Ho una domanda su come identificare al meglio una persona / cliente, verificando che chi dicono di essere sia davvero quella persona. Lavoro per un'organizzazione assicurativa, in cui i clienti acquistano l'assicurazione tramite il loro agente e l'agente sottopone l'attività a noi (in generale). Siamo un vettore assicurativo indipendente che significa che i clienti lavorano attraverso agenti e questi agenti ci mandano affari. Quando un cliente desidera accedere alle proprie informazioni sul nostro sito, registra un account per la linea di business che ha con noi. Le informazioni che ci forniscono potrebbero, in teoria, essere scritte per ottenere l'accesso; quindi un hacker potrebbe creare un account utente e ovviamente sarebbe un'identità falsa (e non rappresenterebbe il vero assicurato).
Una cosa a cui ho pensato è per tutte le politiche esistenti, inviamo al cliente, anche noto, come il contraente un perno unico nella posta; posta ordinaria. Per le nuove attività, richiederemmo all'agente di ottenere l'indirizzo e-mail del cliente e un pin che vorrebbero associati al proprio account. Alcuni di questi affari vengono spediti via posta (posta ordinaria), inviati via fax e la maggior parte proviene dal nostro sistema di agenti interni.
Poi, quando il cliente vuole accedere ai propri dati online, si registra sul nostro sito (creando un nome utente e una password) fornendo l'indirizzo e il pin. Per gli account di linea esistenti che non hanno un'e-mail associata, avremmo comunque bisogno del pin che li abbiamo inviati, ma poi richiederebbero informazioni aggiuntive come il loro numero di polizza. Come potresti essere in grado di indovinare, il numero della politica è generalmente numerico e quindi con un piccolo script, non ci vorrà molto per identificare quelli che non sono associati a un account utente.
In questo scenario, il collegamento debole è l'agente poiché potrebbero scrivere l'indirizzo e il pin e-mail ma invieremo la registrazione di un'e-mail utente per verificare e confermare la registrazione prima di consentirli nel loro profilo. Poi da loro, l'utente potrebbe cambiare il pin se lo ritengono opportuno.
Fondamentalmente, il mio approccio è quello di chiedere all'utente anonimo sul modulo pubblico (la pagina di registrazione) per informazioni che loro e la nostra organizzazione conoscono e questo renderebbe più difficile creare identità false, almeno secondo me. Ovviamente, la nostra organizzazione dovrebbe richiedere requisiti specifici per ciò che una pin valida può essere quando l'agente sta scrivendo l'attività per ridurre alcune persone casuali dallo scripting / indovinare quando provano a registrarsi programmaticamente sul sito.
Qualcuno ha opinioni su questo? Qualcuno ha implementato un sistema di verifica attraverso qualcosa come LexisNexis?