Stranica za validaciju SMS-om za odgovore na pozive za podnošenje ponuda

Kada poduzeće odgovara na javni ili privatni poziv za podnošenje ponude, pitanje pravne vrijednosti proslijeđene dokumentacije je ključno. Dokument potpisani elektronički bez mehanizma jačane autentifikacije može biti osporavan pred sudom ili odbijen od strane javnog kupca. Upravo tu dolazi u pomoć stranica za validaciju s kodom SMS-om: ovaj korak autentifikacije s jednokratnom lozinkom (OTP) pojačava dokaz pristanka ponuditelja, zadovoljava zahtjeve Uredbe eIDAS i jamči potpunu provjeru putanja potpisa. U ovom članku detaljno objašnjavamo zašto i kako implementirati ovaj mehanizam u vašem radnom toku odgovora na poziv za podnošenje ponude, pozabavši se tehničkim preduvjetima, konfiguracijom korak po korak i najboljim praksama koje treba slijediti.

Zašto integrirati validaciju s kodom SMS-om u vašu ponudu za poziv za podnošenje

Dokazna vrijednost u srcu javnih nabava

Okvir javnih nabava u Francuskoj nalaže da ponude proslijeđene dematerijaliziranim putem zadovoljavaju zahtjeve određene dekretom br. 2016-360 od 25. ožujka 2016. koji se odnosi na javne nabave. Od 1. listopada 2018., svaka konsultacija čija je procjenjena vrijednost veća od 40 000 € bez PDV-a podrazumijeva obaveznu dematerijalizaciju putem odobrene platforme za depozit (profil kupca). U tom kontekstu, elektronički potpisati u kombinaciji s OTP mehanizmom putem SMS-a čini elektronički potpisati unaprijeđeni u smislu Uredbe eIDAS, što znači:

• povezana s potpisničem na jedinstveni način;
• omogućava identifikaciju potpisnika;
• kreirana s podacima koje potpisnik može koristiti pod njegovom isključivom kontrolom;
• povezana s potpisanim podacima na način da omogućava pronalaženje bilo koje kasnije izmjene.

Bez ovoga razine autentifikacije, jednostavni potpisati (klik ili kućica za potvrdu) može biti nedovoljan za pravno obvezivanje ponuditelja, pogotovo kada kupac zahtijeva unaprijeđeni ili kvalificirani potpisati za određene osjetljive stavke.

Smanjenje rizika od spora i nepravilnosti

Datoteka odgovora na poziv za podnošenje ponude može biti proglašena nepravilnom ako snaga nadležan smatra da identitet potpisnika nije dovoljno utvrđen. Dodavanje stranice za validaciju SMS-om stvara drugi faktor autentifikacije (2FA) koji, u kombinaciji s prethodno verificiranom identitetom, čini čvrstu dokazu. U slučaju spora pred upravnim sudom ili sudom za ugovore, vremenski označeni dnevnik revizije (vremenski pečat, maskirani telefonski broj, IP adresa, hash dokumenta) čini prihvatljivu dokazu.

Za naprednije objašnjenje, sveobuhvatan vodič kroz elektronički potpisati objašnjava različite razine potpisati i njihove pravne implikacije u francuskom i europskom pravu.

Tehnički komponenti stranice za validaciju SMS-om

Arhitektura OTP-a i SMS kanal

Stranica za validaciju s kodom SMS-om temelji se na tri međuzavisne komponente:

1. Generator OTP-a (One-Time Password): algoritam TOTP (Time-based OTP, RFC 6238) ili HOTP (HMAC-based OTP, RFC 4226) generira kod od 6 brojeva, valjan obično između 5 i 10 minuta.
2. SMS pristupnica (SMS gateway): certificirani operator (npr. Twilio, OVHcloud SMS, Brevo) prosleđuje kod na telefonski broj ponuditelja, registriran tijekom faze poziva ili registracije.
3. Sučelje za sigurnu unos: web stranica prikazana ponuditelju mora udovoljavati zahtjevima WCAG 2.1 (dostupnost), jasno prikazati istjece li kod i predložiti mehanizam ograničenog slanja (zaštita od zlouporabe, maksimalno 3 pokušaja).

Sa strane sigurnosti, telefonski broj mora biti validiran unaprijed (provjera tijekom onboardinga) i pohranjen šifrirano u bazu podataka, u skladu sa zahtjevima GDPR-a (čl. 32 o sigurnosti obrade).

Integracija u radni tok potpisati Certyneo

Na platformi Certyneo, dodavanje stranice za validaciju SMS-om obavlja se izravno iz sučelja konfiguracije putanje potpisati. Evo koraka:

Korak 1 — Stvaranje ili uvoz dokumenta ponude Učitajte svoj tehnički izvještaj, akt angažiranja ili bilo koju drugu komponentu koja čini ponudu. Generator ugovora putem AI-a Certnea omogućava također prethodno popunjavanje određenih standardnih dokumenata.

Korak 2 — Konfiguriranje potpisnika Unesite ime, prezime, e-adresu i broj mobilnog telefona (format E.164, npr. +33 6 XX XX XX XX) svake osobe ovlaštene za potpisivanje ponude. Ovo polje je obavezno za aktiviranje SMS validacije.

Korak 3 — Aktiviranje OTP SMS autentifikacije U izborniku „Sigurnost putanje" označite opciju „Validacija s kodom SMS-om". Možete konfigurirati:

• trajanje valjanosti koda (preporučeno: 5 minuta);
• maksimalan broj pokušaja (preporučeno: 3);
• prilagođenu poruku poslanu ponuditelju (napomena o pozivu za podnošenje ponude, referenca konsultacije).

Korak 4 — Personalizacija stranice za validaciju Sučelje Certnea nudi uređivač stranice „bez koda" koji omogućava dodavanje logotipa vaše organizacije, naslova konsultacije i jasnih uputa namijenjenih ponuditelju. Ova personalizacija pojačava povjerenje i smanjuje napuštanja putanje.

Korak 5 — Testiranje putanje u sandbox modu Prije stvarnog slanja, koristite test mode Certnea za simulaciju primanja SMS-a i unosa koda. Provjerite je li dnevnik revizije pravilno zabilježio: vremenski pečat, SHA-256 hash dokumenta, maskirani telefonski broj i IP adresu terminalnog uređaja.

Najbolje prakse za optimalnu konfiguraciju

Anticipiranje operativnih ograničenja ponuditelja

U okviru poziva za podnošenje ponude, ponuditelj može biti fizička osoba ili zastupnik maloga ili srednjeg poduzeća, privremene zajednice poduzeća (PZP) ili velike grupe. Trebalo bi anticipirati nekoliko operativnih ograničenja:

• Nedostupnost telefonskog broja: ako je označeni potpisnik na međunarodnom putovanju, SMS možda neće stigti na vrijeme. Predvidite opciju delegiranja potpisati s prethodnim obavijestom.
• Rotacija odgovornih osoba: u velikim organizacijama, potpisujući izvršni direktor može se promijeniti između slanja poziva i roku za predaju. Polje „telefonski broj" trebalo bi biti izmjenjivo od strane administratora računa do 24 sata prije roka.
• Dostupnost: neki korisnici s invaliditetom mogu imati poteškoće s unošenjem privremenog koda. Ponudite alternativu glasovnog poziva (automatski poziv za čitanje koda) ako vaša infrastruktura to dozvoljava.

Arhiviranje i revizijska traka u skladu

Stranica za validaciju SMS-om čini samo jedan dio mehanizma dokazivanja. Kako bi cijeli datoteka bila protivna, arhiviranje mora biti u skladu s normom ETSI EN 319 132 (XAdES) ili ETSI EN 319 122 (CAdES) ovisno o odabranom formatu potpisati. Certyneo automatski generira izvještaj o potpisati u PDF/A koja sadrži:

• popis potpisnika s njihovom razinom autentifikacije;
• certificirane vremenske pečate (RFC 3161);
• kompletan dnevnik svih SMS događaja (slanje, primljena potvrda, ispravna ili pogrešna unos).

Taj izvještaj mora biti čuvan tijekom cijele valjanosti ugovora, pa čak i izvan toga u slučaju spora. Za javne nabave, Kodeks javne nabave (čl. L. 2194-1 i sljedeće) predviđa rokove čuvanja koji mogu biti i do 10 godina. Cijene i opcije za arhiviranje na dugi rok detaljno su opisane na stranici s cijenama Certnea.

Integracija s platformama za dematerijalizaciju (profili kupaca)

Kada je odgovor na poziv za podnošenje ponude putem treće platforme (AWS Marchés, e-Attestations, Achat Public, Klekoon, itd.), Certyneo može biti korišten unaprijed za potpisivanje i validaciju internih dokumenata koji čine ponudu prije njihova slanja na profil kupca. Potpisana datoteka (u formatu XAdES ili PAdES) zatim se učitava na platformu, popraćena izvještajem o potpisati Certnea kao dokazu autentifikacije.

Ako vaša organizacija već koristi konkurentno rješenje, stranica migracije na Certyneo objašnjava kako prebaciti vaše postojeće putanje bez gubitka podataka ili prekida servisa.

Sigurnost, GDPR i upravljanje podacima o telefoniji

Obrada osobnih podataka telefonskog broja

Broj mobilnog telefona je osobni podatak u smislu članka 4 GDPR-a. Njegova upotreba u kontekstu OTP validacije zahtijeva:

• jasno identificiranu pravnu osnovu: izvršavanje ugovora (čl. 6.1.b GDPR) ili opravdani interes (čl. 6.1.f GDPR) ovisno o odnosu između izdavatelja poziva i ponuditelja;
• prethodnu informaciju ponuditelju o korištenju njegovog broja (napomena u OPU ili u e-poruci poziva);
• ograničenu trajnost čuvanja: broj ne smije biti čuvan nakon završetka putanje potpisati, osim ako je opravdano arhiviranje zakonski propisano.

Pravne timove i DPO će pronaći dodatne resurse u našem rječniku elektroničkog potpisati, koji referira ključne definicije GDPR-a primijenjene na radne tokove potpisati.

Otpornost na napade i zaštita od prijevare

SMS validacija je ranjiva na određene vektore napada (SIM swapping, preslušavanje SS7). Za nabave s visokim vrijednostima (iznosi > 500 000 € bez PDV-a), Certyneo preporučuje kombiniranje OTP SMS-a s:

• prethodnom proverom identiteta (KYC dokumentarnim ili IDnow);
• kvalificiranim vremenskim pečatom dostavljenim od strane davatelja servisa povjerenja (Trust Service Provider, TSP) akreditiranog eIDAS;
• upozorenjem u stvarnom vremenu u slučaju promjene telefonskog broja u 48 sati prije potpisivanja.

Ove dodatne mjere prebacuju potpisati na razinu kvalificiranog eIDAS, najvišu razinu priznatoga europskom uredbom, i čine maksimalnu garanciju za osjetljive ili klasificirane javne nabave.

Primjenjivi zakonski okvir za SMS validaciju u pozivima za podnošenje ponuda

Uredba eIDAS br. 910/2014 i njegove razine potpisati

Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća (eIDAS) čini temelj pravne regulative elektroničkog potpisati u Europi. Razlikuje tri razine:

• Elektronički potpisati jednostavni (čl. 3.10): podaci u elektroničkom obliku pripojeni ili povezani s drugim podacima, korišteni od strane potpisnika za potpisivanje. Ograničena pravna vrijednost za javne pozive za podnošenje ponuda.
• Elektronički potpisati unaprijeđeni (čl. 3.11): zadovoljava zahtjeve čl. 26 eIDAS, uključujući jedinstvenost veze s potpisnikom i mogućnost pronalaženja bilo koje izmjene. OTP SMS validacija, kombinirana s prethodnom identifikacijom, omogućava postizanje ove razine.
• Elektronički potpisati kvalificirani (čl. 3.12): kreiran s kvalificiranim uređajem za stvaranje potpisati, temeljen na kvalificiranom certifikatu izdanom od strane akreditiranog TSP-a. Jedina razina s pravnim učinkom ekvivalentnim ručnom potpisati u svim državama članicama (čl. 25.2 eIDAS).

Francuski građanski zakonik — Članci 1366 i 1367

Članak 1366 Gradanskog zakonika navodi da „elektronički pisani dokument ima istu dokaznu vrijednost kao pisani dokument na papiru, pod uvjetom da se može pravilno identificirati osoba od koje potječe i da je uspostavljen i čuvan na način koji jamči njegovu integritet". Članak 1367 pojašnjava da „elektronički potpisati sastoji se od korištenja pouzdanog postupka identifikacije koji jamči njegovu vezu s aktom na koji se primjenjuje".

OTP SMS izravno doprinosi zadovoljavanju uvjeta pouzdane identifikacije postavljene člankom 1367, stvarajući vezu između registriranog telefonskog broja i potpisanog akta.

Kodeks javne nabave

Članci R. 2132-7 i sljedeći Kodeksa javne nabave nalažu da ponude proslijeđene elektroničkim putem budu potpisane elektroničkim potpisom najmanje unaprijeđenim temeljenim na kvalificiranom certifikatu. SMS validacija ulazi u mehanizam koji omogućava postizanje te razine, pod uvjetom da je cijeli radni tok potpisati dokumentiran i arhiviran.

GDPR br. 2016/679 — Zaštita podataka o telefoniji

Članak 32 GDPR-a nalaže odgovarajuće tehničke i organizacijske mjere za osiguranje sigurnosti obrađenih podataka, posebno šifriranje i pseudonimizaciju. Telefonski broj korišten za OTP SMS mora biti šifriran u mirovanju i pri prijenosu (TLS 1.3 minimum). Članak 5.1.e nalaže ograničenje čuvanja: broj se može čuvati samo vrijeme strogo potrebno za ostvarivanje namjene obrade.

Primjenjive norme ETSI

• ETSI EN 319 132 (XAdES): format XML unaprijeđenog potpisati, preporučuje se za dijelove javne nabave u XML formatu.
• ETSI EN 319 122 (CAdES): format CMS unaprijeđenog potpisati, prikladan za binarne datoteke (PDF, ZIP).
• ETSI EN 319 102-1: postupci stvaranja i validacije elektroničkih potpisa, uključujući kvalificirane vremenske pečate RFC 3161.

Nepoštivanje tih normi izlaže izdavatelja ili ponuditelja riziku od odbijanja ponude zbog formalne nepravilnosti, ili na neizvršivost potpisati u slučaju spornog ugovora.

Konkretni scenariji korištenja

Scenarij 1 — Inženjering kabinet koji odgovara na tržištu kontrole rada

Inženjering kabinet specijaliziran za infrastrukturu, sa oko trideset inženjera i upravljanjem od 15 do 20 odgovora na pozive za podnošenje ponuda godišnje, mora potpisati nekoliko dijelova ponude: akt angažiranja, tehnički izvještaj, potvrde o redovitosti fiskalne i socijalne evidencije. Prije primjene SMS validacije, postupak se temeljio na razmjeni PDF-ova potpisanih ručno, skanirano i ponovno proslijeđenih e-poštom, što je generiralo prosječne kašnjenja od 48 do 72 sata po datoteci.

Konfiguriranjem radnog toka Certnea s OTP SMS validacijom za svakog internog potpisnika (tehnički direktor, upraviteljica), kabinet je skratio taj rok na manje od 2 sata. Automatski generirani izvještaj o potpisati je priložen datoteci podignutoj na profil kupca, zadovoljavanje zahtjeva za unaprijeđeni potpisati. Sektorske studije o dematerijalizaciji B2B procjenjuju na 60-70% smanjenja vremena obrade administracije pri prijelazu na elektronički potpisati s jacom autentifikacijom.

Scenarij 2 — Privremena zajednica poduzeća (PZP) na tržištu radova

U okviru javne nabave za radove (stavka iskop + stavka građenja), dva poduzeća čine zajedničku PZP. Svaki mandatar mora potpisati akt angažiranja u ime svoje tvrtke. Dva poduzeća nalaze se u različitim gradovima, a rok za predaju ponuda je u 12:00.

Zahvaljujući mogućnosti paralelnih potpisa Certnea, dva potpisnika istovremeno primaju poziv putem e-pošte. Svaki pristupa svojoj stranici za validaciju, unosi svoj OTP kod primljen SMS-om u manje od minute i stavlja svoj unaprijeđeni elektronički potpisati. Koordinator PZP-a odmah prima obavijest o završetku i može učitati dovršenu datoteku prije roka. Ovaj scenarij pokazuje kako SMS validacija eliminira rizik od kašnjenja povezanog s koordinacijom na više lokacija, problem koji prema nekim studijama predstavlja oko 30% zakašnjelih depozita u odgovorima u zajednici.

Scenarij 3 — Lokalna samouprava kao izdavatelja poziva za podnošenje ponude

Lokalna samouprava srednje veličine (između 50 000 i 200 000 stanovnika) koja ne želi odgovarati na poziv za podnošenje ponude već ga izdati, može se također osloniti na SMS validaciju za osiguravanje interne potpisa dijelova nabave (CCAP, CCTP, RC). Prije objavljivanja konsultacije na profilu kupca, direktor tehnijskih servisa i izabrani delegiran tržištima mora co-potpisati konstituirajuće dokumente.

Primjenom internog radnog toka Certnea s OTP SMS validacijom za svakog institucionalnog potpisnika, samouprava stvara mjerljivu tragu administrativne provjere prije. Ova traceabilnost je posebno korisna tijekom kontrola zakonitosti koju vrši prefektura ili tijekom revizije regionalne komore za račune. Smanjenje pravnog rizika povezanog s neuautentificiranim potpisom predstavlja glavnu stvar sukladnosti za javne kupce, s obzirom na zahtjeve Uredbe br. 2015-899 kodificirane u Kodeksu javne nabave.

Zaključak

Integracija stranice za validaciju s kodom SMS-om u vašu ponudu na poziv za podnošenje ponude nije samo tehnička formalnost: to je pravna garancija, dokumentirana dokaza pristanka i alat regulatorne sukladnosti u smislu Uredbe eIDAS i Kodeksa javne nabave. Autentificiranjem svakog potpisnika putem vremenski označenog OTP SMS-a, postižete razinu elektroničkog unaprijeđenog potpisati potrebnu od strane velika većine javnih kupaca, dok drastično smanjujete interne rokove i rizike od odbijanja zbog formalne nepravilnosti.

Certyneo omogućava vam konfiguriranje ovog radnog toka u nekoliko minuta, bez informatičkog razvoja, s revizijskom trakom sukladnom normama ETSI i arhiviranu prema pravnim obvezama. Bilo da ste jedini ponuditelj, član PZP-a ili javnog kupca, rješenje se prilagođava vašem kontekstu.

Spremni osigurati svoje sljedeće odgovore na pozive za podnošenje ponude? Kreirajte svoj Certyneo račun besplatno i konfigurirajte svoju prvu putanju s SMS validacijom već today.