Validatie van een handtekening bij een offerte in e-Tendering 1 Doel van deze checklist Deze checklist is een leidraad om voornamelijk buitenlandse certificaten die gebruikt werden bij de ondertekening van een offerte op e-Tendering te evalueren via de website https://sign.publicprocurement.be (hierna ‘EU DSS’ genoemd). 2 Vereisten van de handtekening en de te controleren documenten Een handtekening kan intern (= in een document geïntegreerd) of extern (= losstaande handtekening) zijn, maar beiden (handtekening + doc) moeten beschikbaar zijn. Het indieningsrapport moet PDF (intern) of XML (intern of extern) zijn. 1 Enkel volgende handtekeningsformaten worden ondersteund: CAdES, XAdES, PadES en ASiC-S Een certificaat kan zonder problemen aanvaard worden als de applicatie aangeeft dat: - Alle vereisten vervuld zijn EN - Het certificaat op de Trusted Service List (TSL) kan teruggevonden worden EN 1 CAdES is een binair formaat en is voor elk type bestand beschikbaar. XAdES is een XML handtekening en is voor elk type bestand beschikbaar. PAdES is een PDF handtekening en kan bijgevolg enkel in een PDF bestand gebruikt worden. ASiC-S is een ZIP handtekening en kan voor elk type bestand gebruikt worden. _________________________________________________ 1 / 15 - Het gebruikte certificaat een gekwalificeerd certificaat is. EN - de applicatie aangeeft dat het certificaat nog steeds geldig is Indien een van deze elementen ontbreekt, dient verder onderzoek verricht te worden. In dat geval dient de gebruiker van het certificaat het nodige bewijsmateriaal aan te leveren: - Bewijs dat het om een gekwalificeerd certificaat gaat (zie bijlage 1) - Bewijs dat het certificaat door de authoriteiten erkend is als geldig ondertekeningsmiddel - Software (al dan niet online) die toelaat de authenticiteit van de handtekening te controleren. 2 / 15 3 Werkwijze De EU-DSS werkt met Java. Download het ondertekende indieningsrapport in xml of pdf formaat naar de harde schijf. Surf naar https://sign.publicprocurement.be Kies het validity gedeelte -Kies Select a file (A) voor de xml -Kies File (B) voor de pdf -Indien de handtekening losstaat van het bestand (zie hfdstk 2 Vereisten, punt 1) : kies (A) om de handtekening en (B) om het bestand te controleren. Laad het indieningsrapport met handtekening op. Klik op Next. Het evaluatierapport wordt gegenereerd. Hieronder vind je wat print screens over de handtekeninggegevens. Afbeelding 1: kies het te controleren bestand/de te controleren handtekening 3 / 15 Afbeelding 2 De boomstructuur van de handtekening Timeinformation signatureinformation wanneer certificaat op de EU DSS laten controleren/valideren. per handtekening 1 sectie/map per handtekening 4 / 15 4 Interpretatie van de eindconclusie Afbeelding 3: conclusie Wanneer de eindconclusie QES als melding geeft, mag u ervan uitgaan dat deze handtekening met een gekwalificeerd certificaat ondertekend werd (zie afbeelding 3). Alle andere meldingen dienen nog verder onderzocht te worden. Wend u hiervoor tot de inschrijver of tot de federale helpdesk e-Procurement. Indien u een beroep op de helpdesk wenst te doen, dient u ons op [email protected] volgende informatie door te mailen: - Dossiernummer zoals gekend op e-Tendering Naam van de betrokken firma Indieningsrapport van de firma Indien er een losstaande handtekening is: de handtekening Uw contactgegevens 5 / 15 Indien het document geen handtekening bevat of indien de EU DSS de handtekening niet kan herkennen, bekomt u een melding zoals weergegeven in afbeelding 4 (zie ook hoofdstuk 2 Vereisten punt 3): Afbeelding 4: geen handtekening gevonden of handtekening kan niet herkend worden. 6 / 15 5 Aansprakelijkheid - - De aangeboden website https://sign.publicprocurement.be (ook EU-DSS genaamd) door de federale dienst e-Procurement is louter een hulpmiddel. De aanbestedende overheid blijft zelf verantwoordelijk voor een juiste analyse en kan bijgevolg geen aanspraak maken op een schadevergoeding bij geleden schade door een beslissing gebaseerd op de resultaten van de EU-DSS. Geenszins kan de FOD Personeel en Organisatie aansprakelijk gesteld worden voor eventuele geleden schade door gebruik van de Java-software. 7 / 15 6 Bijlagen Bijlage 1: Opvragen van bewijs bij de ondernemer Kies je taal NL / F / E / D Geachte mevrouw, Geachte heer, U heeft de dienst e-Procurement om assistentie gevraagd bij het valideren van de conformiteit van uw certificaat en/of uw elektronische handtekening. Na analyse zijn wij niet in staat om te bevestigen dat uw certificaat en/of uw elektronische handtekening met de Belgische wetgeving inzake overheidsopdrachten strookt. Voor een volledige validatie hiervan zijn immers gegevens nodig die buiten onze bevoegdheden liggen. Ter herinnering: een offerte die een elektronische handtekening vereist, moet worden ondertekend met: 1.) een geavanceerde handtekening… Een geavanceerde elektronische handtekening is een elektronische handtekening die aan de volgende eisen voldoet: a) zij is op unieke wijze aan de ondertekenaar verbonden; b) zij maakt het mogelijk de ondertekenaar te identificeren; c) zij komt tot stand met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden; en d) zij is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van de gegevens kan worden opgespoord. cf. Europese richtlijn 1999/93/EC 2.) … vergezeld van een geldig gekwalificeerd certificaat… met andere woorden: 8 / 15 A. Het certificaat moet erkend zijn als zijnde gekwalificeerd, zoals gespecificeerd in bijlage 1 bij de Europese richtlijn 1999/93/EC. B. Het moet een correcte geldigheidsdatum hebben. C. Het mag niet ingetrokken zijn. 3.) … en gerealiseerd met een veilig middel voor het aanmaken van een handtekening, dat waarborgt dat… A. de gegevens die gebruikt worden voor het aanmaken van de handtekening in de praktijk slechts éénmaal kunnen voorkomen en dat de vertrouwelijkheid ervan op redelijke wijze verzekerd is; B. men redelijke zekerheid heeft dat de gegevens die gebruikt worden voor het aanmaken van de handtekening niet door deductie kunnen worden achterhaald en dat de handtekening met de momenteel beschikbare technische middelen beschermd is tegen vervalsing; C. de voor het aanmaken van de handtekening gebruikte gegevens door de legitieme ondertekenaar op betrouwbare wijze kunnen worden beschermd tegen het gebruik door anderen; D. de veilige middelen voor het aanmaken van een handtekening noch de te ondertekenen gegevens mogen wijzigen, noch verhinderen dat die gegevens vóór het ondertekeningsproces aan de ondertekenaar worden voorgelegd. Voorbeelden: USB-stick, chipkaart… Om ervoor te zorgen dat uw certificaat en/of uw elektronische handtekening aanvaard worden, raden we u derhalve aan de aanbestedende overheid het bewijs te leveren dat uw handtekening aan alle hiervoor vermelde voorwaarden voldoet. Uw certificaatleverancier kan u hierbij helpen. Met vriendelijke groet, Het e-Procurement-team 9 / 15 Madame, Monsieur, Vous avez sollicité l’assistance du service e-Procurement pour valider la conformité de votre certificat et/ou signature électronique. Après analyse, nous ne sommes pas en mesure d’affirmer que votre certificat et/ou signature électronique est conforme à la législation belge en matière des marchés publics. En effet, la validation complète de ceux-ci demande des informations au-delà de nos compétences. Pour rappel, une offre qui nécessite une signature électronique doit être signée au moyen : 1.) D’une signature avancée… Une signature électronique avancée est une signature électronique qui satisfait aux exigences suivantes : A. être liée uniquement au signataire B. permettre d'identifier le signataire C. être créée par des moyens que le signataire puisse garder sous son contrôle exclusif D. être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable cfr. Directive européenne 1999/93/CE 2.) … accompagnée d’un certificat qualifié valide… Autrement dit, le certificat : A. doit être reconnu comme étant qualifié tel que spécifié à l’annexe 1 de la Directive européenne 1999/93/CE B. avoir une date de validité correcte C. ne doit pas avoir été révoqué 3.) … et réalisée au moyen d’un dispositif sécurisé de création de signature qui garantit que … A. les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu’une seule fois et que leur confidentialité soit raisonnablement assurée B. l’on puisse avoir l’assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles C. les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autre 10 / 15 D. les dispositifs sécurisés de création de signature ne doivent pas modifier les données à signer, ni empêcher que ces données soient soumises au signataire avant le processus de signature Exemple : clef USB, carte à puce… Dès lors, afin de permettre l’acceptation de votre certificat et/ou signature électronique, nous vous recommandons de fournir au pouvoir adjudicateur la preuve que votre signature rempli l’ensemble des conditions précitées. Votre fournisseur de certificat peut vous aider dans cette démarche. Cordialement L’équipe e-Procurement 11 / 15 Dear Sir or Madam, You have requested the assistance of the e-Procurement service in order to validate the conformity of your certificate and/or electronic signature. Following analysis, it appears we are unable to confirm whether your certificate and/or electronic signature is compliant with the Belgian public contracts legislation. A complete validation of your certificate and/or electronic signature requires information we are unauthorized to request. Reminder: a tender that requires an electronic signature must be signed using: 1.) an advanced signature… An advanced electronic signature is an electronic signature which meets the following requirements: A. is uniquely linked to the signatory B. is capable of identifying the signatory C. is created using means that the signatory can maintain under his sole control D. it is linked to the data to which it relates in such a manner that any subsequent change in the data is detectable. cf European Directive 1999/93/EC 2.) … accompanied by a valid qualified certificate … In other words the certificate: A. must be recognized as qualified, as has been specified in Annex 1 to European Directive 1999/93/EC B. must have a correct validity date C. must not have been revoked 3.) … and created by a secure signature-creation device which guarantees that … A. the signature-creation-data used for signature generation can practically occur only once, and that their secrecy is reasonably assured B. the signature-creation-data used for signature generation cannot, with reasonable assurance, be derived and the signature is protected against forgery using currently available technology C. the signature-creation-data used for signature generation can be reliably protected by the legitimate signatory against the use of others D. secure signature-creation devices must not alter the data to be signed or prevent such data from being presented to the signatory prior to the signature process 12 / 15 E.g.: USB stick, smart card… Consequently, we recommend you provide proof that your signature meets all the above conditions to the contracting authority so that your certificate and/or electronic signature will be accepted. Your certificate supplier can help you in this respect. Kind regards The e-Procurement team 13 / 15 Sehr geehrte Dame, sehr geehrter Herr, Sie haben den Dienst e-Procurement darum gebeten, die Übereinstimmung Ihres Zertifikats und/oder Ihrer elektronischen Signatur zu validieren. Nach der Analyse können wir nicht bestätigen, dass Ihr Zertifikat und/oder Ihre elektronische Signatur der belgischen Gesetzgebung über die öffentlichen Aufträge entspricht. Eine vollständige Validierung erfordert nämlich Daten, die unsere Befugnisse überschreiten. Wir erinnern daran, dass ein Angebot, das eine elektronische Signatur erfordert, 1.) unterschrieben sein muss mit einer fortgeschrittenen Signatur … Eine fortgeschrittene elektronische Signatur ist eine elektronische Signatur, die folgende Anforderungen erfüllt: A. Sie ist ausschließlich dem Unterzeichner zugeordnet. B. Sie ermöglicht die Identifizierung des Unterzeichners. C. Sie wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann. D. Sie ist so mit den Daten, auf die sie sich bezieht, verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Siehe europäische Richtlinie 1999/93/EG 2.) … begleitet von einem gültigen qualifizierten Zertifikat … Mit anderen Worten: A. Das Zertifikat muss, wie in Anhang I der europäischen Richtlinie 1999/93/EG spezifiziert, als qualifiziert anerkannt sein. B. Es muss ein korrektes Gültigkeitsdatum haben. C. Es darf nicht eingezogen sein. 3.) … und realisiert mittels einer sicheren Signaturerstellungseinheit, die garantiert, dass A. die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten praktisch nur einmal auftreten können und dass ihre Geheimhaltung hinreichend gewährleistet ist. B. die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten mit hinreichender Sicherheit nicht abgeleitet werden können und die Signatur vor Fälschungen bei Verwendung der jeweils verfügbaren Technologie geschützt ist. C. die für die Erzeugung der Signatur verwendeten Signaturerstellungsdaten von dem rechtmäßigen Unterzeichner vor der Verwendung durch andere verlässlich geschützt werden können. 14 / 15 D. die sicheren Signaturerstellungseinheiten die zu unterzeichnenden Daten nicht verändern und nicht verhindern, dass diese Daten dem Unterzeichner vor dem Signaturvorgang dargestellt werden. Zum Beispiel USB-Stick, Chipkarte,… Damit Ihr Zertifikat und/oder Ihre elektronische Signatur akzeptiert wird, empfehlen wir Ihnen, dem öffentlichen Auftraggeber den Beweis zu erbringen, dass Ihre Signatur alle genannten Bedingungen erfüllt. Ihr Zertifikatsanbieter kann Ihnen dabei helfen. Mit freundlichen Grüβen Das E-Procurementteam 15 / 15
© Copyright 2025 ExpyDoc
