Stran za preverjanje SMS za odgovore na razpise

Ko podjetje odgovori na javen ali zasebni razpis, je vprašanje pravne vrednosti predloženega dokumenta osrednje. Elektronsko podpisan dokument brez mehanizma močne avtentifikacije je lahko sporjen na sodišču ali zavrnjen s strani javnega naročnika. Natanko tam vstopa v igro stran za preverjanje s kodo SMS: ta faza avtentifikacije z enkratnim geslom (OTP) ojača dokaz o soglasju ponudnika, izpolnjuje zahteve uredbe eIDAS in zagotavlja popolno sledljivost poteka podpisovanja. V tem članku podrobno razložimo, zakaj in kako vzpostaviti ta mehanizem v vašem delovnem toku za odgovore na razpise, pri čemer obravnavamo tehnične predpogoje, korak za korakom navodilo za konfiguriranje in najboljše prakse, ki jih je treba slediti.

Zakaj integrirati preverjanje s kodo SMS v vaš odgovor na razpis

Dokazna vrednost v jedru javnih naročil

Okvir za javna naročila v Franciji zahteva, da ponudbe, poslane v elektronski obliki, izpolnjujejo zahteve, določene z uredbo št. 2016-360 z dne 25. marca 2016 o javnih naročilih. Od 1. oktobra 2018 mora vsak razpis, katerega ocenjena vrednost presega 40 000 EUR brez DDV, potekati po elektronski poti prek odobrenega sistema za depozit (kupčev profil). V tem kontekstu je elektronski podpis, ki ga spremlja mehanizem OTP prek SMS, napreden elektronski podpis v smislu uredbe eIDAS, torej:

• povezan s podpisovalcem na enoten način;
• omogoča identifikacijo podpisovalca;
• ustvarjen iz podatkov, ki jih podpisovalec lahko uporablja izključno pod svojim nadzorom;
• povezan s podpisanimi podatki tako, da je mogoče zaznati katero koli poznejšo spremembo.

Brez te ravni avtentifikacije je preprost podpis (klik ali polje za potrditev) lahko nezadosten, da pravno zaveza podpisovalca, zlasti kadar naročnik zahteva napreden ali kvalificirani podpis za določene občutljive dele.

Zmanjšanje tveganja za pritožbe in nepravilnosti

Ponudbo za razpis je mogoče razglasiti za nepravilno, če naročnik oceni, da identiteta podpisovalca ni dovolj ugotovljena. Dodajanje strani za preverjanje SMS ustvari drugi faktor avtentifikacije (2FA), ki v kombinaciji s prej preverjeno identiteto tvori trdno dokaz. V primeru spora pred upravnim sodiščem ali sodnikom za pogodbe je časovno opremljeni revidirani dnevnik (časovni žig, maskirana telefonska številka, naslov IP, hash dokumenta) sprejemljiv dokaz.

Za več informacij o temeljih si oglejte celoten vodnik za elektronski podpis, ki pojasnjuje različne ravni podpisovanja in njihove pravne posledice v francoskem in evropskem pravu.

Tehnične komponente strani za preverjanje SMS

Arhitektura OTP in kanal SMS

Stran za preverjanje s kodo SMS temelji na treh medsebojno odvisnih komponentah:

1. Generator OTP (One-Time Password): algoritem TOTP (Time-based OTP, RFC 6238) ali HOTP (HMAC-based OTP, RFC 4226) ustvari 6-mestno kodo, ki je na splošno veljavna med 5 in 10 minutami.
2. Prehod SMS (SMS gateway): pooblaščeni operater (npr. Twilio, OVHcloud SMS, Brevo) dostavi kodo na telefonsko številko ponudnika, registrirano med fazo povabila ali registracije.
3. Varni vmesnik za vnos: spletna stran, prikazana ponudniku, mora izpolnjevati zahteve WCAG 2.1 (dostopnost), jasno prikazati poteka veljavnosti kode in ponuditi omejen mehanizem ponovnega pošiljanja (zaščita pred zlorabo, največ 3 poskusi).

Z vidika varnosti mora biti telefonska številka vnaprej validirana (preverjeno med vključevanjem) in v podatkovni bazi shranjena šifrirana, v skladu z zahtevami RGPD (čl. 32 o varnosti obdelav).

Integracijo v delovni tok podpisovanja Certyneo

Na platformi Certyneo je dodajanje strani za preverjanje SMS mogoče izvesti neposredno iz vmesnika za konfiguriranje poteka podpisovanja. Tukaj so koraki:

Korak 1 — Ustvarjanje ali uvoz dokumenta za odgovor Naložite vaš tehnični memorandum, pogodbo o pristanku ali katero koli drugo funkcionalno komponento ponudbe. Ustvarjalnik pogodb s pomočjo umetne inteligence Certyneo omogoča tudi vnaprejšnje polnjenje nekaterih standardnih dokumentov.

Korak 2 — Konfiguriranje podpisovalcev Vnesite ime, priimek, e-naslov in mobilno telefonsko številko (oblika E.164, npr. +33 6 XX XX XX XX) vsake osebe, ki je pooblaščena za podpisovanje ponudbe. To polje je obvezno za aktiviranje preverjanja SMS.

Korak 3 — Aktiviranje avtentifikacije OTP SMS V meniju »Varnost poteka« potrdite možnost »Preverjanje s kodo SMS«. Lahko nastavite:

• trajanje veljavnosti kode (priporočeno: 5 minut);
• največje število poskusov (priporočeno: 3);
• prilagojeno sporočilo, poslano podpisovalcu (omemba razpisa, sklic na posvetovanje).

Korak 4 — Prilagoditev strani za preverjanje Vmesnik Certyneo ponuja »ne-kodno« urejevalnik strani, ki omogoča dodajanje logotipa vaše organizacije, naslova posvetovanja in jasnih navodil za ponudnika. Ta prilagoditev okrepi zaupanje in zmanjša zapustitve poteka.

Korak 5 — Testiranje poteka v peskovniku Pred pravim pošiljanjem uporabite testni način Certyneo za simulacijo prejema SMS in vnosa kode. Preverite, da revidirani dnevnik zajame: časovni žig, SHA-256 hash dokumenta, maskirana telefonska številka in naslov IP terminalnega uporabnika.

Najboljše prakse za optimalno konfiguracijo

Predvidevanje operativnih omejitev ponudnika

V kontekstu razpisa je ponudnik lahko fizična oseba ali zakoniti predstavnik malega in srednjega podjetja, začasnega skupnega podjetja (GME) ali velike skupine. Upoštevati je treba več operativnih omejitev:

• Nedostopnost telefonske številke: če je označeni podpisovalec na mednarodni poti, se SMS morda ne bo prispel pravočasno. Predvidite možnost delegiranja podpisa s prejšnjim obvestilom.
• Rotacija odgovornih oseb: v velikih organizacijah se lahko izvršni direktor, podpisovalec, spremeni med pošiljanjem povabila in rokom za oddajo. Polje »telefonska številka« mora biti spremenljivo s strani skrbnika računa do 24 ur pred rokom.
• Dostopnost: nekateri uporabniki s posebnimi potrebami se lahko srečajo s težavami pri vnosu začasne kode. Predlagajte glasovno alternativo (samodejni klic za branje kode), če to vaša infrastruktura omogoča.

Arhiviranje in revidirani dnevnik v skladu s predpisi

Stran za preverjanje SMS je le ena komponenta sistema dokazov. Da je celotna ponudba protiustavna, mora arhiviranje izpolnjevati standard ETSI EN 319 132 (XAdES) ali ETSI EN 319 122 (CAdES) glede na izbrano obliko podpisa. Certyneo samodejno ustvari poročilo o podpisu v obliki PDF/A, ki vključuje:

• seznam podpisovalcev z njihovo ravnijo avtentifikacije;
• certificirane časovne žige (RFC 3161);
• celoten revidirani dnevnik SMS dogodkov (pošiljanje, potrjena prejema, pravilen ali nepravilen vnos).

To poročilo je treba ohraniti za čas trajanja veljavnosti pogodbe, celo še dlje v primeru spora. Za javna naročila Zakonik o javnih naročilih (čl. L. 2194-1 in naprej) predvideva dobo hranjenja, ki lahko traja do 10 let. Cene in možnosti dolgoročnega arhiviranja so podrobno opisane na strani s cenami Certyneo.

Integracijo s platformami za elektronizacijo (profili kupcev)

Ko odgovor na razpis poteka prek tretje osebe (AWS Marchés, e-Attestations, Achat Public, Klekoon itd.), lahko Certyneo uporabljate vnaprej za interno podpisovanje in preverjanje dokumentov, ki sestavljajo ponudbo, preden jo oddajo na profil kupca. Podpisana datoteka (v obliki XAdES ali PAdES) se nato naloži na platformo skupaj s poročilom o podpisu Certyneo kot dokaz avtentifikacije.

Če vaša organizacija že uporablja konkurenčno rešitev, stran migracija na Certyneo pojasnjuje, kako prenesti obstoječe poteke brez izgube podatkov ali prekinitve storitve.

Varnost, RGPD in upravljanje podatkov o telefoniji

Obdelava osebnih podatkov telefonske številke

Mobilna telefonska številka je osebni podatek v smislu člena 4 RGPD. Njena uporaba pri preverjanju OTP zahteva:

• jasno pravno osnovo: izvedbo pogodbe (čl. 6.1.b RGPD) ali legitimne interese (čl. 6.1.f RGPD) odvisno od razmerja med izdajateljem razpisa in ponudnikom;
• predhodno obveščanje ponudnika o uporabi njegove številke (omemba v splošnih pogojih ali v e-pošti s povabilom);
• omejeno dobo hranjenja: številka ne sme biti ohranjena dlje kot konec podpisnega poteka, razen arhiviranja, ki je zakonsko podkrepljeno.

Pravne ekipe in DPO bodo našli dodatne vire v našem slovarju elektronskega podpisa, ki navaja ključne definicije RGPD, uporabljene v delovnih tokovih podpisovanja.

Odpornost na napade in zaščita pred goljufijo

Preverjanje SMS je ranljivo za nekatere vektorje napada (SIM swapping, prestreza SS7). Za razpise z visokim tveganjem (zneski > 500 000 EUR brez DDV) Certyneo priporoča kombiniranje OTP SMS z:

• upravo identifikacijo vnaprej (KYC dokumentarni ali IDnow);
• kvalificiranim časovnim žigom, ki ga zagotavlja pooblaščeni ponudnik storitev zaupanja (Trust Service Provider, TSP);
• obvestilom v realnem času v primeru spremembe telefonske številke 48 ur pred podpisom.

Te dodatne ukrepe spremenijo podpis v kvalificirani nivo eIDAS, najvišji, ki ga prizna evropska uredba, in predstavljajo največjo zagarantijo za občutljive ali klasificirane javne razpise.

Zakonski okvir za preverjanje SMS pri razpisih

Uredba eIDAS št. 910/2014 in njene ravni podpisovanja

Uredba (EU) št. 910/2014 Evropskega parlamenta in Sveta (eIDAS) predstavlja normativno osnovo za elektronski podpis v Evropi. Razlikuje tri ravni:

• Preprost elektronski podpis (čl. 3.10): podatki v elektronski obliki priloženi ali povezani z drugimi podatki, ki jih podpisovalec uporablja za podpisovanje. Omejena pravna vrednost za javne razpise.
• Napreden elektronski podpis (čl. 3.11): izpolnjuje zahteve člena 26 eIDAS, vključno z edinstvenostjo povezave s podpisovalcem in zaznavnostjo sprememb. Preverjanje OTP SMS v kombinaciji s predhodno identifikacijo omogoča doseganje te ravni.
• Kvalificirani elektronski podpis (čl. 3.12): ustvarjen s kvalificirano napravo za ustvarjanje podpisa, temelječ na kvalificiranem certifikatu, ki ga izda akreditiran TSP. Edina raven z učinkom, enakovrednim ročnemu podpisu v vseh državah članicah (čl. 25.2 eIDAS).

Francoski civilni zakonik — Členi 1366 in 1367

Člen 1366 Francoske civilnega zakonika pravi, da »ima elektronski dokument isto dokazno moč kot papirni dokument, pod pogojem, da je mogoče pravilno opredeliti osebo, od katere izvira, in da je ustanovljen ter ohranjen na način, ki zagotavlja njegov celovitost«. Člen 1367 pojasnjuje, da »elektronski podpis sestoji v uporabi zanesljivega postopka identifikacije, ki jamči njegov odnos do dejanja, ki ga spremlja«.

OTP SMS neposredno prispeva k izpolnjevanju pogoja zanesljive identifikacije iz člena 1367, saj ustvari povezavo med registrirano telefonsko številko in podpisanim dejanjem.

Zakonik o javnih naročilih

Členi R. 2132-7 in naprej Zakonika o javnih naročilih zahtevajo, da so ponudbe, poslane po elektronski poti, podpisane z vsaj napredno elektronsko podpiso, ki temelji na kvalificiranem sertifikatu. Preverjanje SMS je del mehanizma, ki omogoča doseganje te ravni, pod pogojem da je celoten potek podpisovanja dokumentiran in arhiviran.

RGPD št. 2016/679 — Zaščita podatkov o telefoniji

Člen 32 RGPD zahteva ustrezne tehnične in organizacijske ukrepe za zagotavljanje varnosti obdelanih podatkov, vključno s šifriranjem in psevdonimizacijo. Telefonska številka, ki se uporablja za OTP SMS, mora biti šifrirana v mirovanju in med prenosom (TLS 1.3 kot najmanj). Člen 5.1.e zahteva omejitev hranjenja: številka je lahko ohranjena le toliko časa, kot je to nujno potrebno za doseganje namena obdelave.

Veljavni standardi ETSI

• ETSI EN 319 132 (XAdES): oblika naprednega podpisa XML, priporočena za javne razpise v obliki XML.
• ETSI EN 319 122 (CAdES): oblika naprednega podpisa CMS, primerna za binarne datoteke (PDF, ZIP).
• ETSI EN 319 102-1: postopki za ustvarjanje in preverjanje elektronskih podpisov, vključno s kvalificiranim časovnim žigom RFC 3161.

Neupoštevanje teh standardov izpostavlja izdajatelja ali ponudnika tveganju zavrnitve ponudbe za formalno nepravilnost ali neprevzamljivosti podpisa v primeru spora v pogodbi.

Konkretni scenariji uporabe

Scenarij 1 — Inženirski kabinet, ki odgovarja na razpis za inženirske storitve

Inženirski kabinet, specializiran za infrastrukturo in šteje približno 30 inženirjev ter letno obdeluje 15 do 20 odgovorov na razpise, mora podpisati več dokumentov, ki sestavljajo ponudbo: pogodbo o soglasju, tehnični memorandum, dokaze o regularnosti glede davkov in socialnega zavarovanja. Pred uvedbo preverjanja SMS je postopek temeljil na izmenjavi PDF-jev, podpisanih ročno, skeniranih in ponovno poslanih po e-pošti, kar je povzročilo povprečno zakasnitev 48 do 72 ur na ponudbo.

S konfiguracijo poteka Certyneo s preverjanjem OTP SMS za vsakega notranjih podpisovalca (tehnični direktor, upravljavec) je kabinet zmanjšal to zakasnitev na manj kot 2 uri. Samodejno generirano poročilo o podpisu je priloženo ponudbi, oddani na profil kupca, kar izpolnjuje zahteve za napreden podpis. Sektorske študije o elektronizaciji B2B ocenjujejo zmanjšanje časa obdelave administracije za 60-70 % pri prehodu na elektronski podpis s poudarjeno avtentifikacijo.

Scenarij 2 — Začasno skupno podjetje (GME) pri razpisu za gradbena dela

V kontekstu javnega razpisa za gradbena dela (del zemeljskih del + del glavne konstrukcije) dve družbi tvorita GME kot skupni mandatarji. Vsak mandatec mora podpisati pogodbo o soglasju v imenu svoje družbe. Obe družbi sta locirani v različnih mestih, rok za oddajo ponudb pa je ob 12:00.

Zahvaljujoč funkciji vzporednih podpisov Certyneo oba podpisovalca sočasno prejmeta povabilo po e-pošti. Vsak dostopa do svoje strani za preverjanje, vnese svojo kodo OTP, prejeto prek SMS, v manj kot eni minuti, in apodira svoj napreden elektronski podpis. Koordinator GME takoj prejme obvestilo o zaključku in lahko pred rokom naloži dokončan dokument. Ta scenarij prikazuje, kako preverjanje SMS odpravlja tveganje zamude, povezane s koordinacijo na več mestih, kar je po nekaterih študijah vzrok za približno 30 % zamujenih oddaj pri odgovorih v skupinah.

Scenarij 3 — Lokalna skupnost kot izdajateljica razpisa

Lokalna skupnost srednje velikosti (med 50 000 in 200 000 abitanti), ki namesto da bi odgovarjala na razpis, želi razpis izdati, se lahko tudi opira na preverjanje SMS za zavarovanje notranjega podpisovanja dokumentov, ki so del razpisa (načrt splošnih tehničnih specifikacij, načrt posebnih tehničnih specifikacij, registri). Pred objavo posvetovanja na profilu kupca mora skupni podpis direktorja tehničnih storitev in izbranega uradnika za razpise na dokumentih, ki sestavljajo razpis.

Z uvedbo notranjega poteka Certyneo s preverjanjem OTP SMS za vsakega podpisovalca institucije skupnost ustvari dokazno sled o predhodni upravni validaciji. Ta sledljivost je posebej koristna pri nadzorih zakonitosti, ki jih izvaja prefektura, ali pri reviji regionalne računske komisije. Zmanjšanje pravnega tveganja, povezanega s nepreverjenim podpisom, predstavlja največjo nalogo skladnosti za javne naročnike v luči zahtev uredbe št. 2015-899, kodizirane v Zakoniku o javnih naročilih.

Zaključek

Vključitev strani za preverjanje s kodo SMS v vaš odgovor na razpis ni le tehnična formalnost: to je pravna zagarantija, dokumentiran dokaz o soglasju in instrument skladnosti s pravili v smislu uredbe eIDAS in Zakonika o javnih naročilih. Z avtentifikacijo vsakega podpisovalca prek OTP SMS s časovnim žigom dosežete raven naprednega elektronskega podpisa, ki jo zahteva velika večina javnih naročnikov, hkrati pa drastično zmanjšate notranje zamude in tveganja zavrnitve zaradi formalne nepravilnosti.

Certyneo omogoča konfiguracijo tega poteka v nekaj minutah brez informacijske podpore, z revidirani dnevnikom, ki je skladen s standardi ETSI in arhiviran v skladu z zakonskimi obveznostmi. Bodisi da ste edini ponudnik, član GME ali javni naročnik, se rešitev prilagodi vašemu kontekstu.

Pripravljeni zaščititi svoje naslednje odgovore na razpise? Brezplačno ustvarite Certyneo račun in konfigurirajte svoj prvi potek s preverjanjem SMS že danes.