txosten osoa erosketa-profilean egiten den agiriekin dago, sinadura aurreratua baldintzak bete. Desmaterializazioan sektore-azterlan, signatura elektroniko tratamendua autentifikazio indartsua pasatzearen aldean 60 70 % administratibo tratamendua denbora murriztea kalkulatzen.

Szenarioa 2 — Enpresen momentuko taldeak (GME) obren merkatu batean

Merkatu publikoen obra (lursaila terrazalgia + lursaila obra handia), bi enpreseek GME elkartua sortzen dute. Sinadureak aduandu behar du bere enpresa izenean konpromisoaren akta. Enpresen bi hiri desberdinetan daude, eta eskaitza epea 12h00ean da.

Certyneok sinatze paraleloen funtzioaren bidez, bi sinadureak e-mailez gonbita-bintegua jasotzen dute. Bakoitzak bere balidazio-orria sarbidea eta bere OTP kodea SMS-ez hartu 1 minutu baino gutxiagoan saiatzen du eta bere sinadura elektroniko aurreratua ezten. GME koordinadoreak berehalako notifikazioa jasotzen du eta agiriaren osoa igotzen du deadline aurretik. Szenarioha nola SMS balidazioak multi-sitioaren koordintazioaren delareneko arrisku ezabatzen du, arazo bat handi adierazpena doa enpresen taldean denporten% 30 inguruan.

Szenarioa 3 — Herrigunea merkatu publikoa emitleria

Herrigunea neurri ertaina (50 000 200 000 herritarren artean) ez erantzuten merkatu publikoan ez emiteriak sentiberako daitezke SMS balidazioa segurtzeko barrenean sinatze agirietan (CCAP, CCTP, RC). Plataforma erosketa-profilean jadanik zuzendariak eta adiskidea merkatu publikoetan ondokoak sinatze dokumentu batzuetan.

Certyneok barnean sinatze-bidea adiskidea obrakian balidazioa OTP SMS balidazioari hartu, herriguna administratibo balidazioaren froga sortu. Trazagarritasun honek legalitatearen kontrol pareko edo auditoretako kamera legionaren gainean erabilgarria. Segurtasunak ez autentifikazioak sinadura lotzeak aritzea zuzenbide arrisku garrantzitsua da kode publikoen erosketa, ordena 2015 899 Merkatu Publikoaren Kode kodean eskatzen dei.

Ondorioa

SMS kodearen balidazio-orrialdearen integrazio merkatu publikon ez da soilik prozeduraren soila: barne zuzenbideen berrespena, sinaduralearen baimena dokumentatua eta eIDAS eta Merkatu Publikoaren Kodearen arauzean. Sinaduraleek SMSan OTP horodatuaz autentifikatzeaz ahalik gehien mailara behealen sinadura elektroniko aurreratua lortzen duzu gutxienik erosketa publikoetan, iraungiaren barrenean denbora intern eta irregular eta erantzute arrisku zehatzean.

Certyneok konfiguratu ahal duzu bidea minutuetan, informatika garapenaren gabe, egun-orduko liburua ETSI araubideak eta araubide legal bete bete-bete artxibaketa duen. Ineskatzailea bakar, GME kidera edo erosketa publikoa, soluzioak zure testuingurura moldatzen.

Prest zure merkatu publikoen eskaitza hurrengo segurtasuna? Sortu zure Certyneo kontua doakoa eta konfiguratu zure bidea SMS balidazio duena gaur.