Stránka overenia SMS pre odpoveď na výber ponúk

Keď spoločnosť odpoveď na verejný alebo privátny výber ponúk, otázka právnej hodnoty posielaného spisu je centrálna. Dokument podpísaný elektronicky bez mechanizmu silného overenia môže byť napadnutý pred súdom alebo zamietnutý verejným zákupcom. Presne tu prichádza na rad stránka overenia s kódom SMS: tento krok autentifikácie hesla na jedno použitie (OTP) posilňuje dôkaz o súhlase uchádzača, spĺňa požiadavky nariadenia eIDAS a zaručuje úplnú sledovateľnosť celého procesu podpisovania. V tomto článku detailne vysvetľujeme, prečo a ako zaviesť tento mechanizmus do vášho workflow odpovede na výber ponúk, vrátane technických predpokladov, konfigurácie krok za krokom a best practices, ktoré je treba dodržiavať.

Prečo integrovať overenie kódom SMS do vašej odpovede na výber ponúk

Dôkazná hodnota v centre verejných zákupov

Rámec francúzskych verejných zákupov vyžaduje, aby ponuky posielané elektronickou cestou spĺňali požiadavky stanovené dekrétom č. 2016-360 zo 25. marca 2016 o verejných zákazkách. Od 1. októbra 2018 každá konzultácia, ktorej odhadovaná hodnota presahuje 40 000 € bez DPH, znamená povinnú elektronizáciu cez schválenú platformu na vkladanie ponúk (profil kupujúceho). V tomto kontexte elektronický podpis spojený s mechanizmom OTP SMS predstavuje pokročilý elektronický podpis v zmysle nariadenia eIDAS, t. j.:

• viazaný na podpisujúceho jedinečným spôsobom;
• umožňujúci identifikáciu podpisujúceho;
• vytvorený z údajov, ktoré podpisujúci môže používať pod svojou výlučnou kontrolou;
• viazaný na podpísané údaje spôsobom, ktorý umožňuje zistiť akúkoľvek neskoršiu zmenu.

Bez tejto úrovne autentifikácie môže byť jednoduchý podpis (klik alebo zaškrtávacia políčka) nedostatočný na právne záväzné zaviazanie uchádzača, najmä ak kupujúci vyžaduje pokročilý alebo kvalifikovaný podpis pre určité citlivé časti.

Zníženie rizika námietok a nepravidelnosti

Spis s odpoveďou na výber ponúk môže byť vyhlásený za nepravidelný, ak orgán zadávajúci zákazku považuje za nedostatočne stanovenú totožnosť podpisujúceho. Pridanie stránky overenia SMS vytvárajú druhý faktor autentifikácie (2FA), ktorý v kombinácii s predtým overenými údajmi tvorí pevný dôkaz. V prípade sporu pred správnym súdom alebo sudcom zmluvy predstavuje denník auditu s časovým pečiatkom (timestamp, maskované telefónne číslo, IP adresa, hash dokumentu) prípustný dôkaz.

Ak chcete ísť ďalej v základoch, komplexný sprievodca elektronickým podpisom vysvetľuje rôzne úrovne podpisovania a ich právne dôsledky v francúzskom a európskom právnom poriadku.

Technické komponenty stránky overenia SMS

Architektúra OTP a kanál SMS

Stránka overenia kódom SMS sa spolieha na tri vzájomne závislé komponenty:

1. Generátor OTP (One-Time Password): algoritmus TOTP (Time-based OTP, RFC 6238) alebo HOTP (HMAC-based OTP, RFC 4226) generuje kód šiestich číslic, zvyčajne platný 5 až 10 minút.
2. SMS brána (SMS gateway): certifikovaný operátor (napr. Twilio, OVHcloud SMS, Brevo) prepravuje kód na telefónne číslo uchádzača, registrované počas fázy pozvánky alebo registrácie.
3. Bezpečné rozhranie na zadávanie: webová stránka zobrazená uchádzačovi musí spĺňať požiadavky WCAG 2.1 (prístupnosť), jasne zobrazovať expirácii kódu a ponúknuť mechanizmus obmedzeného odoslania (proti zneužívaniu, maximálne 3 pokusy).

Z hľadiska bezpečnosti musí byť telefónne číslo overené vopred (overenie počas onboardingu) a uložené zašifrovaným spôsobom v databáze, v súlade s požiadavkami GDPR (čl. 32 o bezpečnosti spracúvania).

Integrácia do workflow podpisovania Certyneo

Na platforme Certyneo sa pridávanie stránky overenia SMS vykonáva priamo z rozhrania konfigurácie procesu podpisovania. Tu sú kroky:

Krok 1 — Vytvoriť alebo importovať dokument odpovede Nahrajte svoj technický memorandum, záväzný čin alebo akýkoľvek iný dokument tvoriacu časť ponuky. AI generátor zmlúv Certyneo takisto umožňuje vopred vyplniť niektoré vzorové dokumenty.

Krok 2 — Konfigurovať podpisujúcich Zadajte meno, priezvisko, e-mailovú adresu a číslo mobilného telefónu (formát E.164, napr. +33 6 XX XX XX XX) každej osoby oprávnenej podpísať ponuku. Toto pole je povinné na aktiváciu overenia SMS.

Krok 3 — Aktivovať autentifikáciu OTP SMS V ponuke "Bezpečnosť procesu" zaškrtnite možnosť "Overenie kódom SMS". Môžete nakonfigurovať:

• dobu platnosti kódu (odporúčané: 5 minút);
• maximálny počet pokusov (odporúčané: 3);
• vlastnú správu poslanú podpisujúcemu (odkaz na výber ponúk, odkaz na konzultáciu).

Krok 4 — Prispôsobiť stránku overenia Rozhranie Certyneo ponúka editor stránky "bez kódu", ktorý vám umožňuje pridať logo vašej organizácie, názov konzultácie a jasné pokyny pre uchádzača. Toto prispôsobenie posilňuje dôveru a znižuje opustenie procesu.

Krok 5 — Testovať proces v režime sandbox Pred skutočným zaslaním používajte testovací režim Certyneo na simuláciu prijatia SMS a zadania kódu. Overte, že denník auditu zachytáva: časový pečiatok, hash SHA-256 dokumentu, maskované telefónne číslo a IP adresu terminála používateľa.

Best practices pre optimálnu konfiguráciu

Predpokladať operačné obmedzenia uchádzača

V kontexte výberu ponúk môže byť uchádzač fyzickou osobou alebo právnym zástupcom MSP, dočasného združenia podnikov (DZP) alebo veľkej skupiny. Niekoľko operačných obmedzení je potrebné predpokladať:

• Nedostupnosť telefónneho čísla: ak je určený podpisujúci na medzinárodnej ceste, SMS možno nedorazí včas. Pripravte si možnosť delegovania podpisu s predchádzajúcim oznámením.
• Rotácia zodpovedných osôb: vo veľkých organizáciách sa podpisujúci generálny riaditeľ môže zmeniť medzi odoslaním pozvánky a dátumom uzávierky odoslania. Pole "telefónne číslo" musí byť editovateľné správcom účtu až 24 hodín pred skončením doby splatnosti.
• Prístupnosť: niektorí používatelia so zdravotným postihnutím môžu mať ťažkosti so zadávaním dočasného kódu. Ponúknite hlasovú alternatívu (automatizovaný hovor na prečítanie kódu), ak to vaša infraštruktúra umožňuje.

Archivovanie a audit trail v súlade s predpismi

Stránka overenia SMS predstavuje iba jednu časť v systéme dôkazov. Aby bol celý spis preukazovateľný, archivovanie musí byť v súlade s normou ETSI EN 319 132 (XAdES) alebo ETSI EN 319 122 (CAdES) podľa formátu zvoleného podpisu. Certyneo automaticky generuje správu o podpise v PDF/A vrátane:

• zoznamu podpisujúcich s ich úrovňou autentifikácie;
• certifikovaných časových pečiatok (RFC 3161);
• úplného denníka udalostí SMS (odoslanie, potvrdenie prijatia, správna alebo nesprávna zadánie).

Táto správa musí byť zachovaná po celú dobu platnosti zmluvy, dokonca aj v prípade sporu. Pre verejné zákazky predpokladá Kódex verejných zákupok (čl. L. 2194-1 a nasledujúce) lehoty na uchovávanie, ktoré sa môžu predĺžiť až na 10 rokov. Ceny a možnosti dlhodobého archívu sú podrobne uvedené na stránke cien Certyneo.

Integrácia s platformami na elektronizáciu (profily kupujúcich)

Keď sa odpoveď na výber ponúk uskutočňuje cez tretiu platformu (AWS Marchés, e-Attestations, Achat Public, Klekoon atď.), Certyneo sa dá použiť vopred na interné podpísanie a overenie dokumentov tvoriacich ponuku pred ich vložením na profil kupujúceho. Podpísaný súbor (vo formáte XAdES alebo PAdES) sa potom nahradí na platformu spolu so správou o podpise Certyneo ako doklad autentifikácie.

Ak vaša organizácia už používa konkurenčné riešenie, stránka migrácie na Certyneo vysvetľuje, ako preradiť svoje existujúce procesy bez straty údajov alebo prerušenia služby.

Bezpečnosť, GDPR a správa údajov o telefónii

Spracúvanie osobných údajov o telefónnom čísle

Mobilné telefónne číslo je osobný údaj v zmysle článku 4 GDPR. Jeho používanie v rámci overenia OTP vyžaduje:

• jasne identifikovaný právny základ: výkon zmluvy (čl. 6.1.b GDPR) alebo oprávnený záujem (čl. 6.1.f GDPR) podľa vzťahu medzi vydávateľom výberu ponúk a uchádzačom;
• predchádzajúcu informáciu uchádzača o používaní jeho čísla (uvedenie v podmienkach používania alebo v e-maile s pozvánkou);
• obmedzenú dobu uchovávanie: číslo nesmie byť uchovávané po skončení procesu podpisovania, okrem právneho archívu, ktorý je odôvodnený.

Právne tímy a DPO nájdu ďalšie zdroje v našom glossári elektronického podpisu, ktorý odkazuje na kľúčové definície GDPR aplikované na workflow podpisovania.

Odolnosť voči útokom a ochrana proti podvodom

Overenie SMS je zraniteľné voči určitým vektorom útoku (SIM swapping, abrupcia SS7). Pri trhu s vysokým Stakes (sumy > 500 000 € bez DPH) Certyneo odporúča kombinovať OTP SMS s:

• predchádzajúcim overením totožnosti (KYC dokumentárne alebo IDnow);
• kvalifikovaným hodinami poskytovanými poskytovateľom služieb dôvery (Trust Service Provider, TSP) akreditovaným eIDAS;
• výstrahou v reálnom čase v prípade zmeny telefónneho čísla v 48 hodinách pred podpisom.

Tieto ďalšie opatrenia presunú podpis na kvalifikovanú úroveň eIDAS, najvyššiu uznanú európskymi predpismi, a predstavujú maximálnu záruku na citlivých alebo klasifikovaných verejných trhoch.

Právny rámec vzťahujúci sa na overenie SMS v zákazkách

Nariadenie eIDAS č. 910/2014 a jeho úrovne podpisovania

Nariadenie (EÚ) č. 910/2014 Európskeho parlamentu a Rady (eIDAS) predstavuje základný právny rámec elektronického podpisu v Európe. Rozlišuje tri úrovne:

• Jednoduchý elektronický podpis (čl. 3.10): údaje v elektronickej podobe pripojené alebo spojené s inými údajmi, ktoré podpisujúci používa na podpísanie. Obmedzená právna hodnota na verejné výbery ponúk.
• Pokročilý elektronický podpis (čl. 3.11): spĺňa požiadavky čl. 26 eIDAS, vrátane jedinečnosti prepojenia s podpisujúcim a detegovanosti akejkoľvek zmeny. Overenie OTP SMS v kombinácii s predchádzajúcou identifikáciou umožňuje dosiahnuť túto úroveň.
• Kvalifikovaný elektronický podpis (čl. 3.12): vytvorený pomocou kvalifikovaného zariadenia na vytvorenie podpisu na základe kvalifikovaného certifikátu vydaného TSP akreditovaným podľa eIDAS. Jediná úroveň s právnym účinkom rovnajúcim sa podpisu rukou vo všetkých členských štátoch (čl. 25.2 eIDAS).

Francúzsky občiansky zákonník — články 1366 a 1367

Článok 1366 občianskeho zákonníka určuje, že "elektronický spis má rovnakú presvedčujúcu silu ako spis na papieri za predpokladu, že možno náležite identifikovať osobu, od ktorej pochádza, a že je spis vypracovaný a uchovávané spôsobom, ktorý zaručuje jeho integritu". Článok 1367 objasňuje, že "elektronický podpis pozostáva z používania spoľahlivého postupu identifikácie, ktorý zaručuje jeho prepojenie s činom, ku ktorému sa vzťahuje".

OTP SMS priamo prispieva k spĺňaniu podmienok spoľahlivého identifikácie stanovených v čl. 1367 vytvorením spojenia medzi registrovaným telefónnym číslom a podpísaným činom.

Kódex verejných zákupiek

Články R. 2132-7 a nasledujúce Kódexu verejných zákupiek vyžadujú, aby ponuky posielané elektronickými prostriedkami boli podpísané aspoň pokročilým elektronickým podpisom na základe kvalifikovaného certifikátu. Overenie SMS sa zaraďuje do mechanizmu umožňujúceho dosiahnuť túto úroveň, za predpokladu, že celý proces podpisovania je zdokumentovaný a archivovaný.

GDPR č. 2016/679 — Ochrana údajov o telefónii

Článok 32 GDPR vyžaduje vhodné technické a organizačné opatrenia na zaistenie bezpečnosti spracúvaných údajov, vrátane šifrovania a pseudonymizácie. Telefónne číslo používané pre OTP SMS musí byť šifrované v kľude a pri prenose (minimálne TLS 1.3). Článok 5.1.e stanovuje obmedzenie uchovávanie: číslo môže byť uchovávané iba v čase, ktorý je presne potrebný na dosiahnutie cieľa spracúvania.

Aplikovateľné normy ETSI

• ETSI EN 319 132 (XAdES): formát pokročilého podpisu XML, odporúčaný pre časti verejných zákupiek vo formáte XML.
• ETSI EN 319 122 (CAdES): formát pokročilého podpisu CMS, vhodný pre binárne súbory (PDF, ZIP).
• ETSI EN 319 102-1: postupy na vytvorenie a overovanie elektronických podpisov vrátane kvalifikovaného hodinami RFC 3161.

Nedodržanie týchto noriem vystavuje vydávateľa alebo uchádzača riziku zamietnutia ponuky z dôvodu formálnej nepravidelnosti alebo nepreukazovateľnosti podpisu v prípade zmluvného sporu.

Konkrétne scenáre použitia

Scenár 1 — Inžinierskeho kancelária reagujúcej na trh správy projektov

Inžinierska kancelária špecializovaná na infraštruktúru, ktorá má približne tridsať inžinierov a ročne rieši priemerne 15 až 20 odpovedí na zákazky, musí podpísať viaceré dokumenty tvoriace ponuku: záväzný čin, technické memorandum, certifikáty regulačnej zhody. Pred zavedením overenia SMS sa postup opierai o výmenu ručne podpísaných PDF, naskenovaných a opätovne odoslaných e-mailom, čo generovalo priemerne 48 až 72 hodín na spis.

Nakonfigurovaním procesu Certyneo s overením OTP SMS pre každého interného podpisujúceho (technický riaditeľ, majiteľ) znížila kancelária túto lehotu na menej ako 2 hodiny. Automaticky generovaná správa o podpise je pripojená k spisu vloženému na profil kupujúceho, spĺňajúci požiadavky na pokročilý podpis. Sektorové štúdie o elektronizácii B2B odhadujú zníženie času spracúvania administratívy o 60-70% pri prechode na elektronický podpis so silnou autentifikáciou.

Scenár 2 — Dočasného združenia podnikov (DZP) na trhu prác

V rámci verejného trhu prác (čásť hutnických zemných prác + čásť hrubej stavby) dve spoločnosti tvoria DZP. Každý zmocnenec musí podpísať záväzný čin v mene svojej spoločnosti. Obe spoločnosti sa nachádzajú v rôznych mestách a termín odoslania ponúk je 12:00.

Vďaka funkcii paralelných podpisov Certyneo obaja podpisujúci súčasne dostanú e-mailové pozvánky. Každý pristúpi na svoju stránku overenia, zadá svoj kód OTP prijatý SMS menej ako minútu a umiestni svoj pokročilý elektronický podpis. Koordinátor DZP okamžite dostane oznámenie o dokončení a môže nahradiť dokončený spis pred konečným termínom. Tento scenár ilustruje, ako overenie SMS eliminuje riziko oneskorenia spôsobeného viacmiestnou koordináciou, problém, ktorý podľa niektorých štúdií predstavuje približne 30% neskorých odoslaní pri odpovediach v skupinách.

Scenár 3 — Územného samosprávneho celku vydávajúceho výber ponúk

Územný samosprávny celok strednej veľkosti (medzi 50 000 a 200 000 obyvateľmi), ktorý chce nie odpovedať na výber ponúk, ale vydávať ho, môže tiež slúžiť na overenie SMS na zabezpečenie interného podpisovania častí trhu (CCAP, CCTP, RC). Pred zverejnením konzultácie na profile kupujúceho musia riaditeľ technických služieb a zvolený zástupca spolu podpísať dokumenty tvoriace trh.

Nasadením interného procesu Certyneo s overením OTP SMS pre každého inštitucionálneho podpisujúceho vytvorí samosprávny celok záznam o administratívnom overení vopred. Táto sledovateľnosť je obzvlášť užitočná pri kontrolách právnosti vykonávaných prefektúrou alebo pri audite regionálnej kancelárie účtov. Zníženie právneho rizika spojeného s neoverenými podpismi predstavuje hlavný problém zhody s požiadavkami vyhlášky č. 2015-899 kodifikovanej v Kódexe verejných zákupiek.

Záver

Integrácia stránky overenia s kódom SMS do vašej odpovede na výber ponúk nie je jednoducho technickou formalitou: je to právna záruka, dokumentovaný dôkaz súhlasu a nástroj na dodržiavanie predpisov v zmysle nariadenia eIDAS a Kódexu verejných zákupiek. Overením každého podpisujúceho cez OTP SMS s hodinovým pečiatkom dosiahnete úroveň pokročilého elektronického podpisu vyžadovanú väčšinou verejných kupujúcich, pričom drasticky skrátite interné lehoty a znížite riziká zamietnutia z dôvodu formálnej nepravidelnosti.

Certyneo vám umožní konfiguráciu tohto procesu v niekoľkých minútach bez počítačového vývoja, s denníkom auditu v súlade s normami ETSI a archivovaný podľa právnych povinností. Či ste jediným uchádzačom, členom DZP alebo verejným kupujúcim, riešenie sa prispôsobuje vašemu kontextu.

Ste pripravení zabezpečiť vaše ďalšie odpovede na výbery ponúk? Bezplatne si vytvorte účet Certyneo a nakonfigurujte svoj prvý proces s overením SMS ešte dnes.