SMS-valideringssida för att svara på en upphandlingsomgång

När ett företag svarar på en offentlig eller privat upphandlingsomgång är frågan om den juridiska värdet av det inlämnade dokumentet central. Ett dokument som undertecknats elektroniskt utan stark autentiseringsmekanism kan ifrågasättas inför en domstol eller avvisas av den offentliga köparen. Det är precis här valideringssidan med SMS-kod kommer in: denna autentiseringssteg genom engångslösenord (OTP) stärker beviset för soumissionnärens samtycke, uppfyller kraven i eIDAS-förordningen och garanterar full spårbarhet genom underteckningsprocessen. I den här artikeln beskriver vi varför och hur du implementerar denna mekanism i ditt arbetsflöde för upphandlingssvar, från tekniska förutsättningar, steg-för-steg-konfiguration till bästa praxis.

Varför integrera SMS-kodvalidering i ditt upphandlingssvar

Bevisvärde i centrum för offentlig upphandling

Ramverket för offentlig upphandling i Frankrike föreskriver att erbjudanden som skickas in via elektroniska kanaler uppfyller kraven i dekret nr 2016-360 från den 25 mars 2016 om offentlig upphandling. Sedan den 1 oktober 2018 måste varje konsultation vars beräknade värde överstiger 40 000 € exklusive moms digitaliseras obligatoriskt via en godkänd depositarplattform (köparprofil). I detta sammanhang utgör den elektroniska signaturen kombinerad med en OTP-mekanism via SMS en avancerad elektronisk signatur enligt eIDAS-förordningen, det vill säga:

• på ett entydigt sätt knuten till undertecknaren;
• möjliggör identifiering av undertecknaren;
• skapad från data som undertecknaren kan använda under sitt exklusiva kontroll;
• knuten till de undertecknade data på ett sätt som möjliggör upptäckt av alla senare ändringar.

Utan denna autentiseringsnivå kan en enkel signatur (klick eller kryssruta) vara otillräcklig för att juridiskt binda soumissionnären, särskilt när köparen kräver en avancerad eller kvalificerad signatur för vissa känsliga lotter.

Minska riskerna för antaganden och oegentligheter

En upphandlingssvarsdossier kan förklaras oregelbunden om den tilldelande myndigheten anser att undertecknaren inte är tillräckligt identifierad. Genom att lägga till en SMS-valideringssida skapas ett andra autentiseringsfaktor (2FA) som, kombinerad med den tidigare verifierade identiteten, utgör ett starkt bevis. Vid en tvist inför förvaltningsdomstolen eller avtalsdomaren utgör den tidsstämplade granskningsloggen (tidsstämpel, maskerat telefonnummer, IP-adress, dokumentets hash) ett acceptabelt bevis.

För att gå djupare in på grunderna, den kompletta guiden för elektronisk signatur förklarar de olika signaturerna och deras juridiska konsekvenser enligt fransk och europeisk rätt.

Tekniska komponenter i en SMS-valideringssida

OTP-arkitektur och SMS-kanal

En valideringssida via SMS bygger på tre beroende komponenter:

1. OTP-generator (One-Time Password): en TOTP-algoritm (Time-based OTP, RFC 6238) eller HOTP (HMAC-based OTP, RFC 4226) genererar en kod på 6 siffror, vanligtvis giltig mellan 5 och 10 minuter.
2. SMS-gateway: en certifierad operatör (t.ex. Twilio, OVHcloud SMS, Brevo) dirigerar koden till soumissionnärens telefonnummer, registrerat under inbjudnings- eller registreringsfasen.
3. Säkert inmatningsgränssnitt: den webbsida som visas för soumissionnären måste uppfylla WCAG 2.1-kraven (tillgänglighet), tydligt visa kodns utgångsdatum och erbjuda en begränsad återöverföringsmekanism (skydd mot missbruk, högst 3 försök).

Ur säkerhetssynpunkt måste telefonnumret valideras i förväg (verifikation under onboarding) och lagras krypterat i databasen, i enlighet med GDPR-kraven (artikel 32 om behandlingssäkerhet).

Integrering i Certyneo-underteckningsarbetsflödet

I Certyneo-plattformen görs tillägget av en SMS-valideringssida direkt från konfigurationsgränssnittet för en underteckningsprocess. Här är stegen:

Steg 1 — Skapa eller importera svarsdokumentet Ladda upp din tekniska rapport, ditt åtagandebrev eller något annat konstituerande dokument i erbjudandet. Certyneors AI-kontraktsgenerator tillåter också att fylla i vissa standarddokument i förväg.

Steg 2 — Konfigurera undertecknare Ange namn, förnamn, e-postadress och mobiltelefonsnummer (E.164-format, t.ex. +33 6 XX XX XX XX) för varje person som är behörig att underteckna erbjudandet. Detta fält är obligatoriskt för att aktivera SMS-validering.

Steg 3 — Aktivera OTP SMS-autentisering I menyn "Arbetsflödets säkerhet" markerar du alternativet "Validering via SMS-kod". Du kan konfigurera:

• kodens giltighetsperiod (rekommenderat: 5 minuter);
• maximalt antal försök (rekommenderat: 3);
• det anpassade meddelande som skickas till undertecknaren (omnämnande av upphandlingsomgång, konsultationsreferens).

Steg 4 — Anpassa valideringssidan Certyneors gränssnitt erbjuder en "no-code"-sideditor som gör att du kan lägga till din organisations logotyp, rubriken på konsultationen och tydliga instruktioner för soumissionnären. Denna anpassning ökar förtroendet och minskar avbruten process.

Steg 5 — Testa arbetsflödet i sandbox-läge Innan faktisk skickning använder du Certyneors testläge för att simulera SMS-mottagandet och kodöverföringen. Verifiera att granskningsloggen korrekt fångar: tidsstämpel, dokumentets SHA-256-hash, maskerat telefonnummer och IP-adressen för den använda terminalen.

Bästa praxis för optimal konfiguration

Förutse soumissionnärens operativa begränsningar

I samband med en upphandlingsomgång kan soumissionnären vara en fysisk person eller den lagliga representanten för ett litet eller medelstort företag, ett tillfälligt företagssamarbete (GME) eller en stor grupp. Flera operativa begränsningar måste förutses:

• Telefonnumrets otillgänglighet: om den utsedda undertecknaren är på internationell resa kan SMS:et inte komma i tid. Planera en delegeringsmöjlighet för signatur med förhandsmeddelande.
• Ledningsrotation: i stora organisationer kan den undertecknande VD:n ändras mellan inbjudningens skickning och inlämningsdeadline. Fältet "telefonnummer" måste vara ändringsbar av kontoadministratören upp till 24 timmar före deadline.
• Tillgänglighet: vissa användare med funktionshinder kan ha svårigheter med att mata in en tillfällig kod. Erbjud ett röst-alternativ (automatiserat samtal för kodläsning) om din infrastruktur tillåter det.

Arkivering och granskningsspår i enlighet med reglerna

SMS-valideringssidan utgör endast en länk i bevismekanismen. För att hela dossiären ska vara tillämpbar måste arkiveringen följa standarden ETSI EN 319 132 (XAdES) eller ETSI EN 319 122 (CAdES) beroende på det valda signaturformatet. Certyneo genererar automatiskt en underteckningsrapport i PDF/A-format som innehåller:

• lista över undertecknare med deras autentiseringsnivå;
• certifierade tidsstämplar (RFC 3161);
• fullständig logg över alla SMS-händelser (skickat, mottagning bekräftad, korrekt eller felaktig inmatning).

Denna rapport måste bevaras under hela marknadsvärdets giltighetsperiod, eller ännu längre i fall av tvister. För offentlig upphandling föreskriver Code de la commande publique (artikel L. 2194-1 och följande) bevarandeperioder som kan gå upp till 10 år. Priser och möjligheter för långtidsarkivering är detaljerade på Certyneors prissida.

Integrering med digitaliseringsplattformar (köparprofiler)

När upphandlingssvarets hemställan går genom en tredjepartsplattform (AWS Marchés, e-Attestations, Achat Public, Klekoon, etc.) kan Certyneo användas i förväg för att få underteckna och validera de dokument som utgör erbjudandet internt innan inlämning på köparprofilen. Den undertecknade filen (i XAdES- eller PAdES-format) laddas sedan upp på plattformen tillsammans med Certyneors underteckningsrapport som autentiseringsbevis.

Om din organisation redan använder en konkurrerande lösning förklarar sidan för migrering till Certyneo hur du överför dina befintliga arbetsflöden utan dataförlust eller serviceavbrott.

Säkerhet, GDPR och hantering av telefondata

Behandling av personuppgifter för telefonnumret

Mobiltelefonsnumret är en personuppgift enligt artikel 4 i GDPR. Dess användning i samband med en OTP-validering kräver:

• en rättslig grund som är tydligt identifierad: avtalsuppfyllelse (artikel 6.1.b GDPR) eller berättigat intresse (artikel 6.1.f GDPR) beroende på förhållandet mellan upphandlingsfrågeställaren och soumissionnären;
• föregående information till soumissionnären om användningen av hans nummer (omnämnande i användarvillkoren eller i inbjudningsmailen);
• begränsad bevarandeperiod: numret får inte bevaras efter slutet av underteckningsprocessen, utom för motiverad juridisk arkivering.

Juridiska team och DPO:er hittar ytterligare resurser i vår ordbok för elektronisk signatur, som refererar till nyckeldefinitioner från GDPR tillämpat på underteckningsarbetsflöden.

Motstånd mot attacker och bedrägeribekämpning

SMS-validering är sårbar för vissa attackvektorer (SIM-byte, SS7-avlyssning). För marknader med höga insatser (belopp > 500 000 € exklusive moms) rekommenderar Certyneo att kombinera OTP SMS med:

• föregående identitetsverifikation (KYC-dokumentering eller IDnow);
• kvalificerad tidsstämpel tillhandahållen av en ackrediterad Trust Service Provider (TSP) enligt eIDAS;
• realtidsavisering vid förändringar av telefonnummer inom 48 timmar före underteckningen.

Dessa ytterligare åtgärder flyttar signaturen till nivån kvalificerad eIDAS, den högsta nivå som erkänns av Europeiska förordningen, och utgör maximal säkerhet för känsliga eller klassificerade marknader.

Tillämpligt juridiskt ramverk för SMS-validering i upphandlingar

eIDAS-förordning nr 910/2014 och dess signatursnivåer

Förordning (EU) nr 910/2014 från Europaparlamentet och rådet (eIDAS) utgör grunden för elektronisk signatur i Europa. Den skiljer mellan tre nivåer:

• Enkel elektronisk signatur (artikel 3.10): data i elektronisk form fäst vid eller förknippad med andra data, användad av undertecknaren för att underteckna. Begränsat juridiskt värde för offentliga upphandlingar.
• Avancerad elektronisk signatur (artikel 3.11): uppfyller kraven i artikel 26 eIDAS, inklusive unikhet i länken med undertecknaren och möjligheten att upptäcka ändringar. OTP SMS-validering, kombinerad med tidigare identifikation, gör det möjligt att nå denna nivå.
• Kvalificerad elektronisk signatur (artikel 3.12): skapad med hjälp av en kvalificerad signeringsanordning, baserad på ett kvalificerat certifikat utgivet av en ackrediterad TSP. Denna nivå är den enda som har juridisk verkan motsvarande en handskriven signatur i alla medlemsstater (artikel 25.2 eIDAS).

Fransk civillagstiftning — Artiklarna 1366 och 1367

Artikel 1366 i den franska civillagstiftningen föreskriver att "elektronisk skrift har samma bevisvärde som skrift på papper, förutsatt att den person från vilken den härrör kan identifieras på behörigt sätt och att den upprättas och bevaras under omständigheter som garanterar dess integritet". Artikel 1367 förtydligar att "elektronisk signatur består i användningen av ett tillförlitligt identifieringsförfarande som garanterar dess anknytning till handlingen som den är fäst vid".

OTP SMS bidrar direkt till att uppfylla villkoret om tillförlitlig identifikation som fastställs i artikel 1367, genom att skapa en länk mellan det registrerade telefonnumret och den undertecknade handlingen.

Code de la commande publique

Artiklarna R. 2132-7 och följande i Code de la commande publique föreskriver att erbjudanden som skickas in elektroniskt måste undertecknas med en minst avancerad elektronisk signatur baserad på ett kvalificerat certifikat. SMS-validering ingår i anordningen för att nå denna nivå, förutsatt att hela underteckningsprocessen är dokumenterad och arkiverad.

GDPR nr 2016/679 — Skydd för telefonuppgifter

Artikel 32 i GDPR föreskriver lämpliga tekniska och organisatoriska åtgärder för att garantera säkerheten för behandlade data, inklusive kryptering och pseudonymisering. Telefonnumret som används för OTP SMS måste krypteras i vila och under överföring (TLS 1.3 minimum). Artikel 5.1.e föreskriver begränsningen av bevarandet: numret kan endast bevaras så länge som är strikt nödvändigt för behandlingens syfte.

Tillämpliga ETSI-normer

• ETSI EN 319 132 (XAdES): format för avancerad XML-signatur, rekommenderas för offentliga upphandlingsdokument i XML-format.
• ETSI EN 319 122 (CAdES): format för avancerad CMS-signatur, anpassat för binära filer (PDF, ZIP).
• ETSI EN 319 102-1: procedurer för skapande och validering av elektroniska signaturer, inklusive kvalificerad RFC 3161-tidsstämpel.

Att inte följa dessa normer exponerar avsändaren eller soumissionnären för risken att erbjudandet avvisas på grund av formell oregelbundenhet, eller för att signaturen inte är tillämplig vid avtalstvister.

Konkreta användningsscenarier

Scenario 1 — En ingenjörkonsult svarar på en projekteringsmarknad

En ingenjörkonsult specialiserad på infrastruktur, med ett trettiotal ingenjörer och som i genomsnitt hanterar 15 till 20 svar på upphandlingar per år, måste underteckna flera konstituerande dokument i ett erbjudande: åtagandebrev, teknisk rapport, attester om finansiell och social regelbundenhet. Före införandet av SMS-validering var proceduren baserad på ett utbyte av manuellt undertecknade PDF:er, skannade och återöverförda via e-post, vilket genererade genomsnittliga förseningar på 48 till 72 timmar per dossier.

Genom att konfigurera ett Certyneo-arbetsflöde med OTP SMS-validering för varje intern undertecknare (teknikchef, chef) minskade konsulten denna tid till mindre än 2 timmar. Den automatiskt genererade underteckningsrapporten bifogas dossiären som läggs in på köparprofilen, vilket uppfyller kraven på avancerad signatur. Sektorstudier om B2B-digitalisering uppskattar minskningen av den administrativa behandlingstiden vid övergången till elektronisk signatur med stark autentisering till 60-70%.

Scenario 2 — Ett tillfälligt företagssamarbete (GME) på en arbetemarknadsmarknad

I samband med en offentlig arbetesmarknad (anläggning för jordschaktning + anläggning för grovkonstruktion) bildar två företag ett GME-samarbete. Varje huvudman måste underteckna åtagandebrevet på sin organisations vägnar. De två företagen är belägna i olika städer, och tidsfristen för inlämning av erbjudanden är 12:00.

Tack vare Certyneors funktionalitet för parallella signaturer erhåller båda undertecknare samtidigt en inbjudningslänk via e-post. Var och en får tillgång till sin valideringssida, matar in sin OTP-kod mottagen via SMS på mindre än en minut och sätter sin avancerade elektroniska signatur. GME-koordinatorn får omedelbar meddelande om slutförande och kan ladda upp det slutförda dossieret före deadline. Det här scenariot illustrerar hur SMS-validering eliminerar risken för förseningar relaterade till multi-site-koordinering, ett problem som enligt vissa studier utgör cirka 30% av de sena inlämningarna i samarbetsgruppssvar.

Scenario 3 — En territoriell kollektivitet som utgör upphandlingen

En territoriell kollektivitet av mellanstorlek (mellan 50 000 och 200 000 invånare) som önskar inte svara på en upphandling utan att lägga fram en, kan också förlita sig på SMS-validering för att säkra den interna underteckningen av marknadsdokument (CCAP, CCTP, RC). Innan publicering av konsultationen på köparprofilen måste den tekniska tjänstechefens direktör och den valda representanten för marknadsfrågor co-underteckna de konstituerande dokumenten.

Genom att distribuera ett internt Certyneo-arbetsflöde med OTP SMS-validering för varje institutionell undertecknare skapar kollektiviteten ett bevis för den föregående administrativa valideringen. Denna spårbarhet är särskilt användbar under laglighetskontroller utförda av prefekturen eller vid revision av den regionala redovisningskammaren. Minskningen av den juridiska risken förknippad med en osäker signatur representerar en stor efterlevnadsfråga för offentliga köpare, mot bakgrund av kraven från förordning nr 2015-899 kodifierad i Code de la commande publique.

Slutsats

Att integrera en valideringssida med SMS-kod i ditt upphandlingssvar är inte bara en enkel teknisk formalitet: det är en juridisk garanti, ett dokumenterat bevis på samtycke och ett verktyg för regulatorisk efterlevnad enligt eIDAS-förordningen och Code de la commande publique. Genom att autentisera varje undertecknare via en tidsstämplad OTP SMS når du nivån för avancerad elektronisk signatur som krävs av de flesta offentliga köpare, samtidigt som du drastiskt minskar interna förseningar och risker för avslag på grund av formell oregelbundenhet.

Certyneo låter dig konfigurera detta arbetsflöde på några få minuter, utan IT-utveckling, med en granskningslogg som är kompatibel med ETSI-normer och arkiverad enligt juridiska skyldigheter. Oavsett om du är enskild soumissionnaire, medlem i ett GME eller offentlig köpare, anpassas lösningen till ditt sammanhang.

Redo att säkra dina nästa upphandlingssvar? Skapa ditt Certyneo-konto gratis och konfigurera ditt första arbetsflöde med SMS-validering redan idag.