Strona walidacji SMS w odpowiedzi na zaproszenie do złożenia oferty

Gdy firma odpowiada na publiczne lub prywatne zaproszenie do złożenia oferty, kwestia wartości prawnej przesyłanego dossier jest kluczowa. Dokument podpisany elektronicznie bez mechanizmu silnego uwierzytelniania może być kwestionowany przed sądem lub odrzucony przez zamawiającego publicznego. To właśnie tam pojawia się strona walidacji z kodem SMS: ten etap uwierzytelniania poprzez hasło jednorazowe (OTP) wzmacnia dowód zgody oferenta, spełnia wymagania rozporządzenia eIDAS i gwarantuje pełną śledzialność całej ścieżki podpisania. W tym artykule szczegółowo wyjaśniamy, dlaczego i jak wdrożyć ten mechanizm w przepływie pracy odpowiedzi na zaproszenie do złożenia oferty, obejmując wymagania techniczne, konfigurację krok po kroku i najlepsze praktyki.

Dlaczego włączyć walidację kodem SMS do odpowiedzi na zaproszenie do złożenia oferty

Wartość dowodowa u podstaw zamówień publicznych

Ramy zamówień publicznych we Francji nakładają, że oferty przesyłane elektronicznie muszą spełniać wymagania określone w dekrecie nr 2016-360 z dnia 25 marca 2016 r. dotyczącym zamówień publicznych. Od 1 października 2018 r. każde postępowanie, którego szacunkowa wartość przekracza 40 000 € bez VAT, wymaga obowiązkowej elektronizacji za pośrednictwem autoryzowanej platformy depozytowej (profil zamawiającego). W tym kontekście podpis elektroniczny połączony z mechanizmem OTP przez SMS stanowi podpis elektroniczny zaawansowany w rozumieniu rozporządzenia eIDAS, czyli:

• związany z osobą podpisującą w unikalny sposób;
• umożliwiający identyfikację osoby podpisującej;
• utworzony na podstawie danych, którymi osoba podpisująca może dysponować pod jej wyłączną kontrolą;
• związany z podpisywanymi danymi w sposób umożliwiający wykrycie wszelkich późniejszych zmian.

Bez tego poziomu uwierzytelniania prosty podpis (klik lub zaznaczenie pola) może być niewystarczający do prawnego zobowiązania oferenta, zwłaszcza gdy zamawiający wymaga podpisu zaawansowanego lub kwalifikowanego dla niektórych wrażliwych części.

Zmniejszenie ryzyka kwestionowania i nieprawidłowości

Dossier odpowiedzi na zaproszenie do złożenia oferty może zostać uznane za nieprawidłowe, jeśli organ adjudykacyjny uzna, że tożsamość osoby podpisującej nie jest wystarczająco potwierdzona. Dodanie strony walidacji SMS tworzy drugi czynnik uwierzytelniania (2FA), który w połączeniu z wcześniej weryfikowaną tożsamością stanowi solidny dowód. W przypadku sporu przed sądem administracyjnym lub sędzią umowy dziennik audytu z datowaniem (znacznik czasu, zamaskowany numer telefonu, adres IP, skrót dokumentu) stanowi dowód dopuszczalny.

Aby dowiedzieć się więcej na temat podstaw, pełny przewodnik podpisu elektronicznego wyjaśnia różne poziomy podpisu i ich implikacje prawne w prawie francuskim i europejskim.

Komponenty techniczne strony walidacji SMS

Architektura OTP i kanał SMS

Strona walidacji kodem SMS opiera się na trzech zależnych od siebie komponentach:

1. Generator OTP (One-Time Password): algorytm TOTP (Time-based OTP, RFC 6238) lub HOTP (HMAC-based OTP, RFC 4226) generuje kod 6 cyfr, ważny zwykle od 5 do 10 minut.
2. Brama SMS (SMS gateway): certyfikowany operator (np. Twilio, OVHcloud SMS, Brevo) dostarczy kod na numer telefonu oferenta, zarejestrowany w fazie zaproszenia lub rejestracji.
3. Bezpieczny interfejs wprowadzania: strona internetowa wyświetlana oferentowi musi spełniać wymagania WCAG 2.1 (dostępność), wyraźnie pokazywać wygaśnięcie kodu i proponować ograniczony mechanizm ponownego wysłania (ochrona przed nadużyciami, maksimum 3 próby).

Z punktu widzenia bezpieczeństwa numer telefonu musi być wcześniej zweryfikowany (weryfikacja podczas onboardingu) i przechowywany w zaszyfrowanej formie w bazie danych, zgodnie z wymogami RODO (art. 32 dotyczący bezpieczeństwa przetwarzania).

Integracja w przepływie pracy podpisania Certyneo

Na platformie Certyneo dodanie strony walidacji SMS odbywa się bezpośrednio z interfejsu konfiguracji ścieżki podpisania. Oto kroki:

Krok 1 — Utwórz lub zaimportuj dokument odpowiedzi Przesyłaj swoje sprawozdanie techniczne, akt zobowiązania lub inny dokument stanowiący część oferty. Generator kontraktów oparty na AI Certyneo pozwala również wstępnie wypełnić niektóre dokumenty standardowe.

Krok 2 — Skonfiguruj osoby podpisujące Podaj imię, nazwisko, adres e-mail i numer telefonu komórkowego (format E.164, np. +33 6 XX XX XX XX) każdej osoby upoważnionej do podpisania oferty. To pole jest obowiązkowe, aby aktywować walidację SMS.

Krok 3 — Aktywuj uwierzytelnianie OTP SMS W menu „Bezpieczeństwo ścieżki" zaznacz opcję „Walidacja kodem SMS". Możesz skonfigurować:

• okres ważności kodu (rekomendacja: 5 minut);
• maksymalną liczbę prób (rekomendacja: 3);
• spersonalizowaną wiadomość wysłaną osobie podpisującej (wzmianka o zaproszeniu do złożenia oferty, referencja konsultacji).

Krok 4 — Spersonalizuj stronę walidacji Interfejs Certyneo oferuje edytor strony „no-code", który pozwala dodać logo organizacji, tytuł konsultacji i jasne instrukcje dla oferenta. Ta personalizacja wzmacnia zaufanie i zmniejsza porzucenia ścieżki.

Krok 5 — Testuj ścieżkę w trybie sandbox Przed rzeczywistym wysłaniem użyj trybu testowego Certyneo, aby symulować otrzymanie SMS i wprowadzenie kodu. Sprawdź, czy dziennik audytu prawidłowo rejestruje: datowanie, skrót SHA-256 dokumentu, zamaskowany numer telefonu i adres IP terminala użytkownika.

Najlepsze praktyki dla optymalnej konfiguracji

Przewidzenie ograniczeń operacyjnych oferenta

W ramach zaproszenia do złożenia oferty oferentem może być osoba fizyczna lub przedstawiciel prawny MŚP, tymczasowego zrzeszenia przedsiębiorstw (ZZP) lub dużej grupy. Należy przewidzieć kilka ograniczeń operacyjnych:

• Niedostępność numeru telefonu: jeśli wyznaczona osoba podpisująca jest na wyjeździe zagranicznym, SMS może nie dotrzeć na czas. Przewidź opcję delegacji podpisu z powiadomieniem z wyprzedzeniem.
• Rotacja odpowiedzialnych osób: w dużych organizacjach prezes będący osobą podpisującą może się zmienić między wysłaniem zaproszenia a terminem składania ofert. Pole „numer telefonu" musi być edytowalne przez administratora konta do 24 godzin przed terminem końcowym.
• Dostępność: niektórzy użytkownicy z niepełnosprawnościami mogą mieć trudności z wprowadzeniem kodu tymczasowego. Zaproponuj alternatywę głosową (automatyczne połączenie do czytania kodu), jeśli Twoja infrastruktura na to pozwala.

Archiwizacja i ścieżka audytu zgodna z wymogami

Strona walidacji SMS stanowi tylko ogniwo w dispositiwie dowodu. Aby cały dossier był możliwy do zastosowania, archiwizacja musi być zgodna z normą ETSI EN 319 132 (XAdES) lub ETSI EN 319 122 (CAdES) w zależności od wybranego formatu podpisu. Certyneo automatycznie generuje raport podpisu w PDF/A zawierający:

• listę osób podpisujących z ich poziomem uwierzytelniania;
• certyfikowane znaczniki czasu (RFC 3161);
• pełny dziennik zdarzeń SMS (wysłanie, potwierdzenie odebrania, prawidłowe lub nieprawidłowe wprowadzenie).

Raport ten musi być przechowywany przez całą ważność umowy, a nawet dłużej w przypadku sporu. W przypadku zamówień publicznych Kodeks zamówień publicznych (art. L. 2194-1 i następne) przewiduje okresy przechowywania do 10 lat. Ceny i opcje archiwizacji długoterminowej znajdują się na stronie taryfowej Certyneo.

Integracja z platformami elektronizacji (profile zamawiających)

Gdy odpowiedź na zaproszenie do złożenia oferty przechodzi przez platformę trzeciej strony (AWS Marchés, e-Attestations, Achat Public, Klekoon itp.), Certyneo może być używany wcześniej do podpisania i walidacji wewnętrznie dokumentów stanowiących część oferty przed ich depozytowaniem na profilu zamawiającego. Plik podpisany (w formacie XAdES lub PAdES) jest następnie przesyłany na platformę wraz z raportem podpisu Certyneo jako uzasadnienie uwierzytelniania.

Jeśli organizacja już używa konkurencyjnego rozwiązania, strona migracji do Certyneo wyjaśnia, jak przenieść istniejące ścieżki bez utraty danych ani przerwania usługi.

Bezpieczeństwo, RODO i zarządzanie danymi telefonii

Przetwarzanie danych osobowych numeru telefonu

Numer telefonu komórkowego jest danymi osobowymi w rozumieniu artykułu 4 RODO. Jego użycie w kontekście walidacji OTP wymaga:

• podstawy prawnej wyraźnie zidentyfikowanej: wykonania umowy (art. 6.1.b RODO) lub uzasadnionego interesu (art. 6.1.f RODO) w zależności od relacji między emitentem zaproszenia do złożenia oferty a oferentem;
• informacji wstępnej oferenta o użytkowaniu numeru (wzmianka w warunkach ogólnych lub w e-mailu zaproszenia);
• ograniczonego okresu przechowywania: numer nie powinien być przechowywany poza zakończeniem ścieżki podpisania, z wyjątkiem archiwizacji uzasadnionej prawnie.

Zespoły prawne i inspektorzy ochrony danych znajdą dodatkowe zasoby w naszym słowniku podpisu elektronicznego, który odnosi się do kluczowych definicji RODO stosowanych w przepływach pracy podpisywania.

Odporność na ataki i zabezpieczenie przed oszustwami

Walidacja SMS jest podatna na niektóre wektory ataku (SIM swapping, przechwycenie SS7). Dla rynków z wysokim stawkami (kwoty > 500 000 € bez VAT) Certyneo zaleca łączenie OTP SMS z:

• wcześniejszą weryfikacją tożsamości (KYC dokumentowa lub IDnow);
• kwalifikowanym datowaniem dostarczonym przez dostawcę usług zaufania (Trust Service Provider, TSP) akredytowany eIDAS;
• alertą w czasie rzeczywistym w przypadku zmiany numeru telefonu w ciągu 48 godzin poprzedzających podpisanie.

Te dodatkowe środki przesuwają podpis na poziom kwalifikowany eIDAS, najwyższy uznany przez rozporządzenie europejskie, i stanowią maksymalną gwarancję dla wrażliwych lub zaklasyfikowanych zamówień publicznych.

Ramy prawne mające zastosowanie do walidacji SMS w zapytaniach ofertowych

Rozporządzenie eIDAS nr 910/2014 i jego poziomy podpisu

Rozporządzenie (UE) nr 910/2014 Parlamentu Europejskiego i Rady (eIDAS) stanowi podstawę regulacyjną podpisu elektronicznego w Europie. Rozróżnia trzy poziomy:

• Podpis elektroniczny prosty (art. 3.10): dane w formie elektronicznej dołączone lub powiązane z innymi danymi, używane przez osobę podpisującą do podpisania. Ograniczona wartość prawna dla publicznych zapytań ofertowych.
• Podpis elektroniczny zaawansowany (art. 3.11): spełnia wymogi art. 26 eIDAS, w tym unikalność powiązania z osobą podpisującą i możliwość wykrycia wszelkich zmian. Walidacja OTP SMS, połączona z wcześniejszą identyfikacją, pozwala osiągnąć ten poziom.
• Podpis elektroniczny kwalifikowany (art. 3.12): utworzony za pomocą kwalifikowanego urządzenia do tworzenia podpisu, oparty na certyfikacie kwalifikowanym wydanym przez akredytowany TSP. Jedynym poziomem mającym skutek prawny równoważny podpisowi odręcznemu we wszystkich państwach członkowskich (art. 25.2 eIDAS).

Kodeks cywilny francuski — Artykuły 1366 i 1367

Artykuł 1366 Kodeksu cywilnego stanowi, że „pismo elektroniczne ma taką samą wartość dowodową jak pismo na nośniku papierowym, pod warunkiem, że może być prawidłowo zidentyfikowana osoba, od której pochodzi, i że jest sporządzone i przechowywane w warunkach mogących zagwarantować jego integralność". Artykuł 1367 precyzuje, że „podpis elektroniczny polega na użyciu niezawodnego procesu identyfikacji gwarantującego jego powiązanie z dokumentem, do którego się przywiązuje".

OTP SMS przyczynia się bezpośrednio do spełnienia warunku niezawodnej identyfikacji postanowionego w art. 1367, tworząc powiązanie między zarejestrowanym numerem telefonu a podpisanym dokumentem.

Kodeks zamówień publicznych

Artykuły R. 2132-7 i następne Kodeksu zamówień publicznych nakładają, że oferty przesyłane elektronicznie muszą być podpisane podpisem elektronicznym co najmniej zaawansowanym opartym na certyfikacie kwalifikowanym. Walidacja SMS wchodzi w skład dispositifu umożliwiającego osiągnięcie tego poziomu, pod warunkiem że cała ścieżka podpisania jest udokumentowana i archiwizowana.

RODO nr 2016/679 — Ochrona danych telefonii

Artykuł 32 RODO nakłada odpowiednie środki techniczne i organizacyjne w celu zagwarantowania bezpieczeństwa przetwarzanych danych, w szczególności szyfrowanie i pseudonimizację. Numer telefonu używany do OTP SMS musi być szyfrowany w spoczynku i podczas transmisji (TLS 1.3 minimum). Artykuł 5.1.e nakłada ograniczenie przechowywania: numer może być przechowywany tylko przez czas niezbędny do realizacji celu przetwarzania.

Obowiązujące normy ETSI

• ETSI EN 319 132 (XAdES): format zaawansowanej sygnatury XML, zalecany dla dokumentów zamówień publicznych w formacie XML.
• ETSI EN 319 122 (CAdES): format zaawansowanej sygnatury CMS, dostosowany do plików binarnych (PDF, ZIP).
• ETSI EN 319 102-1: procedury tworzenia i walidacji podpisów elektronicznych, integrujące kwalifikowane datowanie RFC 3161.

Nieprzestrzeganie tych norm naraża emitera lub oferenta na ryzyko odrzucenia oferty z powodu nieprawidłowości formalnej, lub na niewyrażalność podpisu w przypadku sporu umownego.

Konkretne scenariusze użycia

Scenariusz 1 — Firma inżynierska odpowiadająca na rynek inżynierii projektowania

Firma inżynierska specjalizująca się w infrastrukturze, licząca około 30 inżynierów i zarządzająca średnio 15-20 odpowiedziami na zaproszenia do złożenia oferty rocznie, musi podpisać kilka dokumentów stanowiących część oferty: akt zobowiązania, sprawozdanie techniczne, certyfikaty zgodności z wymogami podatkowymi i społecznymi. Przed wdrożeniem walidacji SMS procedura opierała się na wymianie ręcznie podpisanych plików PDF, skanach i ponownej transmisji e-mailem, co generowało średnie opóźnienia 48-72 godzin na dossier.

Konfigurując ścieżkę Certyneo z walidacją OTP SMS dla każdego podpisującego wewnętrznie (dyrektor techniczny, menedżer), firma zmniejszyła to opóźnienie do poniżej 2 godzin. Automatycznie generowany raport podpisu jest dołączany do dossier złożonego na profilu zamawiającego, spełniając wymagania dotyczące podpisu zaawansowanego. Badania branżowe nad elektronizacją B2B szacują redukcję czasu przetwarzania administracyjnego na 60-70% przy przejściu na podpis elektroniczny z silnym uwierzytelnianiem.

Scenariusz 2 — Tymczasowe zrzeszenie przedsiębiorstw (ZZP) na rynku robót

W ramach publicznego zamówienia robót (część prace ziemne + część kostrukcja), dwie firmy tworzą ZZP wspólny. Każdy pełnomocnik musi podpisać akt zobowiązania w imieniu swojej firmy. Dwie firmy znajdują się w różnych miastach, a termin składania ofert to 12:00.

Dzięki funkcjonalności podpisów równoległych Certyneo obaj podpisujący otrzymują jednocześnie link do zaproszenia e-mailem. Każdy uzyskuje dostęp do swojej strony walidacji, wprowadza kod OTP otrzymany przez SMS w mniej niż minutę i umieszcza swój zaawansowany podpis elektroniczny. Koordynator ZZP natychmiast otrzymuje powiadomienie o ukończeniu i może przesłać sfinalizowany dossier przed terminem. Ten scenariusz ilustruje, jak walidacja SMS eliminuje ryzyko opóźnień związanych z koordynacją między wieloma lokalizacjami, problem stanowiący według niektórych badań około 30% spóźnionych złożeń w odpowiedziach zrzeszeń.

Scenariusz 3 — Jednostka terytorialna będąca emitentem zaproszenia do złożenia oferty

Jednostka terytorialna o średniej wielkości (od 50 000 do 200 000 mieszkańców) chcąc nie odpowiadać na zaproszenie do złożenia oferty, ale je emitować, może również opierać się na walidacji SMS, aby zabezpieczyć wewnętrzne podpisanie dokumentów stanowiących rynek (CCAP, CCTP, RC). Przed opublikowaniem konsultacji na profilu zamawiającego dyrektor usług technicznych i wybrany radny ds. zamówień muszą współpodpisać dokumenty stanowiące.

Wdrażając wewnętrzną ścieżkę Certyneo z walidacją OTP SMS dla każdego podpisującego instytucjonalnego, jednostka terytorialna tworzy ślad dowodowy wcześniejszej walidacji administracyjnej. Ta śledzialność jest szczególnie przydatna podczas kontroli legalności sprawdzanej przez prefekturę lub w przypadku audytu regionalnej izby rachunków. Zmniejszenie ryzyka prawnego związanego z nieuwierzytelnionym podpisem stanowi kluczową kwestię zgodności dla zamawiających publicznych, biorąc pod uwagę wymogi rozporządzenia nr 2015-899 kodyfikowanego w Kodeksie zamówień publicznych.

Podsumowanie

Włączenie strony walidacji z kodem SMS do odpowiedzi na zaproszenie do złożenia oferty nie jest zwykłą formalizmem technicznym: to gwarancja prawna, udokumentowany dowód zgody i narzędzie zgodności regulacyjnej w rozumieniu rozporządzenia eIDAS i Kodeksu zamówień publicznych. Uwierzytelniając każdą osobę podpisującą poprzez datowany OTP SMS, osiągasz poziom zaawansowanego podpisu elektronicznego wymaganego przez większość zamawiających publicznych, jednocześnie drastycznie zmniejszając wewnętrzne opóźnienia i ryzyko odrzucenia z powodu nieprawidłowości formalnej.

Certyneo pozwala na skonfigurowanie tego przepływu w kilka minut, bez programowania informatycznego, z dziennikiem audytu zgodnym z normami ETSI i archiwizowanym zgodnie z wymogami prawnymi. Czy jesteś jedynym oferentem, członkiem ZZP, czy zamawiającym publicznym, rozwiązanie dostosowuje się do twojego kontekstu.

Gotów zabezpieczyć następne odpowiedzi na zaproszenia do złożenia oferty? Utwórz bezpłatne konto Certyneo i skonfiguruj pierwszą ścieżkę z walidacją SMS już dzisiaj.