SMS-validálási oldal ajánlattételi eljárásra való reagáláshoz

Amikor egy vállalkozás nyilvános vagy magánjellegű ajánlattételi eljárásra reagál, a továbbított dokumentáció jogi értéke központi kérdés. Az erős hitelesítési mechanizmus nélkül elektronikusan aláírt dokumentum megtámadható lehet bíróság előtt, vagy az ajánlatkérő elutasíthatja azt. Éppen ezért jön be a játékba az SMS-kóddal történő validálási oldal: ez az egyszeri jelszó (OTP) alapú hitelesítési lépés megerősíti az ajánlattevő hozzájárulásának bizonyítékát, megfelel az eIDAS-rendelet követelményeinek, és garantálja az aláírási folyamat teljes nyomon követhetőségét. Ebben a cikkben részletezünk arról, hogy miért és hogyan kell ezt az eszközt bevezetni az ajánlattételi eljárásra vonatkozó munkafolyamatában, az alapvető technikai követelményektől kezdve a lépésenkénti konfigurációig és a követendő legjobb gyakorlatokig.

Miért érdemes SMS-kóddal történő validálást integrálni az ajánlattételi eljárásba

A bizonyító értéke a közbeszerzés középpontjában

A francia közbeszerzésekre vonatkozó szabályozás előírja, hogy a sematizált módon továbbított ajánlatok megfeleljenek a 2016-360. számú, 2016. március 25-ei rendeletben meghatározott követelményeknek. 2018. október 1-től minden olyan beszerzés, amelynek becsült értéke meghaladja a 40 000 € ÁFA nélkül, kötelezően sematizáltnak kell lennie egy jóváhagyott letöltési platformon keresztül (vásárlói profil). Ebben az összefüggésben az SMS-n keresztül történő OTP-vel kombinált elektronikus aláírás fejlett elektronikus aláírásnak minősül az eIDAS-rendelet értelmében, vagyis:

• az aláírót egyedileg azonosítják;
• lehetővé teszi az aláíró azonosítását;
• az aláíró kizárólagos ellenőrzése alatt álló adatok alapján jön létre;
• az aláírt adatokhoz olyan módon kapcsolódik, hogy az azt követő bármilyen módosítás felismerhető legyen.

E hitelesítési szint nélkül az egyszerű aláírás (kattintás vagy jelölőnégyzet) elég lehet ahhoz, hogy jogi szempontból kötelezze az ajánlattevőt, különösen akkor, ha az ajánlatkérő fejlett vagy minősített aláírást követel meg bizonyos érzékeny lottóknál.

Az ellentmondások és a szabálytalanságok kockázatának csökkentése

Az ajánlattételi eljárásra adott válasz szabálytalannak nyilvánítható, ha az eljáró hatóság szerint az aláíró személyazonossága nem eléggé megállapított. Az SMS-validálási oldal hozzáadása egy második hitelesítési tényezőt (2FA) hoz létre, amely az előzőleg igazolt személyazonossággal kombinálva szilárd bizonyítékot alkot. Közigazgatási bíróság vagy szerződési vitás ügyekben az időbélyeggel ellátott auditnapló (időbélyeg, maszk alatt álló telefonszám, IP-cím, dokumentum hash-je) megalapozottnak tekinthető bizonyítékként.

Egy mélyebb megértéshez az elektronikus aláírás teljes útmutatója ismerteti az aláírás különböző szintjeit és jogi következményeit a francia és európai jogban.

Az SMS-validálási oldal technikai összetevői

OTP-architektúra és SMS-csatorna

Az SMS-kóddal történő validálási oldal három egymásra épülő összetevőn alapul:

1. OTP-generátor (One-Time Password): egy TOTP (Time-based OTP, RFC 6238) vagy HOTP (HMAC-based OTP, RFC 4226) algoritmus egy 6 számjegyű kódot hoz létre, amely általában 5-10 percig érvényes.
2. SMS-átjáró (SMS gateway): egy tanúsított operátor (például Twilio, OVHcloud SMS, Brevo) a kódot az ajánlattevő telefonszámára továbbítja, amely az meghívási vagy regisztrációs fázisban lett rögzítve.
3. Biztonságos beviteli felület: az ajánlattevőnek megjelenített weboldal betartania kell a WCAG 2.1 követelményeket (hozzáférhetőség), egyértelműen jelezze a kód lejáratát, és korlátozott újraküldési mechanizmust biztosítson (visszaélés-ellenes, maximum 3 próbálkozás).

A biztonság szempontjából a telefonszámot előzetesen hitelesíteni kell (az onboarding során), és titkosítottan kell tárolni az adatbázisban, a GDPR követelményeivel összhangban (art. 32 az adatkezelés biztonságáról).

Integráció a Certyneo aláírási munkafolyamatába

A Certyneo platformon az SMS-validálási oldal hozzáadása közvetlenül az aláírási munkafolyamat konfigurációs felületéről történik. Az alábbiak szerint:

1. lépés — A válaszdokumentum létrehozása vagy importálása Töltse fel a technikai emlékeztetőt, a kötelezettségvállalási aktust vagy az ajánlat bármely más összetevőjét. A Certyneo AI-alapú szerződésgenerátor lehetővé teszi bizonyos standard dokumentumok előzetes kitöltését is.

2. lépés — Az aláírók konfigurálása Adja meg az ajánlat aláírására feljogosított személy nevét, vezetéknevét, e-mail-címét és mobiltelefonszámát (E.164 formátum, például +33 6 XX XX XX XX). Ez a mező kötelező az SMS-validáció aktiválásához.

3. lépés — Az OTP SMS-hitelesítés aktiválása A „Munkafolyamat biztonsága" menüben jelölje be az „SMS-kóddal történő validálás" opciót. Beállíthatja:

• a kód érvényességi időtartamát (ajánlott: 5 perc);
• a próbálkozások maximális számát (ajánlott: 3);
• az ajánlattevőnek küldött személyre szabott üzenetet (az ajánlattételi eljárásra és a beszerzés hivatkozására történő megemlítés).

4. lépés — A validálási oldal személyre szabása A Certyneo felülete egy „no-code" oldaleditort kínál, amely lehetővé teszi a szervezet logójának, a beszerzés címének és az ajánlattevőnek szánt egyértelmű utasítások hozzáadását. Ez a személyre szabás növeli a bizalmat és csökkenti a munkafolyamat elhagyásának kockázatát.

5. lépés — A munkafolyamat tesztelése sandboxos módban Az igazi küldés előtt használja a Certyneo tesztmódját az SMS-fogadás és a kód bevitelének szimulálásához. Ellenőrizze, hogy az auditnapló rögzíti-e: az időbélyeget, a dokumentum SHA-256 hash-jét, a maszk alatt álló telefonszámot és a felhasználó termináljának IP-címét.

Legjobb gyakorlatok az optimális konfigurációhoz

Az ajánlattevő működési korlátainak figyelembe vétele

Az ajánlattételi eljárás keretében az ajánlattevő fizikai személy vagy egy KKV, egy pillanatnyilag alakult vállalati csoportosulás (GME) vagy egy nagyvállalat jogi képviselője lehet. Számos működési korlátot figyelembe kell venni:

• A telefonszám elérhetetlen: ha a kijelölt aláíró nemzetközi úton van, az SMS nem érkezhet meg időben. Tervezze meg az aláírás delegálásának lehetőségét előzetes értesítéssel.
• A vezetők rotációja: nagy szervezetekben az aláíró vezérigazgató megváltozhat a meghívás küldése és a beadási határidő közötti időpontban. A „telefonszám" mező az eljárás végeztéig, legalább 24 órával az lejárat előtt módosítható legyen az eljárás rendszergazdája által.
• Hozzáférhetőség: egyes fogyatékossággal élő felhasználók nehézségekbe ütközhetnek az ideiglenes kód bevitelénél. Adjon javaslatot egy szóbeli alternatívára (az automatikus kódolvasási hívás), ha az infrastruktúra lehetővé teszi.

Az archiválás és az auditnapló szabályossága

Az SMS-validálási oldal csak egy elem a bizonyító rendszer láncolatában. Ahhoz, hogy az egész dokumentáció ellen tudjon érvelni, az archiválásnak meg kell felelnie az ETSI EN 319 132 (XAdES) vagy ETSI EN 319 122 (CAdES) normának a választott aláírási formátumtól függően. A Certyneo automatikusan aláírási jelentést generál PDF/A formátumban, amely tartalmazza:

• az aláírók listáját hitelesítési szintjükkel;
• az igazolt időbélyegeket (RFC 3161);
• az SMS-események teljes naplóját (küldés, fogadás megerősítése, helyes vagy helytelen bevitel).

Ez a jelentés az egész szerződés érvényességi időtartama alatt, esetleg azon túl is, vitaesetek alatt meg kell őrizni. A közbeszerzésekre vonatkozóan a Közbeszerzési Kódex (art. L. 2194-1 és azt követő előírások) akár 10 éves megőrzési időszakokat írhat elő. Az archiválási díjak és a hosszú futamidejű megőrzési lehetőségek a Certyneo díjoldalán találhatók.

Integráció a sematizálási platformokkal (vásárlói profilok)

Ha az ajánlattételi eljárásra adott válasz egy harmadik féltől származó platformon (AWS Marchés, e-Attestations, Achat Public, Klekoon stb.) keresztül történik, a Certyneo a fázis előttben használható az ajánlat összetevő dokumentumainak belső aláírásához és validálásához, mielőtt a vásárlói profilra feltöltenék. Az aláírt fájlt (XAdES vagy PAdES formátumban) ezt követően a Certyneo aláírási jelentésével együtt töltik fel a platformra, mint hitelesítési bizonyítékot.

Ha szervezete már egy versengő megoldást használ, a Certyneyre való migrálási oldal ismerteti, hogyan helyezheti át meglévő munkafolyamatait adatvesztés vagy szolgáltatási szünet nélkül.

Biztonság, GDPR és telefoniadatok kezelése

A telefonszám személyes adatainak kezelése

A mobiltelefonszám a GDPR 4. cikkének értelmében személyes adatnak minősül. Az OTP-validálásban való használatához szükséges:

• egy egyértelműen azonosított jogalap: szerződés végrehajtása (art. 6.1.b GDPR) vagy jogos érdek (art. 6.1.f GDPR) az ajánlattételi eljárás kibocsátója és az ajánlattevő közötti kapcsolat függvényében;
• az ajánlattevőnek előzetes tájékoztatása a szám használatáról (megemlítés a felhasználási feltételekben vagy a meghívó e-mailben);
• korlátozott megőrzési időtartam: a szám nem tartható meg az aláírási munkafolyamat végét követően, kivéve indokolt jogi archiválás.

A jogi csapatok és az DPO (adatvédelmi képviselő) további forrásokat találnak az elektronikus aláírás szószedetében, amely a GDPR-hoz kapcsolódó aláírási munkafolyamatokra vonatkozó alapvető definíciókat tartalmaz.

Az ellentmondásoknak való ellenállás és a csalás elleni védelem

Az SMS-validálás bizonyos támadási vektorokra érzékeny (SIM-csere, SS7-es lehallgatás). A magas tétű beszerzéseknél (500 000 € ÁFA nélkuli összegnél nagyobb), a Certyneo ajánlja az OTP SMS kombinálását:

• egy előzetes azonosság-ellenőrzéssel (KYC dokumentumalapú vagy IDnow);
• egy minősített időbélyeggel, amelyet egy eIDAS-akkreditált bizalmi szolgáltatáson (Trust Service Provider, TSP) keresztül bocsátanak ki;
• egy valós idejű riasztással telefonszám-módosítás esetén az aláírás előtti 48 órában.

Ezek a további intézkedések az aláírást az eIDAS minősített szintjére emelik, az európai rendelet által elismert legmagasabbra, és maximális garanciát jelentenek az érzékeny vagy zárt jellegű közbeszerzéseknél.

Az ajánlattételi eljárásban az SMS-validálásra alkalmazandó jogi keret

Az eIDAS-rendelet 910/2014 és aláírási szintjei

Az Európai Parlament és a Tanács (EU) 910/2014. számú rendelete (eIDAS) az elektronikus aláírás szabályozásának alapját képezi Európában. Három szintet különböztet meg:

• Egyszerű elektronikus aláírás (3.10. cikk): elektronikus formában más adatokhoz csatolt vagy társított adatok, amelyeket az aláíró az aláíráshoz használ. Az ajánlattételi eljárások tekintetében korlátozott jogi értéke.
• Fejlett elektronikus aláírás (3.11. cikk): megfelel az eIDAS 26. cikkének követelményeinek, ideértve az aláírótól való egyedi kapcsolódást és az altus felismerhetőségét. Az OTP SMS-validálás, az előzetes azonosítással kombinálva, lehetővé teszi ezen szint elérését.
• Minősített elektronikus aláírás (3.12. cikk): minősített aláírás-létrehozási eszközzel jön létre, egy akkreditált TSP által kibocsátott minősített tanúsítványon alapul. Az egyetlen szint, amely az összes tagállamban a kézi aláíráshoz egyenértékű jogi hatást gyakorol (25.2. cikk eIDAS).

Francia polgári törvénykönyv — 1366. és 1367. cikkek

A Polgári Törvénykönyv 1366. cikke kimondja, hogy „az elektronikus írás ugyanolyan bizonyító erővel rendelkezik, mint a papíralapon levő írás, feltéve, hogy az annak forrásául szolgáló személy megfelelően azonosítható, és annak létrehozása és megőrzése olyan körülmények között történt, amelyek annak integritásának garantálásáh szükségesek". Az 1367. cikk pontosítja, hogy „az elektronikus aláírás egy megbízható azonosítási folyamat használatából áll, amely az ahhoz csatolt aktussal való kapcsolódást garantálja".

Az OTP SMS közvetlenül hozzájárul az 1367. cikkben felvetett megbízható azonosítási feltétel teljesítéséhez, mivel az aláírt aktushoz kapcsolódó regisztrált telefonszám és az aláíró között kapcsolatot hoz létre.

A Közbeszerzési Kódex

A Közbeszerzési Kódex R. 2132-7. és azt követő cikkei előírják, hogy az elektronikusan továbbított ajánlatok egy legalább fejlett elektronikus aláírással aláírt, minősített tanúsítványon alapulónak kell lennie. Az SMS-validálás ebben a rendszerben a szint elérésének eszközeként funkcionál, feltéve, hogy az aláírási munkafolyamat teljes dokumentálása és archiválása megtörtént.

A GDPR 2016/679 — Telefoniadatok védelme

A GDPR 32. cikke megfelelő technikai és szervezeti intézkedéseket ír elő az adatok biztonságának garantálásához, különösen a titkosítást és az álnevesítést. Az OTP SMS-hez használt telefonszámot titkosítottan kell tárolni és továbbítani (TLS 1.3 minimum). Az 5.1.e cikk a megőrzés korlátozásához van: a szám csak a feldolgozás céljaként szükséges ideig tartható meg.

Az alkalmazandó ETSI normák

• ETSI EN 319 132 (XAdES): fejlett XML-aláírás formátuma, ajánlott a közbeszerzésekhez XML formátumban.
• ETSI EN 319 122 (CAdES): fejlett CMS-aláírás formátuma, bináris fájlokhoz (PDF, ZIP) alkalmas.
• ETSI EN 319 102-1: elektronikus aláírások létrehozási és validálási eljárásai, az RFC 3161 szerinti minősített időbélyeget integrálva.

Ezen normák megsértése az ajánlat formai szabálytalanságért történő elutasításának kockázatát, vagy az aláírás szerződési vita esetén való felhasználhatatlansá tárja fel.

Konkrét alkalmazási esetek

1. eset — Egy mérnöki iroda, amely egy tervezett munka piacára reagál

Egy infrastruktúra-szakosodott mérnöki iroda, körülbelül 30 mérnökkel és évente átlagosan 15-20 ajánlattételi eljárást kezelve, egy ajánlat számos összetevőjét kell aláírnia: kötelezettségvállalási aktus, technikai emlékeztetõ, adózási és szociális szabályosság-igazolások. Az SMS-validálás bevezetése előtt az eljárás az e-mailben manuálisan aláírt, beszkennelt PDF-ek cseréjén alapult, amely átlagosan 48-72 órás késedelmet okozott.

A Certyneo-munkafolyamat minden aláírók (technikai igazgató, ügyvezető) számára történő SMS OTP-validálása konfigurálásával az iroda a késedelmet kevesebb mint 2 órára csökkentette. Az automatikusan generált aláírási jelentés a vásárlói profilra feltöltött dokumentációhoz csatolva megfelelne a fejlett aláíráskövetelményeknek. A B2B-sematizálásra vonatkozó szektorális tanulmányok a munkafolyamatok feldolgozási idejét 60-70%-kal csökkentik az erős hitelesítésű elektronikus aláírásra való átmeneténél.

2. eset — Egy pillanatnyilag alakult vállalati csoportosulás (GME) egy építési munkák piacán

A közbeszerzésre vonatkozó építési munkák keretében (talajmunka tétel + nagy építési tétel) két vállalat közös GME-t alkot. Mindegyik megbízott az ajánlat kötelezettségvállalási aktusát saját cégjének nevében kell aláírnia. A két vállalat különböző városokban található, az ajánlatok beadási időpontja pedig 12:00.

A Certyneo párhuzamos aláírás funkciójának köszönhetően mindkét aláíró egyidejűleg kap egy meghívó linket e-mailben. Mindegyikük hozzáfér saját validálási oldalához, kevesebb mint egy percben beírja az SMS-en keresztül kapott OTP-kódot, és elektronikus fejlett aláírásával látja el az aktust. A GME koordinátora azonnal kapja meg az értesítést a munkafolyamat teljesüléséről, és feltöltheti az érvényben lévő dokumentációt az lejárat előtt. Ez az eset azt mutatja, hogyan szünteti meg az SMS-validálás a több telephelyen történő koordináció késedelmi kockázatát, amely egyes tanulmányok szerint a csoportosulások késedelmes beadási arányának körülbelül 30%-a.

3. eset — Egy ajánlattételi eljárás kibocsátó közigazgatási szerv

Egy közegészségügyi terület (50 000-200 000 lakos között), amely nem reagál egy ajánlattételi eljárásra, hanem egyet bocsát ki, szintén az SMS-validálásra támaszkodhat az eljárás alkotóelemeinek (CCAP, CCTP, RC) belső aláírásának biztosítására. A platformon való szokásos bejelentés előtt az eljárás technikai irányítója és a piacokért felelős politikai vezetőnek közös aláírása szükséges.

A Certyneo belső munkafolyamata az SMS OTP-validálás minden intézményi aláírón keresztüli telepítése, amely a közigazgatási előzetes validálásból egy nyomon követhető, bizonyított nyomot hoz létre. Ez a nyomon követhetõség különösen hasznos a prefektúra által végzett jogalkalmazási ellenőrzésben vagy a regionális számvevőszék auditjában. Az nem hitelesített aláíráshoz kapcsolódó jogi kockázat csökkentésének szükségessége jelentős megfelelőségi kérdést jelent az ajánlatkérők számára a 2015-899. számú rendelet, amely a Közbeszerzési Kódexben van kodifikálva.

Záróelmélkedés

Az SMS-kóddal történő validálási oldal integrálása az ajánlattételi eljárásra adott válaszban nem egyszerűen technikai formalitás: ez egy jogi garancia, egy dokumentált hozzájárulási bizonyíték és egy szabályozotti megfelelőségi eszköz az eIDAS-rendelet és a Közbeszerzési Kódex értelmében. Az egyes aláírók hitelesítésével az OTP SMS-en keresztül az időbélyegzett alappal eléred az elektronikus fejlett aláírás szintjét, amelyet az ajánlatkérők túlnyomó többsége követel meg, miközben drasztikusan csökkented az interno késedelmet és a formai szabálytalanságért való elutasítás kockázatát.

A Certyneo lehetővé teszi az eljárás konfigurálását néhány perc alatt, informatikai fejlesztés nélkül, az ETSI normáknak megfelelő és a jogi kötelezettségek szerint archiváló auditnapló mellett. Legyen szóló ajánlattevő, GME-tag vagy ajánlatkérő, a megoldás az Ön helyzetéhez igazodik.

Készen áll a következő ajánlattételi eljárások biztosítására? Hozza létre ingyenes Certyneo-fiókját és konfigurálja az első SMS-validálási munkafolyamatát még ma.