Сторінка валідації SMS для відповіді на тендер

Коли компанія подає пропозицію на державний або приватний тендер, питання про юридичну силу переданого досьє є центральним. Документ, підписаний електронно без механізму сильної автентифікації, може бути оскаржений у суді або відхилений закупівельником. Саме тут набуває значення сторінка валідації з SMS-кодом: цей етап автентифікації за допомогою одноразового пароля (OTP) посилює докази згоди учасника тендеру, відповідає вимогам регламенту eIDAS і гарантує повну прослідковуваність всього процесу підпису. У цій статті ми деталізуємо, чому і як впровадити цей механізм у ваш робочий процес відповіді на тендер, охоплюючи технічні передумови, пошагову конфігурацію та кращі практики.

Чому інтегрувати валідацію SMS-кодом у вашу відповідь на тендер

Доказова сила в центрі державних закупівель

Рамка французьких державних закупівель вимагає, щоб пропозиції, передані в електронному вигляді, відповідали вимогам, встановленим decreto n° 2016-360 від 25 березня 2016 року щодо державних закупівель. З 1 жовтня 2018 року будь-яка консультація з кошторисною вартістю понад 40 000 € без ПДВ передбачає обов'язкову діджиталізацію через схвалену платформу розміщення (профіль закупівельника). У цьому контексті електронний підпис, поєднаний з механізмом OTP через SMS, становить передовий електронний підпис за змістом регламенту eIDAS, а саме:

• пов'язаний з підписувачем унікальним чином;
• дозволяє ідентифікувати підписувача;
• створений на основі даних, які підписувач може використовувати під його виключним контролем;
• пов'язаний з підписаними даними таким чином, щоб дозволити виявити будь-яку подальшу модифікацію.

Без цього рівня автентифікації простий підпис (клік або прапорець) може бути недостатнім для юридичного зобов'язання учасника тендеру, особливо коли закупівельник вимагає передового або кваліфікованого підпису для певних чутливих лотів.

Зменшення ризиків оскарження та неправильності

Досьє відповіді на тендер може бути оголошено неправильним, якщо замовник вважає, що особистість підписувача встановлена недостатньо. Додання сторінки валідації SMS створює другий фактор автентифікації (2FA), який у поєднанні з попередньо перевіреною особистістю утворює міцний доказ. У разі спору перед адміністративним судом або судом контрактів журнал аудиту з тимчасовою позначкою (timestamp, замаскований номер телефону, IP-адреса, хеш документу) становить прийнятний доказ.

Для більш детального розуміння основ повний посібник з електронного підпису пояснює різні рівні підпису та їх юридичні наслідки у французькому та європейському праві.

Технічні компоненти сторінки валідації SMS

Архітектура OTP та канал SMS

Сторінка валідації за допомогою SMS-коду спирається на три взаємопов'язані компоненти:

1. Генератор OTP (One-Time Password): алгоритм TOTP (Time-based OTP, RFC 6238) або HOTP (HMAC-based OTP, RFC 4226) генерує код з 6 цифр, дійсний зазвичай між 5 та 10 хвилинами.
2. SMS-шлюз (SMS gateway): сертифікований оператор (наприклад, Twilio, OVHcloud SMS, Brevo) доставляє код на номер мобільного телефону учасника тендеру, зареєстрований під час фази запрошення або реєстрації.
3. Безпечний інтерфейс введення: веб-сторінка, відображена учаснику тендеру, повинна відповідати вимогам WCAG 2.1 (доступність), чітко показувати термін дії коду і пропонувати обмежений механізм повторного надсилання (захист від зловживань, максимум 3 спроби).

З точки зору безпеки номер телефону повинен бути попередньо перевірений (перевірка під час входження) і збережений у зашифрованому вигляді в базі даних, відповідно до вимог GDPR (стаття 32 щодо безпеки обробки).

Інтеграція у робочий процес підпису Certyneo

На платформі Certyneo додавання сторінки валідації SMS здійснюється безпосередньо з інтерфейсу конфігурації маршруту підпису. Ось етапи:

Етап 1 — Створення або імпорт документу відповіді Завантажте ваш технічний звіт, акт зобов'язання або будь-яку іншу складову частину пропозиції. AI-генератор контрактів Certyneo також дозволяє попередньо заповнити певні типові документи.

Етап 2 — Конфігурація підписувачів Вказавши ім'я, прізвище, адресу електронної пошти та номер мобільного телефону (формат E.164, наприклад +33 6 XX XX XX XX) кожної особи, уповноваженої підписати пропозицію. Це поле є обов'язковим для активації валідації SMS.

Етап 3 — Активація OTP SMS автентифікації У меню «Безпека маршруту» встановіть прапорець «Валідація SMS-кодом». Ви можете налаштувати:

• тривалість дійсності коду (рекомендовано: 5 хвилин);
• максимальну кількість спроб (рекомендовано: 3);
• персоналізоване повідомлення, відправлене підписувачу (згадка про тендер, посилання на консультацію).

Етап 4 — Персоналізація сторінки валідації Інтерфейс Certyneo пропонує «no-code» редактор сторінки, дозволяючи додати логотип вашої організації, назву консультації та чіткі інструкції для учасника тендеру. Ця персоналізація посилює довіру та зменшує відмовлення від маршруту.

Етап 5 — Тестування маршруту в режимі sandbox Перед фактичним надсиланням використовуйте тестовий режим Certyneo для симуляції отримання SMS та введення коду. Переконайтеся, що журнал аудиту правильно захоплює: часову позначку, хеш SHA-256 документу, замаскований номер телефону та IP-адресу терміналу користувача.

Кращі практики для оптимальної конфігурації

Передбачення операційних обмежень учасника тендеру

У контексті тендеру учасник може бути фізичною особою або представником малого підприємства, тимчасового об'єднання підприємств (GME) або великої групи. Кілька операційних обмежень повинні бути передбачені:

• Недоступність номера телефону: якщо визначений підписувач перебуває в міжнародному відпустці, SMS може не прибути вчасно. Передбачте можливість делегування підпису з попереднім повідомленням.
• Ротація відповідальних: у великих організаціях генеральний директор - підписувач - може змінитися між надсиланням запрошення та терміном закінчення подачі. Поле «номер телефону» повинне бути модифікованим адміністратором обліку до 24 годин перед закінченням.
• Доступність: деякі користувачі з обмеженнями здоров'я можуть мати труднощі з введенням тимчасового коду. Запропонуйте голосову альтернативу (автоматичний дзвінок для прочитання коду), якщо ваша інфраструктура це дозволяє.

Архівування та аудит-тека, що відповідають вимогам

Сторінка валідації SMS становить лише одну ланку в механізмі доказів. Щоб усе досьє було спростовано, архівування повинно відповідати стандарту ETSI EN 319 132 (XAdES) або ETSI EN 319 122 (CAdES) залежно від формату обраного підпису. Certyneo автоматично генерує звіт про підпис у PDF/A, що включає:

• список підписувачів з їхнім рівнем автентифікації;
• сертифіковані часові позначки (RFC 3161);
• повний журнал подій SMS (надсилання, підтвердження отримання, коректне або неправильне введення).

Цей звіт повинен зберігатися протягом усього періоду дійсності контракту, а то й під час розбору в суді. Для державних закупівель Кодекс державних закупівель (ст. L. 2194-1 та наступні) передбачає терміни зберігання до 10 років. Тарифи та варіанти довгострокового архівування детально описані на сторінці тарифів Certyneo.

Інтеграція з платформами діджиталізації (профілями закупівельників)

Коли відповідь на тендер проходить через сторонню платформу (AWS Marchés, e-Attestations, Achat Public, Klekoon тощо), Certyneo може бути використаний попередньо для підпису та валідації всередину складових частин пропозиції перед їх розміщенням на профілі закупівельника. Підписаний файл (у форматі XAdES або PAdES) потім завантажується на платформу, разом зі звітом про підпис Certyneo як обґрунтування автентифікації.

Якщо ваша організація вже використовує конкуруючу рішення, сторінка міграції на Certyneo пояснює, як передати ваші наявні маршрути без втрати даних або перервання обслуговування.

Безпека, GDPR та управління даними телефонії

Обробка особистих даних номера телефону

Номер мобільного телефону є особистими даними за змістом статті 4 GDPR. Його використання у контексті валідації OTP вимагає:

• чітко визначену юридичну базу: виконання контракту (стаття 6.1.b GDPR) або законний інтерес (стаття 6.1.f GDPR) залежно від відносин між видавцем тендеру та учасником;
• попередню інформацію учасника про використання його номера (згадка у умовах обслуговування або в електронному листі запрошення);
• обмежену тривалість зберігання: номер не повинен зберігатися понад закінченням маршруту підпису, крім легального архівування, обґрунтованого.

Юридичні команди та відповідальні за дані знайдуть додаткові ресурси в нашому глосарії електронного підпису, який посилається на ключові визначення GDPR, застосовані до робочих процесів підпису.

Стійкість до атак та захист від шахрайства

Валідація SMS є уразливою до певних векторів атаки (SIM swapping, перехоплення SS7). Для ринків з високою ставкою (суми > 500 000 € без ПДВ) Certyneo рекомендує поєднувати OTP SMS з:

• попередньою верифікацією особистості (KYC документів або IDnow);
• кваліфікованою часовою позначкою від постачальника послуг довіри (Trust Service Provider, TSP), акредитованого eIDAS;
• оповіщенням у реальному часі у разі зміни номера телефону в 48 годинах перед підписом.

Ці додаткові заходи переводять підпис на кваліфікований рівень eIDAS, найвищий, визнаний європейським регламентом, і становлять максимальну гарантію для чутливих або класифікованих державних закупівель.

Застосовна юридична база для валідації SMS у тендерах

Регламент eIDAS n° 910/2014 та його рівні підпису

Регламент (EU) n° 910/2014 Європейського Парламенту та Ради (eIDAS) становить нормативну базу електронного підпису в Європі. Він розрізняє три рівні:

• Простий електронний підпис (стаття 3.10): дані в електронній формі, приєднані або пов'язані з іншими даними, використовуються підписувачем для підпису. Обмежена юридична сила для державних тендерів.
• Передовий електронний підпис (стаття 3.11): відповідає вимогам статті 26 eIDAS, включаючи унікальність зв'язку з підписувачем та визначуваність будь-яких змін. Валідація OTP SMS, поєднана з попередньою ідентифікацією, дозволяє досягти цього рівня.
• Кваліфікований електронний підпис (стаття 3.12): створений за допомогою кваліфікованого пристрою створення підпису, заснований на кваліфікованому сертифікаті, виданому акредитованим TSP. Єдиний рівень, що має юридичну силу, еквівалентну рукописному підпису у всіх державах-членах (стаття 25.2 eIDAS).

Французький Цивільний кодекс — Статті 1366 та 1367

Стаття 1366 Цивільного кодексу встановлює, що « електронне письмо має таку ж доказову силу, як письмо на паперовому носії, за умови, що може бути належним чином ідентифікована особа, від якої воно походить, і що воно складено та збережено таким чином, щоб гарантувати його цілісність». Стаття 1367 уточнює, що « електронний підпис складається з використання надійного процесу ідентифікації, що гарантує його зв'язок з актом, до якого він приєднується».

OTP SMS безпосередньо сприяє виконанню умови надійної ідентифікації, встановленої статтею 1367, створюючи зв'язок між зареєстрованим номером телефону та підписаним актом.

Кодекс державних закупівель

Статті R. 2132-7 та наступні Кодексу державних закупівель вимагають, щоб пропозиції, передані в електронному вигляді, були підписані електронним підписом принаймні передовим рівнем, заснованим на кваліфікованому сертифікаті. Валідація SMS входить до механізму, що дозволяє досягти цього рівня, за умови, що весь маршрут підпису задокументований та архівований.

GDPR n° 2016/679 — Захист даних телефонії

Стаття 32 GDPR вимагає належних технічних та організаційних заходів для гарантування безпеки оброблених даних, зокрема шифрування та псевдонімізацію. Номер телефону, використовуваний для OTP SMS, повинен бути зашифрований у спокої та в передачі (мінімум TLS 1.3). Стаття 5.1.e вимагає обмеження зберігання: номер може зберігатися лише час, строго необхідний для досягнення мети обробки.

Застосовні стандарти ETSI

• ETSI EN 319 132 (XAdES): формат передового XML-підпису, рекомендований для матеріалів державних закупівель у форматі XML.
• ETSI EN 319 122 (CAdES): формат передового CMS-підпису, пристосований до бінарних файлів (PDF, ZIP).
• ETSI EN 319 102-1: процедури створення та валідації електронних підписів, включаючи кваліфіковану часову позначку RFC 3161.

Невідповідність цим стандартам викладає видавця або учасника до ризику відхилення пропозиції за формальну неправильність або неспростовуваність підпису у разі контрактного спору.

Конкретні сценарії використання

Сценарій 1 — Бюро інженерії, що відповідає на ринок проектного керівництва

Бюро інженерії, спеціалізоване на інфраструктурі, яке налічує близько тридцяти інженерів і керує в середньому 15-20 відповідями на тендери на рік, повинно підписати кілька складових документів пропозиції: акт зобов'язання, технічний звіт, свідоцтва фіскальної та соціальної регулярності. До впровадження валідації SMS процедура спиралася на обмін PDF-файлами, підписаними від руки, відсканованими та повторно передані електронною поштою, що спричиняло середні затримки 48-72 години на досьє.

Налаштувавши маршрут Certyneo з валідацією OTP SMS для кожного внутрішнього підписувача (директор технічний, керуючий), бюро скоротило цей термін менше 2 годин. Звіт про підпис, автоматично згенерований, приєднується до досьє розміщеного на профілі закупівельника, задовольняючи вимоги передового підпису. Секторальні дослідження діджиталізації B2B оцінюють 60-70% скорочення часу адміністративної обробки при переході на електронний підпис із сильною автентифікацією.

Сценарій 2 — Тимчасове об'єднання підприємств (GME) на ринку робіт

У контексті державного ринку робіт (лот земляних робіт + лот основних конструкцій) два підприємства утворюють спільне GME. Кожен мандатар повинен підписати акт зобов'язання від імені своєї компанії. Два підприємства розташовані в різних містах, а термін подачі пропозицій припадає на 12:00.

Завдяки функції паралельних підписів Certyneo обидва підписувачі одночасно отримують посилання запрошення електронною поштою. Кожен отримує доступ до своєї сторінки валідації, вводить свій код OTP, отриманий через SMS менше хвилини, і накладає свій передовий електронний підпис. Координатор GME негайно отримує сповіщення про завершення і може завантажити фіналізоване досьє перед дедлайном. Цей сценарій ілюструє, як валідація SMS усуває ризик затримки, пов'язаної з координацією в кількох місцях, проблеми, які за деякими дослідженнями становлять близько 30% пізніх розміщень у відповідях групування.

Сценарій 3 — Територіальна громада як видавець тендеру

Територіальна громада середнього розміру (від 50 000 до 200 000 жителів), що бажає не відповідати на тендер, а його видавати, може також спиратися на валідацію SMS для захисту внутрішнього підпису матеріалів ринку (CCAP, CCTP, RC). Перед розміщенням консультації на профілі закупівельника директор служб технічних та обраний відповідальний за ринки повинні спільно підписати документи, що становлять.

Розгорнувши внутрішній маршрут Certyneo з валідацією OTP SMS для кожного підписувача закладу, громада створює прослідковуваний доказ попередної адміністративної валідації. Ця прослідковуваність особливо корисна під час контролю законності, здійснюваного префектурою, або під час аудиту регіональної палати облікових. Зменшення юридичного ризику, пов'язаного з неавтентифікованим підписом, становить основне питання відповідності для державних закупівельників, з урахуванням вимог ордонансу n° 2015-899, кодифікованого в Кодексі державних закупівель.

Висновок

Інтеграція сторінки валідації з SMS-кодом у вашу пропозицію на тендер — це не просто технічна формальність: це юридична гарантія, задокументований доказ згоди та інструмент нормативної відповідності за змістом регламенту eIDAS та Кодексу державних закупівель. Автентифікуючи кожного підписувача через SMS-кодованої OTP з часовою позначкою, ви досягаєте рівня передового електронного підпису, потребуваного переважною більшістю державних закупівельників, одночасно різко скорочуючи внутрішні терміни та ризики відхилення за формальну неправильність.

Certyneo дозволяє налаштувати цей маршрут протягом кількох хвилин без інформаційного розвитку, з журналом аудиту, який відповідає стандартам ETSI та архівується відповідно до юридичних зобов'язань. Незалежно від того, чи ви єдиний учасник, член GME або державний закупівельник, рішення адаптується до вашого контексту.

Готові захистити ваші наступні відповіді на тендери? Безкоштовно створіть ваш обліковий запис Certyneo та налаштуйте ваш перший маршрут з валідацією SMS вже сьогодні.