SMS-valideringside for å svare på anbudskall

Når et selskap svarer på offentlige eller private anbudskall, er spørsmålet om den juridiske verdien av det innleverte dokumentet sentralt. Et elektronisk signert dokument uten mekanisme for sterk autentisering kan bli bestridt i retten eller avvist av den offentlige kjøperen. Det er nettopp her valideringssiden med SMS-kode kommer inn: dette autentiseringstrinnet med engangspassord (OTP) styrker beviset for soumisjonærens samtykke, oppfyller kravene i eIDAS-forordningen og garanterer full sporbarhet i signaturveien. I denne artikkelen går vi gjennom hvorfor og hvordan du implementerer denne mekanismen i arbeidsflyten for svar på anbudskall, med gjennomgang av tekniske forutsetninger, steg-for-steg-konfigurering og beste praksis.

Hvorfor integrere SMS-kodevalidering i svaret på anbudskall

Rettslig bevisvérdi som kjernen i offentlige anskaffelser

Rammeverket for franske offentlige anskaffelser krever at tilbud som sendes digitalt oppfyller kravene i dekret nr. 2016-360 av 25. mars 2016 vedrørende offentlige anskaffelser. Siden 1. oktober 2018 innebærer enhver konkurranse med anslått verdi over 40 000 € ekskl. mva obligatorisk digitalisering via en godkjent innsendingsplattform (kjøperprofil). I denne sammenhengen utgjør elektronisk signatur kombinert med OTP-mekanisme via SMS en avansert elektronisk signatur i betydningen eIDAS-forordningen, det vil si:

• knyttet til signatøren på entydig måte;
• tillater identifisering av signatøren;
• opprettet fra data som signatøren kan bruke under eksklusiv kontroll;
• knyttet til de signerte data på en måte som tillater oppdagelse av senere endringer.

Uten dette autentiseringsnivået kan en enkel signatur (klikk eller avkryssingsboks) være utilstrekkelig for å juridisk binde soumisjonæren, særlig når kjøperen krever en avansert eller kvalifisert signatur for visse sensitive partier.

Redusere risikoen for innsigelser og uregelmessigheter

Et svarsdokument på anbudskall kan erklæres uregelmessig hvis tildelingsstyrken mener at signatørens identitet ikke er tilstrekkelig etablert. Tillegg av SMS-valideringside skaper en andre autentiseringsfaktor (2FA) som, kombinert med tidligere bekreftet identitet, danner et solid bevis. Ved tvist foran forvaltningsdomstolen eller kontraktsdommer utgjør det daterte revisjonslogg (tidsstempel, maskert telefonnummer, IP-adresse, dokumenthash) et mottakelig bevis.

For å gå dypere inn i det grunnleggende, fullstendig veileder for elektronisk signatur forklarer de ulike signaturnivaene og deres juridiske implikasjoner innenfor fransk og europeisk rett.

De tekniske komponentene i en SMS-valideringside

OTP-arkitektur og SMS-kanal

En SMS-valideringside er basert på tre gjensidig avhengige komponenter:

1. OTP-generator (One-Time Password): en TOTP-algoritme (Time-based OTP, RFC 6238) eller HOTP (HMAC-based OTP, RFC 4226) genererer en 6-sifret kode, vanligvis gyldig mellom 5 og 10 minutter.
2. SMS-gateway: en sertifisert operatør (f.eks. Twilio, OVHcloud SMS, Brevo) videresender koden til soumisjonærens telefonnummer, registrert under invitasjons- eller registreringsfasen.
3. Sikret inndatainterfase: websiden som vises til soumisjonæren må oppfylle WCAG 2.1-krav (tilgjengelighet), vise tydelig kodeutløp og foreslå begrenset omsendelingsmekanisme (anti-misbruk, maksimalt 3 forsøk).

Fra sikkerhetsperspektiv må telefonnummeret valideres på forhånd (verifisering under onboarding) og lagres kryptert i databasen, i samsvar med GDPR-kravene (art. 32 om sikring av behandlinger).

Integrering i Certyneo-signaturarbeidsflyten

I Certyneo-plattformen gjøres tillegg av SMS-valideringside direkte fra konfigurasjonsgrensesnittet for en signaturvei. Her er trinnene:

Trinn 1 — Opprett eller importer svardokumentet Last opp ditt teknisk notat, bindende erklæring eller annen dokumentdel som utgjør tilbudet. Certyneosankontractgeneratoren ved kunstig intelligens générateur de contrats par IAkan også forhåndsutfylle visse standarddokumenter.

Trinn 2 — Konfigurer signatørene Fyll inn navn, fornavn, e-postadresse og mobiltelefonnummer (E.164-format, f.eks. +33 6 XX XX XX XX) for hver person som er autorisert til å signere tilbudet. Dette feltet er obligatorisk for å aktivere SMS-validering.

Trinn 3 — Aktiver OTP SMS-autentisering I menyen « Sikkerhet for veien» merker du av for « Validering med SMS-kode ». Du kan konfigurere:

• kodeutløpets varighet (anbefalt: 5 minutter);
• maksimalt antall forsøk (anbefalt: 3);
• den personaliserte meldingen sendt til signatøren (nevning av anbudskallet, konsultasjonsreferanse).

Trinn 4 — Tilpass valideringssiden Certyneo-grensesnittet tilbyr en « no-code »-sideeditor som lar deg legge til organisasjonens logo, konsultasjonens tittel og klare instruksjoner for soumisjonæren. Denne tilpassingen styrker tilliten og reduserer veyfrafall.

Trinn 5 — Test veien i sandkassmodus Før faktisk sending bruker du Certyneotestmodus for å simulere SMS-mottak og kodeinntasting. Verifiser at revisjonsloggen registrerer: tidsstempel, SHA-256-hash av dokumentet, maskert telefonnummer og brukerterminalen IP-adresse.

Beste praksis for optimal konfigurering

Forutse soumisjonærens operasjonelle begrensninger

I sammenheng med anbudskall kan soumisjonæren være en fysisk person eller juridisk representant for en SMB, midlertidig samlet virksomhet (GME) eller stort foretak. Flere operasjonelle begrensninger må forutses:

• Telefonens utilgjengelighet: hvis den utpekte signatøren er på internasjonalt reisefølge, kan SMS kanskje ikke komme til tiden. Planlegg et signaturdelegeringsalternativ med forhåndsvarsel.
• Lederveksling: i store organisasjoner kan den signerende administrerende direktøren byttes mellom invitasjonssendig og innsendelsesfristen. Feltet « telefonnummer » må kunne endres av kontoadministratoren inntil 24 timer før fristen.
• Tilgjengelighet: noen brukere med nedsatt funksjonsevne kan ha vanskeligheter med inntasting av en midlertidig kode. Tilby et stemmealternativ (automatisert anrop for kodelesing) hvis infrastrukturen tillater det.

Arkivering og revisjonslogg i samsvar

SMS-valideringssiden er kun ett ledd i bevismekanismen. For at hele dokumentet skal være forsvarlig, må arkiveringen følge ETSI EN 319 132 (XAdES) eller ETSI EN 319 122 (CAdES) standarden avhengig av valgt signaturformat. Certyneo genererer automatisk en signaturrapport i PDF/A som inneholder:

• liste over signatører med deres autentiseringsnivå;
• sertifiserte tidsstamper (RFC 3161);
• komplett logg over SMS-hendelser (sending, mottaksbekreftelse, riktig eller feil inntasting).

Denne rapporten må bevares i hele markedets gyldighetstid og mulig lenger ved tvister. For offentlige anskaffelser fastsetter Code de la commande publique (art. L. 2194-1 og følgende) bevaringstider som kan strekke seg til 10 år. Priser og langtidarkiveringsalternativ er detaljert på Certyneo-prissiden.

Integrering med digitaliseringplattformer (kjøperprofiler)

Når svaret på anbudskallet går gjennom en tredjepartsplattform (AWS Marchés, e-Attestations, Achat Public, Klekoon, osv.), kan Certyneo brukes på forhånd for å få signert og validert internt dokumentdelen av tilbudet før innsending på kjøperprofilen. Den signerte filen (XAdES- eller PAdES-format) lastes deretter opp på plattformen, sammen med Certyneo-signaturrapporten som autentiseringsjustifikasjon.

Hvis organisasjonen din allerede bruker en konkurrerende løsning, forklarer siden for overgang til Certyneo hvordan du overfører eksisterende veiforløp uten datatap eller servicebrudd.

Sikkerhet, GDPR og administrasjon av telefondata

Behandling av personopplysninger for telefonnummer

Mobiltelefonnummeret er personlig data i betydningen artikkel 4 i GDPR. Bruken i sammenheng med OTP-validering krever:

• en klart identifisert juridisk grunnlag: kontraktsgjennomføring (art. 6.1.b GDPR) eller berettiget interesse (art. 6.1.f GDPR) avhengig av forholdet mellom anbudskallutstederen og soumisjonæren;
• forhåndsvarsel til soumisjonæren om telefonnummeret brukes (nevning i vilkår eller invitasjons-e-post);
• begrenset oppbevaringsfrist: nummeret skal ikke oppbevares utover signaturveiens slutt, unntatt juridisk begrunnet arkivering.

Juridiske team og personvernombud finner tilleggsressurser i vår glossar for elektronisk signatur, som refererer nøkkeldefinisjonene for GDPR brukt på signaturarbeidsflyten.

Motstand mot angrep og antifraude

SMS-validering er sårbar for visse angrepsvektorer (SIM-bytte, SS7-avlytting). For markeder med høyt innsats (beløp > 500 000 € ekskl. mva) anbefaler Certyneo å kombinere OTP SMS med:

• forhåndsidentitetsverifisering (KYC-dokumenter eller IDnow);
• kvalifisert tidsstempel levert av en tiltrodde tjenesteleverandør (Trust Service Provider, TSP) som er akkreditert etter eIDAS;
• sanntidsvarsel ved telefonnummerendring innenfor 48 timer før signering.

Disse tilleggstiltakene løfter signaturen til kvalifisert-nivå eIDAS, det høyeste anerkjent av EU-forordningen, og utgjør maksimal sikring for sensitive eller klassifiserte offentlige anskaffelser.

Gjeldende rammeverk for SMS-validering i anbudskall

eIDAS-forordning nr. 910/2014 og signaturnivaene

Forordning (EU) nr. 910/2014 fra Europa-Parlamentet og Rådet (eIDAS) utgjør grunnlaget for elektronisk signatur i Europa. Den skiller mellom tre nivåer:

• Enkel elektronisk signatur (art. 3.10): data i elektronisk form knyttet til eller forbundet med andre data, brukt av signatøren for å signere. Begrenset juridisk verdi for offentlige anbudskall.
• Avansert elektronisk signatur (art. 3.11): oppfyller kravene i art. 26 eIDAS, inkludert entydig forbindelse med signatøren og mulighet til å oppdage endringer. OTP SMS-validering kombinert med forhåndsidentifikasjon tillater oppnåelse av dette nivået.
• Kvalifisert elektronisk signatur (art. 3.12): opprettet ved hjelp av en kvalifisert signaturopprettelsesanordning, basert på et kvalifisert sertifikat utstedt av en akkreditert TSP. Eneste nivå med juridisk virkning som tilsvarer håndskriftssignatur i alle medlemsland (art. 25.2 eIDAS).

Fransk sivillov — Artikler 1366 og 1367

Artikkel 1366 i sivilloven fastslår at « elektronisk skrift har samme bevisverdi som skrift på papir, forutsatt at personen som skriften stammer fra kan identifiseres behørig og at den er opprettet og oppbevart på en måte som sikrer dens integritet ». Artikkel 1367 presiserer at « elektronisk signatur består i bruk av en pålitelig identifikasjonsprosedyre som garanterer forbindelsen til akten den er knyttet til ».

OTP SMS bidrar direkte til å oppfylle vilkåret om pålitelig identifikasjon i artikkel 1367 ved å skape en forbindelse mellom det registrerte telefonnummeret og akten som signeres.

Offentlig anskaffelseslov

Artikler R. 2132-7 og følgende i Code de la commande publique krever at tilbud sendt elektronisk signeres med minst avansert elektronisk signatur basert på kvalifisert sertifikat. SMS-validering inngår i mekanismen for oppnåelse av dette nivået, forutsatt at hele signaturveien er dokumentert og arkivert.

GDPR nr. 2016/679 — Beskyttelse av telefondata

Artikkel 32 i GDPR krever passende tekniske og organisatoriske tiltak for å sikre behandlet data, inkludert kryptering og pseudonymisering. Telefonnummeret brukt for OTP SMS må være kryptert i hvile og under overføring (TLS 1.3 minimum). Artikkel 5.1.e krever bevaringsbegrensning: nummeret kan kun oppbevares så lenge som nødvendig for formålets oppfyllelse.

Gjeldende ETSI-standarder

• ETSI EN 319 132 (XAdES): XML-format for avansert signatur, anbefalt for offentlige anbudsdokumenter i XML-format.
• ETSI EN 319 122 (CAdES): CMS-format for avansert signatur, egnet for binære filer (PDF, ZIP).
• ETSI EN 319 102-1: prosedyrer for opprettelse og validering av elektroniske signaturer, inkludert kvalifisert tidsstempel RFC 3161.

Manglende samsvar med disse standardene utsetter utsteder eller soumisjonær for risiko for avvisning av tilbudet for formell uregelmessighet, eller at signaturen ikke er bindende ved tvist.

Konkrete bruksscenarier

Scenario 1 — Et ingeniørbyrå som svarer på markedstoledingskontrakt

Et ingeniørbyrå som spesialiserer seg i infrastruktur, med omkring 30 ingeniører og som håndterer gjennomsnittlig 15 til 20 svar på anbudskall årlig, må signere flere deler av et tilbud: bindende erklæring, teknisk notat, attester for skattebestemmelser og sosiale bestemmelser. Før implementering av SMS-validering var prosedyren basert på utveksling av manuelt signerte PDF-er, skannet og gjensendt via e-post, noe som genererte gjennomsnittlige forsinkelser på 48 til 72 timer per dokument.

Ved å konfigurere en Certyneo-vei med OTP SMS-validering for hver intern signatør (teknisk direktør, daglig leder) reduserte byrået denne tiden til under 2 timer. Den automatisk genererte signaturrapporten vedlegges dokumentet som legges inn på kjøperprofilen, oppfyllende kravene til avansert signatur. Sektor-studier om B2B-digitalisering estimerer 60-70% reduksjon i administrativ behandlingstid ved overgang til elektronisk signatur med sterk autentisering.

Scenario 2 — En midlertidig samlet virksomhet (GME) på markedet for byggtjenester

I forbindelse med offentlig byggearbeidsmarked (jordarbeidslos + hovedkonstruksjonslos), danner to selskaper en fellesbinding. Hver oppdragsgiver må signere bindende erklæring på vegne av sitt selskap. De to selskapene ligger i forskjellige byer, og fristen for innlevering av tilbud er 12:00.

Takket være funksjonen for parallelle signaturer i Certyneo mottar begge signatører samtidig en invitasjonslenke via e-post. Hver får tilgang til sin valideringsside, mottatt sin OTP-kode via SMS på under ett minutt, og setter sin avanserte elektroniske signatur. GME-koordinatoren mottar umiddelbar varsling om ferdigstillelse og kan laste opp det ferdige dokumentet før fristen. Dette scenarioet illustrerer hvordan SMS-validering eliminerer forsinkelsesrisikoen knyttet til koordinering på flere steder, et problem som ifølge noen studier utgjør omkring 30% av forsinkede innsendinger i gruppesvar.

Scenario 3 — Et lokalt styre som utsteder anbudskallet

Et lokalt styre av mellomstørrelse (mellom 50 000 og 200 000 innbyggere) som ønsker ikke å svare på anbudskall men å utstede ett, kan også bruke SMS-validering for å sikre intern signering av markedsdokumenter (CCAP, CCTP, RC). Før publisering av konsultasjonen på kjøperprofilen må teknisk sjef og valgt markedsrepresentant koSignere de konstituerende dokumentene.

Ved å implementere en intern Certyneo-vei med OTP SMS-validering for hver institusjonell signatør skaper styret en sporbar registrering av forhåndsadministrativ validering. Denne sporbarheten er særlig nyttig under lovlighetskontroller utøvd av prefekturen eller ved revisjon av det regionale revisjonsrådets. Reduksjon av juridisk risiko forbundet med uautentifisert signatur representerer et hovedoversiktlighetskrav for offentlige kjøpere, i henhold til kravene i forordning nr. 2015-899 kodifisert i Code de la commande publique.

Konklusjon

Integrering av en valideringside med SMS-kode i svaret på anbudskall er ikke bare en teknisk formalitet: det er en juridisk garanti, en dokumentert bevisføring av samtykke og et regulatorisk samsvaringsverktøy i betydningen av eIDAS-forordningen og Code de la commande publique. Ved å autentisere hver signatør via en datert SMS-OTP garanterer du det avanserte elektroniske signaturnivaet som kreves av de fleste offentlige kjøpere, samtidig som du drastisk reduserer interne forsinkelser og risikoen for avvisning på grunn av formell uregelmessighet.

Certyneo lar deg konfigurere denne veien på få minutter uten IT-utvikling, med en revisjonslogg i samsvar med ETSI-standarder og arkivert etter juridiske krav. Enten du er enkel soumisjonær, medlem av en GME eller offentlig kjøper, tilpasses løsningen din kontekst.

Klar til å sikre dine neste svar på anbudskall? Opprett din Certyneo-konto gratis og konfigurer dine første veiforløp med SMS-validering i dag.