דף אימות SMS לתגובה להזמנה להציע הצעות

כאשר חברה משיבה להזמנה להציע הצעות ציבורית או פרטית, השאלה של הערך המשפטי של התיקייה המועברת היא מרכזית. מסמך שנחתם בחתימה אלקטרונית ללא מנגנון אימות חזק עלול להיות מוטל בספק בפני בית משפט או להידחות על ידי הקונה הציבורי. בדיוק כאן נכנסת דף אימות עם קוד SMS: שלב אימות זה עם סיסמה ליחיד (OTP) מחזקת את הוכחת הסכמת המציע, עומדת בדרישות התקנון eIDAS ומבטיחה מעקב מלא של תהליך החתימה. במאמר זה אנו מפרטים מדוע וכיצד ליישם מנגנון זה בזרימת העבודה שלך לתגובה להזמנה להציע הצעות, תוך עבور על דרישות טכניות, קונפיגורציה שלב אחר שלב וממלכות אופטימליות.

מדוע להשתלב אימות עם קוד SMS בתגובת ההזמנה להציע הצעות שלך

הערך ההוכחתי בלב השווקים הציבוריים

מסגרת השווקים הציבוריים בצרפת דורשת שההצעות המועברות בדרך דיגיטלית עומדות בדרישות שנקבעו בחוק מס' 2016-360 מ-25 במרץ 2016 בנוגע לשווקים ציבוריים. מ-1 באוקטובר 2018, כל הערכה שערכה המוערך עולה על 40,000 € HT מעורבת דיגיטליזציה חובה דרך פלטפורמת הפקדון מאושרת (פרופיל קונה). בהקשר זה, חתימה אלקטרונית בשילוב עם OTP דרך SMS מהווה חתימה אלקטרונית מתקדמת במובן התקנון eIDAS, כלומר:

• קשורה למחתם בדרך חד-משמעית;
• מאפשרת זיהוי המחתם;
• נוצרה מנתונים שהמחתם יכול להשתמש בהם תחת שליטתו הבלעדית;
• קשורה לנתונים שנחתמו בדרך המאפשרת הערות על כל שינוי בהמשך.

ללא רמת אימות זו, חתימה פשוטה (לחיצה או תיבת סימון) עלולה להיות בלתי מספקת כדי להעמיד את המציע בחיוב משפטי, במיוחד כאשר הקונה דורש חתימה מתקדמת או מוסמכת לחלקים רגישים מסוימים.

הפחתת סכנות הערעור וחוסר הסדירות

תיקייה בתגובה להזמנה להציע הצעות עלולה להיקבע כלא סדירה אם רשות הקנייה סבורה כי זהותו של המחתם אינה מעוגנת מספיק. תוספת של דף אימות SMS יוצרת גורם אימות שני (2FA) אשר בשילוב עם הזהות שאומתה קודם לכן, יוצר הוכחה חזקה. במקרה של מחלוקת בפני בית משפט ניהולי או שופט החוזה, יומן ביקורת שנקבע בזמן (timestamp, מספר טלפון מסוכך, כתובת IP, hash של המסמך) מהווה הוכחה קבילה.

כדי להרחיק יותר על הבסיסים, ה-מדריך קומפרהנסיבי של חתימה אלקטרונית מסביר את רמות החתימה השונות וההשלכות המשפטיות שלהן בדין צרפתי וחוקי אירופה.

הרכיבים הטכניים של דף אימות SMS

אדריכלות OTP וערוץ SMS

דף אימות עם קוד SMS מסתמך על שלושה רכיבים תלויים זה בזה:

1. מחולל OTP (סיסמה לשימוש חד-פעמי): אלגוריתם TOTP (Time-based OTP, RFC 6238) או HOTP (HMAC-based OTP, RFC 4226) מייצר קוד בן 6 ספרות, תקף בדרך כלל בין 5 ל-10 דקות.
2. שער SMS (SMS gateway): מפעיל מאושר (כגון Twilio, OVHcloud SMS, Brevo) מעביר את הקוד למספר הטלפון של המציע, הרשום בשלב ההזמנה או ההרשמה.
3. ממשק הזנה מאובטח: דף האינטרנט המוצג למציע חייב לעמוד בדרישות WCAG 2.1 (נגישות), להציג בבירור את פקיעת הקוד ולהציע מנגנון של שליחה חוזרת מוגבלת (נגד שימוש לרעה, לכל היותר 3 ניסיונות).

מנקודת המבט של הביטחון, מספר הטלפון חייב להיות מאומת מראש (אימות במהלך ההטלת הון) ולהיות מאוחסן בצורה מוצפנת במסד הנתונים, בהתאם לדרישות GDPR (סעיף 32 על אבטחת הטיפול).

אינטגרציה בזרימת החתימה של Certyneo

בפלטפורמה Certyneo, הוספת דף אימות SMS מתבצעת ישירות מממשק התצורה של תהליך חתימה. להלן השלבים:

שלב 1 — יצירה או ייבוא של מסמך התגובה העלו את הנייר הטכני שלכם, פעולת ההתחייבות או כל חלק אחר המרכיב את ההצעה. ה-מחולל חוזים ב-AI של Certyneo מאפשר גם למלא מראש מסמכים סוגים מסוימים.

שלב 2 — קונפיגורציה של החתימות הזן את השם, השם הפרטי, כתובת הדוא"ל ומספר הטלפון הנייד (פורמט E.164, למשל +33 6 XX XX XX XX) של כל אדם המורשה לחתום על ההצעה. שדה זה הוא חובה להפעלת אימות SMS.

שלב 3 — הפעלת אימות OTP SMS בתפריט "אבטחת התהליך", בחר את האפשרות "אימות עם קוד SMS". אתה יכול לתצורה:

• משך התוקף של הקוד (מומלץ: 5 דקות);
• מספר הניסיונות המרבי (מומלץ: 3);
• ההודעה המותאמת האישית שנשלחת למחתם (הזכר של ההזמנה להציע הצעות, להפניית הייעוץ).

שלב 4 — התאמת דף האימות ממשק Certyneo מציע עורך דפים "no-code" המאפשר להוסיף את לוגו הארגון שלך, כותרת הייעוץ והנחיות ברורות למציע. התאמה זו מחזקת את האמון ומפחתת את הנטישה של תהליך.

שלב 5 — בדוק את ההליך במצב sandbox לפני השליחה בפועל, השתמש במצב הבדיקה של Certyneo כדי להדמות קבלת ה-SMS והזנת הקוד. ודא כי יומן הביקורת תופס היטב: הוראה, hash SHA-256 של המסמך, מספר טלפון מסוכך וכתובת IP של ההתקן בשימוש.

ממלכות אופטימליות להגדרה אופטימלית

תזמון מראש של אילוצים תפעוליים של המציע

בהקשר של הזמנה להציע הצעות, המציע יכול להיות אדם פיזי או נציגו המשפטי של SME, קבוצה זמנית של חברות (GME) או קבוצה גדולה. יש לתזמן מראש מספר אילוצים תפעוליים:

• חוסר זמינות של מספר הטלפון: אם החתום המיועד נמצא בטיול בינלאומי, ה-SMS עלול שלא להגיע בזמן. תכנן אפשרות של ייפוי כוח חתימה עם התראה מראש.
• סיבוב של אחראים: בארגונים גדולים, המנכ"ל החתום עלול להשתנות בין שליחת ההזמנה לתאריך המפקדון הסופי. שדה "מספר הטלפון" חייב להיות משמעותי על ידי מנהל החשבון עד 24 שעות לפני פקיעתו.
• נגישות: משתמשים מסוימים עם מוגבלויות עלולים להיתקל בקשיים בהזנת קוד זמני. הציעו אפשרות חלופית קולית (קריאה אוטומטית של קריאת הקוד) אם התשתית שלך מאפשרת זאת.

ארכיון וסיום ביקורת תואם

דף אימות ה-SMS הוא רק קישור אחד במנגנון ההוכחה. כדי שכל התיקייה תהיה ניתנת להתנגדות, הארכיון חייב להיות תואם לתקן ETSI EN 319 132 (XAdES) או ETSI EN 319 122 (CAdES) לפי פורמט החתימה שנבחר. Certyneo מייצר באופן אוטומטי דוח חתימה ב-PDF/A המכיל:

• רשימת החתומים עם רמת האימות שלהם;
• horodatages מעידון (RFC 3161);
• יומן שלם של אירועי SMS (שליחה, קבלה מאומתת, הזנה נכונה או שגויה).

יומן זה חייב להיות שמור לכל משך הזמן של תוקף השוק, או אפילו מעבר לכך במקרה של סכסוך. בשווקים ציבוריים, קוד הרכישה הציבורי (סעיף L. 2194-1 והלאה) קובע הודעות שמירה שעלולות לגיעו עד 10 שנים. התעריפים והאפשרויות לארכיון ארוך טווח מפורטים בדף תמחור Certyneo.

אינטגרציה עם פלטפורמות דיגיטליזציה (פרופילי קונים)

כאשר התגובה להזמנה להציע הצעות עוברת דרך פלטפורמה צד שלישי (AWS Marchés, e-Attestations, Achat Public, Klekoon וכו'), Certyneo יכול להיות בשימוש מראש כדי לחתום ולאמת באופן פנימי את המסמכים המרכיבים את ההצעה לפני הפקדתם בפרופיל הקונה. הקובץ החתום (בפורמט XAdES או PAdES) מועלה לאחר מכן לפלטפורמה, בשילוב דוח החתימה של Certyneo כהצדקה אימות.

אם הארגון שלך משתמש כבר בפתרון מתחרה, דף המעבר ל-Certyneo מסביר כיצד להעביר את ההליכים הקיימים שלך ללא אובדן נתונים או הפרעה לשירות.

אבטחה, GDPR וניהול נתוני טלפוניה

טיפול בנתונים אישיים של מספר הטלפון

מספר הטלפון הנייד הוא מידע אישי במובן סעיף 4 של GDPR. השימוש בו בהקשר של אימות OTP דורש:

• בסיס משפטי ברור:ביצוע החוזה (סעיף 6.1.b GDPR) או אינטרס לגיטימי (סעיף 6.1.f GDPR) בהתאם לחיבור בין הנושא של ההזמנה להציע הצעות לבין המציע;
• מידע מראש של המציע על השימוש במספר שלו (הזכר בתנאים כלליים או בהודעת הזמנה בדוא"ל);
• משך שמירה מוגבל: מספר לא חייב להיות שמור מעבר לסוף תהליך החתימה, למעט ארכיון משפטי מוצדק.

צוותי משפט ו-DPO יוצאים למשאבים משלימים ב-מילון של חתימה אלקטרונית, המייחס הגדרות קלידות של GDPR המיושמות לזרימות חתימה.

התנגדות להתקפות ונגד התרמה

אימות SMS חשוף לוקטורי התקפה מסוימים (החלפת SIM, היריעה SS7). בשווקים עם כמות גבוהה (סכומים > 500,000 € HT), Certyneo ממליץ לשלב את ה-OTP SMS עם:

• אימות זהות מראש (KYC תיעודי או IDnow);
• horodatage מוסמך סופק על ידי ספק שירות אמון (Trust Service Provider, TSP) מאושר eIDAS;
• התראה בזמן אמת במקרה של שינוי מספר טלפון בתוך 48 שעות שלפני החתימה.

צעדים נוספים אלה עושים היפוך בחתימה לרמה מוסמכת eIDAS, הגבוהה ביותר המוכרת על ידי התקנון האירופי, ומהווים ערובה מרבית לשווקים ציבוריים רגישים או מסווגים.

מסגרת חוקית ישימה לאימות SMS בהזמנות להציע הצעות

תקנון eIDAS מס' 910/2014 ורמות החתימה שלו

התקנון (UE) מס' 910/2014 של הפרלמנט האירופי והמועצה (eIDAS) מהווה את הבסיס הרגולטורי של החתימה האלקטרונית באירופה. הוא מבדיל שלוש רמות:

• חתימה אלקטרונית פשוטה (סעיף 3.10): נתונים בצורה אלקטרונית המצורפים או מקושרים לנתונים אחרים, בשימוש המחתם כדי לחתום. ערך משפטי מוגבל להזמנות להציע הצעות ציבוריות.
• חתימה אלקטרונית מתקדמת (סעיף 3.11): עומדת בדרישות סעיף 26 eIDAS, כולל חוקי הקישור עם המחתם וגילוי של כל שינוי. אימות OTP SMS, בשילוב עם זיהוי מראש, מאפשר להגיע לרמה זו.
• חתימה אלקטרונית מוסמכת (סעיף 3.12): נוצרה באמצעות התקן יצירת חתימה מוסמך, המבוסס על תעודה מוסמכת שהונפקה על ידי TSP מאושר. רמה בלבד עם השפעה משפטית שווה לחתימה ידנית בכל המדינות החברות (סעיף 25.2 eIDAS).

קוד אזרחי צרפתי — סעיפים 1366 ו-1367

סעיף 1366 של הקוד האזרחי קובע כי "הכתב האלקטרוני יש אותה כוח הוכחה כמו הכתב על נייר, בכפוף לתנאי שניתן להזהות כראוי את האדם שממנו הוא משתמע ושהוא מתוקן ושמור בתנאים שמהם להבטיח את האחדות שלו". סעיף 1367 מוסיף כי "החתימה האלקטרונית מורכבת משימוש בתהליך אמין של זיהוי המבטיח את הקישור שלה למעשה שהוא מצוחח".

ה-OTP SMS תורם ישירות לעמוד בתנאי הזיהוי האמין שקבע סעיף 1367, על ידי יצירת קישור בין מספר הטלפון הרשום למעשה שנחתם.

קוד הרכישה הציבורית

סעיפים R. 2132-7 והלאה של קוד הרכישה הציבורית דורשים שהצעות המועברות בדרך אלקטרונית יחתמו על חתימה אלקטרונית לפחות מתקדמת המסתמכת על תעודה מוסמכת. אימות SMS נכנס למנגנון המאפשר להגיע לרמה זו, בכפוף לכך שכל תהליך החתימה מתועד ומאוחסן.

GDPR מס' 2016/679 — הגנה על נתוני טלפוניה

סעיף 32 של GDPR מטיל אמצעים טכניים וארגוניים מתאימים כדי להבטיח את אבטחת הנתונים המטופלים, כולל הצפנה וקסדו-ניצי. מספר הטלפון המשמש ל-OTP SMS חייב להיות מוצפן במנוחה ובמעבר (TLS 1.3 לפחות). סעיף 5.1.e מטיל הגבלה בשמירה: מספר לא ניתן להיות שמור אלא הזמן הנדרש בהחלט לסיום הטיפול.

תקנים ETSI ישימים

• ETSI EN 319 132 (XAdES): פורמט חתימה XML מתקדם, מומלץ לחתיכות שווקים ציבוריים בפורמט XML.
• ETSI EN 319 122 (CAdES): פורמט חתימה CMS מתקדם, התאמה לקובצים בינריים (PDF, ZIP).
• ETSI EN 319 102-1: הליכים ליצירה ואימות של חתימות אלקטרוניות, המשתלבות horodatage מוסמך RFC 3161.

אי-עמידה בתקנים אלה חושפת את המייצא או המציע לסיכון של דחיית ההצעה על אי-סדירות פורמלית, או לחוסר התנגדות של החתימה במקרה של סכסוך חוזה.

תרחישי שימוש קונקרטיים

תרחיש 1 — משרד הנדסה השיב לשוק של ניהול עבודות

משרד הנדסה המתמחה בתשתיות, המונה כשלושים מהנדסים וניהול בממוצע 15 עד 20 תגובות להזמנות להציע הצעות בשנה, חייב לחתום על מספר חתיכות מרכיבות של הצעה: פעולת התחייבות, נייר טכני, תעודות סדירות פיסקליות וחברתיות. לפני יישום אימות SMS, ההליך הסתמך על חילופי PDF שנחתמו ידנית, סרוקים וחוזרים בדוא"ל, מה שיצר עיכובים ממוצעים של 48 עד 72 שעות לכל תיקייה.

על ידי הגדרת תהליך Certyneo עם אימות OTP SMS עבור כל חתום פנימי (מנהל טכני, מנהל), המשרד הפחית את העיכוב לפחות מ-2 שעות. דוח החתימה שנוצר באופן אוטומטי מצורף לתיקייה המופקדת בפרופיל הקונה, עומד בדרישות של חתימה מתקדמת. מחקרים סקטוריים על דיגיטליזציה B2B מעריכים הפחתה של 60-70% בזמן עיבוד מנהלי במעבר לחתימה אלקטרונית עם אימות חזק.

תרחיש 2 — קבוצה זמנית של חברות (GME) בשוק של עבודות

בהקשר של שוק ציבורי של עבודות (אתר חפירה + אתר בנייה כבדה), שתי חברות יוצרות GME משותפת. כל מנדלי חייב לחתום על פעולת התחייבות בשם החברה שלו. שתי החברות ממוקמות בעריים שונות, ותאריך סיום הפקדת ההצעות הוא בשעה 12:00.

בזכות תכונת החתימות המקבילות של Certyneo, שני החתומים מקבלים בו-זמנית קישור הזמנה בדוא"ל. כל אחד באתר לדף אימות שלו, מזין את קוד OTP שלו שהתקבל ב-SMS בפחות מדקה אחת, ומטיל את חתימתו האלקטרונית המתקדמת. המתאם של GME מקבל מיד התראה השלמה ויכול להעלות את התיקייה המחודשת לפני ההדד. תרחיש זה ממחיש כיצד אימות SMS מבטל את סיכון העיכוב הקשור לתיאום מרובי אתרים, בעיה המייצגת לפי מחקרים מסוימים בערך 30% מההפקדות של מאחרות בתגובות בקיבוצים.

תרחיש 3 — גוף טריטוריאלי מוצא של ההזמנה להציע הצעות

גוף טריטוריאלי בגודל בינוני (בין 50,000 ל-200,000 תושבים) המבקש לא להשיב להזמנה להציע הצעות אלא לפזר אחד, יכול גם להסתמך על אימות SMS כדי לאבטח את החתימה הפנימית של חתיכות השוק (CCAP, CCTP, RC). לפני הטלת התייעוץ לפרופיל הקונה, מנהל שירותי טכניים ובחירה לשווקים חייבים לחתום ביחד על המסמכים המהווים.

על ידי פריסת תהליך Certyneo פנימי עם אימות OTP SMS עבור כל חתום מוסדי, הגוף יוצר עקבות של אימות מנהלי קודם. רחוקות זו שימושית במיוחד במהלך בקרות החוקיות המופעלות על ידי הפרפקטורה או בכל ביקורת של הלשכה הטריטוריאלית של החשבונות. הפחתת הסיכון המשפטי הקשורה לחתימה לא מאומתת מהווה חוסר צורך ניהול ניהול עבור קונים ציבוריים, להשקלות דרישות הצו מס' 2015-899 המקודד בקוד הרכישה הציבורית.

סיום

שילוב דף אימות עם קוד SMS בתגובת ההזמנה להציע הצעות שלך אינו נוהל טכני פשוט: זוהי ערובה משפטית, הוכחת הסכמה מתועדת וכלי ציות רגולטורי במובן התקנון eIDAS וקוד הרכישה הציבורית. על ידי אימות כל מחתם דרך OTP SMS horodated, אתה מגיע לרמת חתימה אלקטרונית מתקדמת הנדרשת על ידי הרוב הגדול של קונים ציבוריים, תוך הפחתה דרסטית של עיכובים פנימיים וסכנות דחייה על אי-סדירות פורמלית.

Certyneo מאפשר לך להגדיר תהליך ז