Trang xác thực SMS để phản hồi lời mời thầu

Khi một công ty phản hồi lời mời thầu công cộng hoặc tư nhân, câu hỏi về giá trị pháp lý của hồ sơ được gửi là trung tâm. Một tài liệu được ký điện tử mà không có cơ chế xác thực mạnh có thể bị tranh chấp trước tòa án hoặc bị người mua công cộng từ chối. Đó chính xác là nơi trang xác thực với mã SMS phát huy tác dụng: bước xác thực này thông qua mật khẩu một lần (OTP) tăng cường bằng chứng sự đồng ý của người nộp hồ sơ, đáp ứng các yêu cầu của quy định eIDAS và đảm bảo khả năng theo dõi toàn bộ quy trình ký. Trong bài viết này, chúng tôi chi tiết lý do và cách triển khai thiết bị này trong quy trình làm việc phản hồi lời mời thầu của bạn, bao gồm các điều kiện tiên quyết kỹ thuật, cấu hình từng bước và các thực tiễn tốt nhất để tuân theo.

Tại sao nên tích hợp xác thực bằng mã SMS vào phản hồi lời mời thầu của bạn

Giá trị chứng minh tại trung tâm của đấu thầu công cộng

Khuôn khổ đấu thầu công cộng Pháp yêu cầu rằng các lời đề nghị được truyền tải bằng hình thức nhập điện tử phải đáp ứng các yêu cầu được nêu trong sắc lệnh n° 2016-360 ngày 25 tháng 3 năm 2016 liên quan đến đấu thầu công cộng. Kể từ ngày 1 tháng 10 năm 2018, mọi cuộc tư vấn mà giá trị ước tính vượt quá 40 000 € HT đều bao hàm nhập điện tử bắt buộc thông qua nền tảng tải lên được phê duyệt (hồ sơ người mua). Trong bối cảnh này, chữ ký điện tử kết hợp với cơ chế OTP qua SMS tạo thành chữ ký điện tử nâng cao theo nghĩa của quy định eIDAS, tức là:

• liên kết với người ký một cách duy nhất;
• cho phép xác định người ký;
• được tạo từ dữ liệu mà người ký có thể sử dụng dưới sự kiểm soát độc quyền của họ;
• liên kết với dữ liệu được ký để cho phép phát hiện mọi sửa đổi sau này.

Nếu không có mức độ xác thực này, một chữ ký đơn giản (nhấp chuột hoặc hộp kiểm) có thể không đủ để cam kết pháp lý cho người nộp hồ sơ, đặc biệt là khi người mua yêu cầu chữ ký nâng cao hoặc đủ điều kiện cho các lô nhạy cảm nhất định.

Giảm nguy hiểm tranh chấp và bất quy

Một hồ sơ phản hồi lời mời thầu có thể được tuyên bố là không quy nếu cơ quan đấu thầu cho rằng danh tính của người ký không được xác lập đủ. Việc thêm trang xác thực SMS tạo ra một yếu tố xác thực thứ hai (2FA) mà khi kết hợp với danh tính được xác minh trước đó, tạo thành một bằng chứng vững chắc. Trong trường hợp tranh chấp trước tòa thẩm phán hành chính hoặc thẩm phán hợp đồng, nhật ký kiểm toán có thời gian đóng dấu (timestamp, số điện thoại được che chắn, địa chỉ IP, hash của tài liệu) tạo thành bằng chứng có thể chấp nhận được.

Để tìm hiểu thêm về những điều cơ bản, hướng dẫn đầy đủ về chữ ký điện tử giải thích các mức độ chữ ký khác nhau và những hàm ý pháp lý của chúng theo luật pháp Pháp và Châu Âu.

Các thành phần kỹ thuật của trang xác thực SMS

Kiến trúc OTP và kênh SMS

Trang xác thực bằng mã SMS dựa trên ba thành phần phụ thuộc lẫn nhau:

1. Trình tạo OTP (Mật khẩu một lần): một thuật toán TOTP (OTP dựa trên thời gian, RFC 6238) hoặc HOTP (OTP dựa trên HMAC, RFC 4226) tạo ra một mã 6 chữ số, thường có hiệu lực từ 5 đến 10 phút.
2. Cổng SMS (SMS gateway): một nhà cung cấp dịch vụ được chứng nhận (ví dụ: Twilio, OVHcloud SMS, Brevo) chuyển mã đến số điện thoại di động của người nộp hồ sơ, được đăng ký trong giai đoạn mời hoặc đăng ký.
3. Giao diện nhập an toàn: trang web được hiển thị cho người nộp hồ sơ phải tuân thủ các yêu cầu WCAG 2.1 (khả năng truy cập), hiển thị rõ ràng hết hạn mã và đề xuất cơ chế gửi lại giới hạn (chống lạm dụng, tối đa 3 lần).

Từ quan điểm bảo mật, số điện thoại phải được xác thực trước (xác minh trong giai đoạn onboarding) và được lưu trữ dưới dạng được mã hóa trong cơ sở dữ liệu, phù hợp với các yêu cầu của RGPD (điều 32 về bảo mật các hoạt động xử lý).

Tích hợp vào quy trình ký Certyneo

Trong nền tảng Certyneo, việc thêm trang xác thực SMS được thực hiện trực tiếp từ giao diện cấu hình của quy trình ký. Dưới đây là các bước:

Bước 1 — Tạo hoặc nhập tài liệu phản hồi Tải lên bộ nhớ kỹ thuật của bạn, hành động cam kết hoặc bất kỳ tài liệu nào khác tạo thành các phần cơ bản của lời đề nghị. trình tạo hợp đồng được cung cấp bởi AI của Certyneo cũng cho phép điền sẵn một số tài liệu loại tiêu chuẩn.

Bước 2 — Cấu hình những người ký Nhập tên, họ, địa chỉ e-mail và số điện thoại di động (định dạng E.164, ví dụ: +33 6 XX XX XX XX) của mỗi người được phép ký lời đề nghị. Trường này là bắt buộc để kích hoạt xác thực SMS.

Bước 3 — Kích hoạt xác thực OTP SMS Trong menu "Bảo mật quy trình", hãy đánh dấu tùy chọn "Xác thực bằng mã SMS". Bạn có thể cấu hình:

• khoảng thời gian hiệu lực của mã (được khuyến nghị: 5 phút);
• số lần cố gắng tối đa (được khuyến nghị: 3);
• thông báo được tùy chỉnh được gửi cho người ký (đề cập đến lời mời thầu, tham chiếu tư vấn).

Bước 4 — Tùy chỉnh trang xác thực Giao diện Certyneo cung cấp trình chỉnh sửa trang "không có mã" cho phép thêm logo của tổ chức bạn, tiêu đề của cuộc tư vấn và hướng dẫn rõ ràng cho người nộp hồ sơ. Tùy chỉnh này tăng cường niềm tin và giảm sự từ bỏ quy trình.

Bước 5 — Kiểm tra quy trình ở chế độ sandbox Trước khi gửi thực tế, sử dụng chế độ kiểm tra của Certyneo để mô phỏng việc nhận SMS và nhập mã. Xác minh rằng nhật ký kiểm toán nắm bắt tốt: dấu thời gian, hash SHA-256 của tài liệu, số điện thoại được che chắn và địa chỉ IP của thiết bị được sử dụng.

Thực tiễn tốt nhất cho cấu hình tối ưu

Dự đoán các ràng buộc hoạt động của người nộp hồ sơ

Trong khuôn khổ một lời mời thầu, người nộp hồ sơ có thể là một cá nhân hoặc đại diện pháp nhân của một SME, một nhóm tạm thời của các công ty (GME) hoặc một tập đoàn lớn. Một số ràng buộc hoạt động phải được dự đoán:

• Không khả dụng của số điện thoại: nếu người ký được chỉ định đang di chuyển quốc tế, SMS có thể không đến kịp thời. Cung cấp một tùy chọn ủy quyền chữ ký với thông báo trước.
• Xoay vòng những người chịu trách nhiệm: trong các tổ chức lớn, tổng giám đốc người ký có thể thay đổi giữa lúc gửi lời mời và hạn chót nộp. Trường "số điện thoại" phải được sửa đổi bởi quản trị viên tài khoản cho đến 24 giờ trước thời hạn.
• Khả năng truy cập: một số người dùng gặp khó khăn về khuyết tật có thể gặp khó khăn khi nhập một mã tạm thời. Đề xuất một lựa chọn thay thế bằng giọng nói (cuộc gọi tự động để đọc mã) nếu cơ sở hạ tầng của bạn cho phép.

Lưu trữ và dấu vết kiểm toán tuân thủ

Trang xác thực SMS chỉ là một khâu trong thiết bị bằng chứng. Để cho toàn bộ hồ sơ có thể đối chọi, lưu trữ phải tuân thủ tiêu chuẩn ETSI EN 319 132 (XAdES) hoặc ETSI EN 319 122 (CAdES) theo định dạng ký được chọn. Certyneo tự động tạo ra một báo cáo ký ở định dạng PDF/A bao gồm:

• danh sách những người ký cùng với mức độ xác thực của họ;
• các dấu thời gian được chứng nhận (RFC 3161);
• nhật ký hoàn chỉnh của các sự kiện SMS (gửi, nhận được xác nhận, nhập đúng hoặc sai).

Báo cáo này phải được giữ trong suốt thời gian tính hợp lệ của hợp đồng, thậm chí còn lâu hơn trong trường hợp tranh chấp. Đối với đấu thầu công cộng, Bộ luật về Mua sắm công cộng (điều L. 2194-1 và những điều sau) quy định các thời hạn bảo quản có thể lên tới 10 năm. Giá cả và các tùy chọn lưu trữ dài hạn được chi tiết trên trang giá Certyneo.

Tích hợp với nền tảng nhập điện tử (hồ sơ người mua)

Khi phản hồi lời mời thầu thông qua nền tảng bên thứ ba (AWS Marchés, e-Attestations, Achat Public, Klekoon, v.v.), Certyneo có thể được sử dụng trước để ký và xác thực nội bộ các tài liệu tạo thành lời đề nghị trước khi nộp lên hồ sơ người mua. Tệp được ký (ở định dạng XAdES hoặc PAdES) sau đó được tải lên nền tảng, kèm theo báo cáo ký Certyneo làm chứng minh xác thực.

Nếu tổ chức của bạn đã sử dụng một giải pháp cạnh tranh, trang di chuyển sang Certyneo giải thích cách chuyển các quy trình hiện có của bạn mà không mất dữ liệu hoặc gián đoạn dịch vụ.

Bảo mật, RGPD và quản lý dữ liệu điện thoại

Xử lý dữ liệu cá nhân về số điện thoại

Số điện thoại di động là dữ liệu cá nhân theo nghĩa của điều 4 của RGPD. Việc sử dụng nó trong khuôn khổ xác thực OTP đòi hỏi:

• một cơ sở pháp lý được xác định rõ ràng: thực hiện hợp đồng (điều 6.1.b RGPD) hoặc lợi ích hợp pháp (điều 6.1.f RGPD) tùy theo mối quan hệ giữa người phát hành lời mời thầu và người nộp hồ sơ;
• một thông báo trước cho người nộp hồ sơ về cách sử dụng số của họ (đề cập trong Điều khoản và Điều kiện Chung hoặc trong e-mail mời);
• một thời hạn bảo quản hạn chế: số không phải được giữ lâu hơn kết thúc quy trình ký, ngoại trừ lưu trữ pháp lý được biện minh.

Các nhóm pháp lý và DPO sẽ tìm thấy các tài nguyên bổ sung trong bảng thuật ngữ ký điện tử của chúng tôi, cái mà tham chiếu các định nghĩa chính của RGPD được áp dụng cho các quy trình làm việc ký.

Khả năng chống lại các cuộc tấn công và chống gian lận

Xác thực SMS dễ bị một số vectơ tấn công (trao đổi SIM, chặn SS7). Đối với các thị trường có mức độ rủi ro cao (số tiền > 500 000 € HT), Certyneo khuyến nghị kết hợp OTP SMS với:

• xác minh danh tính trước (KYC tài liệu hoặc IDnow);
• một dấu thời gian đủ điều kiện được cung cấp bởi một nhà cung cấp dịch vụ tin cậy (Trust Service Provider, TSP) được công nhân eIDAS;
• một cảnh báo thời gian thực trong trường hợp thay đổi số điện thoại trong 48 giờ trước khi ký.

Các biện pháp bổ sung này làm chuyển ký sang mức đủ điều kiện eIDAS, mức cao nhất được công nhân bởi quy định Châu Âu, và tạo thành một bảo đảm tối đa cho các thị trường công cộng nhạy cảm hoặc được phân loại.

Khuôn khổ pháp lý áp dụng cho xác thực SMS trong các lời mời thầu

Quy định eIDAS n° 910/2014 và các mức độ ký của nó

Quy định (EU) n° 910/2014 của Nghị viện Châu Âu và Hội đồng (eIDAS) tạo thành nền tảng quy định cho chữ ký điện tử ở Châu Âu. Nó phân biệt ba cấp độ:

• Chữ ký điện tử đơn giản (điều 3.10): dữ liệu dưới dạng điện tử được liên kết hoặc liên kết với dữ liệu khác, được sử dụng bởi người ký để ký. Giá trị pháp lý hạn chế cho các lời mời thầu công cộng.
• Chữ ký điện tử nâng cao (điều 3.11): đáp ứng các yêu cầu của điều 26 eIDAS, bao gồm tính duy nhất của liên kết với người ký và khả năng phát hiện mọi thay đổi. Xác thực OTP SMS, kết hợp với nhận dạng trước, cho phép đạt được mức độ này.
• Chữ ký điện tử đủ điều kiện (điều 3.12): được tạo bằng cách sử dụng thiết bị tạo chữ ký đủ điều kiện, dựa trên chứng chỉ đủ điều kiện được cấp bởi TSP được công nhân. Mức độ duy nhất có hiệu lực pháp lý tương đương với chữ ký viết tay ở tất cả các Quốc gia thành viên (điều 25.2 eIDAS).

Bộ luật Dân sự Pháp — Các điều 1366 và 1367

Điều 1366 của Bộ luật Dân sự nêu rằng "bản viết điện tử có cùng lực chứng minh như bản viết trên giấy, với điều kiện rằng danh tính của người nó phát sinh từ có thể được xác định đúng và nó được lập và bảo quản theo những cách có tính chất đảm bảo tính toàn vẹn của nó". Điều 1367 làm rõ rằng "chữ ký điện tử bao gồm việc sử dụng một quy trình xác định đáng tin cậy đảm bảo liên kết của nó với hành động mà nó đính kèm".

OTP SMS góp phần trực tiếp để đáp ứng điều kiện xác định đáng tin cậy được nêu trong điều 1367, bằng cách tạo ra một liên kết giữa số điện thoại đã đăng ký và hành động được ký.

Bộ luật về Mua sắm công cộng

Các điều R. 2132-7 và những điều sau đó của Bộ luật về Mua sắm công cộng yêu cầu rằng các lời đề nghị được truyền tải bằng hình thức điện tử phải được ký bằng chữ ký điện tử ít nhất là nâng cao dựa trên chứng chỉ đủ điều kiện. Xác thực SMS nằm trong thiết bị cho phép đạt được mức này, với điều kiện là toàn bộ quy trình ký được ghi chép và lưu trữ.

RGPD n° 2016/679 — Bảo vệ dữ liệu điện thoại

Điều 32 của RGPD yêu cầu các biện pháp kỹ thuật và tổ chức thích hợp để đảm bảo bảo mật dữ liệu được xử lý, đặc biệt là mã hóa và giả danh. Số điện thoại được sử dụng cho OTP SMS phải được mã hóa khi rest và trong quá trình truyền (TLS 1.3 tối thiểu). Điều 5.1.e bắt buộc hạn chế bảo quản: số chỉ có thể được giữ trong thời gian strictly cần thiết cho mục đích xử lý.

Các tiêu chuẩn ETSI áp dụng

• ETSI EN 319 132 (XAdES): định dạng chữ ký XML nâng cao, được khuyến nghị cho các tài liệu thị trường công cộng ở định dạng XML.
• ETSI EN 319 122 (CAdES): định dạng chữ ký CMS nâng cao, phù hợp với các tệp nhị phân (PDF, ZIP).
• ETSI EN 319 102-1: thủ tục tạo và xác thực chữ ký điện tử, tích hợp dấu thời gian đủ điều kiện RFC 3161.

Việc không tuân thủ các tiêu chuẩn này làm cho người phát hành hoặc người nộp hồ sơ gặp rủi ro bị từ chối lời đề nghị vì bất quy hình thức, hoặc không thể thi hành chữ ký trong trường hợp tranh chấp hợp đồng.

Các tình huống sử dụng cụ thể

Tình huống 1 — Một công ty kỹ sư đáp ứng thị trường quản lý thiết kế

Một công ty kỹ sư chuyên về cơ sở hạ tầng, có khoảng ba mươi kỹ sư và quản lý trung bình 15 đến 20 phản hồi lời mời thầu mỗi năm, phải ký một số tài liệu tạo thành lời đề nghị: hành động cam kết, bộ nhớ kỹ thuật, chứng chỉ về tính chính quy về bảo hiểm tài chính và xã hội. Trước khi triển khai xác thực SMS, quy trình dựa trên trao đổi PDF được ký tay, quét và truyền lại qua e-mail, điều này tạo ra độ trễ trung bình từ 48 đến 72 giờ trên mỗi hồ sơ.

Bằng cách cấu hình quy trình Certyneo với xác thực OTP SMS cho mỗi người ký nội bộ (giám đốc kỹ thuật, quản lý), công ty đã giảm độ trễ này xuống còn dưới 2 giờ. Báo cáo ký được tạo tự động được đính kèm vào hồ sơ được nộp trên hồ sơ người mua, đáp ứng các yêu cầu về chữ ký nâng cao. Các nghiên cứu theo khu vực về nhập điện tử B2B ước tính giảm 60-70% thời gian xử lý hành chính khi chuyển sang chữ ký điện tử với xác thực mạnh.

Tình huống 2 — Một nhóm tạm thời của các công ty (GME) trên thị trường công việc

Trong khuôn khổ thị trường công cộng (lô đất san bằng + lô khung xương), hai công ty tạo thành một GME chung. Mỗi người đại diện phải ký hành động cam kết thay mặt công ty của họ. Hai công ty nằm ở các thành phố khác nhau, và thời hạn cuối cùng để nộp lời đề nghị là 12h00.

Nhờ tính năng ký song song của Certyneo, hai người ký nhận được đồng thời một liên kết mời qua e-mail. Mỗi người truy cập vào trang xác thực của mình, nhập mã OTP của họ nhận được qua SMS trong khoảng thời gian dưới một phút, và áp dụng chữ ký điện tử nâng cao của họ. Người điều phối GME nhận được ngay lập tức một thông báo hoàn thành và có thể tải lên hồ sơ hoàn tất trước thời hạn. Tình huống này minh họa cách xác thực SMS loại bỏ nguy hiểm chậm trễ liên quan đến phối hợp đa trang, một vấn đề đại diện theo một số nghiên cứu khoảng 30% tổng nộp muộn trong các phản hồi theo nhóm.

Tình huống 3 — Một chính quyền địa phương phát hành lời mời thầu

Một chính quyền địa phương có kích thước trung bình (giữa 50 000 và 200 000 cư dân) không chỉ muốn phản hồi lời mời thầu mà phát hành một, cũng có thể dựa vào xác thực SMS để bảo mật ký nội bộ các tài liệu thị trường (CCAP, CCTP, RC). Trước khi đặt tư vấn trực tuyến trên hồ sơ người mua, giám đốc các dịch vụ kỹ thuật và các ủy viên được bầu chọn cho các thị trường phải ký cùng các tài liệu tạo thành.

Bằng cách triển khai quy trình Certyneo nội bộ với xác thực OTP SMS cho mỗi người ký từ chỉnh phủ, chính quyền địa phương tạo ra một dấu vết bằng chứng của xác thực hành chính trước. Tính truy xuất này đặc biệt hữu ích trong các cuộc kiểm tra pháp lệnh được thực hiện bởi tòa lâm thời hoặc trong trường hợp kiểm toán của phòng khu vực tính toán. Việc giảm nguy hiểm pháp lý liên quan đến chữ ký không được xác thực đại diện cho một vấn đề tuân thủ chính cho các nhà mua công cộng, với những yêu cầu của sắc lệnh n° 2015-899 được mã hóa trong Bộ luật về Mua sắm công cộng.

Kết