Leathanach fíorúcháin SMS chun fregra ar ghlaoch ar thairiscintí a thabhairt

Nuair a fhreagróidh gnó glaoch ar thairiscintí poiblí nó príobháideacha, is ceist lárnach a bhíonn ann an luach dlí atá ag baint don doiciméad a sheoltar. Féadfaidh doiciméad a síníodh go leictreonach gan méaníochán fíordheimhniúcháin a bheith ina dhúshlán i gcomhairle chúirte nó i mbriseadh ag an gceannaitheoir poiblí. Is ann go díreach don leathanach fíorúcháin le cód SMS ina bhfuil an fhuinneamh seo: tugann an chéim fíordheimhniúcháin seo trí idirlíonasc pasfhocal a úsáid go háirithe (OTP) neart níos mó ar an fhianaise go bhfuil an tairgeoir i bhfabhar an chinnimh, comhlíonann sé riachtanais rialachlabhracha an rialacháin eIDAS agus bainfidh sé a bhheith ina bharaintheoir iomlán i slabhra an tsloinnte sínithe. San alt seo, soiléiriú díom ar cén fáth agus an chaoi chun an gníomhaireacht seo a chur i bhfeidhm i do dhreachscannán freagra ar ghlaoch ar thairiscintí, ag dul tríd na riachtanais theicniúla, socrú-le-céim ar chéim agus dea-chleasanna a leanúint.

Cén fáth a bhí a dhéanamh fíorúcháin trí chód SMS a cheangal i do fhregra ar ghlaoch ar thairiscintí

An luach dlí i lár an tslí ar mhargaí poiblí

Éilíonn réimpleán na margaí poiblí sa Fhraince go bhfreagraíonn soláthraí a dhéantar trí bhealach neamhpháipéartha don riachtanais bhunaithbhreithnithe ag an ndécreat n° 2016-360 an 25 Márta 2016 maidir le margaí poiblí. Ó 1 Deireadh Fómhair 2018, imthíg socrúchán ar bith ar a bhfuil luach measta níos faide ná 40 000 € neamhíoctha neamhpháipéartha forzaiste tríd an spréachbhóthainn dépóiste dhearbhaithe (próifíl ceannaitheoirí). Sa chomhthéacs seo, déantar síniú leictreonach a ghabhann le meicníochan OTP trí SMS a chur sínithe leictreonacha foluain i bhfeidhm de réir an rialacháin eIDAS, is é sin:

• ceangailte don tsinítheoir ar bhealach uathúil ;
• a dhéanann identiú an tsinítheoirí a dhéanamh iomlán ;
• cruthaithe ó shonraí is féidir leis an tsinítheoir a úsáid faoin a smacht fúilach ;
• ceangailte do na sonraí sínithe ar bealach a cheadaíonn gach athrúchán níos déanaí a bhrath.

Gan an leibhéal fíordheimhniúcháin seo, d'fhéadfadh síniú simplí (clice nó bosca a sheiceáil) a bheith neamhleor chun an tairgeoir go dlíthiúil a ghealladh, go sonrach nuair a dhéanann an ceannaitheoir síniú foluain nó cáilithe a cheangal ar ghearáin bhraistinte.

Laghdú ar fhontanna a bheith i gcontúirt agus neamhrialtachta

D'fhéadfaí doiciméad de fhregra ar ghlaoch ar thairiscintí a fhógairt neamhrialta má bhraistíonn an t-údarás socraithe nach bhfuil identiú an tsinítheoirí socracht go leor ar bun. Cuirtear leathanach fíorúcháin SMS a bhreascadh suas dara fachtóir fíordheimhniúcháin (2FA) go bhfuil, nuair a bhagraíonn do identiú a bhí ann cheana, a chruthú fianaise dhúr. I gcás achomharc oscailte chuig an chúirt bhardasúrach nó ghiotáiste an chonraittí, tugann an nualsceál gníomhaireachta horodaithe (timestamp, uimhir fón gealadh, seoladh IP, hash an doiciméid) fianaise inghealltúcháin.

Chun dul níos faide ar na buneilimintí, tugann an treorach iomlán ar síniú leictreonach na leibhéalta éagsúla siníochta agus a n-impleachtaí dlíochta i ndlí an Fhraince agus na hEorpa.

Na gréine teicniúla de leathanach fíorúcháin SMS

Ailtireacht OTP agus cainéal SMS

Braitheann leathanach fíorúcháin trí chód SMS ar thrí ghréine spleáchúrsla:

1. Gineadóir OTP (Pasfhocal Aon-Úsáid) : gineann algartam TOTP (OTP bunaithe ar Am, RFC 6238) nó HOTP (OTP bunaithe ar HMAC, RFC 4226) cód 6 dhigit, i bhfeidhm go ginearálta idir 5 agus 10 nóimeads.
2. Geataí SMS (SMS gateway) : seolann oibritheoir dearbhaithe (m.sh. Twilio, OVHcloud SMS, Brevo) an cód chuig uimhir ghutháin an tairgeoirí, cláraithe le linn an chéim fhéimheanna nó clárúcháin.
3. Comhéadan iontrála slán : caithfidh an leathanach gréine a thaispeántar don tairgeoirí a bheith ag cloí le riachtanais WCAG 2.1 (inrochtaineacht), faillí soiléir a thaispáint ar shubh an chóid agus meicníochan athlabhraite theorantach a bhaint (frithdhrabháil, uachtar 3 iarraidh).

Ó dhreach na slándála, ba chóir an uimhir ghutháin a bhailíochtú i ndiaidh an tosaigh (fíorúchán i rith an onboarding) agus a stóráil go droichealaithe sa bhunachar sonraí, in aonta-chomhréire le riachtanais an RGPD (art. 32 ar dhiongbáil an bhaintí).

Greamúchán sa sreabhadh oibre síniú Certyneo

San ardán Certyneo, cuirtear an bhreiseán de leathanach fíorúcháin SMS i bhfeidhm go díreach ó dheasg socrúthe de dhreachscannán sínithe. Seo a leanas na stáitsí:

Céim 1 — Doiciméad freagra a chruthú nó a iompórtáil Uachtar do chuimhne theicniúil, do ghníomh gealladh nó aon phíosa eile ina bhfuil an soláthair. Tugann gineadóir conarthaí trí AI Certyneo an deis freisin doiciméid chineál a líonadh roimh ré.

Céim 2 — Na sínítheoirí a shocrú Scríobh an t-ainm, an t-ainfhocal, an seoladh ríomhphost agus an uimhir ghutháin bhogiarrainn (formáid E.164, m.sh. +33 6 XX XX XX XX) de gach duine ar cheart dó an soláthair a shíniú. Is gá an réimse seo chun fíorúchán SMS a bhogadh.

Céim 3 — Fíordheimhniúchán OTP SMS a bhogadh I roghchlár « Slándáil an Dreachscannáin », cuir an rogha « Fíorúchán trí chód SMS » ar fos. Is féidir leat a shocrú:

• an t-am fada do bhailíochtú an chóid (molladh: 5 nóimeads) ;
• an líon uachtar de riarrais (molladh: 3) ;
• an teachtaireacht phearsanta a seoltar don tsinítheoir (lua den ghlaoch ar thairiscintí, de thaisc na comhairleoireachta).

Céim 4 — An leathanach fíorúcháin a phearsantú Tairbhíonn an t-iomláine Certyneo eagarthóir leathanaigh « nach-cód » a thabhairt deis do logo do eagraíochta, teideal na comhairleoireachta agus treoruithe soiléir a chur in úil don tairgeoirí. Neartaíonn an phearsanúchán seo muinín agus laghdaíonn sé ar scor na sreabha.

Céim 5 — An dreachscannán a scrúdú i mód sandbox Sula seola go fíor, úsáid mód tástála Certyneo chun an deargnú SMS agus an iontráil chóid a dhéanamh rath. Deimhnigh go bhfuil an nualsceál gníomhaireachta ag gabháil: an horodaiting, an hash SHA-256 an doiciméid, an uimhir ghutháin gealadh agus an seoladh IP an teirminéal úsáideora.

Dea-chleachtas do socrúchán barrmhaith

Intuigthe na dúshláin oibritheacha an tairgeoirí

I gcomhthéacs an ghlao ar thairiscintí, d'fhéadfadh an tairgeoir a bheith ina dhóir aonair nó ina ionadaí dlíthiúil d'SME, d'fhophlúchta gan-ord (GME) nó d'fhothrom mór. Caithfear roinnt dúshláin oibritheacha a sheachaint:

• Neamhfhéideamhacht uimhir ghutháin : má bhíonn an sínítheoir ainmnithe ar thuras idirnáisiúnta, d'fhéadfadh nach bhfuigheadh an SMS in am. Soláthar deis a athaontaí sínithe le briathairt bhéim roimh ré.
• Foluain na freagróirí : i meánoiriú móra, d'fhéadfadh an stiúrthóir ginearálta siníchtheach a bheith mar choinníoll idir an cur ar an oscailt agus an dáta imeall an tairgeoirí. Ba chóir go mbeadh an réimse « uimhir ghutháin » inscéimhe ag an riarthóir chuntais go dtí 24 uair a dhéanamh roimh an fhaillíochán.
• Inrochtaineacht : d'fhéadfadh go mbeadh deacracht ag úsáideoirí i ndeargnú dánata le sracadh chóid tréimhsiúil. Soláthar rogha gutha (glao uachtrach den léamh chóid) má bheidh an t-infreastruchtúr agat ar chumas.

Stóras agus rian iniúchta ag freastal ar na ndoiciméid

Ní bhíonn an leathanach fíorúcháin SMS ach ar dhógheal amháin den ghníomhaireacht fianaise. Chun go mbeadh an doiciméad ar fad inaghaoir, caithfear an stóras a bheith ag cloí le caighdeán ETSI EN 319 132 (XAdES) nó ETSI EN 319 122 (CAdES) de réir an fhormáid siníochta roghnaithe. Gineann Certyneo go huachtrach tuarascáil sínithe i PDF/A ina bhfuil:

• an liosta na sínítheoirí le a leibhéal fíordheimhniúcháin ;
• an horodaitingí dearbhaithe (RFC 3161) ;
• an nualsceál glan na n-imeachtaí SMS (seola, glacadh dearbhaithe, iontráil cheart nó míchearta).

Ba chóir go gcoimeádtar an tuarascáil seo i rith an ama ar fhéidir an conradh a bheith bailí, nó níos faide i gcás achomharc. I gcás na margaí poiblí, leagann an Cód Soláthraitheoireachta Poiblí (alt L. 2194-1 agus leanacha) faide coimeádta go dtí 10 mbliana. Tá na praghsanna agus na roghanna stóras fadtéarmach sonraithe ar an leathanach praghsanna Certyneo.

Greamúchán le hardáin dhematerialization (próifílí ceannaitheoirí)

Nuair a théann an freagra ar ghlaoch ar thairiscintí tríd an spréachbhóthainn thríú páirtí (AWS Marchés, e-Attestations, Achat Public, Klekoon, srl.), is féidir le Certyneo a úsáid roimh ré chun doiciméid chomhdéantaí na soláthraigheachta a shíniú agus a bhailíochtú laistigh sula dtéann siad ar spréachbhóthainn an cheannaitheoirí. Seoltar an comhad sínithe (i bhformáid XAdES nó PAdES) ansin ar an spréachbhóthainn, i dteanta tuarascáil sínithe Certyneo mar bhréithniú fíordheimhniúcháin.

Má úsáideann d'eagraíochta réiteach comhpháirteach cheana féin, tugann an leathanach ar gluaiseacht go Certyneo an conas do bhreachscannáin atá ann a dhíbirt gan chailliúint sonraí ná srian seirbhíse.

Slándáil, RGPD agus bainistíochta an sonaí teileafóin

Bainistiú sonraí pearsanta uimhir ghutháin

Is sonraí pearsanta í uimhir ghutháin agus fón fógra thú alt 4 an RGPD. Gabhann an úsáid i gcomhthéacs fíorúcháin OTP riachtanais:

• bunús dlí soiléir: an fhorghníomhú an chonairt (alt 6.1.b RGPD) nó an leas cuibhiúil (alt 6.1.f RGPD) de réir an chaidreamh idir an tarchuradóir glaoch agus an tairgeoir ;
• faisnéis bhreoscoilte an tairgeoirí ar an úsáid a bhaint dá uimhir (lua i CGU nó i ríomhphost fé) ;
• faide coimeádta theorantach : ní ba chóir go gcoimeádtar an uimhir thuas, seachas stóras dlíthiúil breithnithe.

Faighfidh foireann dlíochtúla agus DPO acmhainní bhreise inár ghlosáire síniú leictreonach, a thagarann na sainmhínithe eolais den RGPD a bhaint do sreabhadh oibre sínithe.

Aghaidh ar ionsuí agus frith-dhrabháil

Bhíonn an fíorúchán SMS intuigthe ar roinnt veicteoirí ionsuí (SIM swapping, interception SS7). I gcás margaí le cuid arda (méideanna > 500 000 € neamhíoctha), molann Certyneo an OTP SMS a dhéanamh coalártha le:

• fíordheimhniúchán aghaidh (KYC doiciméadach nó IDnow) ;
• an horodaiting cáilithe a sholáthar ag seirbhísí iontaoibh (Trust Service Provider, TSP) eIDAS ;
• an rabhadh fíor-am i gcás athrúcháin ar uimhir ghutháin laistigh de 48 uair a dhéanamh roimh an tsiníochta.

Déanann na beart bhreise seo an síniú a fholuain ar an leibhéal cáilithe eIDAS, an ceann is ard a aithnítear ag an rialachán Eorpach, agus tugann siad gealladh níos mó do na margaí poiblí mothúcháin nó rangaithe.

Fráma dlí a bhaineann le fíorúchán SMS i nglacanna ar thairiscintí

An rialachán eIDAS n° 910/2014 agus a leibhéalta siníochta

Tugann an rialachán (AE) n° 910/2014 an Pharlaimint Eorpach agus an Chomhairle (eIDAS) an bhonn rialachlabhracha an tsiníochta leictreonacha in Eoraip. Tagann sé ina bhfrithchéim:

• Síniú leictreonach simplí (alt 3.10) : sonraí i bhformáid leictreonach scoilte nó ceangailte do shonraí eile, úsáidte ag an tsinítheoir chun a shíniú. Luach dlí theorantach do na glacanna ar thairiscintí poiblí.
• Síniú leictreonach foluain (alt 3.11) : comhlíonann riachtanais alt 26 eIDAS, ina bhfuil an t-aonad an ceangal leis an tsinítheoir agus an braistint ar gach athrúchán. Tugann an fíorúchán OTP SMS, ar chomhdhéanta identiúcháin réamhtheachtais, deis an leibhéal seo a bhaint amach.
• Síniú leictreonach cáilithe (alt 3.12) : cruthaithe ag baint úsáid as gníomhaireacht cruthaithe sínithe cáilithe, bunaithe ar theastas cáilithe a eisítear ag TSP a bhí ar aithint eIDAS. Théarma gan ar aon bhreis leibhéal a bhaint comhdhéana dlíochtúil cothrom le siníochta scriobhtha i ngach Stát Ballraighne (alt 25.2 eIDAS).

Cód Sibhialta an Fhraince — Ailt 1366 agus 1367

Leagann alt 1366 an Chóid Sibhialta síos go bhfuil « an ríomhphost leictreonach an chéanna i bhfeidhm dlíochtúil agus an ríomhphost ar thacair pháipéir, faoi restr nach féidir go soléir an duine dá dtagann sé a shainaithint agus go bhfuil sé bunaithe agus coimeádta i dtireanna a bhaint i ndiaidh go rabhchur a n-athbhás ». Soiléiriú alt 1367 go bhfuil « an siníochta leictreonach i gceist a bhaineann úsáid a dhéanamh ar nós inbhuanaithe fíordheimhniúcháin a bhaint deis an ceangal leis an ghníomh ar a bhíonn sé scoilte ».

Deonann an OTP SMS go díreach cabhrúint ar an dáileadh ar an riachtanas identiúcháin ina nós agus ar alt 1367, ag cruthú ceangal idir an uimhir ghutháin cláraithe agus an síniú gníomhaighde.

Cód Soláthraitheoireachta Poiblí

Éilíonn na hailt R. 2132-7 agus leanacha an Chóid Soláthraitheoireachta Poiblí go raibh soláthraí a seoltar trí bhealach leictreonach sínithe ag síniú leictreonach ar a laghad foluain bunaithe ar theastas cáilithe. Téann an fíorúchán SMS i bhfeidhm ar an ghníomhaireacht a cheadaíonn an leibhéal seo a bhaint amach, faoi restr go bhfuil an sreabhadh sínithe ar fad doiciméadaithe agus archiválte.

RGPD n° 2016/679 — Cosaint ar shonraí teileafóin

Éilíonn alt 32 an RGPD bearta theicniúla agus eagraitheocha oiriúnacha chun slándáil an bhainte a bhaint, go háirithe an droichealú agus an pseudonymization. Ba chóir an uimhir ghutháin a úsáidtear don OTP SMS a bhaint droichealú ar fhós agus ar chuir (TLS 1.3 ar a laghad). Éilíonn alt 5.1.e ar theorantú an choimeádta: ní féidir an uimhir a bheith coimeádta ach an t-am ar a bhfuil gá aici don fhinalacht an bhaintí.

Caighdeáin ETSI bhaint

• ETSI EN 319 132 (XAdES) : formáid siníochta XML foluain, molladh do phíosaí margaí poiblí i bhformáid XML.
• ETSI EN 319 122 (CAdES) : formáid siníochta CMS foluain, oiriúnach do chomhaid dhéthuairte (PDF, ZIP).
• ETSI EN 319 102-1 : nósanna sínithe leictreonacha agus fíorúchána, ag gabhála ar horodaiting cáilithe RFC 3161.

Tá riosca ag gabhála don neamhchloí ar na caighdeáin seo a bhaint easumann an soláthair nó an tairgeoirí a bheith i gcontúirt frithpháirt an soláthair le neamhrialtacht fhoirmeálach, nó i n-inaghaortha an tsiníochta i gcás achomharc chonraithi.

Cásanna úsáid dhomhain

Cás 1 — Caibinéad innealtóireachta ag freagra ar mhargadh uillinnchloch-oibre

Bhí caibinéad innealtóireachta speisialta i bhinfrastruchtúr, a bhí sa bhraistint thart ar 30 innealtóirí agus go bhfuil siad ag bainistiú ar fhairsing 15 go 20 freagra ar ghlacanna ar thairiscintí gach bliain, caithfidh sé roinnt píosaí ríochtúla an tsoláthair a shíniú: gníomh gealladh, cuimhne theicniúil, deimhniúcháin ar shlándáil fhischáil agus sóisialta. Roimh an chur i bhfeidhm de fhíorúchán SMS, bhí an nós imeachta bunaithe ar mhalartú PDF sínithe go meabhrach, scannaithe agus athsheoilte trí ríomhphost, a bhí ag gealadh dóthain 48 go 72 uair le gach doiciméad.

Trí dhreachscannán Certyneo a shocrú le fíorúchán OTP SMS do gach sínítheoir inmheánach (stiúrthóir theicniúil, geamhlánaigh), laghdaigh an caibinéad an dóthain seo go níos lú ná 2 uair. Is ann an tuarascáil sínithe automatach-ghinte agus ceangailte don doiciméad a thairbhe ar an spréachbhóthainn cheannaitheoirí, comhlíonann riachtanais an tsiníochta foluain. Measann na staidéir thionscail ar dhematerialization B2B laghdú ar 60-70% ar an am oibritheachta riaracháin i gcás gluaiseacht chuig siníochta leictreonach le fíordheimhniúchán daingean.

Cás 2 — Fophlúchta gan-ord (GME) ar mhargadh oibreachta

I gcomhthéacs margaidh poiblí oibreachta (lot terrassement + lot gros œuvre), cuireann dhá fhoireann GME ar chomhdhéanta. Ba chóir do gach mandataire an gníomh gealladh a shíniú ar ainm a chuideachta. Bhí an dhá fhoireann i mbailte difríolacha, agus an dáta faillíochta iompórtálta soláthraí 12h00.

A bhuíochas don fheidhmiúchán sínítheoir comhthreomhar Certyneo, faightear dhá shínítheoir tosaigh meall ar fad i dtéama ríomhphost. Roinnidh duine acu ar a leathanach fíorúcháin agus scríobhann a chód OTP faigheadh trí SMS i níos lú ná nóimeaid amháin, agus cuirtear a siníochta leictreonach foluain i bhfeidhm. Faightear an comhordaitheoir GME i gceist meadhraichí agus is féidir leis an doiciméad críochaithe a uachtar ar an spréachbhóthainn roimh an fhaillíochán. Tugann an cás seo le tuiscint conas an fíorúchán SMS a bhaint riosca faillíochta ghaolaithe a chomhordú ar fud-suíomhanna, riosca a bhí ann de réir roinnt staidéir thart ar 30% den uachtar déanach i nfreagra ar fhop-ord.

Cás 3 — Bailiúchán uachtrach an glaoch ar thairiscintí

Bailiúchán uachtrach meánlíne (idir 50 000 agus 200 000 áitreabhóir), níor bhfeil ar dhul a fhreagra ar ghlaoch ar thairiscintí ach ar eisiúint ceann, is féidir freisin a bhuíochas a dhéanamh ar an fíorúchán SMS chun sínithe inmheánacha na bpíosaí margaidh (CCAP, CCTP, RC) a dhéanamh slán. Roimh an chur ar an oscailt ar an spréachbhóthainn an ceannaitheoir, caithfidh an stiúrthóir na seirbhísí theicniúla agus an duine dírithe go poiblí ar margaí a dhéanamh co-shínithe na ndoiciméad.

Ag feidhmiú dreachscannán Certyneo inmheánach le fíorúchán OTP SMS do gach sínítheoir institiúideach, cruthóidh an bailiúchán fianaise a thuairiscint ar an bhailíochtú riaracháin réamhtheachtais. Tá an tréitreachta seo an-thábhachtach i rith na gcomhroinn dlí-reachta ar fheidhm ag an spréachbhóthainn nó i gcás iniúchta den chúirt réigiúnach an cuntas. Tugann an laghdú ar an riosca dlíochtúil ar ghabhála le siníochta a bhaint fíordheimhniúc