Páxina de validación SMS para responder a unha convocatoria de licitación

Cando unha empresa responde a unha convocatoria de licitación pública ou privada, a cuestión do valor xurídico do expediente transmitido é central. Un documento asinado electronicamente sen mecanismo de autenticación forte pode ser contestado ante un tribunal ou rexeitado polo comprador público. É precisamente alí onde intervén a páxina de validación con código SMS: este paso de autenticación por contrasinal de uso único (OTP) reforza a proba do consentimento do licitador, satisfai os requisitos do regulamento eIDAS e garante a trazabilidade completa do percurso de sinatura. Neste artigo, detallamos por que e como establecer este dispositivo no seu fluxo de resposta a convocatoria de licitación, pasando polos requisitos técnicos, a configuración paso a paso e as boas prácticas a seguir.

Por que integrar validación por código SMS na súa resposta a convocatoria de licitación

O valor probatorio no corazón da contratación pública

O marco da contratación pública francesa impón que as ofertas transmitidas por vía desmaterializada satisfagan os requisitos establecidos polo decreto nº 2016-360 do 25 de marzo de 2016 relativo á contratación pública. Desde o 1 de outubro de 2018, toda consulta cuyo valor estimado supera 40 000 € IVA non incluído implica unha desmaterialización obrigatoria a través dunha plataforma de depósito acreditada (perfil comprador). Neste contexto, a sinatura electrónica asociada a un mecanismo de OTP por SMS constitúe unha sinatura electrónica avanzada no sentido do regulamento eIDAS, é dicir:

• ligada ao asinante de maneira unívoca;
• permitindo identificar ao asinante;
• creada a partir de datos que o asinante pode utilizar baixo seu control exclusivo;
• ligada aos datos asinados de forma a permitir a detección de calquera modificación posterior.

Sen este nivel de autenticación, unha sinatura simple (clic ou caixa de verificación) pode ser insuficiente para comprometer xurídicamente ao licitador, nomeadamente cando o comprador exixe unha sinatura avanzada ou cualificada para certos lotes sensibles.

Reducir os riscos de contestación e irregularidade

Un expediente de resposta a convocatoria de licitación pode ser declarado irregular se o órgano de contratación estima que a identidade do asinante non está suficientemente establecida. O engadido dunha páxina de validación SMS crea un segundo factor de autenticación (2FA) que, combinado coa identidade previamente verificada, forma unha proba sólida. En caso de litixio ante o tribunal administrativo ou o xuíz do contrato, o diario de auditoría horodatado (marca temporal, número de teléfono enmascarado, enderezo IP, hash do documento) constitúe unha proba admisible.

Para ir máis lonxe sobre os fundamentos, a guía completa de sinatura electrónica explica os diferentes niveis de sinatura e as súas implicacións legais en dereito francés e europeo.

Os compoñentes técnicos dunha páxina de validación SMS

Arquitectura OTP e canal SMS

Unha páxina de validación por código SMS repousa en tres compoñentes interdependentes:

1. Xerador de OTP (One-Time Password): un algoritmo TOTP (Time-based OTP, RFC 6238) ou HOTP (HMAC-based OTP, RFC 4226) xera un código de 6 dígitos, válido en xeral entre 5 e 10 minutos.
2. Pasarela SMS (SMS gateway): un operador certificado (ex. Twilio, OVHcloud SMS, Brevo) encamña o código ao número de teléfono do licitador, rexistrado durante a fase de invitación ou inscrición.
3. Interface de entrada segura: a páxina web mostrada ao licitador debe respectar os requisitos WCAG 2.1 (accesibilidade), mostrar claramente a caducidade do código e propoñer un mecanismo de reenvío limitado (anti-abuso, máximo 3 intentos).

Dende o punto de vista da seguridade, o número de teléfono debe ser validado previamente (verificación durante a incorporación) e almacenado de maneira cifrada na base de datos, conforme aos requisitos do RGPD (art. 32 sobre seguridade dos tratamentos).

Integración no fluxo de sinatura Certyneo

Na plataforma Certyneo, o engadido dunha páxina de validación SMS realízase directamente dende a interface de configuración dun percurso de sinatura. Aquí están os pasos:

Paso 1 — Crear ou importar o documento de resposta Cargue seu informe técnico, seu acta de participación ou calquera outra peza constitutiva da oferta. O xerador de contratos por IA de Certyneo tamén permite preencher previamente certos documentos tipo.

Paso 2 — Configurar os asinantes Cubra o apelido, o nome, o enderezo de correo electrónico e o número de teléfono móbil (formato E.164, ex. +33 6 XX XX XX XX) de cada persoa autorizada a asinar a oferta. Este campo é obrigatorio para activar a validación SMS.

Paso 3 — Activar autenticación OTP SMS No menú « Seguridade do percurso », marque a opción « Validación por código SMS ». Pode parametrizar:

• a duración de validez do código (recomendado: 5 minutos);
• o número máximo de intentos (recomendado: 3);
• a mensaxe personalizada enviada ao asinante (mención da convocatoria de licitación, da referencia da consulta).

Paso 4 — Personalizar a páxina de validación A interface Certyneo propon un editor de páxina « no-code » permitindo engadir o logo da súa organización, o título da consulta e instrucións claras destinadas ao licitador. Esta personalización reforza a confianza e reduce os abandonos do percurso.

Paso 5 — Probar o percurso en modo sandbox Antes do envío real, use o modo de proba de Certyneo para simular a recepción do SMS e a entrada do código. Verifique que o diario de auditoría capture ben: a marca temporal, o hash SHA-256 do documento, o número de teléfono enmascarado e o enderezo IP do terminal utilizado.

Boas prácticas para unha configuración óptima

Anticipar as restricións operacionais do licitador

No marco dunha convocatoria de licitación, o licitador pode ser unha persoa física ou o representante legal dunha PEME, dun agrupamento momentáneo de empresas (AME) ou dun gran grupo. Varias restricións operacionais deben ser anticipadas:

• Indisponibilidade do número de teléfono: se o asinante designado está en desprazamento internacional, o SMS pode non chegar a tempo. Prevoxa unha opción de delegación de sinatura con notificación previa.
• Rotación dos responsables: nas grandes organizacións, o director xeral asinante pode cambiar entre o envío da invitación e a data límite de depósito. O campo « número de teléfono » debe ser modificable polo administrador da conta até 24 horas antes da data límite.
• Accesibilidade: certos usuarios en situación de discapacidade poden atopar dificultades coa entrada dun código temporal. Propoña unha alternativa vocal (chamada automática de lectura do código) se a súa infraestrutura o permite.

Arquivo e pista de auditoría conforme

A páxina de validación SMS constitúe só un elo do dispositivo de proba. Para que o conxunto do expediente sexa opoñible, o arquivo debe ser conforme coa norma ETSI EN 319 132 (XAdES) ou ETSI EN 319 122 (CAdES) segundo o formato de sinatura escollido. Certyneo xera automaticamente un informe de sinatura en PDF/A que comprende:

• a lista dos asinantes co seu nivel de autenticación;
• as marcas temporais certificadas (RFC 3161);
• o diario completo dos eventos SMS (envío, recepción confirmada, entrada correcta ou errónea).

Este informe debe ser conservado durante toda a duración da validez do contrato, ou incluso máis alá en caso de litixio. Para a contratación pública, o Código de Contratación Pública (art. L. 2194-1 e seguintes) prevé prazos de conservación que poden chegar até 10 anos. Os prezos e as opcións de arquivo a longo prazo están detallados na páxina de prezos Certyneo.

Integración coas plataformas de desmaterialización (perfís compradores)

Cando a resposta a convocatoria de licitación pasa por unha plataforma de terceiros (AWS Marchés, e-Attestations, Achat Public, Klekoon, etc.), Certyneo pode ser utilizado previamente para facer asinar e validar internamente os documentos constitutivos da oferta antes do seu depósito no perfil comprador. O ficheiro asinado (en formato XAdES ou PAdES) é posteriormente carregado na plataforma, acompañado do informe de sinatura Certyneo como xustificante de autenticación.

Se a súa organización xa usa unha solución competidora, a páxina de migración a Certyneo explica como transferir os seus percursos existentes sen perda de datos nin interrupción do servizo.

Seguridade, RGPD e xestión dos datos de telefonía

Tratamento dos datos persoais do número de teléfono

O número de teléfono móbil é un dato de carácter persoal no sentido do artigo 4 do RGPD. O seu uso no marco dunha validación OTP require:

• unha base legal claramente identificada: a execución do contrato (art. 6.1.b RGPD) ou o interese lexítimo (art. 6.1.f RGPD) segundo a relación entre o emisor da convocatoria de licitación e o licitador;
• unha información previa do licitador sobre o uso do seu número (mención nas CGU ou no correo electrónico de invitación);
• unha duración de conservación limitada: o número non debe ser conservado máis alá do final do percurso de sinatura, agás arquivo legal xustificado.

Os equipos xurídicos e DPO acharán recursos complementarios no noso glosario de sinatura electrónica, que referencia as definicións clave do RGPD aplicadas aos fluxos de sinatura.

Resistencia aos ataques e anti-fraude

A validación SMS é vulnerable a certos vectores de ataque (SIM swapping, interceptación SS7). Para mercados de alto risco (importes > 500 000 € IVA non incluído), Certyneo recomenda combinar o OTP SMS con:

• unha verificación de identidade previa (KYC documental ou IDnow);
• un horodataxe cualificado fornecido por un prestador de servizos de confianza (Trust Service Provider, TSP) acreditado eIDAS;
• unha alerta en tempo real en caso de cambio de número de teléfono nos 48 horas anteriores á sinatura.

Estas medidas adicionais fan bascular a sinatura cara o nivel cualificado eIDAS, o máis alto recoñecido polo regulamento europeo, e constitúen unha garantía máxima para mercados públicos sensibles ou clasificados.

Marco legal aplicable á validación SMS nas convocatorias de licitación

Regulamento eIDAS nº 910/2014 e os seus niveis de sinatura

O regulamento (UE) nº 910/2014 do Parlamento Europeo e do Consello (eIDAS) constitúe o zócalo regulador da sinatura electrónica en Europa. Distingue tres niveis:

• Sinatura electrónica simple (art. 3.10): datos en forma electrónica anexados ou asociados a outros datos, utilizados polo asinante para asinar. Valor xurídico limitado para as convocatorias de licitación públicas.
• Sinatura electrónica avanzada (art. 3.11): satisfai os requisitos do art. 26 eIDAS, incluída a singularidade do vínculo co asinante e a detectabilidade de calquera alteración. A validación OTP SMS, combinada coa identificación previa, permite alcanzar este nivel.
• Sinatura electrónica cualificada (art. 3.12): creada usando un dispositivo de creación de sinatura cualificado, baseada nun certificado cualificado emitido por un TSP acreditado. Só nivel con efecto xurídico equivalente á sinatura manuscrita en todos os Estados membros (art. 25.2 eIDAS).

Código Civil francés — Artigos 1366 e 1367

O artigo 1366 do Código Civil dispón que « o escrito electrónico ten a mesma forza probatoria que o escrito en soporte papel, baixo reserva de que poida ser debidamente identificada a persoa de que emana e que sexa establecido e conservado en condicións de natureza a garantir a súa integridade ». O artigo 1367 precisa que « a sinatura electrónica consiste no uso dun procedemento fiable de identificación garantindo a súa conexión co acto ao que se adxunta ».

O OTP SMS contribúe directamente a satisfacer a condición de identificación fiable establecida polo artigo 1367, creando un vínculo entre o número de teléfono rexistrado e o acto asinado.

Código de Contratación Pública

Os artigos R. 2132-7 e seguintes do Código de Contratación Pública impón que as ofertas transmitidas por vía electrónica sexan asinadas por unha sinatura electrónica polo menos avanzada baseada nun certificado cualificado. A validación SMS entra no dispositivo permitindo alcanzar este nivel, baixo reserva de que o conxunto do percurso de sinatura sexa documentado e arquivado.

RGPD nº 2016/679 — Protección dos datos de telefonía

O artigo 32 do RGPD impón medidas técnicas e organizacionais apropiadas para garantir a seguridade dos datos tratados, nomeadamente o cifrado e a pseudonimización. O número de teléfono utilizado para o OTP SMS debe ser cifrado en repouso e en tránsito (TLS 1.3 mínimo). O artigo 5.1.e impón a limitación da conservación: o número non pode ser conservado máis que o tempo estrictamente necesario para a finalidade do tratamento.

Normas ETSI aplicables

• ETSI EN 319 132 (XAdES): formato de sinatura XML avanzada, recomendado para as pezas de mercados públicos en formato XML.
• ETSI EN 319 122 (CAdES): formato de sinatura CMS avanzada, adaptado aos ficheiros binarios (PDF, ZIP).
• ETSI EN 319 102-1: procedementos de creación e validación das sinaturas electrónicas, integrando o horodataxe cualificado RFC 3161.

O incumprimento destas normas expón o emisor ou o licitador a un risco de rexeitamento da oferta por irregularidade formal, ou a unha inoposabilidade da sinatura en caso de litixio contratual.

Escenarios de uso concretos

Escenario 1 — Un gabinete de enxeñaría respondendo a un mercado de proxecto e dirección

Un gabinete de enxeñaría especializado en infraestrutura, contando cunha trintena de enxeñeiros e xestionando unha media de 15 a 20 respostas a convocatorias de licitación por ano, debe asinar varias pezas constitutivas dunha oferta: acta de participación, informe técnico, certificacións de regularidade fiscal e social. Antes da implantación dunha validación SMS, o procedemento repouxaba nunha troca de PDF asinados manualmente, escaneados e retransmitidos por correo electrónico, o que xeraba demoras medias de 48 a 72 horas por expediente.

Ao configurar un percurso Certyneo con validación OTP SMS para cada asinante interno (director técnico, xerente), o gabinete reduciu este prazo a menos de 2 horas. O informe de sinatura automaticamente xerado é adxunto ao expediente depositado no perfil comprador, satisfaciendo os requisitos de sinatura avanzada. Os estudos sectoriais sobre desmaterialización B2B estiman nunha redución do 60-70% o tempo de tratamento administrativo ao pasar á sinatura electrónica con autenticación forte.

Escenario 2 — Un agrupamento momentáneo de empresas (AME) nunha licitación de obras

No marco dun mercado público de obras (lote terrapleñado + lote estrutura), dúas empresas forman un AME conxunto. Cada mandatario debe asinar o acta de participación en nome da súa empresa. As dúas empresas están situadas en cidades diferentes, e a data límite de remisión das ofertas é ás 12h00.

Grazas á funcionalidade de sinaturas paralelas de Certyneo, os dous asinantes reciben simultaneamente un vínculo de invitación por correo electrónico. Cada un accede á súa páxina de validación, introduce o seu código OTP recibido por SMS en menos dun minuto, e apón a súa sinatura electrónica avanzada. O coordinador do AME recibe inmediatamente unha notificación de completación e pode cargar o expediente finalizado antes da data límite. Este escenario ilustra como a validación SMS elimina o risco de atraso ligado á coordinación de múltiples sitios, un problema que representa segundo certos estudos aproximadamente o 30% dos depósitos tardíos nas respostas en agrupamento.

Escenario 3 — Unha corporación local emisora da convocatoria de licitación

Unha corporación local de tamaño intermedio (entre 50 000 e 200 000 habitantes) desexa non responder a unha convocatoria de licitación senón emitir unha, pode tamén aproveitarse da validación SMS para asegurar a sinatura interna das pezas de mercado (CCAP, CCTP, RC). Antes da publicación en liña da consulta no perfil comprador, o director dos servizos técnicos e o edil delegado de mercados deben co-asinar os documentos constitutivos.

Ao desplegar un percurso Certyneo interno con validación OTP SMS para cada asinante institucional, a corporación crea unha traza probatoria da validación administrativa previa. Esta trazabilidade é particularmente útil durante os controles de legalidade exercidos pola prefectura ou en caso de auditoría da cámara rexional de contas. A redución do risco xurídico asociado a unha sinatura non autenticada representa un reto de conformidade maior para os compradores públicos, ao respecto dos requisitos da ordenanza nº 2015-899 codificada no Código de Contratación Pública.

Conclusión

Integrar unha páxina de validación con código SMS na súa resposta a unha convocatoria de licitación non é simplemente unha formalidade técnica: é unha garantía xurídica, unha proba de consentimento documentada e un ferramenta de conformidade reguladora no sentido do regulamento eIDAS e do Código de Contratación Pública. Ao autenticar cada asinante a través dun OTP SMS horodatado, alcanza o nivel de sinatura electrónica avanzada esixido pola gran maioría de compradores públicos, ao tempo que reduce drasticamente os prazos internos e os riscos de rexeitamento por irregularidade formal.

Certyneo permítelle configurar este percurso en poucos minutos, sen desenvolvemento informático, cun diario de auditoría conforme ás normas ETSI e arquivado segundo as obrigacións legais. Sexa soumissionnaire único, membro dun AME ou comprador público, a solución adáptase ao seu contexto.

¿Preparado para asegurar as súas próximas respostas a convocatorias de licitación? Cree a súa conta Certyneo gratuitamente e configure o seu primeiro percurso con validación SMS hoxe mesmo.