Página de validação por SMS para responder a um edital de licitação

Quando uma empresa responde a um edital de licitação público ou privado, a questão do valor jurídico do dossiê transmitido é central. Um documento assinado eletronicamente sem mecanismo de autenticação forte pode ser contestado perante um tribunal ou rejeitado pelo comprador público. É precisamente aqui que entra em jogo a página de validação com código SMS: essa etapa de autenticação por senha de uso único (OTP) reforça a prova de consentimento do licitante, atende aos requisitos do regulamento eIDAS e garante a rastreabilidade completa da jornada de assinatura. Neste artigo, detalhamos por que e como implementar esse dispositivo em seu fluxo de resposta a edital de licitação, passando pelos pré-requisitos técnicos, configuração passo a passo e boas práticas a seguir.

Por que integrar uma validação por código SMS em sua resposta a edital de licitação

O valor probatório no centro das licitações públicas

O marco regulatório das licitações públicas brasileiras e europeia estabelece que as ofertas transmitidas por via desmaterializada satisfaçam aos requisitos fixados pela legislação aplicável. Desde a implementação de obrigações de desmaterialização para consultas acima de determinados limites, a assinatura eletrônica associada a um mecanismo de OTP por SMS constitui uma assinatura eletrônica avançada no sentido do regulamento eIDAS, ou seja:

• vinculada ao signatário de forma unívoca;
• permitindo identificar o signatário;
• criada a partir de dados que o signatário pode utilizar sob seu controle exclusivo;
• vinculada aos dados assinados de forma a permitir a detecção de qualquer modificação posterior.

Sem esse nível de autenticação, uma assinatura simples (clique ou caixa de seleção) pode ser insuficiente para comprometer legalmente o licitante, particularmente quando o comprador exige uma assinatura avançada ou qualificada para certos lotes sensíveis.

Reduzir os riscos de contestação e irregularidade

Um dossiê de resposta a edital de licitação pode ser declarado irregular se a autoridade licitadora julgar que a identidade do signatário não está suficientemente estabelecida. A adição de uma página de validação por SMS cria um segundo fator de autenticação (2FA) que, combinado com a identidade previamente verificada, constitui uma prova sólida. Em caso de litígio perante tribunal ou juiz de contrato, o registro de auditoria com carimbo de tempo (timestamp, número de telefone mascarado, endereço IP, hash do documento) constitui uma prova admissível.

Para ir além dos fundamentos, o guia completo de assinatura eletrônica explica os diferentes níveis de assinatura e suas implicações legais em direito brasileiro e europeu.

Os componentes técnicos de uma página de validação por SMS

Arquitetura OTP e canal SMS

Uma página de validação por código SMS repousa em três componentes interdependentes:

1. Gerador de OTP (One-Time Password): um algoritmo TOTP (Time-based OTP, RFC 6238) ou HOTP (HMAC-based OTP, RFC 4226) gera um código de 6 dígitos, válido geralmente entre 5 e 10 minutos.
2. Gateway SMS (passerela SMS): um operador certificado (ex. Twilio, OVHcloud SMS, Brevo) encaminha o código para o número de telefone do licitante, registrado durante a fase de convite ou inscrição.
3. Interface de entrada segura: a página web exibida ao licitante deve respeitar os requisitos WCAG 2.1 (acessibilidade), exibir claramente a expiração do código e propor um mecanismo de reenvio limitado (anti-abuso, máximo 3 tentativas).

Do ponto de vista da segurança, o número de telefone deve ser validado previamente (verificação durante a integração) e armazenado de forma criptografada no banco de dados, em conformidade com os requisitos da LGPD (Lei Geral de Proteção de Dados).

Integração no fluxo de assinatura Certyneo

Na plataforma Certyneo, a adição de uma página de validação por SMS é realizada diretamente a partir da interface de configuração de um fluxo de assinatura. Aqui estão as etapas:

Etapa 1 — Criar ou importar o documento de resposta Faça upload de seu memorial técnico, seu termo de compromisso ou qualquer outra peça constitutiva da oferta. O gerador de contratos por IA da Certyneo também permite pré-preencher certos documentos tipo.

Etapa 2 — Configurar os signatários Informe o nome, sobrenome, endereço de e-mail e número de telefone celular (formato E.164, ex. +55 11 9XXXX-XXXX) de cada pessoa autorizada a assinar a oferta. Este campo é obrigatório para ativar a validação por SMS.

Etapa 3 — Ativar a autenticação OTP SMS No menu «Segurança do fluxo», marque a opção «Validação por código SMS». Você pode parametrizar:

• a duração da validade do código (recomendado: 5 minutos);
• o número máximo de tentativas (recomendado: 3);
• a mensagem personalizada enviada ao signatário (menção do edital de licitação, da referência da consulta).

Etapa 4 — Personalizar a página de validação A interface Certyneo oferece um editor de página «sem código» que permite adicionar o logo de sua organização, o título da consulta e instruções claras para o licitante. Essa personalização reforça a confiança e reduz os abandonos de fluxo.

Etapa 5 — Testar o fluxo em modo sandbox Antes do envio real, use o modo teste da Certyneo para simular o recebimento do SMS e a entrada do código. Verifique se o registro de auditoria captura bem: o carimbo de tempo, o hash SHA-256 do documento, o número de telefone mascarado e o endereço IP do terminal do usuário.

Boas práticas para uma configuração ótima

Antecipar as restrições operacionais do licitante

No contexto de um edital de licitação, o licitante pode ser uma pessoa física ou o representante legal de uma PME, de um consórcio de empresas ou de uma grande corporação. Várias restrições operacionais devem ser antecipadas:

• Indisponibilidade do número de telefone: se o signatário designado estiver em deslocamento internacional, o SMS pode não chegar a tempo. Preveja uma opção de delegação de assinatura com notificação prévia.
• Rotação de responsáveis: em grandes organizações, o diretor geral signatário pode mudar entre o envio do convite e a data limite de depósito. O campo «número de telefone» deve ser modificável pelo administrador da conta até 24 horas antes do vencimento.
• Acessibilidade: alguns usuários com deficiência podem encontrar dificuldades para inserir um código temporário. Ofereça uma alternativa de voz (chamada automática de leitura do código) se sua infraestrutura permitir.

Arquivamento e trilha de auditoria em conformidade

A página de validação por SMS é apenas um elo do dispositivo de prova. Para que todo o dossiê seja oponível, o arquivamento deve estar em conformidade com a norma ETSI EN 319 132 (XAdES) ou ETSI EN 319 122 (CAdES) de acordo com o formato de assinatura adotado. A Certyneo gera automaticamente um relatório de assinatura em PDF/A compreendendo:

• a lista de signatários com seu nível de autenticação;
• os carimbos de tempo certificados (RFC 3161);
• o registro completo dos eventos por SMS (envio, confirmação de recebimento, entrada correta ou incorreta).

Este relatório deve ser conservado durante toda a validade do contrato, e até além em caso de litígio. Para licitações públicas, a legislação pertinente prevê prazos de conservação que podem chegar até 10 anos. As tarifas e opções de arquivamento de longo prazo estão detalhadas na página de preços da Certyneo.

Integração com plataformas de desmaterialização (portais de compras)

Quando a resposta a edital de licitação passa por uma plataforma terceira (plataformas de licitação diversas), a Certyneo pode ser usada antecipadamente para fazer assinar e validar internamente os documentos constitutivos da oferta antes do depósito no portal. O arquivo assinado (no formato XAdES ou PAdES) é posteriormente enviado para o portal, acompanhado do relatório de assinatura da Certyneo como comprovante de autenticação.

Se sua organização já utiliza uma solução concorrente, a página de migração para Certyneo explica como transferir seus fluxos existentes sem perda de dados ou interrupção de serviço.

Segurança, LGPD e gestão de dados de telefonia

Tratamento dos dados pessoais do número de telefone

O número de telefone celular é um dado pessoal no sentido da LGPD. Seu uso no contexto de validação OTP requer:

• uma base legal claramente identificada: a execução do contrato ou o interesse legítimo de acordo com a legislação aplicável;
• uma informação prévia do licitante sobre o uso de seu número (menção nos termos de serviço ou no e-mail de convite);
• uma duração de conservação limitada: o número não deve ser conservado além do término do fluxo de assinatura, exceto em caso de arquivamento legal justificado.

As equipes jurídicas e de proteção de dados encontrarão recursos complementares em nosso glossário de assinatura eletrônica, que referencia as definições-chave aplicadas aos fluxos de assinatura.

Resistência a ataques e anti-fraude

A validação por SMS é vulnerável a certos vetores de ataque. Para contratos com enjôos altos (montantes > 500 000 € HT), a Certyneo recomenda combinar o OTP SMS com:

• uma verificação de identidade prévia (KYC documental ou IDnow);
• um carimbo de tempo qualificado fornecido por um prestador de serviços de confiança (Trust Service Provider, TSP) acreditado pelo eIDAS;
• um alerta em tempo real em caso de mudança de número de telefone nas 48 horas anteriores à assinatura.

Essas medidas adicionais elevam a assinatura para o nível qualificado eIDAS, o mais elevado reconhecido pelo regulamento europeu, e constituem uma garantia máxima para contratos públicos sensíveis ou classificados.

Marco legal aplicável à validação por SMS em editais de licitação

Regulamento eIDAS n° 910/2014 e seus níveis de assinatura

O regulamento (UE) n° 910/2014 do Parlamento Europeu e do Conselho (eIDAS) constitui o fundamento regulatório da assinatura eletrônica na Europa. Distingue três níveis:

• Assinatura eletrônica simples (art. 3.10): dados em forma eletrônica anexados ou associados a outros dados, utilizados pelo signatário para assinar. Valor jurídico limitado para editais públicos.
• Assinatura eletrônica avançada (art. 3.11): satisfaz aos requisitos do art. 26 do eIDAS, incluindo a unicidade do vínculo com o signatário e a detectabilidade de qualquer alteração. A validação OTP SMS, combinada com uma identificação prévia, permite atingir esse nível.
• Assinatura eletrônica qualificada (art. 3.12): criada usando um dispositivo qualificado de criação de assinatura, baseado em certificado qualificado emitido por um TSP acreditado. Único nível com efeito jurídico equivalente à assinatura manuscrita em todos os Estados-membros (art. 25.2 do eIDAS).

Código Civil brasileiro — Artigos sobre assinatura eletrônica

A legislação brasileira reconhece a validade da assinatura eletrônica quando devidamente identificado o signatário e garantida a integridade do documento. A assinatura eletrônica com autenticação por OTP SMS contribui diretamente para satisfazer essa exigência, criando um vínculo entre o número de telefone registrado e o ato assinado.

LGPD n° 13.709/2018 — Proteção de dados de telefonia

A LGPD impõe medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados processados, incluindo criptografia e pseudonimização. O número de telefone utilizado para o OTP SMS deve ser criptografado em repouso e em trânsito (TLS 1.3 mínimo). A lei impõe a limitação de conservação: o número não pode ser mantido além do tempo estritamente necessário para a finalidade do tratamento.

Normas ETSI aplicáveis

• ETSI EN 319 132 (XAdES): formato de assinatura XML avançada, recomendado para peças de licitação em formato XML.
• ETSI EN 319 122 (CAdES): formato de assinatura CMS avançada, adequado para arquivos binários (PDF, ZIP).
• ETSI EN 319 102-1: procedimentos de criação e validação de assinaturas eletrônicas, integrando carimbo de tempo qualificado RFC 3161.

O não cumprimento dessas normas expõe o emissor ou o licitante a um risco de rejeição da oferta por irregularidade formal, ou à inoponibilidade da assinatura em caso de litígio contratual.

Cenários de uso concretos

Cenário 1 — Um escritório de engenharia respondendo a um contrato de projeto

Um escritório de engenharia especializado em infraestrutura, com cerca de trinta engenheiros e gerenciando em média 15 a 20 respostas a editais de licitação por ano, precisa assinar várias peças constitutivas de uma oferta: termo de compromisso, memorial técnico, atestados de regularidade fiscal e trabalhista. Antes da implementação de uma validação por SMS, o procedimento se baseava em uma troca de PDFs assinados manualmente, digitalizados e retransmitidos por e-mail, o que gerava prazos médios de 48 a 72 horas por dossiê.

Ao configurar um fluxo Certyneo com validação OTP SMS para cada signatário interno (diretor técnico, gerente), o escritório reduziu esse prazo para menos de 2 horas. O relatório de assinatura automaticamente gerado é anexado ao dossiê depositado no portal de compras, atendendo aos requisitos de assinatura avançada. Estudos setoriais sobre desmaterialização B2B estimam uma redução de 60-70% no tempo de processamento administrativo com a adoção de assinatura eletrônica com autenticação forte.

Cenário 2 — Um consórcio de empresas em um contrato de obras

No contexto de um contrato público de obras (lote terraplenagem + lote estrutura), duas empresas formam um consórcio. Cada mandatária deve assinar o termo de compromisso em nome de sua sociedade. As duas empresas estão localizadas em cidades diferentes, e a data limite para a submissão das ofertas é às 12h00.

Graças à funcionalidade de assinaturas paralelas da Certyneo, os dois signatários recebem simultaneamente um link de convite por e-mail. Cada um acessa sua página de validação, insere seu código OTP recebido por SMS em menos de um minuto, e apõe sua assinatura eletrônica avançada. O coordenador do consórcio recebe imediatamente uma notificação de conclusão e pode fazer upload do dossiê finalizado antes do prazo. Este cenário ilustra como a validação por SMS elimina o risco de atraso relacionado à coordenação multi-sítios, um problema que representa segundo certos estudos cerca de 30% dos depósitos atrasados em respostas consorciadas.

Cenário 3 — Uma entidade pública como emissora do edital de licitação

Uma entidade pública de tamanho intermediário desejando não responder a um edital de licitação, mas emitir um, pode também se apoiar na validação por SMS para proteger a assinatura interna das peças do contrato. Antes da disponibilização da consulta no portal, o diretor dos serviços técnicos e o representante designado devem co-assinar os documentos constitutivos.

Ao implementar um fluxo Certyneo interno com validação OTP SMS para cada signatário institucional, a entidade cria um rastro probante da validação administrativa prévia. Essa rastreabilidade é particularmente útil durante os controles de legalidade exercidos pelos órgãos competentes ou em caso de auditoria. A redução do risco jurídico associado a uma assinatura não autenticada representa uma questão de conformidade importante para compradores públicos, conforme os requisitos da legislação de licitações públicas.

Conclusão

Integrar uma página de validação com código SMS em sua resposta a um edital de licitação não é uma simples formalidade técnica: é uma garantia jurídica, uma prova de consentimento documentada e uma ferramenta de conformidade regulatória no sentido do regulamento eIDAS e da legislação de licitações públicas. Ao autenticar cada signatário por meio de um OTP SMS com carimbo de tempo, você atinge o nível de assinatura eletrônica avançada exigido pela grande maioria dos compradores públicos, ao mesmo tempo que reduz drasticamente os prazos internos e os riscos de rejeição por irregularidade formal.

A Certyneo permite configurar esse fluxo em poucos minutos, sem desenvolvimento de TI, com um registro de auditoria em conformidade com as normas ETSI e arquivado de acordo com as obrigações legais. Quer você seja licitante único, membro de um consórcio ou comprador público, a solução se adapta ao seu contexto.

Pronto para proteger suas próximas respostas a editais de licitação? Crie sua conta na Certyneo gratuitamente e configure seu primeiro fluxo com validação por SMS hoje mesmo.