Stranica validacije SMS-om za odgovor na javni poziv

Kada preduzeće odgovori na javni ili privatni poziv za ponude, pitanje pravne vrijednosti prosljeđenog dosijea je centralno. Elektronski potpisani dokument bez mehanizma jakog provjere autentičnosti može biti osporavan pred sudom ili odbijen od strane javnog kupca. Upravo tu ulazi u igru stranica validacije sa SMS kodom : ovaj korak provjere autentičnosti sa jednokratnom lozinkom (OTP) pojačava dokaz pristanka ponuditelja, zadovoljava zahtjeve uredbe eIDAS i jamči potpunu praćljivost putanje potpisivanja. U ovom članku detaljno objašnjavamo zašto i kako uvesti ovaj mehanizam u vaš radni tok odgovora na javni poziv, prolazom kroz tehničke preduslove, konfiguraciju korak po korak i najbolje prakse koje treba slijediti.

Zašto integrirati validaciju SMS kodom u vaš odgovor na javni poziv

Dokazna vrijednost u srcu javnih nabavki

Okvir javnih nabavki u Francuskoj nameće da ponude prosljeđene dematerijalizovanom rutom zadovolje zahtjeve utvrđene dekretom br. 2016-360 od 25. marta 2016. godine o javnim nabavkama. Od 1. oktobra 2018, sva ročišta čija je procijenjena vrijednost veća od 40.000 € bez PDV-a impliciraju obaveznu dematerijalizaciju preko akreditovane platforme za depozit (profil kupca). U ovom kontekstu, elektronski potpis povezan sa OTP mehanizmom preko SMS-a predstavlja napredni elektronski potpis prema uredbi eIDAS, što znači:

• vezan za potpisnika na jedinstven način;
• omogućava identifikaciju potpisnika;
• kreiran iz podataka koje potpisnik može koristiti pod svojom isključivom kontrolom;
• vezan za potpisane podatke na način koji omogućava detekciju bilo kakve naknadne izmjene.

Bez ovog nivoa provjere autentičnosti, jednostavan potpis (klik ili oznaka polja) može biti nesufficijan da pravno obaveze ponuditelja, posebno kada kupac zahtijeva napredni ili kvalifikovani potpis za određene osjetljive stavke.

Smanjiti rizike od osporavanja i nepravilnosti

Dosije odgovora na javni poziv može biti proglašen nepravilnim ako nabavljač smatra da identitet potpisnika nije dovoljno uspostavljen. Dodavanje SMS validacijske stranice kreira drugi faktor provjere autentičnosti (2FA) koji, kombiniran sa prethodno provjerenim identitetom, predstavlja čvrst dokaz. U slučaju spora pred upravnim sudom ili sucem ugovora, horodatiran revidirani zapis (vremenski pečat, maskirani telefonski broj, IP adresa, heš dokumenta) predstavlja prihvatljiv dokaz.

Za detaljnije informacije, kompletan vodič o elektronskom potpisu objašnjava različite nivoe potpisa i njihove pravne implikacije prema francuskom i evropskom pravu.

Tehnički komponenti SMS validacijske stranice

OTP arhitektura i SMS kanal

Stranica validacije SMS-om se oslanja na tri međuzavisne komponente:

1. OTP generator (One-Time Password) : algoritam TOTP (Time-based OTP, RFC 6238) ili HOTP (HMAC-based OTP, RFC 4226) generiše kod od 6 cifara, obično validan između 5 i 10 minuta.
2. SMS pristupnica (SMS gateway) : akreditovani operator (npr. Twilio, OVHcloud SMS, Brevo) usmjerava kod na telefonski broj ponuditelja, registrovan tokom faze poziva ili registracije.
3. Sigurno sučelje unosa : web stranica prikazana ponuditelju mora zadovoljiti zahtjeve WCAG 2.1 (pristupačnost), jasno prikazati istjecanje koda i ponuditi ograničeni mehanizam ponovnog slanja (zaštita od zloupotrebe, maksimalno 3 pokušaja).

Sa aspekta sigurnosti, telefonski broj mora biti prethodno validiran (provjera tijekom onboardinga) i pohranjen šifrirano u bazi podataka, u skladu sa zahtjevima RGPD-a (čl. 32 o sigurnosti obrade).

Integracija u radni tok potpisa Certyneo

Na platformi Certyneo, dodavanje SMS validacijske stranice vrši se direktno iz sučelja konfiguracije putanje potpisa. Evo koraka:

Korak 1 — Kreirati ili uvoziti dokument odgovora Učitajte vašu tehnološku memorandu, akt angažmana ili bilo koju drugu sastavnu dio ponude. Certyneo generator ugovora sa AI-om omogućava i prethodnu popunu određenih tipskih dokumenata.

Korak 2 — Konfigurirati potpisnike Unesite ime, prezime, email adresu i broj mobilnog telefona (format E.164, npr. +33 6 XX XX XX XX) svake osobe ovlaštene da potpiše ponudu. Ovo polje je obavezno da bi se aktivirala SMS validacija.

Korak 3 — Aktivirati OTP SMS autentifikaciju U meniju « Sigurnost putanje », označite opciju « Validacija SMS kodom ». Možete konfigurirati:

• trajanje valjanosti koda (preporučeno: 5 minuta);
• maksimalan broj pokušaja (preporučeno: 3);
• personalizovanu poruku poslanu potpisniku (napomena o javnom pozivu, referenci konsultacije).

Korak 4 — Personalizovati validacijsku stranicu Sučelje Certyneo nudi « no-code » urednik stranice koji omogućava dodavanje logotipa vaše organizacije, naslova konsultacije i jasnih uputstava za ponuditelja. Ova personalizacija pojačava povjerenje i smanjuje napuštanja putanje.

Korak 5 — Testirati putanju u režimu sandbox Prije stvarnog slanja, koristite Certyneo test režim da simulirate primanje SMS-a i unos koda. Provjerite da revidirani zapis bilježi: vremenski pečat, SHA-256 heš dokumenta, maskirani telefonski broj i IP adresu terminalnog uređaja.

Najbolje prakse za optimalnu konfiguraciju

Anticipirati operativna ograničenja ponuditelja

U okviru javnog poziva, ponuditelj može biti fizička lica ili zakonski predstavnik maloga i srednjeg preduzeća, privremenog zajedničkog udruženja preduzeća (GME) ili velike grupe. Nekoliko operativnih ograničenja mora biti anticipirano:

• Nedostupnost telefonskog broja : ako je označeni potpisnik na međunarodnoj putnji, SMS možda neće stigati na vrijeme. Predvidjeti opciju delegiranja potpisa sa prethodnom obavijesti.
• Rotacija odgovornih osoba : u većim organizacijama, potpisujući izvršni direktor može se promijeniti između slanja poziva i roka za depozit. Polje « telefonski broj » mora biti promjenljivo od strane administratora računa do 24 sata prije roka.
• Pristupačnost : određeni korisnici sa invaliditetom mogu naići na poteškoće sa unosom privremenog koda. Ponuditi audio alternativu (automatski poziv čitanja koda) ako je vaša infrastruktura omogući.

Arhiviranje i revidirani zapis u skladu sa standardima

SMS validacijska stranica predstavlja samo jedno haljenče u mehanizmu dokaza. Da bi cijeli dosije bio prijavljivačan, arhiviranje mora biti u skladu sa ETSI EN 319 132 (XAdES) ili ETSI EN 319 122 (CAdES) standardom prema formatu potpisa koji je odabran. Certyneo automatski generiše izvještaj o potpisu u PDF/A formatu koji sadrži:

• listu potpisnika sa njihovim nivoom provjere autentičnosti;
• sertifikovane vremenskog pečate (RFC 3161);
• kompletan zapis događaja SMS-a (slanje, potvrđena primanja, ispravan ili neispravan unos).

Ovaj izvještaj mora biti čuvan tijekom cijelog trajanja valjanosti tržišta, pa čak i dalje u slučaju spora. Za javne nabavke, Zakon o nabavkama (čl. L. 2194-1 i slijedeći) predviđa rokove čuvanja koji mogu ići do 10 godina. Cijene i opcije za dugoročno arhiviranje detaljno su opisane na stranici tarifa Certyneo.

Integracija sa platformama za dematerijalizaciju (profili kupaca)

Kada odgovor na javni poziv prolazi kroz trećestransku platformu (AWS Marchés, e-Attestations, Achat Public, Klekoon, itd.), Certyneo se može koristiti unaprijed da se dokumenti koji čine ponudu potpiše i validiraju interno prije njihova depozita na profil kupca. Potpisana datoteka (u XAdES ili PAdES formatu) se zatim učitava na platformu, zajedno sa Certyneo izvještajem o potpisu kao dokazom provjere autentičnosti.

Ako vaša organizacija već koristi konkurentno rješenje, stranica migracije na Certyneo objašnjava kako prebaciti vaše postojeće putanje bez gubitka podataka ili prekida usluge.

Sigurnost, RGPD i upravljanje podacima telefonije

Obrada ličnih podataka telefonskog broja

Broj mobilnog telefona je lični podatak prema članu 4 RGPD-a. Njegova upotreba u okviru OTP validacije zahtijeva:

• jasno identificiranu pravnu osnovu : izvršenje ugovora (čl. 6.1.b RGPD) ili legitimni interes (čl. 6.1.f RGPD) u zavisnosti od odnosa između emitera javnog poziva i ponuditelja;
• prethodnu informaciju ponuditelja o upotrebi njegovog broja (napomena u OPU ili u email-u poziva);
• ograničeno trajanje čuvanja : broj ne smije biti čuvan izvan kraja putanje potpisivanja, osim zakonskog arhiviranja opravdanog.

Pravne teams i DPO mogu pronaći dodatne resurse u našem rječniku elektronskog potpisa, koji referira ključne definicije RGPD-a primijenjene na radne tokove potpisa.

Otpornost na napade i zaštita od prijevare

SMS validacija je ranjiva na određene vektore napada (SIM swapping, intercepcija SS7). Za tržišta sa visokim rizikom (iznosi > 500.000 € bez PDV-a), Certyneo preporučuje kombiniranje OTP SMS-a sa:

• prethodnom provjerom identiteta (KYC dokumentarna ili IDnow);
• kvalificiranim vremenskim pečatom pružena od strane provajdera pouzdanih usluga (Trust Service Provider, TSP) akreditovana prema eIDAS-u;
• upozorenjem u realnom vremenu u slučaju promjene telefonskog broja u 48 sati prije potpisivanja.

Ove dodatne mjere prebacuju potpis na nivo kvalificiranog eIDAS-a, najviši prepoznat od strane evropske uredbe, i predstavljaju maksimalnu garanciju za osjetljive ili klasificirane javne nabavke.

Pravni okvir primjenjiv na SMS validaciju u javnim pozivima

Uredba eIDAS br. 910/2014 i njeni nivoi potpisa

Uredba (EU) br. 910/2014 Evropskog parlamenta i Vijeća (eIDAS) čini normativan temelj elektronskog potpisa u Evropi. Ona razlikuje tri nivoa:

• Jednostavan elektronski potpis (čl. 3.10) : podaci u elektronskom obliku priloženi ili povezani sa drugim podacima, koje potpisnik koristi da potpiše. Ograničena pravna vrijednost za javne pozive.
• Napredni elektronski potpis (čl. 3.11) : zadovoljava zahtjeve čl. 26 eIDAS-a, uključujući jedinstvenu vezu sa potisnikom i detektabilnost bilo kakve alteracije. OTP SMS validacija, kombinirana sa prethodnom identifikacijom, omogućava dostizanje ovog nivoa.
• Kvalificirani elektronski potpis (čl. 3.12) : kreiran korištenjem kvalificiranog uređaja za kreiranje potpisa, zasnovan na kvalificiranom certifikatu izdanom od strane akreditovanog TSP-a. Jedini nivo sa pravnom vrijednosti ekvivalentnom ručnom potpisanom u svim članicama (čl. 25.2 eIDAS).

Francuski Građanski zakon — Članci 1366 i 1367

Članak 1366 Građanskog zakona predviđa da « elektronski pisani dokument ima istu dokaznu vrijednost kao pisani dokument na papiru, pod uslovom da lica čiji potječe može biti pravilno identificirano i da je uspostavljen i čuvan na način koji garantira njegovu integrnost ». Članak 1367 pojašnjava da « elektronski potpis se sastoji od upotrebe pouzdanog postupka identifikacije koji jamči njegovu vezu sa aktom kojem se pripaja ».

OTP SMS direktno doprinosi zadovoljavanju uslova pouzdane identifikacije postavljene člancima 1367, kreirajući vezu između registrovanog telefonskog broja i potpisanog akta.

Zakon o nabavkama

Članci R. 2132-7 i slijedeći Zakona o nabavkama nameću da ponude prosljeđene elektronskom rutom budu potpisane sa najmanje naprednim elektronskim potpisom zasnovanim na kvalificiranom certifikatu. SMS validacija ulazi u mehanizam koji omogućava dosizanje ovog nivoa, pod uslovom da je cijela putanja potpisa dokumentirana i arhivirana.

RGPD br. 2016/679 — Zaštita podataka telefonije

Članak 32 RGPD-a nameće primjerene tehničke i organizacijske mjere za osiguranje sigurnosti obrađenih podataka, uključujući šifriranje i pseudonimizaciju. Telefonski broj korišten za OTP SMS mora biti šifriran na mirovanja i pri prenosu (minimum TLS 1.3). Članak 5.1.e nameće ograničenje čuvanja: broj može biti čuvan samo onoliko dugo koliko je neophodno za svrhu obrade.

Primjenjivi ETSI standardi

• ETSI EN 319 132 (XAdES) : format naprednog XML potpisa, preporučen za dijelove javnih nabavki u XML formatu.
• ETSI EN 319 122 (CAdES) : format CMS naprednog potpisa, prilagođen binarnim datotekama (PDF, ZIP).
• ETSI EN 319 102-1 : procedure za kreiranje i validaciju elektronskih potpisa, integrujući kvalifikovani vremenski pečat RFC 3161.

Nepoštovanje ovih standarda izlaže emitera ili ponuditelja riziku od odbijanja ponude za formalnu nepravilnost, ili neuporabljivosti potpisa u slučaju ugovornog spora.

Konkretni scenariji upotrebe

Scenarij 1 — Inženjerski biro koji odgovara na tržište arhitekture

Inženjerski biro specijaliziran za infrastrukturu, sa oko trideset inženjera i upravljanjem prosječno 15 do 20 odgovora na javne pozive godišnje, mora potpisati nekoliko sastavnih dijelova ponude: akt angažmana, tehnološku memorandu, ateste regularnosti fiskalnog i socijalnog statusa. Prije primjene SMS validacije, procedura je počivala na razmjeni PDF-a potpisanih ručno, skenirano i ponovo proslijeđenih emailom, što je generirale prosječne kašnjenja od 48 do 72 sata po dosijeju.

Konfiguriranjem putanje Certyneo sa OTP SMS validacijom za svakog unutrašnjeg potpisnika (tehnički direktor, upravljač), biro je smanjio to kašnjenje na manje od 2 sata. Automatski generisani izvještaj o potpisu je priložen dosijeju depozitanom na profil kupca, zadovoljavajući zahtjeve za napredni potpis. Industrijske studije o dematerijalizaciji B2B procjenjuju 60-70% smanjenja vremena administrativne obrade pri prelasku na elektronski potpis sa jakom provjersičkom autentičnosti.

Scenarij 2 — Privremeno zajedničko udruženje preduzeća (GME) na tržištu radova

U okviru javne nabavke radova (stavka zemljani radovi + stavka temelj/okvir), dva preduzeća formiraju GME zajedničko. Svaki mandatni predstavnik mora potpisati akt angažmana u ime svoje korporacije. Dva preduzeća su locirana u različitim gradovima, a rok za prikupljanje ponuda je 12h00.

Zahvaljujući mogućnosti paralelnog potpisivanja Certyneo, oba potpisnika primaju istovremeno email poziva. Svaki pristupa svojoj validacijskoj stranici, unosi svoj OTP kod primljen SMS-om za manje od minuta, i applikuje svoj napredni elektronski potpis. Koordinator GME-a odmah prima obavijest o završetku i može učitati završni dosije prije isteka roka. Ovaj scenarij ilustruje kako SMS validacija eliminira rizik kašnjenja povezan sa koordinacijom višestrukih lokacija, problemi koji prema određenim studijama predstavljaju otprilike 30% kasnih depozita u odgovorima u udruženjima.

Scenarij 3 — Teritorijalna samouprava kao emiter javnog poziva

Teritorijalna samouprava srednje veličine (između 50.000 i 200.000 stanovnika) koja želi ne odgovoriti na javni poziv već ga izdati, može se osloniti na SMS validaciju da osigura unutrašnje potpisivanje dijelova tržišta (CCAP, CCTP, RC). Prije nego što se konsultacija stavi online na profil kupca, direktor tehničkih službi i odabrani blagajnik trebaju co-potpisati sastavne dijelove.

Razmještanjem interne putanje Certyneo sa OTP SMS validacijom za svakog institucionalnog potpisnika, samouprava kreira dokaznu tragu prethodne administrativne validacije. Ova praćljivost je posebno korisna pri kontrolama zakonitosti koju vrši prefektura ili pri reviziji regionalne komore računa. Smanjenje pravnog rizika povezanog sa neautentificiranim potpisom predstavlja ključni problem usklađenosti za javne kupce, u odnosu na zahtjeve uredbe br. 2015-899 kodificirane u Zakonu o nabavkama.

Zaključak

Integriranje SMS validacijske stranice u vaš odgovor na javni poziv nije jednostavna tehnička formalnost: to je pravna garancija, dokumentiran dokaz pristanka i alat usklađenosti sa regulativom prema uredbi eIDAS i Zakonu o nabavkama. Autentificiranjem svakog potpisnika preko horodatiranog OTP SMS-a, dostižete nivo naprednog elektronskog potpisa koji zahtijeva velika većina javnih kupaca, istovremeno drastično smanjujući unutrašnja kašnjenja i rizike od odbijanja za formalnu nepravilnost.

Certyneo vam omogućava konfiguraciju ove putanje u nekoliko minuta, bez razvoja software-a, sa revidirani zapisom u skladu sa ETSI standardima i arhiviranjem prema zakonskim obavezama. Bilo da ste jedinstveni ponuditelj, član GME-a ili javni kupac, rješenje se adaptira vašem kontekstu.

Spremni da osigurate vaše sljedeće odgovore na javne pozive? Kreirajte svoj Certyneo račun besplatno i konfigurujte vašu prvu putanju sa SMS validacijom od danas.