SMS validācijas lapa piedāvājuma atbildes noskaidrošanai

Kad uzņēmums iesniedz piedāvājumu publisku vai privātu iepirkumu konkursam, nodoto dokumentu juridiskā vērtība ir svarīga jautājuma fokusā. Elektroniskais paraksts bez spēcīgas autentifikācijas mehānisma var tikt apstrīdēts tiesā vai noraidīts publiskā iepirkuma aģentūras. Tieši šajā vietā intervencē validācijas lapa ar SMS kodu: šis autentifikācijas solis ar vienreizējā lietošanas paroli (OTP) stiprina līgumsargu piekrišanas pierādījumu, atbilst eIDAS regulējuma prasībām un garantē pilnīgu parakstīšanas maršruta izsekojamību. Šajā rakstā mēs sīkāk skaidrojam, kāpēc un kā ieviests šis mehānisms jūsu iepirkumu konkursa atbildes darbplūsmā, apsverot tehniskus priekšnosacījumus, soli pa solim konfigurāciju un labākās prakses.

Kāpēc integrēt SMS koda validāciju savā piedāvājuma atbildē

Pierādīšanas vērtība publisko iepirkumu sirdī

Francijas publisko iepirkumu regulējums nosaka, ka piedāvājumi, kas iesniegti dematerializēti, jāatbilst prasībām, kuras noteikts Dekrēts Nr. 2016-360 no 2016. gada 25. marta par publiskajiem iepirkumiem. Kopš 2018. gada 1. oktobra jebkura konsultācija, kuras aprēķinātā vērtība pārsniedz 40 000 € bez PVN, ietver obligātu dematerializāciju pa licencētas depozīja platformas (pircēja profila) starpniecību. Šajā kontekstā elektroniskais paraksts, kas saistīts ar OTP mehānismu pa SMS, veido moderno elektronisko parakstu eIDAS regulējuma nozīmē, tas ir:

• unikāli saistīts ar parakstītāju;
• ļauj identificēt parakstītāju;
• izveidots no datiem, ko parakstītājs var izmantot tikai sava kontroles apjomā;
• saistīts ar parakstītajiem datiem tā, lai ļautu noklausīt jebkādu turpmāku modificēšanu.

Bez šāda autentifikācijas līmeņa vienkāršs paraksts (noklikšķis vai izvēles lodziņš) var būt nepietiekams, lai juridiskā nozīmē saistītu piedāvājuma iesniedzēju, jo īpaši gadījumos, kad pircējs pieprasa moderno vai kvalificētu parakstu noteiktiem jutīgiem apjomiem.

Samazināt strīda un neregulāritātes riskus

Iepirkuma konkursa atbildes dokumentu kopums var tikt atzīts par neregulāru, ja iepirkuma vadītājs uzskata, ka parakstītāja identitāte nav pietiekami noskaidrota. SMS validācijas lapas pievienošana rada otro autentifikācijas faktoru (2FA), kas apvienojumā ar iepriekš pārbaudīto identitāti veido spēcīgu pierādījumu. Strīda gadījumā administratīvajā tiesā vai kontrakta tiesnešu priekšā žurnāls ar laika atzīmi (timestamps, maskēts tālruņa numurs, IP adrese, dokumenta heš) veido pieņemamu pierādījumu.

Lai iegūtu vairāk pamatinformācijas, elektroniskā paraksta pilnais ceļvedis skaidro dažādus paraksta līmeņus un to juridiskās sekas Francijas un Eiropas tiesībās.

Tehniskās komponentes SMS validācijas lapai

OTP arhitektūra un SMS kanāls

SMS koda validācijas lapa balstās uz trim savstarpēji atkarīgiem komponentiem:

1. OTP ģenerators (vienreizējā parole): algoritms TOTP (Time-based OTP, RFC 6238) vai HOTP (HMAC-based OTP, RFC 4226) ģenerē 6 ciparu kodu, parasti derīgu no 5 līdz 10 minūtēm.
2. SMS vārteja (SMS gateway): sertificēts operators (piem., Twilio, OVHcloud SMS, Brevo) pārsūta kodu uz piedāvājuma iesniedzēja tālruņa numuru, kas reģistrēts uzaicinājuma vai reģistrācijas fāzē.
3. Drošā ievades saskarne: tīmekļa lapa, kas parādīta piedāvājuma iesniedzējam, jāatbilst WCAG 2.1 prasībām (pieejamība), skaidri jāparāda koda beigu termiņš un jāpiedāvā ierobežots atkārtojuma mehānisms (pret ļaunprātīgu izmantošanu, maksimāli 3 mēģinājumi).

No drošības viedokļa tālruņa numurs ir jāpārbauda iepriekš (verifikācija onboarding fāzē) un glabājas šifrēts datu bāzē, atbilstoši GDPR prasībām (32. pants par datu apstrādes drošību).

Integrācija Certyneo parakstīšanas darbplūsmā

Certyneo platformā SMS validācijas lapas pievienošana tiek veikta tieši no parakstīšanas maršruta konfigurācijas saskarnes. Tālāk ir norādītās darbības:

Darbība 1 — Izveidot vai importēt atbildes dokumentu Augšupielādējiet savus tehniskos atzinumus, saistības aktu vai jebkuru citu piedāvājuma veidojošu dokumentu. Certyneo AI līgumdēļa ģenerators arī ļauj iepriekš aizpildīt noteiktus veidlapas dokumentus.

Darbība 2 — Konfigurēt parakstītājus Ievadiet vārdu, uzvārdu, e-pasta adresi un mobilā tālruņa numuru (E.164 formāts, piem., +33 6 XX XX XX XX) katrai personai, kurai ir tiesības parakstīt piedāvājumu. Šis lauks ir obligāts, lai aktivizētu SMS validāciju.

Darbība 3 — Aktivizēt OTP SMS autentifikāciju Izvēļņu „Maršruta drošība" atzīmējiet opciju „Validācija pēc SMS koda". Jūs varat konfigurēt:

• koda derīguma ilgumu (ieteicams: 5 minūtes);
• maksimālais mēģinājumu skaits (ieteicams: 3);
• personalizētu ziņojumu, kas nosūtīts parakstītājam (iepirkuma konkursa atsauce, konsultācijas numurs).

Darbība 4 — Personalizēt validācijas lapu Certyneo saskarne piedāvā „bez koda" lapu redaktoru, kas ļauj pievienot jūsu organizācijas logotipu, konsultācijas nosaukumu un skaidras instrukcijas piedāvājuma iesniedzējam. Šī personalizācija stiprina uzticību un samazina maršruta pametšanu.

Darbība 5 — Pārbaudīt maršrutu smilškastes režīmā Pirms faktiskā sūtījuma izmantojiet Certyneo testa režīmu, lai simulētu SMS saņemšanu un koda ievadi. Pārbaudiet, ka žurnāls labi fiksē: laika atzīmi, SHA-256 heš dokumentam, maskēto tālruņa numuru un termināļa IP adresi.

Labākās prakses optimālai konfigurācijai

Paredzēt piedāvājuma iesniedzēja operacionālos ierobežojumus

Iepirkuma konkursa kontekstā piedāvājuma iesniedzējs var būt fiziska persona vai uzņēmuma, īslaicīgas uzņēmumu apvienības (GME) vai liela uzņēmuma juridiskais pārstāvis. Vairāki operacionālie ierobežojumi ir jāparedz:

• Tālruņa numura nepieejamība: ja norādītais parakstītājs ir starptautiskā ceļojumā, SMS var neatnākt laicīgi. Paredzējiet parakstīšanas deleģēšanas opciju ar iepriekšēju paziņojumu.
• Atbildīgo personu maiņa: lielās organizācijās ģenerāldirektors-parakstītājs var mainīties starp uzaicinājuma nosūtīšanu un depozīta termiņa datumu. Lauks „tālruņa numurs" jāvar rediģēt konta administratoram līdz 24 stundām pirms termiņa.
• Pieejamība: dažiem lietotājiem ar invaliditāti var būt grūtības ar pagaidu koda ievadi. Piedāvājiet balss alternatīvu (automātisks koda lasīšanas zvans), ja jūsu infrastruktūra to ļauj.

Arhivēšana un audita pēda atbilstošā

SMS validācijas lapa ir tikai viena saites pierādījuma sistēmā. Lai viss dokumentu kopums būtu pretestējams, arhivēšana jāatbilst ETSI EN 319 132 (XAdES) vai ETSI EN 319 122 (CAdES) standartam atkarībā no izvēlētā paraksta formāta. Certyneo automātiski ģenerē paraksta ziņojumu PDF/A formātā, kas ietver:

• parakstītāju saraksts ar viņu autentifikācijas līmeni;
• sertificētas laika atzīmes (RFC 3161);
• pilnā SMS notikumu žurnāla apraksts (sūtīšana, saņemšanas apstiprinājums, pareiza vai nepareiza ievade).

Šis ziņojums jāglabā visu tirgus derīguma periodu un vēl ilgāk, ja ir strīds. Publiskiem iepirkumiem Iepirkumu kods (art. L. 2194-1 un turpmāk) paredzētu glabāšanas termiņus, kas var sasniegt 10 gadus. Tarifi un ilgtermiņa arhivēšanas opcijas ir detalizētas Certyneo cenu lapā.

Integrācija ar dematerializācijas platformām (pircēja profili)

Kad iepirkuma konkursa atbilde šķērsso trešās puses platformu (AWS Marchés, e-Attestations, Achat Public, Klekoon utt.), Certyneo var tikt izmantots iepriekš, lai iekšēji parakstītu un validētu piedāvājuma dokumentu kopas pirms to depozīta pircēja profilā. Parakstītais fails (XAdES vai PAdES formātā) pēc tam tiek augšupielādēts platformā kopā ar Certyneo paraksta ziņojumu kā autentifikācijas pamatojums.

Ja jūsu organizācija jau izmanto konkurējošu risinājumu, migrācijas uz Certyneo lapu skaidro, kā pārsūtīt esošos maršrutus bez datu zaudēšanas vai pakalpojuma pārtraukuma.

Drošība, GDPR un tālruņa datu pārvaldība

Tālruņa numura personas datu apstrāde

Mobilā tālruņa numurs ir personas dati GDPR 4. panta nozīmē. Tā izmantošana OTP validācijā prasa:

• skaidri noteiktu juridisko pamatu: līguma izpilde (art. 6.1.b GDPR) vai leģitīma interese (art. 6.1.f GDPR) atkarībā no attiecībām starp iepirkuma konkursa emitenti un piedāvājuma iesniedzēju;
• iepriekšēju informāciju piedāvājuma iesniedzējam par tālruņa numura izmantošanu (pieminējums CSS vai uzaicinājuma e-pastā);
• ierobežotu glabāšanas ilgumu: numurs nedrīkst tikt glabāts pēc parakstīšanas maršruta pabeigšanas, izņemot juridiski pamatotu arhivēšanu.

Juridisko un DPO komandas atradīs papildu resursus mūsu elektroniskā paraksta glosārijā, kas norāda galvenos GDPR terminus, piemērotus parakstīšanas darbplūsmām.

Izturība pret uzbrukumiem un krāpšanas novēršana

SMS validācija ir jutīga pret noteiktiem uzbrukuma vektoriem (SIM swapping, SS7 pārtveršana). Tirgiem ar augstu likmi (summas > 500 000 € bez PVN), Certyneo iesaka kombinēt OTP SMS ar:

• iepriekšēju identitātes pārbaudi (KYC dokumentārs vai IDnow);
• sertificētu laika atzīmi no akreditēta eIDAS pakalpojumu sniedzēja (TSP);
• reāllaika brīdinājums gadījumā, ja tālruņa numurs mainās 48 stundas pirms parakstīšanas.

Šie papildu pasākumi pārvērt parakstu kvalificēta eIDAS līmenī, augstākajā saskaņā ar Eiropas regulējumu, un nodrošina maksimālo garantiju sensitīviem vai noslēgtiem publiskajiem iepirkumiem.

Juridiskais regulējums, kas attiecas uz SMS validāciju iepirkumu konkursos

eIDAS regulējums Nr. 910/2014 un tā paraksta līmeņi

Eiropas Parlamenta un Padomes Regulējums (ES) Nr. 910/2014 (eIDAS) ir Eiropas elektroniskā paraksta regulējuma pamats. Tas izšķir trīs līmeņus:

• Vienkārši elektroniskais paraksts (art. 3.10): dati elektroniskā formā pievienoti vai saistīti ar citiem datiem, ko parakstītājs lieto parakstīšanai. Ierobežota juridiskā vērtība publiskajiem iepirkumiem.
• Moderns elektroniskais paraksts (art. 3.11): atbilst eIDAS 26. panta prasībām, tai skaitā saites unikalitāte ar parakstītāju un alterācijas noklausāmību. OTP SMS validācija apvienojumā ar iepriekšējo identifikāciju ļauj sasniegt šo līmeni.
• Kvalificēts elektroniskais paraksts (art. 3.12): izveidots ar kvalificētas parakstīšanas ierīci, balstīts uz akreditēta TSP izdotu kvalificētu sertifikātu. Vienīgais līmenis ar juridiskā spēka ekvivalenci parakstam ar roku visos dalībvalstīs (art. 25.2 eIDAS).

Francijas Civilkodekss — 1366. un 1367. pants

Civilkodeksa 1366. pants nosaka, ka „elektronisks rakstījums ir tāds pats pierādījums kā rakstījums uz papīra, ar nosacījumu, ka var būt pareizi identificēta persona, no kuras tas izriet, un ka tas ir izveidots un glabāts apstākļos, kas garantē tā integritāti". 1367. pants norāda, ka „elektroniskais paraksts sastāv no draudzīga identificēšanas procesa lietošanas, kas garantē tā saistību ar aktu, kuram tas pievienots".

OTP SMS tiešā veidā palīdz izpildīt 1367. pantā noteikto uzticamas identificēšanas nosacījumu, veidojot saiti starp reģistrēto tālruņa numuru un parakstīto aktu.

Iepirkuma kodekss

Iepirkuma kodeksa R. 2132-7 un turpmāk pantus nosaka, ka elektroniskā ceļā iesniegti piedāvājumi ir jāparaksta ar vismaz moderno elektronisko parakstu, balstoties uz kvalificētu sertifikātu. SMS validācija ietilpst mehānismā, kas ļauj sasniegt šo līmeni, ar nosacījumu, ka viss parakstīšanas maršruts ir dokumentēts un arhivēts.

GDPR Nr. 2016/679 — Tālruņa datu aizsardzība

GDPR 32. pants nosaka atbilstošus tehniskos un organizācijas pasākumus, lai garantētu apstrādāto datu drošību, tai skaitā šifrēšanu un pseudonimizāciju. SMS OTP izmantotais tālruņa numurs jābūt šifrētam mierā un tranzītā (TLS 1.3 minimum). 5.1.e pants nosaka saglabāšanas ierobežojumu: numurs var tikt glabāts tikai laiku, kas ir nepieciešams apstrādes mērķim.

Piemērojamie ETSI standarti

• ETSI EN 319 132 (XAdES): XML modernas paraksta formāts, ieteicams publisko iepirkumu dokumentiem XML formātā.
• ETSI EN 319 122 (CAdES): CMS modernas paraksta formāts, piemērots binārajiem failiem (PDF, ZIP).
• ETSI EN 319 102-1: elektronisko parakstu izveides un validācijas procedūras, integrējot RFC 3161 sertificētu laika atzīmi.

Šo normu neievērošana var izraisīt piedāvājuma noraidīšanu par formas neregulāritāti vai paraksta nepiemērojamību gadījumos, kad rodas kontraktiskie strīdi.

Praktiski izmantošanas scenāriji

Scenārijs 1 — Inženierkompanija, kas iesniedz piedāvājumu arhitektūras tirgū

Inženierkompanija, specializējusies infrastruktūrā, ar aptuveni 30 inženieriem un vidēji 15-20 iepirkuma konkursu atbildēm gadā, ir jāparaksta vairākas piedāvājuma veidojošas daļas: saistības akts, tehniskais memorands, nodokļu un sociālo jautājumu regulāritātes sertifikāti. Pirms SMS validācijas ieviešanas procedūra balstījās uz manuāli parakstītu PDF apmaiņu, skenējumu un atkārtotu e-pasta sūtīšanu, kas izraisīja vidējos 48–72 stundu aizkavēšanos dokumentu papīrā.

Konfigurējot Certyneo maršrutu ar OTP SMS validāciju katram iekšējam parakstītājam (tehniskais direktors, vadītājs), kompanija šo aizkavēšanos samazināja uz mazāk nekā 2 stundām. Automātiski ģenerētais paraksta ziņojums tiek pievienots pircēja profilā iesniegto dokumentu komplektam, atbilstoši modernā paraksta prasībām. Sektora pētījumi par B2B dematerializāciju novērtē administrācijas apstrādes laika samazinājumu par 60-70 % pārejoties uz elektronisko parakstīšanu ar spēcīgu autentifikāciju.

Scenārijs 2 — Īslaicīga uzņēmumu apvienība (GME) būvniecības tirgū

Publiskā iepirkuma būvniecības tirgū (1. laba — zemes darbi + 2. laba — celtņu darbi), divi uzņēmumi veido kopīgu GME. Katrs darbinieks-vadītājs ir jāparaksta saistības akts sava uzņēmuma vārdā. Divi uzņēmumi atrodas dažādos pilsētas novados, un piedāvājuma iesniegšanas termiņš ir 12:00.

Certyneo paralēlo parakstu funkcionalitātes dēļ divi parakstītāji vienlaicīgi saņem uzaicinājuma saiti e-pastā. Katrs piekļūst savam validācijas lapai, sava OTP koda ievadi saņemtā SMS mazāk nekā minūtē, un lieto elektronisko modernu parakstu. GME koordinators nekavējoties saņem pabeigšanas paziņojumu un var augšupielādēt pabeigto dokumentu kopumu pirms termiņa. Šis scenārijs parāda, kā SMS validācija likvidē aizkavēšanās risku, kas saistīts ar multi-site koordināciju, problēma, kas pēc dažu pētījumu domām veido aptuveni 30 % no vēlu iesniegto piedāvājumu grupējumos.

Scenārijs 3 — Publiskā iestāde iepirkuma konkursa emitente

Vidējā lieluma publiskā iestāde (starp 50 000 un 200 000 iedzīvotājiem), vēlas ne tik daudz atbildēt uz iepirkuma konkursu, bet gan vienu izdot, var arī izmantot SMS validāciju, lai nosargātu iekšējās tirgus dokumentu parakstīšanu (CCAP, CCTP, RC). Pirms tirgus konsultācijas ievietošanas pircēja profilā, tehnisko dienestu direktors un politiķis, kas atbildīgs par tirgiem, jāco-paraksta dokumentu kopuma veidojošas daļas.

Izvirzot iekšējo Certyneo maršrutu ar SMS OTP validāciju katram institūcijas parakstītājam, iestāde rada pierādītu administrācijas validācijas pēdu. Šī izsekojamība ir īpaši noderīga, veicot legālos kontroles un prefektūras vai reģionālo rēķinu auditu. Juridiskā riska samazinājums, kas saistīts ar neautentificētu parakstu, ir galvenais atbilstības jautājums publiskajiem iepirkuma aģentiem eIDAS regulējuma un Iepirkuma kodeksa prasībā.

Secinājumi

SMS koda validācijas lapas integrēšana jūsu iepirkuma konkursa atbildē nav tikai tehniska formalitāte: tā ir juridiska garantija, dokumentēts piekrišanas pierādījums un atbilstības regulējuma rīks eIDAS regulējuma un Iepirkuma kodeksa nozīmē. Autentificējot katru parakstītāju caur laika atzīmētu OTP SMS, jūs sasniedzat moderno elektronisko parakstu līmeni, ko prasa lielākā daļa publisko iepirkuma aģentūru, vienlaikus drastiski samazinot iekšējās aizkavēšanās un noraidīšanas riskus formas neregulāritātes dēļ.

Certyneo ļauj konfigurēt šo maršrutu dažu minūšu laikā, bez IT izstrādes, ar ETSI standartiem atbilstošu audita žurnālu un saskaņā ar juridiskajām saistībām arhivētu. Neatkarīgi no tā, vai esat vienīgais piedāvājuma iesniedzējs, GME dalībnieks vai publiska iepirkuma aģentūra, šis risinājums atsaucas uz jūsu kontekstu.

Gatavs nodrošināt savus nākamos iepirkuma konkursa piedāvājumus? Bez maksas izveidojiet Certyneo kontu un šodien konfigurējiet savu pirmo maršrutu ar SMS validāciju.