SMS-vahvistussivusto tarjousten allekirjoittamiseen

Kun yritys vastaa julkiseen tai yksityiseen tarjouspyyntöön, siirretyn asiakirjan oikeudellinen arvo on keskeinen kysymys. Ilman vahvaa todennusmenetelmää allekirjoitettu sähköinen asiakirja voidaan riitauttaa tuomioistuimessa tai hylätä julkisen ostajan toimesta. Tässä tapauksessa SMS-koodilla toteutettu vahvistussivusto tulee esiin: tämä kertaluonteisen salasanan (OTP) avulla tapahtuva tunnistautumisvaihe vahvistaa tarjoavan osapuolen suostumustodistusta, täyttää eIDAS-asetuksen vaatimukset ja takaa allekirjoitusprosessin täydellisen jäljitettävyyden. Tässä artikkelissa selitämme, miksi ja miten ottaa käyttöön tämä mekanismi tarjouspyynnön vastaustyökulussa, käsitellen tekniset edellytykset, vaiheittaisen konfiguroinnin ja noudatettavat parhaat käytännöt.

Miksi integroida SMS-koodilla vahvistus tarjouspyynnön vastaukseen

Todistusvoimaa julkisissa hankinnoissa

Ranskalaisten julkisten hankintojen kehys edellyttää, että sähköisesti lähetetyt tarjoukset täyttävät 25. maaliskuuta 2016 annetun asetuksen N:o 2016-360 vaatimukset, jotka koskevat julkisia hankintoja. 1. lokakuuta 2018 lähtien jokainen tarjouskilpailu, jonka arvioidun arvon ylittää 40 000 € ilman arvonlisäveroa, edellyttää sähköistä toimittamista hyväksytyn hankintojen palvelun kautta. Tässä kontekstissa sähköinen allekirjoitus, joka on yhdistetty SMS-pohjaisen OTP-mekanismiin, muodostaa edistyneen sähköisen allekirjoituksen eIDAS-asetuksen merkityksessä:

• se on yhdistetty allekirjoittajaan yksiselitteisesti;
• se mahdollistaa allekirjoittajan tunnistamisen;
• se on luotu käyttäen allekirjoittajan yksinomaisesti hallitsemistaan tiedoista;
• se on yhdistetty allekirjoitettuihin tietoihin niin, että mikä tahansa myöhempi muutos voidaan havaita.

Ilman tätä todennustasoa yksinkertainen allekirjoitus (klikkaus tai valintaruutu) voi olla riittämätön tarjoavan osapuolen oikeudellisesti sitomiseksi, etenkin kun ostaja vaatii edistynyttä tai määrämuotoista allekirjoitusta tietyille herkkille osille.

Kiistaisuuden ja epäsäännöllisyyksien riskien pienentäminen

Tarjouspyynnön vastausdossier voidaan julistaa epäsäännölliseksi, jos hankintaviranomainen katsoo allekirjoittajan henkilöllisyyden olevan riittämättömästi selvitetty. SMS-vahvistussivuston lisääminen luo toisen todennustekijän (2FA), joka yhdessä aiemmin vahvistetun henkilöllisyyden kanssa muodostaa vankka todisteen. Hallintovalituksessa tai sopimuskiistassa tuomioistuimen edessä aikaleimalla varustettu tilintarkastuspäiväkirja (aikaleima, peitetty puhelinnumero, IP-osoite, asiakirjan hash) on hyväksyttävä todiste.

Saadaksesi lisätietoja perusteista, sähköisen allekirjoituksen täydellinen opas selittää allekirjoituksen eri tasot ja niiden oikeudelliset vaikutukset ranskalaisen ja eurooppalaisen oikeuden kannalta.

SMS-vahvistussivuston tekniset komponentit

OTP-arkkitehtuuri ja SMS-kanava

SMS-koodiin perustuva vahvistussivusto perustuu kolmeen keskinäisesti riippuvaiseen komponenttiin:

1. OTP-generaattori (One-Time Password): TOTP-algoritmi (Time-based OTP, RFC 6238) tai HOTP-algoritmi (HMAC-based OTP, RFC 4226) tuottaa 6 numerosta koostuvan koodin, joka on yleensä voimassa 5-10 minuuttia.
2. SMS-yhdyskäytävä (SMS gateway): sertifioitu operaattori (esim. Twilio, OVHcloud SMS, Brevo) toimittaa koodin tarjoavan osapuolen puhelinnumeroon, joka on rekisteröity kutsuvaiheessa tai rekisteröityessä.
3. Suojattu syöttöliittymä: sovellusohjelmapisteen näkymään tuleva verkkosivusto on noudatettava WCAG 2.1 -vaatimuksia (saavutettavuus), näytettävä selkeästi koodin voimassaolon päättyminen ja tarjottava rajoitettu uudelleenlähettymismekanismi (väärinkäyttöjen esto, enintään 3 yritystä).

Turvallisuuden näkökulmasta puhelinnumero on tarkistettava etukäteen (tarkistus käyttäjän liittymisen yhteydessä) ja säilytettävä kryptattuna tietokannassa GDPR-vaatimusten (art. 32 tietojenkäsittelyn turvallisuudesta) mukaisesti.

Integraatio Certyneo-allekirjoitustyökulkuun

Certyneo-alustalla SMS-vahvistussivun lisääminen tapahtuu suoraan allekirjoituskulkuprosessin konfigurointiliittymästä. Tässä vaiheet:

Vaihe 1 — Luo tai tuo vastausasiakirja Lataa tekniikan muistio, sitoumuslauseke tai mikä tahansa muusta tarjousta muodostava asiakirja. Certyneoin tekoälyllä tuotettu sopimusgeneraattori mahdollistaa myös tiettyjen vakioasiakirjojen ennalta täyttämisen.

Vaihe 2 — Määritä allekirjoittajat Syötä jokaisen tarjouksen allekirjoittamiseen valtuutetun henkilön nimi, etunimi, sähköpostiosoite ja matkapuhelinnumero (E.164-muoto, esim. +33 6 XX XX XX XX). Tämä kenttä on pakollinen SMS-vahvistuksen aktivoimiseksi.

Vaihe 3 — Ota OTP SMS -todentaminen käyttöön Valitse "Polun turvallisuus" -valikosta "SMS-koodilla vahvistus" -vaihtoehto. Voit määrittää:

• koodin voimassaolon keston (suositeltu: 5 minuuttia);
• enimmäisyrityskerrat (suositeltu: 3);
• allekirjoittajalle lähetetyn henkilökohtaistetun viestin (maininta tarjouspyynnöstä, hankinnan viitteestä).

Vaihe 4 — Mukauta vahvistussivusto Certyneoin liittymä tarjoaa "no-code" -sivueditorin, jonka avulla voit lisätä organisaatiosi logon, hankinnan otsikon ja selkeät ohjeet tarjoavalle osapuolelle. Tämä mukauttaminen vahvistaa luottamusta ja vähentää prosessin keskeyttämisiä.

Vaihe 5 — Testaa prosessi sandbox-tilassa Ennen varsinaista lähettämistä, käytä Certyneoin testilajia SMS-vastaanoton ja koodin syöttämisen simuloimiseksi. Varmista, että tilintarkastuspäiväkirja kappaa oikein: aikaleima, asiakirjan SHA-256-hash, peitetty puhelinnumero ja käyttöpäätteen IP-osoite.

Parhaat käytännöt optimaaliselle konfiguroinnille

Tarjoavan osapuolen operatiivisten rajoitusten ennakoiminen

Tarjouspyynnön yhteydessä tarjoava osapuoli voi olla yksityishenkilö tai pienyritykseen, hetkellistä yritysliittymää (GME) tai suurelle ryhmittymälle delegoitu laillinen edustaja. Useat operatiiviset rajoitukset on ennakoiminen:

• Puhelinnumeron saatavuus: jos nimetty allekirjoittaja on kansainvälisessä matkalla, SMS ei ehkä saavu ajoissa. Varata vaihtoehto allekirjoitusvallanksi siirtämiselle etukäteismuistutuksella.
• Vastuuhenkilöiden vaihtuvuus: suurissa organisaatioissa kutsun lähettämisen ja tallentamisrajan välisenä aikana pääjohtaja allekirjoittaja voi vaihtua. "Puhelinnumero"-kenttää on oltava muokattavissa tilin ylläpitäjän toimesta enintään 24 tuntia ennen määräaikaa.
• Saavutettavuus: jotkut vammaisuuden kanssa elävät käyttäjät voivat kohdata vaikeuksia väliaikaiskoodin syöttämisessä. Tarjoa vaihtoehto ääneen (automaattinen puhelun lukeminen koodista), jos infrastruktuurisi sen sallii.

Arkistointi ja audit-jälki säädösten mukaisesti

SMS-vahvistussivusto on vain yksi osa todistelaitteiston ketjusta. Jotta koko dossier olisi vastapuolelle sitova, arkistointi on oltava ETSI EN 319 132 (XAdES) tai ETSI EN 319 122 (CAdES) standardien mukainen valitusta allekirjoitusmuodosta riippuen. Certyneo tuottaa automaattisesti allekirjoitusraportin PDF/A-muodossa, joka sisältää:

• listan allekirjoittajista niiden todennustasoineen;
• sertifioidut aikaleimakset (RFC 3161);
• täydellisen SMS-tapahtumien lokitietueet (lähettäminen, vastaanoton vahvistaminen, oikea tai virheellinen syöttö).

Tämä raportti on säilytettävä hankinnan koko keston ajan, ja jopa sitä pidemmälle riitatapauksissa. Julkisissa hankinnoissa hankinnan kodeksin (art. L. 2194-1 ja seuraavat) säädökset määrittävät säilytysajat, jotka voivat olla jopa 10 vuotta. Tariffit ja pitkäaikaisen arkistoinnin vaihtoehdot on kuvattu Certyneoin hinnoittelusivulla.

Integraatio sähköistämisen alustoihin (hankintojen palvelut)

Kun tarjouspyynnön vastaus kulkee kolmannen osapuolen alustan kautta (AWS Marchés, e-Attestations, Achat Public, Klekoon jne.), Certyneota voidaan käyttää ennen tarjousta muodostavien asiakirjojen allekirjoittamiseen ja vahvistamiseen sisäisesti ennen lähetystä hankintojen palveluun. Allekirjoitettu asiakirja (XAdES- tai PAdES-muodossa) lähetetään sitten alustalle Certyneoin allekirjoitusraportin kanssa todennuksella.

Jos organisaatiosi käyttää jo kilpailevaa ratkaisua, siirtyminen Certyneoon -sivulla selitetään, kuinka siirtää nykyiset prosessit ilman tietojen menetystä tai palvelun katkoja.

Turvallisuus, GDPR ja puhelinpalveluiden tietojen hallinta

Puhelinnumeron henkilötietojen käsittely

Matkapuhelinnumero on henkilötieto GDPR:n 4. artiklan merkityksessä. Sen käyttö OTP-vahvistuksessa edellyttää:

• selvästi tunnistettu oikeusperusta: sopimuksen täyttäminen (art. 6.1.b GDPR) tai oikeutettu etu (art. 6.1.f GDPR) tarjouspyynnön lähettäjän ja tarjoajan suhteesta riippuen;
• etukäteistieto tarjoavalle osapuolelle puhelinnumeron käyttötarkoituksesta (maininta säännöissä tai kutsusähköpostissa);
• rajoitettu säilytysaika: numero ei saa säilyä pidempään kuin allekirjoitusprosessin loppuun, ellei laillinen arkistointi ole perusteltua.

Oikeus- ja tietosuojavastaavat löytävät lisäresursseja sähköisen allekirjoituksen sanastosta, joka viittaa sähköisen allekirjoitusprosesseihin sovellettuihin GDPR:n keskeisiin määritelmiin.

Vastustuskyky hyökkäyksille ja petostentorjunta

SMS-vahvistus on altis tietyille hyökkäysvektoreille (SIM-vaihtaminen, SS7-sieppailu). Suurissa hankinnoissa (arvot > 500 000 € ilman arvonlisäveroa) Certyneo suosittelee OTP SMS:n yhdistämistä:

• asiakkaan todentuksella etukäteen (KYC-dokumentti tai IDnow);
• sertifioidulla aikaleimalla luotettavaksi palveluntarjoajaksi (Trust Service Provider, TSP) akkreditoidusta eIDAS:n mukaisesti;
• reaaliaikaisen hälytyksen kanssa puhelinnumeron muutoksesta 48 tuntia ennen allekirjoitusta.

Nämä lisätoimenpiteet siirtävät allekirjoituksen sertifioidun eIDAS-tason tasolle, korkeimmalle tasolla, jonka eurooppalaiset säännökset tunnustavat, ja muodostavat maksimaalisen takuun herkille tai salaisille julkisille hankinnoille.

Vahvistukseen ja tarjoukseen soveltuva oikeusperusta

Sääntö eIDAS n:o 910/2014 ja sen allekirjoituksen tasot

Euroopan parlamentin ja neuvoston asetus (EU) N:o 910/2014 (eIDAS) muodostaa sähköisen allekirjoituksen sääntelypohjan Euroopassa. Se erottaa kolme tasoa:

• Yksinkertainen sähköinen allekirjoitus (art. 3.10): elektronisessa muodossa olevia tietoja, jotka on liitetty tai yhdistetty muihin tietoihin, joita allekirjoittaja käyttää allekirjoitukseen. Rajallinen oikeudellinen arvo julkisissa tarjouspyynnöissä.
• Edistynyt sähköinen allekirjoitus (art. 3.11): täyttää artiklan 26 eIDAS vaatimukset, joihin kuuluvat yksikäsitteinen yhteys allekirjoittajaan ja muutosten havaittavuus. OTP SMS -vahvistus yhdessä aiemman tunnistauksen kanssa saavuttaa tämän tason.
• Sertifioitu sähköinen allekirjoitus (art. 3.12): luotu sertifioidulla allekirjoitusta luovalla laitteella, joka perustuu luotettavaksi palveluntarjoajaksi akkreditoidun tahon myöntämään sertifikaattiin. Ainoa taso, jolla on oikeudellinen vaikutus samoin kuin käsin kirjoitetulla allekirjoituksella kaikissa jäsenvaltioissa (art. 25.2 eIDAS).

Ranska civil code — artikla 1366 ja 1367

Siviililainsäädännön 1366 artikla säädettää, että "elektronisella asiakirjalla on sama todistusvoimaa kuin paperille kirjoitetulla asiakirjalla, edellyttäen, että sen lähettäjä voidaan tunnistaa asianmukaisesti ja se on laadittu ja säilytetty tavalla, joka takaa sen eheyden". Artikla 1367 täsmentää, että "sähköinen allekirjoitus koostuu luotettavasta menetelmästä henkilöllisyyden vahvistamiseen, joka takaa sen yhteyden asiakirjaan, johon se liittyy".

OTP SMS-vahvistus edistää suoraan artiklan 1367 mukaisen luotettavan tunnistamisen vaatimuksen täyttämistä luomalla yhteyden rekisteröidyn puhelinnumeron ja allekirjoitetun asiakirjan välille.

Hankinnan koodi

Hankinnan koodin L. 2194-1 ja seuraavat artiklailla vaaditaan, että sähköisesti lähetetyt tarjoukset allekirjoitetaan vähintään edistyneellä sähköisellä allekirjoituksella, joka perustuu sertifikaattiin. SMS-vahvistus on osana laitetta, joka saavuttaa tämän tason, edellyttäen, että koko allekirjoitusprosessi on dokumentoitu ja arkistoitu.

GDPR n:o 2016/679 — Puhelinpalveluiden tietojen suojelu

GDPR:n 32 artikla velvoittaa käyttämään asianmukaisia teknisiä ja organisatorisia toimia tietojen turvallisuuden takaamiseksi, erityisesti salausta ja pseudonymisoitua. OTP SMS:lle käytetty puhelinnumero on salakirjoitettava levossa ja kuljetuksessa (TLS 1.3 vähintään). Artikla 5.1.e velvoittaa säilytysrajoitukseen: numero voidaan säilyttää vain niin kauan kuin käsittelyn tarkoitus edellyttää.

Soveltuvat ETSI-standardit

• ETSI EN 319 132 (XAdES): XML-muotoinen edistynyt allekirjoitus, suositeltava julkisen hankinnan asiakirjoihin XML-muodossa.
• ETSI EN 319 122 (CAdES): CMS edistynyt allekirjoitus, soveltuu binääritiedostoihin (PDF, ZIP).
• ETSI EN 319 102-1: sähköisten allekirjoitusten luomisen ja vahvistamisen menettelyt, sisältäen sertifioidun aikaleiman RFC 3161.

Näiden standardien noudattamatta jättäminen altistaa lähettäjää tai tarjoajaa tarjouksen hylkäämisen riskille muodollisen epäsäännöllisyyden tai allekirjoituksen vastustettavuuden vuoksi sopimusriitatapauksissa.

Konkreettisia käyttöskenaarioita

Skenaario 1 — Tekniikka-alan konsultointijohtaja vastaa suunnittelun hankinnan kilpailuun

Infrastruktuuria erikoistuva tekniikka-alan konsultointiyritys, jossa on noin kolmekymmentä insinööriä ja joka hallinnoi keskimäärin 15-20 tarjouspyynnön vastausta vuodessa, joutuu allekirjoittamaan useita tarjousta muodostavia asiakirjoja: sitoumuslauseke, tekniikan muistio, verotus- ja sosiaaliturvasäännösten noudattamistodistukset. Ennen SMS-vahvistuksella varustetun prosessin käyttöönottoa menettely perustui PDF-asiakirjojen manuaaliseen allekirjoitukseen, niiden skannaa miseen ja uudelleenlähettämiseen sähköpostissa, mikä aiheutti keskimäärin 48-72 tunnin viiveet dossiiria kohti.

Certyneoin työkulun määrittelemisen avulla SMS OTP -vahvistuksella jokaiselle sisäiselle allekirjoittajalle (tekniikkajohtaja, johtaja) yritys vähensi viiveen alle 2 tuntiin. Automaattisesti tuotettu allekirjoitusraportti liitettiin hankintojen palvelulle jätettyyn dossieriin, täyttäen edistyneen allekirjoituksen vaatimukset. B2B-sähköistämisen alan tutkimuksissa arvioidaan 60-70 % hallinnollisen käsittelyajan vähenemiseksi siirryttäessä sähköiseen allekirjoitukseen, jossa on vahva todentaminen.

Skenaario 2 — Hetkellistä yritysliittymää rakennustöiden hankinnassa

Julkisen rakennustyöhankinnan yhteydessä (kaivaus + runkotyö) kaksi yritystä muodostaa hetkellistä yritysliittymää yhdessä. Kummainen pääsopimusten osapuoli on allekirjoitettava sitoumuslauseke yhtiönsä nimissä. Kaksi yritystä sijaitsevat eri kaupungeissa, ja tarjouksien jättöajankohta on klo 12.00.

Certyneoin rinnakkaisten allekirjoitusten toiminnallisuuden ansiosta molemmat allekirjoittajat saavat samanaikaisesti kutsun linkin sähköpostissa. Kukin hakee omaa vahvistussivuansa, syöttää SMS:ssä vastaanotettavan OTP-koodinsa alle minuutissa ja asettaa sähköisen edistyneen allekirjoituksensa. Hetkellistä yritysliittymää koordinoiva henkilö saa välittömästi ilmoituksen valmistumisesta ja voi ladata viimeistellyn dossieron ennen määräaikaa. Tämä skenaario osoittaa, kuinka SMS-vahvistus poistaa monipaikkaisen koordinoinnin aiheuttaman myöhästymisriskin, mikä edustaa noin 30 % liittymien myöhäisistä jätöistä joidenkin tutkimusten mukaan.

Skenaario 3 — Paikallishallinnon tarjouspyynnön lähettäminen

Keskikokoinen paikallishallinto (väkiluku 50 000-200 000 asukas) ei vastaa pelkästään tarjouspyyntöön vaan voi myös lähettää sellaisen ja käyttää SMS-vahvistusta sisäisten asiakirjojen (CCAP, CCTP, RC) allekirjoituksen turvaamiseen. Ennen hankinnan palvelussa julkaisua teknisten palveluiden johtaja ja hankinnoista vastaava poliitikko voivat co-allekirjoittaa asiakirjat.

Certyneoin sisäisen työkulun ottamalla käyttöön SMS OTP -vahvistuksella jokaiselle institutionaaliselle allekirjoittajalle paikallishallinto luo päätösten todennettavuuden jäljen. Tämä jäljitettävyys on erityisen hyödyllinen prefektuurin oikeusvalvonnassa tai alueellisen tarkastuskomitean auditoinnissa. Oikeudellisen riskin väheneminen riittämättömästi todentamaasta allekirjoituksesta on merkittävä vaatimuksien noudattamisen näkökohta julkisille ostajille hankinnan koodin vaatimuksista johtuen.

Johtopäätös

SMS-koodin vahvistaussivuston integroiminen tarjouspyynnön vastaukseen ei ole vain tekninen muodollisuus: se on oikeudellinen takuu, dokumentoitu suostumustodiste ja sääntelyvaatimuksien täyttämisen työkalu eIDAS-asetuksen ja hankinnan koodin merkityksessä. Jokaisen allekirjoittajan todentamisella aikaleimalla varustetun OTP SMS:n avulla saavutat edistyneen sähköisen allekirjoituksen tason, jota useimmat julkiset ostajat vaativat, samalla kun dramaattisesti vähennetään sisäisiä viiveitä ja muodollisen epäsäännöllisyyden hylkäämisen riskejä.

Certyneo mahdollistaa tämän prosessin määrittämisen muutamassa minuutissa ilman IT-kehitystä, ja tilintarkastuspäiväkirja on ETSI-standardin mukainen ja arkistoitu laillisten velvoitteiden mukaisesti. Olipa sinä yksittäinen tarjoaja, hetkellistä yritysliittymän jäsen tai julkinen ostaja, ratkaisu sopeutuu kontekstiihin.

Valmis turvataksesi seuraavat tarjouspyynnön vastaukset? Luo Certyneo-tilisi ilmaiseksi ja konfiguroi ensimmäinen prosessisi SMS-vahvistuksella tänään.