Página de validação SMS para responder a uma consulta pública

Quando uma empresa responde a uma consulta pública ou privada, a questão do valor jurídico do dossiê transmitido é central. Um documento assinado eletronicamente sem mecanismo de autenticação forte pode ser contestado perante um tribunal ou rejeitado pelo comprador público. É precisamente neste contexto que intervém a página de validação com código SMS : esta etapa de autenticação por palavra-passe de uso único (OTP) reforça a prova de consentimento do concorrente, satisfaz aos requisitos do regulamento eIDAS e garante a rastreabilidade completa do percurso de assinatura. Neste artigo, detalhamos por que e como implementar este dispositivo no seu fluxo de resposta a uma consulta pública, passando pelos pré-requisitos técnicos, a configuração passo a passo e as melhores práticas a seguir.

Por que integrar uma validação por código SMS na sua resposta a uma consulta pública

O valor probatório no centro dos mercados públicos

O marco dos mercados públicos franceses impõe que as ofertas transmitidas por via desmaterializada satisfaçam aos requisitos fixados pelo decreto n° 2016-360 de 25 de março de 2016 relativo aos mercados públicos. Desde 1º de outubro de 2018, toda consulta cujo valor estimado ultrapasse 40 000 € HT implica uma desmaterialização obrigatória através de uma plataforma de depósito aprovada (perfil comprador). Neste contexto, a assinatura eletrónica associada a um mecanismo de OTP por SMS constitui uma assinatura eletrónica avançada no sentido do regulamento eIDAS, ou seja :

• ligada ao signatário de maneira unívoca ;
• permitindo identificar o signatário ;
• criada a partir de dados que o signatário pode utilizar sob seu controle exclusivo ;
• ligada aos dados assinados de forma a permitir a detecção de qualquer modificação subsequente.

Sem este nível de autenticação, uma assinatura simples (clique ou caixa de seleção) pode ser insuficiente para obrigar juridicamente o concorrente, nomeadamente quando o comprador exige uma assinatura avançada ou qualificada para certos lotes sensíveis.

Reduzir os riscos de contestação e irregularidade

Um dossiê de resposta a uma consulta pública pode ser declarado irregular se o poder adjudicador entender que a identidade do signatário não está suficientemente estabelecida. A adição de uma página de validação SMS cria um segundo fator de autenticação (2FA) que, combinado com a identidade previamente verificada, forma uma prova sólida. Em caso de litígio perante o tribunal administrativo ou o juiz do contrato, o jornal de auditoria com timestamp (carimbo de tempo, número de telefone mascarado, endereço IP, hash do documento) constitui uma prova admissível.

Para ir mais longe sobre os fundamentos, o guia completo de assinatura eletrónica explica os diferentes níveis de assinatura e suas implicações legais em direito francês e europeu.

Os componentes técnicos de uma página de validação SMS

Arquitetura OTP e canal SMS

Uma página de validação por código SMS repousa em três componentes interdependentes :

1. Gerador de OTP (One-Time Password) : um algoritmo TOTP (Time-based OTP, RFC 6238) ou HOTP (HMAC-based OTP, RFC 4226) gera um código de 6 dígitos, válido em geral entre 5 e 10 minutos.
2. Gateway SMS (passerela SMS) : um operador certificado (ex. Twilio, OVHcloud SMS, Brevo) encaminha o código para o número de telefone do concorrente, registado durante a fase de convite ou inscrição.
3. Interface de entrada segura : a página web apresentada ao concorrente deve respeitar os requisitos WCAG 2.1 (acessibilidade), exibir claramente a expiração do código e propor um mecanismo de reenvio limitado (anti-abuso, máximo 3 tentativas).

Do ponto de vista da segurança, o número de telefone deve ser validado previamente (verificação durante o onboarding) e armazenado de forma encriptada na base de dados, em conformidade com os requisitos do RGPD (art. 32 sobre a segurança do tratamento).

Integração no fluxo de assinatura Certyneo

Na plataforma Certyneo, a adição de uma página de validação SMS efetua-se diretamente a partir da interface de configuração de um percurso de assinatura. Aqui estão os passos :

Passo 1 — Criar ou importar o documento de resposta Carregue seu memorial técnico, seu ato de compromisso ou qualquer outra peça constitutiva da oferta. O gerador de contratos por IA da Certyneo permite também pré-preenchimento de certos documentos tipo.

Passo 2 — Configurar os signatários Informe o nome, sobrenome, endereço de correio eletrónico e número de telefone móvel (formato E.164, ex. +33 6 XX XX XX XX) de cada pessoa autorizada a assinar a oferta. Este campo é obrigatório para ativar a validação SMS.

Passo 3 — Ativar a autenticação OTP SMS No menu « Segurança do percurso », marque a opção « Validação por código SMS ». Você pode parametrizar :

• a duração de validade do código (recomendado : 5 minutos) ;
• o número máximo de tentativas (recomendado : 3) ;
• a mensagem personalizada enviada ao signatário (menção da consulta pública, da referência da consulta).

Passo 4 — Personalizar a página de validação A interface Certyneo propõe um editor de página « sem código » permitindo adicionar o logotipo de sua organização, o título da consulta e instruções claras destinadas ao concorrente. Esta personalização reforça a confiança e reduz os abandonos de percurso.

Passo 5 — Testar o percurso em modo sandbox Antes do envio real, utilize o modo de teste da Certyneo para simular a receção do SMS e a entrada do código. Verifique que o jornal de auditoria captura bem : o timestamp, o hash SHA-256 do documento, o número de telefone mascarado e o endereço IP do terminal utilizado.

Melhores práticas para uma configuração otimizada

Antecipar as limitações operacionais do concorrente

No contexto de uma consulta pública, o concorrente pode ser uma pessoa física ou o representante legal de uma PME, um agrupamento momentâneo de empresas (AME) ou um grande grupo. Várias limitações operacionais devem ser antecipadas :

• Indisponibilidade do número de telefone : se o signatário designado está em deslocação internacional, o SMS pode não chegar a tempo. Preveja uma opção de delegação de assinatura com notificação prévia.
• Rotação dos responsáveis : nas grandes organizações, o diretor geral signatário pode mudar entre o envio do convite e a data limite de depósito. O campo « número de telefone » deve ser modificável pelo administrador da conta até 24 horas antes da data limite.
• Acessibilidade : alguns utilizadores em situação de deficiência podem encontrar dificuldades com a entrada de um código temporário. Proponha uma alternativa vocal (chamada automática de leitura do código) se sua infraestrutura o permitir.

Arquivamento e pista de auditoria conforme

A página de validação SMS constitui apenas um elo do dispositivo de prova. Para que o conjunto do dossiê seja oponível, o arquivamento deve estar em conformidade com a norma ETSI EN 319 132 (XAdES) ou ETSI EN 319 122 (CAdES) segundo o formato de assinatura retido. Certyneo gera automaticamente um relatório de assinatura em PDF/A compreendendo :

• a lista dos signatários com seu nível de autenticação ;
• os timestamps certificados (RFC 3161) ;
• o jornal completo dos eventos SMS (envio, receção confirmada, entrada correta ou incorreta).

Este relatório deve ser conservado durante toda a duração de validade do contrato, ou mesmo para além em caso de litígio. Para os mercados públicos, o Código da Contratação Pública (art. L. 2194-1 e seguintes) prevê prazos de conservação podendo ir até 10 anos. As tarifas e as opções de arquivamento a longo prazo são detalhadas na página de preços Certyneo.

Integração com as plataformas de desmaterialização (perfis compradores)

Quando a resposta a uma consulta pública passa por uma plataforma terceira (AWS Marchés, e-Attestations, Achat Public, Klekoon, etc.), Certyneo pode ser utilizado previamente para fazer assinar e validar internamente os documentos constitutivos da oferta antes do seu depósito no perfil comprador. O ficheiro assinado (no formato XAdES ou PAdES) é então carregado na plataforma, acompanhado do relatório de assinatura Certyneo como justificativo de autenticação.

Se sua organização já utiliza uma solução concorrente, a página de migração para Certyneo explica como transferir seus percursos existentes sem perda de dados nem interrupção de serviço.

Segurança, RGPD e gestão de dados de telefonia

Tratamento de dados pessoais do número de telefone

O número de telefone móvel é um dado de caráter pessoal no sentido do artigo 4 do RGPD. Sua utilização no contexto de uma validação OTP necessita :

• uma base legal claramente identificada : a execução do contrato (art. 6.1.b RGPD) ou o interesse legítimo (art. 6.1.f RGPD) segundo a relação entre o emissor da consulta pública e o concorrente ;
• uma informação prévia do concorrente sobre o uso de seu número (menção nas CGU ou no e-mail de convite) ;
• uma duração de conservação limitada : o número não deve ser conservado para além do fim do percurso de assinatura, exceto arquivamento legal justificado.

As equipas jurídicas e DPO encontrarão recursos complementares no nosso glossário de assinatura eletrónica, que referencia as definições-chave do RGPD aplicadas aos fluxos de assinatura.

Resistência a ataques e anti-fraude

A validação SMS é vulnerável a certos vetores de ataque (SIM swapping, interceção SS7). Para os mercados com forte encarecimento (montantes > 500 000 € HT), Certyneo recomenda combinar o OTP SMS com :

• uma verificação de identidade prévia (KYC documentária ou IDnow) ;
• um timestamp qualificado fornecido por um prestador de serviços de confiança (Trust Service Provider, TSP) acreditado eIDAS ;
• um alerta em tempo real em caso de mudança de número de telefone nos 48 horas anteriores à assinatura.

Estas medidas suplementares fazem a assinatura bascular para o nível qualificado eIDAS, o mais elevado reconhecido pelo regulamento europeu, e constituem uma garantia máxima para os mercados públicos sensíveis ou classificados.

Marco legal aplicável à validação SMS nas consultas públicas

Regulamento eIDAS n° 910/2014 e seus níveis de assinatura

O regulamento (UE) n° 910/2014 do Parlamento Europeu e do Conselho (eIDAS) constitui o alicerce regulatório da assinatura eletrónica na Europa. Distingue três níveis :

• Assinatura eletrónica simples (art. 3.10) : dados sob forma eletrónica anexados ou associados a outros dados, utilizados pelo signatário para assinar. Valor jurídico limitado para as consultas públicas.
• Assinatura eletrónica avançada (art. 3.11) : satisfaz aos requisitos do art. 26 eIDAS, incluindo a unicidade da ligação com o signatário e a detectabilidade de qualquer alteração. A validação OTP SMS, combinada com uma identificação prévia, permite atingir este nível.
• Assinatura eletrónica qualificada (art. 3.12) : criada usando um dispositivo de criação de assinatura qualificado, baseada num certificado qualificado emitido por um TSP acreditado. Único nível com efeito jurídico equivalente à assinatura manuscrita em todos os Estados membros (art. 25.2 eIDAS).

Código civil francês — Artigos 1366 e 1367

O artigo 1366 do Código Civil estabelece que « o escrito eletrónico tem a mesma força probatória que o escrito em suporte papel, sob reserva de que possa ser devidamente identificada a pessoa de cuja origem emana e que seja estabelecido e conservado em condições de natureza a garantir sua integridade ». O artigo 1367 precisa que « a assinatura eletrónica consiste no uso de um processo fiável de identificação garantindo sua ligação com o ato ao qual se liga ».

O OTP SMS contribui diretamente para satisfazer a condição de identificação fiável colocada pelo artigo 1367, criando um elo entre o número de telefone registado e o ato assinado.

Código da Contratação Pública

Os artigos R. 2132-7 e seguintes do Código da Contratação Pública impõem que as ofertas transmitidas por via eletrónica sejam assinadas por uma assinatura eletrónica pelo menos avançada repousando sobre um certificado qualificado. A validação SMS entra no dispositivo permitindo atingir este nível, sob reserva de que o conjunto do percurso de assinatura seja documentado e arquivado.

RGPD n° 2016/679 — Proteção de dados de telefonia

O artigo 32 do RGPD impõe medidas técnicas e organizacionais apropriadas para garantir a segurança dos dados tratados, nomeadamente a encriptação e a pseudonimização. O número de telefone utilizado para o OTP SMS deve ser encriptado em repouso e em trânsito (TLS 1.3 mínimo). O artigo 5.1.e impõe a limitação da conservação : o número pode ser conservado apenas o tempo estritamente necessário à finalidade do tratamento.

Normas ETSI aplicáveis

• ETSI EN 319 132 (XAdES) : formato de assinatura XML avançada, recomendado para as peças de mercados públicos em formato XML.
• ETSI EN 319 122 (CAdES) : formato de assinatura CMS avançada, adaptado aos ficheiros binários (PDF, ZIP).
• ETSI EN 319 102-1 : procedimentos de criação e validação de assinaturas eletrónicas, integrando o timestamp qualificado RFC 3161.

O não-respeito destas normas expõe o emissor ou o concorrente a um risco de rejeição da oferta por irregularidade formal, ou a uma inoponibilidade da assinatura em caso de litígio contratual.

Cenários de uso concretos

Cenário 1 — Um gabinete de engenharia respondendo a um contrato de gestão de projeto

Um gabinete de engenharia especializado em infraestrutura, contando cerca de trinta engenheiros e gestando em média 15 a 20 respostas a consultas públicas por ano, deve assinar várias peças constitutivas de uma oferta : ato de compromisso, memorial técnico, atestados de regularidade fiscal e social. Antes da implementação de uma validação SMS, o procedimento repousava numa troca de PDFs assinados manualmente, digitalizados e retransmitidos por e-mail, o que gerava atrasos médios de 48 a 72 horas por dossiê.

Ao configurar um percurso Certyneo com validação OTP SMS para cada signatário interno (diretor técnico, gestor), o gabinete reduziu este atraso para menos de 2 horas. O relatório de assinatura automaticamente gerado é juntado ao dossiê depositado no perfil comprador, satisfazendo aos requisitos de assinatura avançada. Os estudos setoriais sobre a desmaterialização B2B estimam em 60-70 % a redução do tempo de tratamento administrativo no passo para assinatura eletrónica com autenticação forte.

Cenário 2 — Um agrupamento momentâneo de empresas (AME) num contrato de obras

No contexto de um contrato público de obras (lote terraplenagem + lote estrutura), duas empresas formam um AME conjunto. Cada mandatário deve assinar o ato de compromisso em nome de sua sociedade. As duas empresas estão situadas em cidades diferentes, e a data limite de entrega das ofertas é às 12h00.

Graças à funcionalidade de assinaturas paralelas da Certyneo, os dois signatários recebem simultaneamente um link de convite por e-mail. Cada um acede à sua página de validação, insere seu código OTP recebido por SMS em menos de um minuto, e apõe sua assinatura eletrónica avançada. O coordenador do AME recebe imediatamente uma notificação de conclusão e pode carregar o dossiê finalizado antes da data limite. Este cenário ilustra como a validação SMS elimina o risco de atraso ligado à coordenação multi-sítios, um problema que representa segundo certos estudos cerca de 30 % dos depósitos tardios nas respostas em agrupamento.

Cenário 3 — Uma coletividade territorial emissora da consulta pública

Uma coletividade territorial de tamanho intermédio (entre 50 000 e 200 000 habitantes) desejando não responder a uma consulta pública mas emiti-la, pode igualmente apoiar-se na validação SMS para proteger a assinatura interna das peças de contrato (CCAP, CCTP, RC). Antes da colocação online da consulta no perfil comprador, o diretor dos serviços técnicos e o eleito delegado aos contratos devem co-assinar os documentos constitutivos.

Ao implementar um percurso Certyneo interno com validação OTP SMS para cada signatário institucional, a coletividade cria um traço probante da validação administrativa prévia. Esta rastreabilidade é particularmente útil aquando dos controlos de legalidade exercidos pela prefeitura ou em caso de auditoria da câmara regional de contas. A redução do risco jurídico associado a uma assinatura não autenticada representa uma questão de conformidade maior para os compradores públicos, atendendo aos requisitos da ordenação n° 2015-899 codificada no Código da Contratação Pública.

Conclusão

Integrar uma página de validação com código SMS na sua resposta a uma consulta pública não é uma simples formalidade técnica : é uma garantia jurídica, uma prova de consentimento documentada e um instrumento de conformidade regulatória no sentido do regulamento eIDAS e do Código da Contratação Pública. Ao autenticar cada signatário via um OTP SMS com timestamp, você atinge o nível de assinatura eletrónica avançada exigido pela grande maioria dos compradores públicos, reduzindo drasticamente os prazos internos e os riscos de rejeição por irregularidade formal.

Certyneo permite-lhe configurar este percurso em alguns minutos, sem desenvolvimento informático, com um jornal de auditoria em conformidade com as normas ETSI e arquivado segundo as obrigações legais. Quer seja concorrente único, membro de um AME ou comprador público, a solução adapta-se ao seu contexto.

Pronto para proteger suas próximas respostas a consultas públicas ? Crie sua conta Certyneo gratuitamente e configure seu primeiro percurso com validação SMS hoje mesmo.