Blaðsíða SMS staðfestingar til að svara tilboðsbeiðni

Þegar fyrirtæki svarar opinberri eða einkareknu tilboðsbeiðni er spurningin um lagalegt gildi skjalanna sem send eru mikilvæg. Rafrænt undirritaður skjal án sterks auðkenningarkerfis getur verið mótmælt fyrir dómstóli eða hafnað af opinberum kaupanda. Þetta er rétt þar sem staðfestingarblaðsíða með SMS kóða kemur til sögunnar: þetta auðkennisatriði með einskiptilösenorði (OTP) styrkir sönnun um samþykki tilboðsgjafa, uppfyllir kröfur eIDAS-reglugerðarinnar og tryggir fullt eftirfylgni með undirritunarleiðinni. Í þessari grein útskýrum við hvers vegna og hvernig á að setja upp þennan kerfi á þinn verkflæði fyrir svar við tilboðsbeiðni, með því að fara í gegnum tæknilegar forsendur, skref-fyrir-skref stillingu og bestu starfsvenjur sem fylgja skal.

Hvers vegna á að samþætta staðfestingu með SMS kóða í svar þinn við tilboðsbeiðni

Sönnunargildi við kjarna opinberra innkaupa

Rammi franskra opinberra innkaupa krefst þess að tilboð sem send eru með rafrænni leið uppfylli kröfur sem settar eru fram í dekreti nr. 2016-360 frá 25. mars 2016 um opinber innkaup. Frá og með 1. október 2018 hafa allar ábendingar þar sem áætlað verðmæti fer yfir 40 000 € án virðisaukaskatts gert rafræna framboðsgátt lögboðna í gegnum viðurkennda vettvangsleið (innkaupasniðill). Í þessu samhengi telst rafræn undirritun ásamt OTP-kerfi með SMS til framfaraminna rafrænnar undirskriftar samkvæmt eIDAS-reglugerðinni, það er:

• tengd skrifara á einstaklingi hátt ;
• leyfir auðkenningu á skrifara ;
• búin til frá gögnum sem skrifari getur notað undir einkaeftirliti hans ;
• tengd gögnum sem undirskrifuð eru á þann hátt að hægt sé að greina allar breytingar eftir á.

Án þessa auðkenningarstigs getur einföld undirritun (smell eða gátreitur) verið ófullnægjandi til að binda tilboðsgjafa lagalega, sérstaklega þegar kaupandi krefst framfaraminnar eða hæfrar undirskriftar fyrir tiltekin viðkvæm lót.

Minnka áhættu á mótmælum og óreglu

Tilboðsskjal getur verið lýst óreglulegum ef innkaupaaðili telur að auðkenni skrifara sé ekki nægilega stofnað. Með því að bæta við SMS staðfestingarblaðsíðu skapast annar auðkenningsþáttur (2FA) sem, ásamt auðkenninu sem áður var sannreynt, myndar traustan sönnun. Ef um er að ræða deilur fyrir stjórnsýslugrétti eða samningsrétti getur auðkastafélagið tímasett (timestamp, grímuður sími, IP vistfang, hash skjalsins) verið þokkaleg sönnun.

Til að komast dýpra inn í grunnatriðin útskýrir heildstæð leiðarvísir um rafræna undirskrift mismunandi undirritunarstig og lagaleg áhrif þeirra á frönsku og evrópsku rétti.

Tæknileikar þættir SMS staðfestingarblaðsíðu

OTP arkitektúr og SMS rás

SMS staðfestingarblaðsíða byggir á þremur óháðum hlutum:

1. OTP kynslóðar (One-Time Password): reiknirite TOTP (Time-based OTP, RFC 6238) eða HOTP (HMAC-based OTP, RFC 4226) myndar 6 stafa kóða, almennt gildur í 5 til 10 mínútur.
2. SMS gateway: viðurkenndur rekstri (td Twilio, OVHcloud SMS, Brevo) sendir kóðann á farsímanúmer tilboðsgjafa, skráð á meðan á bjóðunar- eða skráningarfasanum stendur.
3. Örugg innsláttarsnið: vefsíðan sem sýnd er tilboðsgjafa verður að uppfylla WCAG 2.1 kröfur (aðgengi), birta skýrt gildistíma kóðans og bjóða upp á takmarkað endurkallskerfi (gegn misnotkun, hámark 3 tilraunir).

Frá öryggissjónarmiðum verður sími að vera staðfestur fyrirfram (sannprófun meðan á innboði stendur) og geymdur dulkóðaðr í gagnagrunni, í samræmi við GDPR-kröfur (28. gr. um gagnaöryggi).

Samþætting í Certyneo undirritunarganginum

Á Certyneo vettvangi fer samþætting SMS staðfestingarblaðsíðu fram beint frá stillingaviðmóti undirritunarleiðar. Hér eru skrefin:

Skref 1 — Búðu til eða flytjaðu inn svarskjalið Hlöddu upp tæknilegu athuguninni, fullveldisatriðum eða öðrum gögnum sem mynda tilboðið. AI samning myndir Certyneo leyfir einnig forforritun ákveðinna sniðmátsskjala.

Skref 2 — Stilltu undirritunarmenn Sláðu inn nafn, kenninafn, tölvupóstfang og farsímanúmer (E.164 snið, td +33 6 XX XX XX XX) hvers þess sem hefur heimild til að skrifa undir tilboðið. Þessi reitur er skylda til að virkja SMS staðfestingu.

Skref 3 — Virkjaðu OTP SMS auðkenningu Í valmyndinni „Öryggis gangverks" hakið við valið „Staðfesting með SMS kóða". Þú getur stilt:

• gildistíma kóðans (mælt með: 5 mínútur) ;
• hámarksfjölda tilrauna (mælt með: 3) ;
• sérsniðna skilaboð send til skrifara (heimild tilboðsbeiðni, viðmiðun spurningarinnar).

Skref 4 — Aðlagaðu staðfestingarblaðsíðuna Certyneo viðmót leggur til „no-code" ritil sem gerir þér kleift að bæta við merki fyrirtækisins þíns, titli spurningarinnar og skýrum leiðbeiningum fyrir tilboðsgjafa. Þessi sérstilling eykur traust og dregur úr brottgangi.

Skref 5 — Prófaðu ferðina í sandbox ham Áður en raunveruleg sending, notaðu prófunarham Certyneo til að herma SMS móttöku og kóðaslátru. Staðfestu að endurskining nær og tímasetur (timestamp), SHA-256 kjötkássa skjalsins, grímuð sími og IP vistfang endanota.

Bestu starfsvenjur fyrir ákjósanlega stillingu

Búðu þig undir takmarkanir á aðgerðum tilboðsgjafa

Í samhengi tilboðsbeiðni getur tilboðsgjafi verið einstaklingur eða löglegt fulltrúi lítilla og meðalstærri fyrirtækis, tímabundinnar sameiningar fyrirtækja (GME) eða stórra hóps. Nokkrar rekstrarkantskyggjar verður að sjá fyrir:

• Ótilgengileiki símanúmers: ef tilnefndur skrifari er á erlendum ferðum gæti SMS ekki komið á réttum tíma. Skipulegðu flutningskost fyrir undirritun með fyrirfyrirsögn.
• Þjóðskipti ábyrgðarmanna: í stórfenglegum stofnunum gæti skrifandi framkvæmdastjóri breyst á milli boðs og lokadagsetningar tilboðs. Reiturinn „sími" á að vera breytanlegur af stjórnanda reikningsins til 24 klukka fyrir frestningu.
• Aðgengi: sumir notendur í örkumlæti gætu átt í erfiðleikum við innslátt tímabundinnar kóða. Gefðu upp valkost einkahraða (sjálfvirk köll til lestrar kóðans) ef innviðir þínir leyfa.

Geymsla og endurskoðunarslóð í samræmi

SMS staðfestingarblaðsíðan er aðeins ein hlekkur í sönnunarkerfi. Til að allt gögn séu andstæðanleg verður geymslan að vera í samræmi við ETSI EN 319 132 (XAdES) eða ETSI EN 319 122 (CAdES) eftir valdu undirritunarsniði. Certyneo myndar sjálfkrafa undirritun skýrsluna í PDF/A með:

• lista yfir undirritunarmenn með auðkenningarstigi þeirra ;
• viðurkennd tímastampir (RFC 3161) ;
• heildar atburðir SMS (sending, staðfest móttöku, rétt eða röng innsláttur).

Þessa skýrslu verður að varðveita á meðan á gildistíma markaðarins stendur, eða jafnvel lengur ef um er að ræða deilur. Fyrir opinber innkaup, samkvæmt lögum um opinber innkaup (greinum L. 2194-1 og síðar), geta verið til varðveitumarkaðir allt að 10 ár. Verðlagning og long-term geymsluvalkostir eru tilgreindir á Certyneo verðsíðu.

Samþætting við rafvæðingarvettvanga (innkaupasniðla)

Þegar svar við tilboðsbeiðni fer í gegnum þriðju aðila vettvang (AWS Marchés, e-Attestations, Achat Public, Klekoon, o.s.frv.), getur Certyneo verið notað fyrirfram til að láta undirrita og staðfesta innri skjöl tilboðsins áður en þau eru send til innkaupasniðilsins. Undirritaða skrá (á XAdES eða PAdES sniði) er síðan hlaðið upp á vettvanginn, ásamt Certyneo undirritunarlýsingu sem sannprófun auðkenningar.

Ef stofnun þín notar þegar samkeppnis lausn, flutning til Certyneo síðu útskýrir hvernig á að flytja núverandi ferðir þínar án taps gagna eða truflana á þjónustu.

Öryggis, GDPR og fjarskipta gögn stjórnun

Úrvinnsla einkaupplýsinga um sími

Farsímanúmer er einkaupplýsing samkvæmt 4. grein GDPR. Notkun hans á síðu OTP auðkenningar krefst:

• lagaleg grundvöllur sem er skýrt tilgreind: framkvæmd samnings (6.1.b gr. GDPR) eða lögmæt hagsmunir (6.1.f gr. GDPR) eftir sambandi milli tilboðsbeiðni og tilboðsgjafa ;
• forupplýsingum tilboðsgjafa um notkun hans á símanúmer hans (nefning í almennra skilmálum eða í boðs tölvupósti) ;
• takmarkað varðveititíma: númerið ætti ekki að varðveita umfram lok undirritunargangverks, nema lögsniðlega geymslu sé réttlætandi.

Lögfræði- og DPO teymi munu finna viðbótarúrræði í okkar orðabókar um rafræna undirskrift, sem vísar til lykilskilgreiningar GDPR um undirritungargangverka.

Mótstöðu gegn árásum og gegn svik

SMS staðfesting er viðkvæm fyrir ákveðnum árásavektorum (SIM skiptingu, SS7 inngangandi). Fyrir markaði með mikla veðmál (upphæðir > 500 000 € án virðisaukaskatts), mælir Certyneo með því að sameina SMS OTP með:

• framvinnu auðkenningu (KYC skjalavöru eða IDnow) ;
• hæfðum tímastimpli sem veittur er af traustum þjónustuveitanda (Trust Service Provider, TSP) viðurkenndum eIDAS ;
• rauntíma tilkynningu ef um er að ræða breytingu á simi innan 48 klukka fyrir undirskrift.

Þessar viðbótaraðgerðir breyta undirskriftinni í hæfa eIDAS stigið, hæsta sem kannt er af evrópsku reglugerðinni, og mynda hámarks tryggingu fyrir viðkvæma eða flokkuð opinber innkaup.

Lagaleg rammi gildi fyrir SMS staðfestingu í tilboðsbeiðnum

Reglugerð eIDAS nr. 910/2014 og undirritunarstig hans

Reglugerðin (EB) nr. 910/2014 frá Evrópu þingi og ráðinu (eIDAS) myndar undirstöðu rafræna undirskriftar í Evrópu. Hún aðgreinir þrjú stig:

• Einföld rafræn undirskrift (3.10 gr.): gögn á rafrænu formi fest við eða tengd öðrum gögnum, notuð af skrifara til að skrifa undir. Takmarkað lagalegt gildi fyrir opinber innkaup.
• Framfaraminni rafræn undirskrift (3.11 gr.): uppfyllir 26. greinar eIDAS kröfur, þar á meðal einstök tengsl við skrifara og greinanleika breytinga. OTP SMS staðfesting ásamt auðkenningu gerir kleift að ná þessu stigi.
• Hæf rafræn undirskrift (3.12 gr.): búin til með hæfu undirskriftarbúnaði, byggð á hæfu votorði gefnu af viðurkenndum TSP. Eina stigið með jafngildum lagalegum áhrifum og handrit í öllum aðildarríkjum (25.2 gr. eIDAS).

Frönsk borgaralög — greinum 1366 og 1367

1. grein borgaralaga kveður á um að „rafræn ritun hefur sömu sannanir styrk og rit á pappírsstúku, með fyrirvara um að hægt sé að auðkenna persónu sem hún kemur frá og að hún sé settir og geymd við aðstæður sem tryggja heilleika hans". 1367. grein skýrir að „rafræn undirskrift samanstendur af notkun traustrar auðkenningaraðferðar sem tryggir tengsl hennar við þann athöfn sem hún tengist".

OTP SMS stuðlar beint að því að fullnægja trausta auðkenningarkvaðinu sem sett er fram í 1367. grein, með því að búa til tengsl milli skráða símanúmers og undirritaðrar athafnar.

Lög um opinber innkaup

Greinum R. 2132-7 og síðar laga um opinber innkaup er skylt að tilboð send á rafrænu formi séu undirskrifuð rafrænu undirskriftu að minnsta kosti framfaraminni byggt á hæfu vottorði. SMS staðfesting er hluti af kerfi sem gerir kleift að ná þessu stigi, með fyrirvara um að allt undirritunargangverki sé skjalfest og geymt.

GDPR nr. 2016/679 — Verndun fjarskipta gagna

1. grein GDPR skyldar til að taka viðeigandi tæknilegar og skipulagslegar aðgerðir til að tryggja gagnaöryggi, einkum dulkóðun og gerning. Simi sem notaður er fyrir OTP SMS verður að dulkóðast í hvíld og í flutningi (TLS 1.3 að lágmarki). 5.1.e grein framfylgir varðveitumarkaði: símanúmer getur aðeins verið varðveitt þann tíma sem strax nauðsynlegur er fyrir tilgang úrvinnslu.

ETSI staðlar sem gilda

• ETSI EN 319 132 (XAdES): XML framfaraminni undirritun snið, mælt með fyrir opinber innkaupafléttur í XML sniði.
• ETSI EN 319 122 (CAdES): CMS framfaraminni undirritun snið, aðlagað tvíundrum skrám (PDF, ZIP).
• ETSI EN 319 102-1: málsmeðferðir fyrir stofnun og sannprófun rafrænna undirskrifta, þar á meðal hæfur tímastimpill RFC 3161.

Ekki að virða þessa staðla gerir útgefanda eða tilboðsgjafa útsettri fyrir áhættu á höfnun tilboðsins vegna formbundinnar óreglu, eða óheilbrigðrar undirskriftar ef um samningsrétardeilur er að ræða.

Aðstæður notkun í raunheimum

Aðstæðu 1 — Verkfræðistofnun sem svarar markaði fyrir hönnunarstjórnun

Verkfræðistofnun sem sérhæfir sig í innviðum, með um 30 verkfræðinga og stýrir að meðaltali 15 til 20 svarum við tilboðsbeiðnum á ári, verður að skrifa undir nokkrar gögn sem mynda tilboðið: fullvalda atriði, tæknilegt minni, staðfestingu á skattareglu og félagsmálum. Áður en SMS staðfesting var innleidd bygðist málsmeðferðin á gögnum undirritun á pappír, skönnum og endurkastum á tölvupósti, sem skapaði meðaltal 48 til 72 klukka fyrir hvert gögn.

Með því að stilla Certyneo gangverki með OTP SMS staðfestingu fyrir hvern innri undirritunarmenn (tæknistjóra, stjórnanda), dró stofnunin niður þennan tíma í minna en 2 klukkustundir. Sjálfkrafa mynduð undirritun er hengt við gögn sem send eru til innkaupasniðilsins, sem uppfyllir kröfur framfaraminni undirskriftar. Sviðsbundnar rannsóknir á B2B rafvæðingu áætla 60-70% lækkun á stjórnsýslutíma við flutninga á rafrænni undirskrift með sterkri auðkenningu.

Aðstæðu 2 — Tímabundin sameining fyrirtækja (GME) á markaði fyrir verkum

Á opinberum innkaupamarkaði fyrir verk (lót jarðvinnslu + lót grófsmiðju), mynda tvö fyrirtæki GME sameiginlegt. Hver umboðsmaður verður að skrifa undir fullvalda atriði fyrir hönd fyrirtækis síns. Tvö fyrirtækin eru staðsett í mismunandi borgum og fresttími tilboðs er klukkan 12:00.

Með því að nota Certyneo samhliða undirritun eiginleika fá báðir undirritunarmenn samtímis boðslinka með tölvupósti. Hver og einn fær aðgang að sinni staðfestingarblaðsíðu, sleikir OTP kóðanum sem berst í SMS á innan við einni mínútu og setur rafræna undirskrift sína fram. Samhæfandi GME fær strax tilkynningu um lokun og getur hlaðið upp loklegum gögnum fyrir frestningu. Þessi atburðarás sýnir hvernig SMS staðfesting útilokar áhættu seinkun tengda samhæfingu á milli svæða, vandamál sem samkvæmt sumum rannsóknum myndar um 30% seinkun beiðna á svarferlum hóps.

Aðstæðu 3 — Sveitarfélag sem gefur út tilboðsbeiðnina

Sveitarfélag miðlungs stærðar (milli 50 000 og 200 000 íbúa) sem óskað eftir að gefa ekki aðeins svar við tilboðsbeiðni heldur gefa hana út gæti einnig treyst á SMS staðfestingu til að tryggja innri undirritun markaðsgagna (CCAP, CCTP, RC). Áður en aukagjöf spurningarinnar fer á netinu innkaupasniðilinn verða tæknistjóri og kosningarvald sem falið er innkaupum að samundirrita gögn.

Með því að setja upp Certyneo innri gangverki með OTP SMS staðfestingu fyrir hvern fagbundinn undirritunarmenn skapar sveitarfélag sönnun fyrir staðfestingu stjórnsýslu framundan. Þessi rannsóknargögn eru sérstaklega gagnleg við löggæslu sem þjóðin deilir eða við endurskoðun yfirsætu stærðfræði. Áhættuminnkun tengd óstaðfestri undirskrift er stórkostleg samræmingu fyrir opinbera kaupendur, með tilliti til kröfu um 2015-899 kveikja koðuð samkvæmt opinberum innkaupalögum.

Niðurstaða

Samþætting SMS staðfestingarblaðsíðu í svar þitt við tilboðsbeiðni er ekki einföld tæknilega formleg: það er lagaleg trygging, sönnun um staðfesta samþykki og samræmingu verktæki samkvæmt eIDAS reglugerð og opinberum innkaupalögum. Með því að staðfesta hvern undirritunarmenn með tímastimpluðu SMS OTP sérðu þú ná framfaraminni rafrænni undirskrift sem flestir opinberir kaupendur krefjast, en dregur draga tímann innri og áhættu höfnunar fyrir formlegri óreglu.

Certyneo gerir þér kleift að stilla þennan ferð á nokkrum mínútum, án tölvunarlegrar þróunar, með endurskoðun í samræmi við ETSI staðla og geymd samkvæmt lagalegum skyldum. Hvort sem þú ert einn tilboðsgjafi, meðlimur GME eða opinber kaupandi, aðlagast lausnin samhengi þínu.

Tilbúinn að tryggja næstu tilboðsbeiðni þína? Búðu til Certyneo reikninginn þinn ókeypis og stilltu fyrstu gangverki þína með SMS staðfestingu í dag.