Tengo una pregunta sobre cómo identificar mejor a una persona / cliente, verificando que quienes dicen ser realmente son esa persona. Trabajo para una organización de seguros, donde los clientes compran seguros a través de su agente y el agente nos envía el negocio (en general). Somos un agente de seguros independiente, lo que significa que los clientes trabajan a través de agentes y esos agentes nos envían negocios. Cuando un cliente desea acceder a su información en nuestro sitio, registra una cuenta para la línea de negocio que tiene con nosotros. La información que nos proporcionan podría, en teoría, estar programada para obtener acceso; por lo tanto, un pirata informático podría crear una cuenta de usuario y, obviamente, sería una identidad falsa (y no representaría al asegurado real).
Una cosa en la que he estado pensando es en todas las políticas existentes, enviamos al cliente, también conocido, como el titular de la póliza, un pin único en el correo; correo postal. Para nuevos negocios, requeriríamos que el agente obtenga la dirección de correo electrónico del cliente y un pin que le gustaría asociar a su cuenta. Algunos de estos negocios se envían por correo (correo electrónico), se envían por fax, y la mayoría proviene de nuestro sistema interno de agentes.
Luego, cuando el cliente desea acceder a su información en línea, se registra en nuestro sitio (creando un nombre de usuario y contraseña) proporcionando la dirección de correo electrónico y el pin. Para las cuentas de línea de negocios existentes que no tienen un correo electrónico asociado, aún requeriríamos el pin que les enviamos, pero luego requeriríamos una información adicional como su número de póliza. Como puede adivinar, el número de la política es generalmente numérico y, por lo tanto, con un pequeño script, no tardaría mucho en identificar cuáles no están asociadas con una cuenta de usuario.
En este escenario, el enlace débil es el agente, ya que podrían anotar la dirección de correo electrónico y el PIN, pero enviaríamos el correo electrónico de registro del usuario para verificar y confirmar el registro antes de permitirles ingresar a su perfil. Luego, desde su ubicación, el usuario podría cambiar el pin si lo considerara adecuado.
Básicamente, mi enfoque es pedirle al usuario anónimo en el formulario público (la página de registro) la información que ellos y nuestra organización solo conocerían y esto dificultaría la creación de identidades falsas, al menos en mi opinión. Obviamente, nuestra organización debería requerir requisitos específicos para lo que puede ser un pin válido cuando el agente está escribiendo el negocio para reducir a una persona aleatoria de las secuencias de comandos / conjeturas al intentar registrarse en el sitio mediante programación.
¿Alguien tiene opiniones sobre esto? ¿Alguien ha implementado un sistema de verificación a través de algo como LexisNexis?