Partner Onboarding Versicherungen

Folgen

1. Verifizierung der Nutzer bei TeleClinic

Um als Kunde Ihrer Versicherungen und Nutzer von TeleClinic  von den Premiumvorteilen von TeleClinic profitieren zu können, müssen die entsprechenden Nutzer mittels einer Verifizierung eindeutig identifiziert werden. Diese Verifizierung führen wir bei TeleClinic über unseren automatisierten Prozess durch.

Bei dem automatisierten Prozess erhält TeleClinic eine Versichertenliste von der Versicherung. Diese Versichertenliste enthält keine genauen Versicherteninformationen (Versicherungsnummer, Vorname, Nachname), sondern anhand eines one-way Hash Verfahrens eine eindeutige ID für jeden Versicherten, die anhand von Eingabeparametern generiert wird. Es entsteht eine sogenannte White List.

Wenn sich ein Nutzer bei TeleClinic registriert, wird aus den eingegebenen Daten (Versicherungsnummer, Vorname, Nachname, Geburtsdatum) ebenfalls eine ID generiert anhand derselben Systematik (one way hash Funktion) wie die Versicherteninformationen auf Seiten der Versicherung in eine eindeutige ID verwandelt wurden.  Die Systematik der Umwandlung (One-ways Hashing) der Versicherteninformationen in eindeutige IDs lässt keine Umwandlung in die andere Richtung (von ID zu Versicherteninformationen) zu, so dass die TeleClinic selbst zu keinem Zeitpunkt Zugriff auf die Versicherteninformationen hat.

Anhand der Liste der IDs, die TeleClinic von der Versicherung erhalten hat, wird geprüft, ob die eindeutige ID, die bei der Registrierung generiert wurde, mit einer der IDs aus der Liste der IDs der Versicherung übereinstimmt.  Wenn ja, wird eine Registrierung erlaubt und die ID in der Liste gekennzeichnet.

Die Liste der IDs mit den gekennzeichneten, eindeutigen IDs wird anschließend an die Versicherung zurückgesendet. So kann nachvollzogen werden, welche der Versicherten bei TeleClinic registriert sind, ohne dass personenbezogene Daten selbst übertragen werden. 

Eine bildliche Darstellung des Prozesses sehen Sie zudem in diesem Schaubild:

Schaubild.png

Da es unser Erfahrung nach IT seitig Abstimmungsbedarf gibt, um die initiale White List zu übermitteln starten wir zu Beginn einer Kooperation zumeist mit einem manuellen Prozess. Bei dem manuellen Prozess liefern wir Ihnen eine Liste mit Nutzern (Vorname, Nachname, Versicherungsnummer) per E-Mail. Der Turnus in dem wir die Daten übermitteln sprechen wir mit Ihnen ab. Es reicht aus, wenn wir alle 1-2 Monate die Liste schicken, da erfahrungsgemäß nur ganz wenige Nutzer versehentlich eine falsche Versicherung im Anmeldeprozess angeben. Und somit nur eine geringe Anzahl an "Fremd-Versicherten" vorübergehend von den Premium Features bei TeleClinic profitieren. 

2. Vorbereitungen für automatisierten Prozess

Um mit dem automatisierten Prozess starten zu können, bedarf es einiger Vorbereitungsschritte, welche nachfolgend dargestellt sind:

  1. Versicherungsinterne Prüfung der Datenabfrage
    So könnte eine Abfrage Ihrer Datenbank mit anschließender Verschlüsselung aussehen:

    // psuedo - code

    // Additional secret key that may be used as a hash component

    // Not required

    secretKey = 'magicKey'

    // Information to be hashed

    firstName = 'Max'

    lastName = 'Müstermann'

    insuranceNumber = 'B190821019'

    // The elements are concatenated

    stringToHash = insuranceNumber + firstName + lastName

    // And lowercased

    stringToHash = lowercase(stringToHash)

    // The secretKey is added

    stringToHash = secretKey + stringToHash

    // stringToHash is now "magicKeyB190821019maxmüstermann"

    // And then hashed

    hashResult = sha3_256(secretKey + stringToHash)

    The result is: 7ce5b9e47caf96b3a1344ef73eaa2c7bd1ced1ad020ff33b643900d7677a5ed1

    Der Secret Key kann wahlweise entweder von Ihnen oder von uns generiert werden. Wichtig ist dabei, dass der Secret Key konstant bleibt. 


    So könnten Versicherteninformationen nach der Verschlüsselung aussehen, welche Sie uns übermitteln, damit wir den Datenabgleich durchführen können:

    uniqueID 7ce5b9e47caf96b3a1344ef73eaa2c7bd1ced1ad020ff33b643900d7677a5ed1 ada7735a6b15ef394bed968e787e5073138a484cf56b221dde9ec1f3d676be69

    Die von TeleClinic verwendete Verschlüsselung entspricht dem SHA3 Verfahren.
  2. Aufsetzen des SFTP Servers:
    Um eine sichere Datenübertragung zu gewährleisten verwenden wir einen SFTP Server. Damit Sie uns über diesen Weg die Hashed White List übermitteln können, brauchen Sie zunächst das Programm Filezilla, welches Sie unter diesem Link herunterladen können. Alle weiteren Information, die nötig sind um uns über den SFTP Server Daten zu übermitteln (Host, Port, Username usw.) entnehmen Sie bitte aus Informationen, die Ihnen von TeleClinic per Mail zur Verfügung gestellt werden.

  3. Test der Verschlüsselungsmethodik:
    Um sicherzustellen, dass die bei Ihnen durchgeführte Verschlüsselung deckungsgleich mit unserer Verschlüsselung ist, bitten wir Sie uns die Daten eines Test Kunden (Vorname, Nachname, Versicherungsnummer, Geburtsdatum) und das entsprechende Verschlüsselungs Ergebnis zu schicken.

  4. Übermittlung der Hashed White List:
    Sobald die Schritte 1) bis 3) abgeschlossen sind können Sie die Hashed White List an TeleClinic übermitteln. Dabei ist es wichtig, dass die von Ihnen übermittelte Liste (wie auch in der Beispieldatei in 1))  eine Überschrift mit dem Namen “uniqID” besitzt. Wenn Sie die Übertragung über den SFTP Server vorab testen wollen, können Sie das über den regulären SFTP Server tun. Einen speziellen Test SFTP Server haben wir nicht. Solange wir noch nicht “live” sind, werden die Daten nicht verarbeitet. 

    Die Hashed White List sollte außerdem regelmäßig aktualisiert  werden, damit auch die  Nutzer, die erst seit Kurzem bei Ihnen versichert sind, von den Premium Vorteilen bei TeleClinic profitieren können. Wir schlagen daher vor, uns einmal pro Monat eine aktualisierte Hashed White List zukommen zu lassen. Außerdem müssten Sie bitte Fünf Testaccounts Ihrer Wahl verschlüsseln und ebenfalls mit auf die Hashed White List setzen und uns die Spezifikationen der Testaccounts mitteilen. Damit können wir in regelmäßigen Abständen die korrekte Funktionsweise der Validierung überprüfen. Die Testaccounts müssen daher bitte zwingend auch auf den aktualisierten Hashed White Lists enthalten sein.

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.