Kamu İhale Çağrısına Yanıt Vermek İçin SMS Doğrulama Sayfası

Bir işletme kamu veya özel bir ihaliye yanıt verirken, iletilen dosyanın yasal değeri merkezi bir sorudur. Güçlü kimlik doğrulama mekanizması olmadan elektronik olarak imzalanan bir belge, mahkeme tarafından itiraz edilebilir veya kamu alıcısı tarafından reddedilebilir. Tam da bu noktada SMS koduyla doğrulama sayfası devreye girer: bu tek kullanımlı parola (OTP) ile kimlik doğrulama adımı, teklif sahibinin rıza kanıtını güçlendirir, eIDAS yönetmeliği gerekliliklerini karşılar ve imza süreci boyunca tam takip edilebilirliği garantir. Bu makalede, bu cihazı kamu ihalesi yanıt iş akışınızda neden ve nasıl uygulayacağınız hakkında ayrıntılı bilgi vereceğiz; teknik ön koşullar, adım adım yapılandırma ve izlenecek en iyi uygulamalardan geçeceğiz.

Kamu İhale Yanıtınızda Neden SMS Kodu Doğrulaması Entegre Edilmeli

Kamu Alımlarının Merkezindeki Kanıt Değeri

Fransa'da kamu alımları çerçevesi, demateryalize yolla iletilen tekliflerin 25 Mart 2016 tarihli n° 2016-360 kararname tarafından belirtilen gereklilikler iyerisinde yer almalarını gerekli kılar. 1 Ekim 2018'den beri, tahmini değeri 40.000 € HT'yi aşan her danışma, onaylanmış bir depozito platformu (alıcı profili) aracılığıyla zorunlu demateryalizasyonu içerir. Bu bağlamda, SMS aracılığıyla OTP mekanizmasıyla birlikte elektronik imza, eIDAS yönetmeliği anlamında geliştirilmiş elektronik imzadır, yani:

• imzalayana benzersiz şekilde bağlıdır;
• imzalayıcıyı tanımlamaya izin verir;
• imzalayıcının münhasır kontrolü altında kullanabileceği verilerden oluşturulmuştur;
• imzalanan verilerle bağlantılı olarak sonraki herhangi bir değişikliğin tespit edilmesini sağlar.

Bu kimlik doğrulama düzeyi olmadan, basit bir imza (tıklama veya onay kutusu), özellikle alıcı belirli lotlar için geliştirilmiş veya nitelikli imza gerektiriyorsa, teklif sahibini yasal açıdan bağlayabilmek için yetersiz olabilir.

İtiraz ve Düzensizlik Risklerini Azaltma

Bir kamu ihalesi yanıt dosyası, ihale yapan otorite imzalayıcının kimliğinin yeterince belirlenmiş olmadığını düşünürse düzensiz olarak ilan edilebilir. SMS doğrulama sayfasının eklenmesi ikinci bir kimlik doğrulama faktörü (2FA) oluşturur ki bu da, önceden doğrulanmış kimlikle birleştiğinde güçlü bir kanıt oluşturur. İdari mahkeme veya sözleşme hâkimi önünde bir uyuşmazlık durumunda, zaman damgalı denetim günlüğü (zaman damgası, maskelenmiş telefon numarası, IP adresi, belgenin hash'i) kabul edilebilir bir kanıt oluşturur.

Temelleri daha iyi anlamak için elektronik imza hakkında kapsamlı rehber, imzanın farklı düzeylerini ve bunların Fransa ve Avrupa hukuku açısından yasal sonuçlarını açıklamaktadır.

SMS Doğrulama Sayfasının Teknik Bileşenleri

OTP Mimarisi ve SMS Kanalı

SMS koduyla doğrulama sayfası üç birbirine bağımlı bileşene dayanır:

1. OTP Oluşturucu (One-Time Password): TOTP (Time-based OTP, RFC 6238) veya HOTP (HMAC-based OTP, RFC 4226) algoritması, genel olarak 5 ila 10 dakika arasında geçerli olan 6 basamaklı bir kod oluşturur.
2. SMS Ağ Geçidi (SMS gateway): Sertifikalı bir operatör (ör. Twilio, OVHcloud SMS, Brevo), kodu davet veya kayıt aşaması sırasında kayıtlı olan teklif sahibinin telefon numarasına ulaştırır.
3. Güvenli Giriş Arayüzü: Teklif sahibine gösterilen web sayfası WCAG 2.1 gerekliliklerini (erişilebilirlik) karşılamalı, kod süresinin dolmasını açıkça göstermeli ve sınırlı bir yeniden gönderme mekanizması (kötüye kullanımdan korunma, maksimum 3 deneme) sunmalıdır.

Güvenlik açısından bakıldığında, telefon numarası önceden doğrulanmalı (yerleşik sırada doğrulama) ve RGPD gerekliliklerine uygun şekilde veritabanında şifreli olarak depolanmalıdır (işlemlerin güvenliğine ilişkin madde 32).

Certyneo İmza İş Akışında Entegrasyon

Certyneo platformunda, SMS doğrulama sayfasının eklenmesi doğrudan bir imza sürecinin yapılandırma arayüzünden gerçekleştirilir. Adımlar şu şekildedir:

Adım 1 — Yanıt Belgesini Oluşturma veya İthal Etme Teknik açıklamanız, taahhüt belgeniz veya teklifin başka herhangi bir bileşen parçasını yükleyin. Certyneo'nun AI tarafından oluşturulan sözleşme jeneratörü belirli standart belgeleri önceden doldurmaya da izin verir.

Adım 2 — İmzalayanları Yapılandırma Teklifi imzalamaya yetkili her kişinin adını, soyadını, e-posta adresini ve cep telefonu numarasını (E.164 formatı, ör. +33 6 XX XX XX XX) girin. Bu alan SMS doğrulamasını etkinleştirmek için zorunludur.

Adım 3 — OTP SMS Kimlik Doğrulamasını Etkinleştirme "Sürecin Güvenliği" menüsünde "SMS Kodu Doğrulaması" seçeneğini işaretleyin. Şunları yapılandırabilirsıniz:

• kodun geçerlilik süresi (tavsiye edilen: 5 dakika);
• maksimum deneme sayısı (tavsiye edilen: 3);
• imzalayana gönderilen kişiselleştirilmiş ileti (ihalenin adı, danışma referansı).

Adım 4 — Doğrulama Sayfasını Kişiselleştirme Certyneo arayüzü, kuruluşunuzun logosunu, danışmanın başlığını ve teklif sahibine yönelik net talimatlar eklemeye izin veren "kod yok" bir sayfa düzenleyicisi sunmaktadır. Bu kişiselleştirme güveni artırır ve yol terk oranlarını azaltır.

Adım 5 — Süreci Sandbox Modunda Test Etme Gerçek gönderimden önce, SMS alımını simüle etmek ve kodu girmek için Certyneo test modunu kullanın. Denetim günlüğünün şunları yakaladığını doğrulayın: zaman damgası, belgenin SHA-256 hash'i, maskelenmiş telefon numarası ve kullanılan terminalin IP adresi.

Optimal Yapılandırma için En İyi Uygulamalar

Teklif Sahibinin Operasyonel Kısıtlamalarını Önceden Belirleyin

Bir kamu ihalesi bağlamında, teklif sahibi bir kişi veya KOBİ'nin yasal temsilcisi, geçici işletme ortaklığı (GME) veya büyük bir grubun temsilcisi olabilir. Birkaç operasyonel kısıtlama önceden belirlenmelidir:

• Telefon Numarasının Mevcut Olmaması: İmzalayana atanan kişi uluslararası seyahat halindeyse, SMS zamanında ulaşmayabilir. İmza delegasyonu seçeneğini önceki bildirimle sağlayın.
• Sorumluların Değişimi: Büyük kuruluşlarda, imzalayan genel müdür davetin gönderilmesi ile depozito son tarihi arasında değişebilir. "Telefon numarası" alanı, hesap yöneticisi tarafından son tarihinden 24 saat öncesine kadar değiştirilebilmelidir.
• Erişilebilirlik: Engelli durumdaki bazı kullanıcılar geçici bir kodu girme konusunda zorluk yaşayabilir. Altyapınız izin veriyorsa sesli alternatif (kodun otomatik okunması için çağrı) sunun.

Arşivleme ve Uyumlu Denetim İzlemesi

SMS doğrulama sayfası kanıt sisteminin sadece bir bağlantısıdır. Tüm dosyanın uygulanabilir olması için arşivlemenin ETSI EN 319 132 (XAdES) veya seçilen imza formatına bağlı olarak ETSI EN 319 122 (CAdES) standardına uygun olması gerekir. Certyneo otomatik olarak şunları içeren bir imza raporu PDF/A formatında oluşturur:

• seçilen kimlik doğrulama düzeylerine sahip imzalayanların listesi;
• sertifikalı zaman damgaları (RFC 3161);
• SMS olaylarının tam günlüğü (gönderme, alındı, doğru veya yanlış giriş).

Bu rapor, pazarın geçerliliği boyunca, hatta uyuşmazlık durumunda ötesinde korunmalıdır. Kamu alımları için, Kamu Alımları Kanunu (madde L. 2194-1 ve sonrası) 10 yıla kadar olan saklama sürelerini öngörmektedir. Tariff ve uzun vadeli arşivleme seçenekleri Certyneo fiyatlandırma sayfası hakkında ayrıntılı olarak anlatılmıştır.

Demateryalizasyon Platformları ile Entegrasyon (Alıcı Profilleri)

Kamu ihalesi yanıtı üçüncü taraf bir platform aracılığıyla yapıldığında (AWS Marchés, e-Attestations, Achat Public, Klekoon, vb.), Certyneo, teklifin alıcı profiline depozitundan önce teklifi oluşturan belgeleri dahili olarak imzalamak ve doğrulamak için önceden kullanılabilir. İmzalanan dosya (XAdES veya PAdES formatında) daha sonra Certyneo imza raporu doğrulama kanıtı olarak birlikte platform üzerine yüklenir.

Kuruluşunuz zaten rakip bir çözüm kullanıyorsa, Certyneo'ya göç sayfası mevcut süreci nasıl veri kaybı veya hizmet kesintisi olmadan aktaracağınızı açıklamaktadır.

Güvenlik, RGPD ve Telefon Verileri Yönetimi

Telefon Numarası Kişisel Verilerinin İşlenmesi

Cep telefonu numarası, RGPD'nin 4. maddesinin anlamı içinde kişisel verilerdir. OTP doğrulaması bağlamında kullanılması şunları gerekli kılar:

• açıkça tanımlanmış bir yasal temel: sözleşmenin yürütülmesi (RGPD madde 6.1.b) veya meşru menfaat (RGPD madde 6.1.f) teklif yayıncısı ve teklif sahibi arasındaki ilişkiye göre;
• teklif sahibini numarasının kullanımı konusunda ön bilgilendirme (genel şartlarda veya davet e-postasında);
• sınırlı saklama süresi: numara imza süreci sonundan itibaren muhafaza edilmemelidir, harita arşivlemesi hariç.

Hukuk ve KVKK ekipleri, elektronik imza tanımlarından RGPD'nin imza iş akışlarına uygulanmış temel tanımlarına başvuran elektronik imza sözlüğü'nde ek kaynaklar bulacaktır.

Saldırılara Karşı Direnç ve Dolandırıcılık Önleme

SMS doğrulaması belirli saldırı vektörlerine karşı savunmasızdır (SIM takas, SS7 engelleme). Yüksek sonuç pazarları için (tutarlar > 500.000 € HT), Certyneo OTP SMS'i şu şekilde birleştirmeyi tavsiye eder:

• ön kimlik doğrulama (KYC belge veya IDnow);
• eIDAS akredite bir güven hizmeti sağlayıcısı (TSP) tarafından sağlanan nitelikli zaman damgası;
• imzaları önceki 48 saat içinde telefon numarası değişikliği durumunda gerçek zamanlı uyarı.

Bu ek önlemler imzayı eIDAS nitelikli düzeyine taşıyabilir ve hassas veya sınıflandırılmış kamu pazarları için maksimum garantisini oluşturabilir.

Kamu İhalesi Çerçevesinde SMS Doğrulamasına Uygulanabilecek Yasal Çerçeve

eIDAS Yönetmeliği n° 910/2014 ve İmza Düzeyleri

Avrupa Parlamentosu ve Konseyi Yönetmeliği (AB) n° 910/2014 (eIDAS), Avrupa'da elektronik imzanın yasal temeli oluşturur. Üç düzeyi ayırt eder:

• Basit Elektronik İmza (madde 3.10): İmzalayanın imzalamak için kullandığı diğer verilerle bağlantılı veya ilişkili elektronik formatta veriler. Kamu alımları için sınırlı yasal değer.
• Geliştirilmiş Elektronik İmza (madde 3.11): eIDAS'ın 26. maddesi gerekliliklerini karşılar; bunlar arasında imzalayıcı ile benzersiz bağlantı ve herhangi bir değişikliğin tespit edilebilirliği yer alır. ÖNCEKİ kimlikle birleştirilen SMS OTP doğrulaması bu düzeye ulaşmayı sağlar.
• Nitelikli Elektronik İmza (madde 3.12): Nitelikli imza oluşturma cihazı kullanılarak oluşturulmuş, akredite bir TSP tarafından verilmiş nitelikli sertifikaya dayalı. Tüm üye devletlerde elle yazılmış imzaya eşit yasal etkiye sahip tek düzey (eIDAS madde 25.2).

Fransa Medeni Kanunu — Maddeler 1366 ve 1367

Medeni Kanun 1366. maddesi şunu belirtir: "Elektronik yazı, yazının kökeninden kimsenin uygun şekilde tanımlanabilmesi ve yazının onu bağlayan kanun şartları altında kurulmuş ve korunmuş olması koşuluyla, kağıt üzerindeki yazıyla aynı kanıt değerine sahiptir". 1367. madde "elektronik imza, yazıyla bağlanması gereken eylemle ilişkilendirilmesini garantileyen güvenilir bir tanımlama yöntemi kullanımından oluşur" olarak açıklamaktadır.

SMS OTP doğrudan 1367. madde tarafından ortaya konan güvenilir tanımlama koşulunun sağlanmasına katkıda bulunur; kayıtlı telefon numarası ile imzalanan belge arasında bir bağlantı oluşturur.

Kamu Alımları Kanunu

Kamu Alımları Kanunu'nun R. 2132-7 ve sonrası maddeleri, elektronik yolla iletilen tekliflerin en azından nitelikli sertifikaya dayalı geliştirilmiş elektronik imzayla imzalanmasını gerekli kılar. SMS doğrulaması, tüm imza süreci belgelenmiş ve arşivlenmiş olması koşuluyla bu düzeye ulaşmayı sağlayan cihazın parçası girir.

RGPD n° 2016/679 — Telefon Verilerinin Korunması

RGPD'nin 32. maddesi, işlenen verilerin güvenliğini garantileyen şifreleme ve sözde hale getirme dahil olmak üzere uygun teknik ve kurumsal önlemlerin alınmasını zorunlu kılar. SMS OTP'de kullanılan telefon numarası istirahatte ve transit halinde şifreli olmalıdır (minimum TLS 1.3). 5.1.e maddesi saklama sınırlandırması dayatır: numara sadece işlemin amaçlı olması için gerekli olan süreyle saklanabilir.

Uygulanabilir ETSI Standartları

• ETSI EN 319 132 (XAdES): XML formatında geliştirilmiş imza formatı, kamu alım dosyaları XML formatında önerilir.
• ETSI EN 319 122 (CAdES): CMS geliştirilmiş imza formatı, ikili dosyalara (PDF, ZIP) uyarlanmıştır.
• ETSI EN 319 102-1: nitelikli zaman damgası RFC 3161'i içeren elektronik imza oluşturma ve doğrulama prosedürleri.

Bu standartlara uyulmaması, yayıncıyı veya teklif sahibini teklifin biçimsel düzensizlik nedeniyle reddedilme riski altına sokar veya sözleşmeye ilişkin uyuşmazlık durumunda imzanın uygulanabilirliğini ortadan kaldırır.

Somut Kullanım Senaryoları

Senaryo 1 — Bir Mühendislik Tasarım Pazarına Yanıt Veren İnşaat Mühendisliği Bürosu

Altyapı alanında uzmanlaşmış, ortalama 15 ila 20 kamu ihalesi yanıtı yılda yönetmekte olan ve otuz mühendisten oluşan bir mühendislik tasarım bürosu, bir teklif oluşturan birkaç belgeyi imzalamalıdır: taahhüt belgesi, teknik açıklama, vergi ve sosyal düzenliliği sertifikası. SMS doğrulaması başlamadan önce, prosedür manuel olarak imzalanan PDF'lerin taranmış ve e-posta ile yeniden iletilen el değiştirmesine dayanıyordu; bu da dosya başına ortalama 48 ila 72 saatlik gecikmeler oluşturuyordu.

Certyneo iş akışını her iç imzalayan (teknik müdür, yönetici) için OTP SMS doğrulamasıyla yapılandırarak, tasarım bürosu bu gecikmeyi ikinin altına düşürmüştür. Otomatik olarak oluşturulan imza raporu alıcı profiline depozitlanan dosyaya eklenir ve geliştirilmiş imza gerekliliklerini karşılar. B2B demateryalizasyonu hakkında sektörel çalışmalar, elektronik imzaya güçlü kimlik doğrulamasıyla geçişte yönetim işlemlerinin 60-70'lik bir azalması göstermektedir.

Senaryo 2 — İnşaat Pazarında Geçici İşletme Ortaklığı (GME)

Kamu inşaat pazarı çerçevesinde (temel işleri + ana yapı işleri), iki işletme bir GME ortaklığını oluştururlar. Her vekil kendi şirketi adına taahhüt belgesini imzalamalıdır. İki şirket farklı şehirlerde bulunmakta ve tekliflerin gönderilmesi son tarihi saat 12:00'dir.

Certyneo'nun paralel imza işlevselliği sayesinde, iki imzalayan aynı anda e-posta yoluyla davet bağlantısı alırlar. Her biri kendi doğrulama sayfasına erişir, SMS aracılığıyla alınan OTP kodunu bir dakikadan az sürede girer ve elektronik geliştirilmiş imzası koyar. GME koordinatörü anında tamamlanma bildirimi alır ve son tarihten önce sonlandırılmış dosyayı depozit platformuna yükleyebilir. Bu senaryo, SMS doğrulamasının koordinasyon çoklu sitelerle ilişkili gecikmeler riskini nasıl ortadan kaldırmasını göstermektedir; bazı çalışmalara göre bu sorun ortaklık yanıtlarında geç depozitın yaklaşık 30'unu temsil etmektedir.

Senaryo 3 — Kamu İhalesi Yayıncısı Olan Yerel Bir Yönetim

Kamu ihalesi yanıtlamak yerine kamu ihalesi yayınlamak isteyen orta ölçekli bir yerel yönetim (50.000 ile 200.000 arası nüfus), pazarı oluşturan belgeler (teknik şartnameler, özel şartlar, referans çerçeve) imzasının güvenliğini sağlamak için SMS doğrulamasına dayanabilir. Danışma alıcı profiline çevrimiçi çıkmadan önce, teknik hizmetler müdürü ve pazardan sorumlu temsilci oluşturan belgeleri birlikte imzalamalıdır.

Her kurumsal imzalayan için SMS OTP doğrulamasıyla iç Certyneo iş akışı yerleştirerek, yerel yönetim ön yönetim doğrulamasının kanıt izlemesi oluşturur. Bu takip edilebilirlik, vali tarafından yapılan yasal kontroller sırasında veya bölgesel hesap denetim odası tarafından yapılan denetim durumunda özellikle faydalıdır. Kimlik doğrulanmayan imza ile ilişkili yasal risk azaltması, Kamu Alımları Kanunu'na kodlanmış 2015-899 sayılı yönetmelik gerekliliklerine göre kamu alıcıları açısından önemli bir uyum meselesidir.

Sonuç

Kamu ihalesi yanıtınıza SMS kodu doğrulamasıyla bir sayfa entegre etmek basit bir teknik formalite değildir: yasal bir garantidir, belgelenmiş rıza kanıtı ve eIDAS yönetmeliği ve Kamu Alımları Kanunu anlamında bir uyum aracıdır. Her imzalayan bir OTP SMS zaman damgası aracılığıyla kimlik doğrulanması yapılarak, kamu alıcıların büyük çoğunluğu tarafından gerekli olan geliştirilmiş elektronik imza düzeyine ulaşmış ve dahili gecikleri ve biçimsel düzensizlik nedeniyle reddetme risklerini önemli ölçüde azaltmış olursunuz.

Certyneo, bu iş akışını birkaç dakika içinde herhangi bir BT geliştirmesi olmadan yapılandırmanıza izin verir; ETSI standartlarına uygun denetim günlüğüne ve yasal yükümlülüklere göre arşivlenir. Tek teklif sahibi, GME üyesi veya kamu alıcısı olsunuz, çözüm sizin bağlamınıza uyum sağlar.

Kamu ihalesi yanıtlarınızı güvenli hale getirmeye hazır mısınız? Certyneo hesabı oluşturun ve bugün ilk SMS doğrulama iş akışınızı yapılandırın