SMS patvirtinimo puslapis pasiūlymui į viešą pirkimą

Kai įmonė atsako į viešą ar privačią viešų pirkimų procedūrą, svarbus klausimas yra siuntomo dokumento teisinė vertė. Elektroninis dokumentas, pasirašytas be stipraus autentifikavimo mechanizmo, gali būti ginčijamas teisme arba atmestas viešojo pirkėjo. Būtent čia svarbūs SMS kodu patvirtinimo puslapiai: šis autentifikavimo etapas naudojant vienkartinį slaptažodį (OTP) sustiprina pasiūlymo teikėjo sutikimo įrodą, atitinka eIDAS reglamento reikalavimus ir garantuoja visą parašo kelio sekamumą. Šiame straipsnyje išsamiai aptariame, kodėl ir kaip diegti šį mechanizmą į jūsų pasiūlymo į viešą pirkimą eigą, apžvelgdami techninius reikalavimus, nuoseklią konfigūraciją ir tinkamas praktikas.

Kodėl integruoti SMS kodu patvirtinimą į pasiūlymą į viešą pirkimą

Įrodomoji vertė viešų pirkimų centre

Prancūzijos viešų pirkimų reglamentas reikalauja, kad per elektronines priemones persiunti pasiūlymai atitiktų reikalavimus, nustatytus dekrete Nr. 2016-360 nuo 2016 m. kovo 25 d. dėl viešų pirkimų. Nuo 2018 m. spalio 1 d., bet kurie pirkimai, kurių numatoma vertė viršija 40 000 EUR be PVM, turi būti demateriazuoti per suderintą depozito platformą (pirkėjo profilį). Tokiame kontekste elektroninis parašas, sujungtas su SMS OTP mechanizmu, yra išplėstinis elektroninis parašas pagal eIDAS reglamentą, tai yra:

• unikaliai susietas su pasirašantiuoju;
• leidžia identifikuoti pasirašantįjį;
• sukurtas iš duomenų, kuriuos pasirašantysis gali naudoti savo išskirtinoje kontrolėje;
• susietas su pasirašytais duomenimis taip, kad būtų galima aptikti bet kokius vėlesnius pakeitimus.

Be šio autentifikavimo lygio, paprastas parašas (spustelėjimas ar žymimasis laukelis) gali būti nepakankamas juridiškai įpareigoti pasiūlymo teikėją, ypač kai pirkėjas reikalauja išplėstinio arba kvalifikuoto parašo tam tikriems jautriem dalams.

Sumažinti ginčo ir nereikalingumo rizikus

Pasiūlymo į viešą pirkimą dossier gali būti paskelbtas nereikalingu, jei pavedimo davėjas mano, kad pasirašančiojo tapatybė nėra pakankamai nustatyta. SMS patvirtinimo puslapio pridėjimas sukuria antrą autentifikavimo faktorių (2FA), kuris, sujungtas su anksčiau patikrinta tapatybe, sudaro tvirtą įrodą. Ginčo atveju administratyvinėje teismuose arba sutarties teisėjo procesų metu, pažymėtas žurnalas (laiko žyma, maskuotas telefono numeris, IP adresas, dokumento heš) yra priimtinas įrodymas.

Norėdami sužinoti daugiau apie pagrindus, išsamaus elektronio parašo vadovo paaiškinami skirtingi parašo lygiai ir jų teisinės pasekmės prancūzų ir Europos teisuose.

SMS patvirtinimo puslapio techniniai komponentai

OTP architektūra ir SMS kanalas

SMS kodu patvirtinimo puslapis remiasi trimis tarpusavyje susijusiais komponentais:

1. OTP generatorius (One-Time Password): TOTP (Time-based OTP, RFC 6238) arba HOTP (HMAC-based OTP, RFC 4226) algoritmas generuoja 6 skaitmenų kodą, paprastai galiojantį 5–10 minučių.
2. SMS šliuzas (SMS gateway): sertifikuotas operatorius (pvz., Twilio, OVHcloud SMS, Brevo) persiųs kodą į pasiūlymo teikėjo telefono numerį, užregistruotą pakvietimo ar registracijos etape.
3. Saugi įvesties sąsaja: pasiūlymo teikėjui rodomas interneto puslapis turi atitikti WCAG 2.1 reikalavimus (pasiekiamumas), aiškiai rodyti kodo galiojimo pabaigą ir pasiūlyti ribotą perkeitimo mechanizmą (naudojimosi draudimas, maksimum 3 bandymai).

Saugumo požiūriu telefono numeris turi būti iš anksto patvirtintas (patvirtinimas naudojant sistemą) ir saugomas užšifruotoje duomenų bazėje, atsižvelgiant į GDPR reikalavimus (32 str. dėl apdorojimo saugumo).

Integravimas į Certyneo parašo eigą

Certyneo platformoje SMS patvirtinimo puslapio pridėjimas atliekamas tiesiogiai iš parašo eigos konfigūracijos sąsajos. Štai žingsniai:

1 žingsnis — Kurti arba importuoti pasiūlymo dokumentą Įkelkite savo technines ataskaitas, įsipareigojimo aktą arba bet kurią kitą pasiūlymo sudedamąją dalį. Certyneo AI kontraktų generatorius taip pat leidžia iš anksto užpildyti tam tikrus tipo dokumentus.

2 žingsnis — Konfigūruoti pasirašančiuosius Nurodykite vardą, pavardę, el. pašto adresą ir mobiliojo telefono numerį (E.164 formatas, pvz., +33 6 XX XX XX XX) kiekvieno asmens, turinčio teisę pasirašyti pasiūlymą. Šis laukas yra privalomas SMS patvirtinimui suaktyvinti.

3 žingsnis — Aktyvinti OTP SMS autentifikavimą Meniu „Eigos saugumas" pažymėkite parinktį „SMS kodu patvirtinimas". Galite nustatyti:

• kodo galiojimo trukmę (rekomenduojama: 5 minutės);
• maksimalų bandymų skaičių (rekomenduojama: 3);
• asmeninę žinutę, siųstą pasirašančiajam (viešo pirkimo nuoroda, konsultacijos nuoroda).

4 žingsnis — Suasmeninti patvirtinimo puslapį Certyneo sąsaja siūlo „be kodo" puslapio redaktorių, kuris leidžia pridėti jūsų organizacijos logotipą, konsultacijos pavadinimą ir aiškias instrukcijas pasiūlymo teikėjui. Šis personalizavimas sustiprina pasitikėjimą ir sumažina kelio nutrūkimo pasitaikymą.

5 žingsnis — Išbandyti eigą smėlio dėžės režimu Prieš faktinį siuntimą, naudokite Certyneo testo režimą SMS priėmimui imituoti ir kodo įvedimui. Patikrinkite, ar žurnalas teisingai fiksuoja: laiko žymę, SHA-256 dokumento hešą, maskuotą telefono numerį ir naudotojo terminalo IP adresą.

Geros praktikos optimaliam konfigūravimui

Pasiūlymo teikėjo operacinių apribojimų numatymas

Viešo pirkimo atveju pasiūlymo teikėjas gali būti fizinis asmuo arba SME, laikinosios verslo partnerystės (GME) arba didelės grupės teisėtas atstovą. Keletas operacinių apribojimų turi būti numatyti:

• Telefono numerio nepasiekiamumas: jei pasirašantysis yra tarptautinėje kelionėje, SMS gali neatvykti laiku. Numatykite parašo delegavimo parinktį su išankstiniu pranešimu.
• Vadybos rotacija: didelėse organizacijose pagrindinės direktore pasirašantis gali keistis tarp pakvietimo siuntimo ir depozito termino. Laukas „telefono numeris" turi būti redaguojamas paskyros administratoriaus iki 24 valandų iki šio termino.
• Pasiekiamumas: kai kurie negalios situacijoje esantys naudotojai gali susidurti su sunkumais suvesdami laikiną kodą. Pasiūlykite balsinio išduodymo alternatyvą (automatinis kodų skaitymas skambučiu), jei jūsų infrastruktūra tai leidžia.

Archyvavimas ir audito pėdsakas

SMS patvirtinimo puslapis yra tik viena įrodo sistemos grandis. Norint, kad visas dossier būtų priešintinas, archyvavimas turi atitikti ETSI EN 319 132 (XAdES) arba ETSI EN 319 122 (CAdES) standartą, atsižvelgiant į pasirinktą parašo formatą. Certyneo automatiškai generuoja parašo ataskaitą PDF/A formatu, apimančią:

• pasirašančiųjų sąrašą su jų autentifikavimo lygiu;
• sertifikuotas laiko žymas (RFC 3161);
• visą SMS įvykių žurnalą (siuntimas, priėmimo patvirtinimas, teisingai arba klaidingai suvesti).

Šią ataskaitą turi saugoti visą rinkoje galiojančią trukmę, o jei vyksta ginčas — dar ilgiau. Viešiems pirkimams Viešų pirkimų kodeksas (41 ir toliau .) numato saugojimo terminus iki 10 metų. Tarifai ir ilgalaikio archyvavimo parinktys išsamiau aprašyti Certyneo tarifų puslapyje.

Integravimas su demateriazacijos platformomis (pirkėjo profiliai)

Kai pasiūlymas į viešą pirkimą perduodamas per trečiosios šalies platformą (AWS Marchés, e-Attestations, Achat Public, Klekoon ir kt.), Certyneo gali būti naudojamas iš anksto, siekiant pasirašyti ir patvirtinti šiame etape pasiūlymo sudedamąsias dalis prieš jas siunčiant į pirkėjo profilį. Pasirašytas failas (XAdES arba PAdES formatu) vėliau įkeliamas į platformą kartu su Certyneo parašo ataskaita kaip autentifikavimo pagrindas.

Jei jūsų organizacija jau naudoja kitą sprendimą, perėjimo į Certyneo puslapis paaiškina, kaip perkelti savo esamas eigas be duomenų praradimo ar paslaugos nutrūkimo.

Saugumas, GDPR ir telefono ryšio duomenų tvarkymas

Telefono numerio asmeninių duomenų tvarkymas

Mobilaus telefono numeris yra asmeniniai duomenys GDPR 4 straipsnio prasme. Jo naudojimas OTP patvirtinime reikalauja:

• aiškiai nustatytos teisinės pagrindas: sutarties vykdymas (6.1.b straipsnis GDPR) arba teisėtas interesas (6.1.f straipsnis GDPR) priklausomai nuo ryšio tarp viešo pirkimo emitento ir pasiūlymo teikėjo;
• pirmesnio atitikimo pasiūlymo teikėjui apie jo numerio naudojimą (nuotrauka bendrosiose sąlygose arba pakvietimo el. laiške);
• ribota saugojimo trukmė: numeris neturi būti saugomas pasibaigus parašo eigai, išskyrus teisiškai pagrįstą archyvavimą.

Teisinės ir GDPR specialistai papildomus ištekliais ras mūsų elektronio parašo žodyne, kuriame nurodomi pagrindiniai GDPR apibrėžimai, taikomi parašo eigoms.

Atsparumas atakoms ir anti-sukčiavimui

SMS patvirtinimas yra jautrus tam tikriems atakos vektoriams (SIM swapping, SS7 intercepcija). Didelės vertės pirkimams (suma > 500 000 EUR be PVM) Certyneo rekomenduoja SMS OTP derinimą su:

• ankstesne tapatybės verifikacija (KYC dokumentacija arba IDnow);
• sertifikuota laiko žyma iš eIDAS akredituoto pasitikėjimo paslaugų teikėjo (TSP);
• realaus laiko perspėjimu telefono numerio pasikeitimo atveju 48 valandų iki parašo laikotarpyje.

Šios papildomos priemonės perkelia parašą į kvalifikuotą eIDAS lygį, aukščiausią, pripažintą Europos reglamentu, ir sudaro maksimalią garantiją jautrūs viešus pirkimus arba klasifikuotiems pirkimams.

Pasiūlymo dėl SMS patvirtinimo teisinis pagrindas

Reglamentas eIDAS Nr. 910/2014 ir jo parašo lygiai

Reglamentas (ES) Nr. 910/2014 dėl elektroninės identifikacijos ir pasitikėjimo paslaugų (eIDAS) Europos Parlamento ir Tarybos yra elektroninio parašo reguliavimu pagrindas Europoje. Jis išskiria tris lygius:

• Paprastas elektroninis parašas (3.10 straipsnis): duomenys elektronine forma, susieti ar susieti su kitais duomenimis, kuriuos pasirašantysis naudoja pasirašymui. Ribota teisinė vertė viešiems pirkimams.
• Išplėstinis elektroninis parašas (3.11 straipsnis): atitinka eIDAS 26 straipsnio reikalavimus, įskaitant unikalų ryšį su pasirašančiuoju ir bet kokios alteracijos aptikimo galimybę. SMS OTP patvirtinimas, sujungtas su ankstesne identifikacija, leidžia pasiekti šį lygį.
• Kvalifikuotas elektroninis parašas (3.12 straipsnis): sukurtas naudojant kvalifikuotą parašo kūrimo įrenginį, pagrįstas sertifikatu, išduotu akredituoto TSP. Vienintelis lygis, turintis teisinį poveikį lygiavertį rankraščiui visose valstybėse narėse (25.2 straipsnis eIDAS).

Prancūzijos pilietinis kodeksas — 1366 ir 1367 straipsniai

1366 straipsnis nustato, kad „elektroninis raštas turi tokią patikimą jėgą, kaip raštas ant popieriaus, su sąlyga, kad gali būti tinkamai nustatyta asmuo, nuo kurio jis gali būti ir kad jis buvo sudaryta ir saugoma tokiomis sąlygomis, kurios garantuoja jo vientisumą". 1367 straipsnis aiškina, kad „elektroninis parašas susideda iš patikimo identifikavimo proceso, kuris garantuoja jo ryšį su juo susietu veiksmu, naudojimas".

SMS OTP tiesiogiai prisideda prie patikimo identifikavimo sąlygos pagal 1367 straipsnį, sukurdamas ryšį tarp registruoto telefono numerio ir pasirašyto veiksmo.

Viešų pirkimų kodeksas

Viešų pirkimų kodekso 2132-7 ir toliau straipsniai reikalauja, kad pasiūlymai, persiunti elektroniškai, būtų pasirašyti šiame lygis išplėstiniame elektroniniame parašu, pagrįstame sertifikuotu sertifikatu. SMS patvirtinimas yra priemonė siekiant pasiekti šį lygį, su sąlyga, kad visa parašo eiga yra dokumentuota ir suarchyvuota.

GDPR Nr. 2016/679 — Telefono duomenų apsauga

GDPR 32 straipsnis nurodo tinkamas technines ir organizacines priemones duomenų saugumui garantuoti, ypač šifrūotę ir pseudoanonimavimą. SMS OTP naudojamas telefono numeris turi būti šifrūotas ramoje ir tranzite (TLS 1.3 mažiausiai). 5.1.e straipsnis nurodo saugojimo ribojimą: numeris gali būti saugomas tik tam, kad būtų pasiekta apdorojimo tikslas.

Taikomos ETSI normos

• ETSI EN 319 132 (XAdES): išplėstinio XML parašo formatas, rekomenduojamas viešų pirkimų dalims XML formatu.
• ETSI EN 319 122 (CAdES): išplėstinio CMS parašo formatas, tinkamas dvejetainiams failams (PDF, ZIP).
• ETSI EN 319 102-1: elektroninių parašų kūrimo ir validavimo procedūros, apimančios sertifikuotą laiko žymą RFC 3161.

Šių normų nesilaikymas sudaro riziką pasiūlymui atmesti dėl formalaus nereikalingumo arba parašo nepriešintinumui esant sutartiniam ginčui.

Konkretūs naudojimo scenarijai

1 scenarijus — Inžinerinis biuras, atsakantis į projektavimo vadybos pirkimą

Inžineriniam biu specialiuose infrastruktūrose, turinčiame apie 30 inžinierių ir vidutiniškai tvarkantis nuo 15 iki 20 pasiūlymų viešos pirkimo procedūrose per metus, reikalinga pasirašyti kelias pasiūlymo sudedamąsias dalis: įsipareigojimo aktą, techninę ataskaitą, fiskalinės ir socialinės reguliarumo sertifikatus. Prieš diegiant SMS patvirtinimą, procedūra buvo grindžiama PDF pasiūlymų rankinio parašymo, skenavimo ir persiunimo el. paštu, kuris vidutiniškai generavo 48–72 valandų delsius per dossier.

Sukonfigūravę Certyneo eigą su OTP SMS patvirtinimu kiekvienam vidaus pasirašančiajam (techniniam direktoriui, vadovui), biuras šį laiką sumažino iki mažiau nei 2 valandų. Automatiškai sugeneruota parašo ataskaita pridedama prie pirkėjo profilio saugojamos bylos, atitinkdama išplėstinio parašo reikalavimus. Demateriazacijos B2B sektoriaus tyrimai nustatė 60-70 % administracinių tvarkymo laiko sumažėjimą pereinant prie stipraus autentifikavimo elektroninio parašo.

2 scenarijus — Laikinosios verslo partnerystės (GME) statybų pirkime

Publinio statybos pirkimo atveju (žemės darbų dalyje + statybinės dalys), dvi įmonės sudaro bendrinę GME. Kiekvienas vadovas turi pasirašyti savo įmonės vardu įsipareigojimo aktą. Dvi įmonės yra skirtinguose miestuose, ir pasiūlymų pateikimo terminas yra 12:00.

Naudodamiesi Certyneo lygiagrečios parašo funkcija, abu pasirašančiieji vienu metu gauna pakvietimo nuorodą el. paštu. Kiekvienas pasiekia savo patvirtinimo puslapį, suveda savo SMS gautą OTP kodą mažiau nei per minutę ir aplieka savo išplėstinį elektroninį parašą. GME koordinatorius iš karto gauna atlikimo pranešimą ir gali saugoti subaigtos bylos iki šio termino. Šis scenarijus paaiškina, kaip SMS patvirtinimas pašalina delsio risika, susijusią su vietos koordinacija, problema, kuri pagal kai kurias studijas sudaro apie 30 % vėlyvų depozitų grupės pasiūlymuose.

3 scenarijus — Savivaldybė, skelbianti viešą pirkimą

Vidutinio dydžio savivaldybė (tarp 50 000 ir 200 000 gyventojų), kuri nori ne atsakyti į viešą pirkimą, bet jį skelbti, taip pat gali remtis SMS patvirtinimu saugoti vidiniam pirkimo dalių parašui (CCAP, CCTP, RC). Prieš konsultacijos skelbimą pirkėjo profilyje, techninių paslaugų direktorius ir pirkimas deleguotas valstybės pareigūnas turi bendrai pasirašyti dalys.

Diegiant Certyneo vidinę eigą su SMS OTP patvirtinimu kiekvienam institucinio pasirašančiųjų, savivaldybė sukuria pagrindinę įrodo administratyvinį patvirtinimą. Šis sekamumas ypač naudingas valdymo kontrolės metu, kurią atliekamos prefektūros arba regioninės sąskaitų audito audito. Teisinės rizikos sumažėjimas, susijęs su neautentifikuotu parašu, yra pagrindinis Europos viešų pirkimų suderintumui, atsižvelgiant į 2015-899 dekreto ir Viešų pirkimų kodekso reikalavimus.

Išvada

SMS kodu patvirtinimo puslapio integravimas į pasiūlymo į viešą pirkimą nėra tik paprasta techninė formalybė: tai teisinė garantija, dokumentuotas sutikimo įrodymas ir reguliacinės atitikties įrankis pagal eIDAS reglamentą ir Viešų pirkimų kodeksą. Autentifikavus kiekvieną pasirašantįjį per laiko žymą OTP SMS, pasieksite išplėstinio elektroninio parašo lygį, reikalingą absoliučiai dalies viešų pirkėjų, sumažindami drastiškai vidinius laikus ir nereikalingumo rizikas.

Certyneo leidžia šią eigą konfigūruoti keliais minutėmis, be kompiuterinės plėtros, su ETSI standartams atitinkančiu audito žurnalu ir suarchyvuotu pagal teisinius įpareigojimus. Nesvarbu, ar esate vienintelės pasiūlymo teikėjas, GME narys ar viešas pirkėjas, sprendimas prisitaiko jūsų kontekstui.

Pasiruošę saugoti savo artimiausius pasiūlymus į viešą pirkimą? Nemokamai sukurkite savo Certyneo paskyrą ir konfigūruokite savo pirmąją eigą su SMS patvirtinimu šiandien.