Sigorta Müşteri Portalı Geçiş Anahtarları Rehberi
Sigorta müşteri portalı geçiş anahtarları: Eski CIAM'a sahip düzenlemeye tabi sigortacılarda ATO'yu azaltın, OTP maliyetini düşürün ve poliçe sahibi MFA'sını modernize edin.
Bu sayfa otomatik olarak çevrildi. Orijinal İngilizce sürümü buradan okuyun.
- Sigortacılıkta hesap ele geçirme kayıpları hızlanıyor: NYDFS, sekiz otomobil sigortacısına halka açık fiyatlandırma sistemlerinde MFA uygulamaması ve sürücü verilerine yönelik kimlik bilgisi doldurma saldırılarına olanak sağlaması nedeniyle Ekim 2025'te toplam 19 milyon ABD doları para cezası kesti.
- Sigortacı ölçeğinde SMS OTP maliyetleri mesaj başına 0,01-0,05 ABD dolarına ulaşıyor; ayda iki kez giriş yapan 5 milyon poliçe sahibine sahip bir taşıyıcı, teslimat hataları ve destek çağrılarını hesaba katmadan önce, yalnızca OTP teslimatı için yılda 1,2-6 milyon ABD doları harcıyor.
- Parola sıfırlamaları ve MFA destek çağrıları, tahmini olarak sigorta çağrı merkezi hacminin %20-40'ını oluşturuyor ve acente zamanına ve kimlik doğrulama adımlarına bağlı olarak her bir çağrı 5-25 ABD dolarına mal oluyor.
- Aflac'ın geçiş anahtarı dağıtımı, %96'lık başarılı giriş oranıyla 500.000 kayda ulaştı; Branch Insurance, kullanıma sunulmasından sonra acente destek biletlerinin yaklaşık %50 oranında düştüğünü gördü.
- FIDO verileri, geçiş anahtarlarının giriş dönüşümünü 30 yüzde puanı artırdığını gösteriyor; HealthEquity daha da ileri giderek, 2025 sonbaharında geçiş anahtarlarını vazgeçme seçeneği olmaksızın tüm kullanıcılar için zorunlu hale getirdi.
1. Giriş#
Sigorta müşteri portalları aynı anda birden fazla yönden baskı altında. Hesap ele geçirme riski artıyor, SMS OTP büyük ölçekte pahalıya mal oluyor, çağrı merkezleri parola ve MFA hatalarının sonuçlarını üstleniyor ve düzenleyiciler giderek kimlik avına dirençli MFA bekliyor. Bu kombinasyon, sigortacılığı geçiş anahtarları için en net müşteri kimlik doğrulama kullanım senaryolarından biri haline getiriyor.
Bu makalenin kapsadığı konular:
- Sigorta portalları neden güçlü bir geçiş anahtarı kullanım senaryosudur? ATO riski, pahalı OTP akışları, gecikmiş dolandırıcılık tespiti ve artan düzenleyici baskı.
- Geçiş anahtarları eski kimlik doğrulama yöntemleriyle nasıl karşılaştırılır? Güvenlik, UX, uyumluluk ve maliyet genelinde SMS OTP, e-posta OTP, TOTP ve cihaz güveni.
- Sigortacı sunumlarını farklı kılan nedir? Eski CIAM, çok markalı portal mimarisi, acenteye karşı poliçe sahibi akışları ve bölgesel düzenlemeler.
- Sigortacılar pratik bir işletim modeliyle geçiş anahtarlarını nasıl kullanıma sunabilir? Neyi ölçmeli, olgunluk modeli nasıl kullanılmalı ve OTP ağırlıklı girişlerden kimlik avına dirençli MFA'ya nasıl geçilir.
- Geçiş anahtarları dijital benimsemeyi ve self servis geçişini nasıl yönlendirir? C-seviyesi ve VP-seviyesi liderler için stratejik gerekçe: kanal değişimi, çağrı merkezi saptırması ve kimlik doğrulama gözlemlenebilirliğini iş sonuçlarıyla ilişkilendirme.
Son makaleler
🔑
E-Ticaret Dönüşüm Hunisi Analizi: Amazon ve Shopify Neden Kazanıyor?
♟️
Avustralya'daki En Büyük 15 Veri İhlali [2026]
♟️
Sigorta Müşteri Portalı Geçiş Anahtarları Rehberi
♟️
Japonya FSA Geçiş Anahtarları: Oltalama Saldırılarına Dayanıklı MFA İçin Yönelim (2026)
🏢
En İyi CIAM Çözümleri 2026: Şifresiz ve Yapay Zeka Karşılaştırması
2. Sigorta müşteri portalları neden hesap ele geçirme için birincil hedeftir?#
Sigorta müşteri portalları, zayıf giriş güvenliğine dayanırken genellikle en hassas kişisel verilerin bir kısmını barındırır. Bu da onları kimlik bilgisi tabanlı saldırılar için doğal bir hedef haline getiriyor. Poliçe sahibi hesapları Sosyal Güvenlik numaraları, bankacılık detayları, sağlık kayıtları ve talep geçmişini içerir. Bütün bunlar kimlik hırsızlığı veya dolandırıcılık amaçlı talepler aracılığıyla paraya çevrilebilir.
Kurumsal Passkey Whitepaper. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.
İşlem izlemenin dolandırıcılığı gerçek zamanlı olarak yakaladığı bankacılık portallarının aksine, sigorta dolandırıcılığının ortaya çıkması genellikle haftalar veya aylar alır. Bir poliçe sahibinin hesabına erişim sağlayan bir saldırgan, sigortacı ihlali tespit edemeden çok önce lehdarları değiştirebilir, hileli taleplerde bulunabilir veya kişisel verileri sızdırabilir.
Sorunun ölçeği:
- Ön kapıda kimlik bilgisi doldurma: NYDFS, halka açık fiyatlandırma sistemlerinde MFA uygulamadıkları için Ekim 2025'te sekiz otomobil sigortacısına toplam 19 milyon ABD doları para cezası verdi. Saldırganlar, hassas sürücü verilerine toplu olarak erişmek için kimlik bilgisi doldurmayı kullandı.
- SMS OTP pahalı ve kırılgandır: Sigortacı ölçeğinde (milyonlarca poliçe sahibi), SMS OTP teslimat maliyetleri hızla katlanır. Mesaj başına 0,03 ABD doları maliyetle ayda 10 milyon OTP gönderen bir taşıyıcı, yıllık 3,6 milyon ABD doları harcar ve bu, %100 teslimat varsayar. Uygulamada operatör filtreleme, numara taşıma ve uluslararası dolaşım, OTP'lerin %5-15'inin hiçbir zaman ulaşmamasına neden olur ve her başarısız teslimat potansiyel olarak bir destek çağrısı oluşturur.
- Parola sıfırlamalarından kaynaklanan çağrı merkezi yükü: Sigorta çağrı merkezleri halihazırda karmaşık talepleri ve poliçe sorgularını ele almaktadır. Bu karışıma parola sıfırlamaları ve MFA sorun giderme eklemek, acente zamanını gelir getirici faaliyetlerden uzaklaştırır. Sektör tahminleri, tüketici finansal hizmetleri için kimlik doğrulama ile ilgili çağrıları toplam çağrı merkezi hacminin %20-40'ına yerleştirmektedir.
- Düzenleyici baskı sıkılaşıyor: NYDFS'nin ötesinde, FTC Önlemler Kuralı Haziran 2023'ten beri banka dışı finansal kuruluşlar için MFA'yı zorunlu kılmıştır ve NAIC Sigorta Veri Güvenliği Model Yasası (25+ eyalette kabul edilmiştir) tüm lisans sahipleri için riske dayalı MFA gerektirir.
Yüksek değerli veriler, gecikmiş dolandırıcılık tespiti, artan OTP maliyetleri ve sıkılaşan düzenlemelerin hepsi aynı yöne işaret ediyor: sigorta portallarının acilen kimlik avına dirençli kimlik doğrulamasına ihtiyacı var.
- Sigorta portalları yüksek değerli ATO hedefleridir çünkü işlemin gerçek zamanlı olarak kötüye kullanımı yakaladığı bankacılığın aksine dolandırıcılığın ortaya çıkması haftalar alır.
- NYDFS, halka açık sistemlerde eksik MFA nedeniyle Ekim 2025'te sekiz otomobil sigortacısına 19 milyon ABD doları para cezası verdi; cezalar günde 75.000 ABD dolarına kadar çıkıyor.
- Sigortacı ölçeğinde SMS OTP, destek genel giderlerinden önce yılda 1,2-6 milyon ABD dolarına mal oluyor; mesajların %5-15'i asla ulaşmıyor.
- Aflac, Branch Insurance ve HealthEquity zaten ölçülebilir sonuçlarla geçiş anahtarlarını dağıttı: %96 başarılı giriş, yaklaşık %50 daha az destek bileti ve vazgeçme seçeneği olmayan zorunlu kayıt.
3. Geçiş anahtarları sigorta portalları için SMS OTP, e-posta OTP, TOTP ve cihaz güveniyle nasıl karşılaştırılır?#
Doğru kimlik doğrulama yöntemini seçmek, büyük ölçekte güvenlik, kullanıcı deneyimi, kurtarma, sunum karmaşıklığı, destek yükü, uyumluluk durumu ve maliyeti tartmak anlamına gelir. Aşağıdaki tablo her seçeneğin nasıl biriktiğini ayrıntılı olarak açıklamaktadır.
| Yöntem | Güvenlik | UX | Kurtarma | Sunum Karmaşıklığı | Destek Yükü | Uyumluluk | Ölçek Maliyeti |
|---|---|---|---|---|---|---|---|
| SMS OTP | Düşük: SIM değiştirme, SS7 müdahalesi ve kimlik avı röle saldırılarına karşı savunmasız. NYDFS açıkça SMS'i zayıf MFA olarak işaretler. | Orta: tanıdık ama yavaş (mesaj bekle, uygulama değiştir, kod yaz). Büyük ölçekte %5-15 teslimat başarısızlık oranı. | Kolay: telefon numarasına bağlıdır, ancak numara taşıma kurtarma boşlukları yaratır. | Düşük: çoğu CIAM platformu SMS OTP'yi kutudan çıktığı gibi destekler. | Yüksek: teslimat hataları, süresi dolan kodlar ve uluslararası dolaşım yoğun çağrı merkezi hacmi yaratır. | Minimal: temel MFA kontrol listelerini karşılar, ancak NYDFS ve CISA kimlik avına dirençli alternatifler önerir. | Yüksek: mesaj başına 0,01-0,05 ABD doları. Ayda 10M OTP'de: Destek maliyetlerinden önce yıllık 1,2-6M ABD doları. |
| E-posta OTP | Düşük: e-posta hesapları sıklıkla tehlikeye atılır; OTP kodları kimlik avına açıktır ve tekrar oynatılabilir. | Düşük: yavaş teslimat (saniyelerden dakikalara), uygulamalar arasında bağlam değiştirme, kodların süresi dolar. | Kolay: e-postaya bağlıdır, ancak e-posta uzlaşması tüm bağlantılı hesaplara yayılır. | Düşük: SMTP üzerinden uygulanması önemsizdir. | Yüksek: spam filtreleri, gecikmiş teslimat ve süresi dolan kodlar destek biletlerini yönlendirir. | Zayıf: NYDFS veya FTC rehberliği altındaki kimlik avına dirençli MFA standartlarını karşılamıyor. | Düşük: mesaj başına sıfıra yakın marjinal maliyet, ancak yüksek dolaylı destek maliyeti. |
| TOTP (Kimlik Doğrulayıcı Uygulaması) | Orta: SIM değiştirme riskini ortadan kaldırır ancak kodlar gerçek zamanlı röle saldırıları yoluyla kimlik avına açık kalır. | Orta: uygulama yükleme, manuel kod girişi ve zaman senkronizasyonu gerektirir. Teknik olmayan poliçe sahipleri için sürtünme. | Zor: cihaz yedek kodlar olmadan kaybolursa, hesap kurtarma manuel kimlik kanıtı gerektirir. | Orta: kullanıcı eğitimi ve uygulama kurulumu gerektirir; zorunlu kılınmadan benimseme tipik olarak %20'nin altındadır. | Orta: SMS'ten daha az teslimat sorunu, ancak kayıp cihaz kurtarma ve kurulum hataları devam etmektedir. | Orta: temel MFA gereksinimlerini karşılar, ancak NYDFS/CISA standartlarına göre kimlik avına dirençli değildir. | Düşük: kimlik doğrulama başına maliyet yok, ancak uygulama desteği ve kurtarma ek yükü dolaylı maliyetler ekler. |
| Cihaz Güveni | Orta: tanınan cihazlardaki sürtünmeyi azaltır ancak kimlik avı direnci sağlamaz; çerez/parmak izi tekrar oynatılabilir. | Yüksek: güvenilir cihazlardaki kullanıcılar için görünmez; sorunsuz tekrar girişleri. | Orta: cihaz kaybı veya tarayıcı değişiklikleri güveni sıfırlar ve yeniden doğrulama gerektirir. | Orta: cihaz parmak izi altyapısı ve güven çürüme politikaları gerektirir. | Düşük: güvenilen cihazlarda birkaç kullanıcıya yönelik istem, ancak güven sıfırlamaları kafa karışıklığı yaratır. | Tek başına yetersiz: ikinci bir faktör olmadan hiçbir büyük çerçeve altında MFA olarak nitelendirilmez. | Düşük: sadece altyapı maliyeti; kimlik doğrulama başına ücret yok. |
| Geçiş Anahtarları (FIDO2/WebAuthn) | Yüksek: kriptografik, etki alanına bağlı, tasarıma göre kimlik avına dirençli. Kimlik bilgisi doldurma, SIM değiştirme ve röle saldırılarına karşı bağışık. | Yüksek: 2 saniyenin altında biyometrik veya PIN onayı. Kod girişi yok, uygulama değiştirme yok. Aflac %96 oranında başarılı giriş oranına ulaştı. | Orta: platform ekosistemine bağlı (iCloud Anahtar Zinciri, Google Şifre Yöneticisi). Ekosistem kilitlenmesi, kurtarma için kimlik kanıtı gerektirir. | Orta-Yüksek: WebAuthn sunucusu, rpID stratejisi, kayıt akışları, geri dönüş mantığı ve istemci tarafı telemetrisi gerektirir. | Düşük: Branch Insurance, geçiş anahtarı dağıtımından sonra destek biletlerinin yaklaşık %50 oranında düştüğünü gördü. | Güçlü: NYDFS Bölüm 500, FTC Önlemler Kuralı ve NAIC Model Yasası kapsamında kimlik avına dirençli MFA gereksinimlerini karşılar. NIST SP 800-63B, senkronize geçiş anahtarlarını AAL2 uyumlu olarak kabul eder. | Düşük: kimlik doğrulama başına maliyet sıfır. SMS'in ortadan kaldırılması, dolandırıcılığın azaltılması ve çağrı merkezinin saptırılması yoluyla sağlanan yatırım getirisi. |
Özetle: Geçiş anahtarları, büyük ölçekte güvenlik, UX, destek yükü, uyumluluk ve maliyet genelinde en yüksek puanı alan tek seçenektir. Ödünleşme, sunum karmaşıklığıdır, ancak bu, benimseme arttıkça kendini amorti eden tek seferlik bir yatırımdır.
Kurumlar için ücretsiz passkey whitepaper alın.
4. Geçiş anahtarı sunumunu sigortacılar için farklı kılan nedir?#
Sigortacılıkta geçiş anahtarları dağıtmak, onları bankacılıkta veya SaaS'ta dağıtmakla aynı şey değildir. Sigortacılar, her uygulama kararını şekillendiren eski altyapı, çok markalı karmaşıklık, farklı kullanıcı kitleleri ve katmanlı düzenleme gereksinimleriyle ilgilenir.
4.1 Eski CIAM platformları#
Büyük sigortacıların çoğu, tüketici kimliklerini Ping Identity, ForgeRock veya Okta gibi kurumsal CIAM platformlarında çalıştırır. Bu platformlar artık protokol düzeyinde FIDO2/WebAuthn'u desteklemektedir, ancak bu destek yalnızca arka uç seremonisini kapsar. Benimseme katmanı (kayıt dürtmeleri, cihaza duyarlı istemler, hata yönetimi ve istemci tarafı telemetri) eksiktir veya önemli düzeyde özel geliştirme gerektirir.
Bu, bankacılık dağıtımlarında görülen aynı "%1 tuzağını" yaratır: IdP onay kutusu işaretlenir, ancak hiç kimse poliçe sahiplerini paroladan geçiş anahtarına taşıyan ürün yolculuğunu oluşturmadığı için benimseme durgunlaşır.
4.2 Çok markalı portallar ve rpID stratejisi#
Tipik bir büyük sigortacı, genellikle ayrı alt alan adlarında ve hatta birleşme ve satın almalar yoluyla elde edilen ayrı alan adlarında otomobil, ev, hayat ve özel ürünler işletir. Geçiş anahtarları kaynağa bağlıdır: auto.insurer.com'da oluşturulan bir kimlik bilgisi, her ikisi de aynı Güvenen Taraf Kimliğini (rpID) paylaşmadığı sürece life.insurer.com'da çalışmaz.
Çözüm:
- Herhangi bir geçiş anahtarı çalışması başlamadan önce ana etki alanına (ör.
insurergroup.com) bağlı tek bir rpID tanımlayın. - Tüm kimlik doğrulamayı, bu paylaşılan rpID'yi kullanan merkezi bir SSO katmanı (OIDC/SAML) üzerinden yönlendirin.
- Eski etki alanları hemen birleştirilemezse, yeniden kaydolmaya zorlamadan boşluğu doldurmak için İlgili Kökenleri kullanın.
4.3 Acente ve poliçe sahibi akışları#
Sigortacılığın aynı arka uç sistemlerine ulaşan çok farklı iki kullanıcı kitlesi vardır:
| Boyut | Poliçe Sahipleri | Acenteler / Brokerler |
|---|---|---|
| Giriş sıklığı | Düşük (aylık fatura ödeme, yıllık yenileme, talepler) | Yüksek (günlük fiyat teklifi, poliçe yönetimi, komisyon çekleri) |
| Cihaz profili | Kişisel akıllı telefonlar ve tabletler; geniş işletim sistemi/tarayıcı çeşitliliği | Paylaşılan ajans iş istasyonları, şirket dizüstü bilgisayarları, genellikle güvenlik duvarlarının arkasında |
| Güven düzeyi | Düşük başlangıç güveni; kayıt yoluyla oluşturulmalıdır | Daha yüksek temel güven; genellikle acente katılımı yoluyla önceden incelenir |
| Hassasiyet | Tam PII erişimi (SSN, bankacılık, sağlık kayıtları) | Birden çok poliçe sahibi genelinde geniş PII erişimi |
| Geri dönüş ihtiyaçları | Hasar veya ödemelerden asla kilitlenmemelidir | Fiyat teklifi veya poliçe bağlamasından asla kilitlenmemelidir |
Branch Insurance bunun pratikte nasıl çalıştığını gösterdi: acentelerle başladılar (daha yüksek frekans, daha kontrollü ortam) ve poliçe sahiplerine genişlemeden önce %25 ilk benimseme oranına ulaştılar. Önce acentelere gitmek iç güveni artırdı ve cihaza özgü sorunları erkenden ortaya çıkardı.
4.4 Bölgesel uyumluluk manzarası#
Sigorta kimlik doğrulaması sadece ABD'nin düzenleyici sorunu değildir. Kesin kurallar pazara göre farklılık gösterir, ancak yön tutarlıdır: daha güçlü kimlik kontrolleri, daha geniş MFA kapsamı ve müşteriye dönük dijital kanalların daha fazla incelenmesi.
- ABD: NYDFS Bölüm 500, New York'ta lisanslı sigortacılar dahil kapsanan kuruluşlar için Kasım 2025'e kadar evrensel MFA'yı zorunlu kılıyor. NYDFS açıkça SMS OTP'leri zayıf olarak işaretler ve kimlik avına dirençli alternatifler önerir. NAIC Sigorta Veri Güvenliği Model Yasası 25'ten fazla eyalette riske dayalı MFA'yı zorlarken, FTC Önlemler Kuralı belirli banka dışı finansal kuruluşlar ve aracılar için MFA gerektirir.
- AB: DORA 17 Ocak 2025'te uygulamaya girdi ve AB genelindeki sigorta şirketleri için geçerlidir. DORA bir MFA kuralından daha geniştir, ancak müşteriye dönük sistemler için BİT risk yönetimi, olay raporlaması, esneklik testi ve üçüncü taraf gözetimi çıtasını yükseltmektedir.
- Avustralya: APRA CPS 234, sigortacılar ve diğer APRA tarafından düzenlenen kuruluşlar genelinde riskle orantılı bilgi güvenliği kontrolleri gerektirir. APRA'nın 2023 MFA kılavuzu, ayrıcalıklı erişim, uzaktan erişim ve yüksek riskli faaliyetler için güçlendirilmiş kimlik doğrulamasını özel olarak belirtmekte ve poliçe sahiplerini etkileyen önemli MFA boşluklarının raporlanabilir bir güvenlik zayıflığına dönüşebileceğini not etmektedir.
- Kanada: OSFI Kılavuzu B-13 sigortacılar dahil federal olarak düzenlenen finansal kurumlara uygulanır. OSFI, firmaların dışa dönük kanallar ve ayrıcalıklı hesaplar genelinde MFA da dahil olmak üzere riske dayalı kimlik ve erişim kontrolleri uygulaması gerektiğini söylüyor.
Çok bölgeli sigortacılar için pratik çıkarım basittir: müşteri kimlik doğrulamasını geçerli en katı rejimi karşılayacak şekilde tasarlayın. Ortak yön, SMS OTP'ye olan bağımlılığın devam etmesi değil, riske dayalı ve giderek artan şekilde kimlik avına dirençli MFA'ya doğrudur.
Kurumsal Passkey Whitepaper. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.
5. Sigortacılar geçiş anahtarlarını piyasaya sürmeden önce ve sonra neleri ölçmelidir?#
Geçiş anahtarlarını istemci tarafı telemetri olmadan başlatmak, yüklenim verileri olmadan sigorta poliçesi yazmaya benzer. Çağrı merkeziniz bunalıncaya kadar neyin, nerede veya kimin için başarısız olduğunu bilemezsiniz. Bankacılık dağıtımlarındaki "kör sunum" hatası, özellikle sigortacıların uğraştığı çeşitli poliçe sahibi demografisi göz önüne alındığında, burada da aynı derecede geçerlidir.
Sigortacılar en azından işle ilgili şu üç sonucu ölçmelidir:
- Giriş başarı oranı: Poliçe sahipleri ve acenteler, geçiş anahtarlarının kullanıma sunulmasından sonra oturum açma işlemini daha güvenilir bir şekilde tamamlıyor mu?
- Kayıt oranı: Kullanıcılar gerçekten geçiş anahtarı mı oluşturuyor, yoksa ilk istemden sonra benimseme duruyor mu?
- Geri dönüş ve destek hacmi: Kullanıcılar SMS veya parola kurtarmaya geri mi dönüyor ve kimlik doğrulamayla ilgili destek biletleri azalıyor mu?
Eğer bu üç sayı doğru yönde hareket ediyorsa, sunum çalışıyor demektir. Aksi takdirde, daha fazla ölçeklendirmeden önce istem zamanlamasını, geri dönüş tasarımını, cihaz kapsamını veya kullanıcı eğitimini ayarlamanız gerekir.
5.1 Hasar ve hesap değişikliği yolculukları, genel girişlerden daha önemlidir#
Sigorta portalları sadece "giriş yap ve bakiyeyi kontrol et" deneyimleri değildir. En yüksek riskli anlar genellikle bir poliçe sahibi talepte bulunduğunda, ödeme ayrıntılarını değiştirdiğinde, adresini güncellediğinde, bir sürücü eklediğinde, bir yararlanıcıyı değiştirdiğinde veya hassas belgelere eriştiğinde gerçekleşir. Bu yolculuklar tek bir genel giriş KPI'sında toplanmamalıdır.
Bu nedenle sigortacılar, yüksek riskli hesap olayları için geçiş anahtarı performansını ayrı ayrı izlemelidir. Genel olarak giriş başarısı güçlü görünüyorsa, ancak talep veya ödemeyle ilgili yolculuklar hala SMS veya manuel kurtarmaya geri dönüyorsa, sunum operasyonel riski en çok önemli olduğu yerde azaltmıyor demektir. Bu, sigortacılık ile daha sık kullanılan tüketici uygulamaları arasındaki en büyük farklardan biridir.
5.2 Düşük frekanslı girişler benimseme taktiklerini değiştiriyor#
Birçok poliçe sahibi yılda yalnızca birkaç kez oturum açar: yenileme sırasında, bir faturalandırma sorunundan sonra veya talepte bulunurken. Bu, sigortacılıkta geçiş anahtarı benimsenmesini günlük kullanım ürünlerinden temelde farklı kılar. Kötü bir ilk deneyimden teşvik etmek, eğitmek ve kurtarmak için daha az fırsatınız olur.
İşte bu yüzden sigortacılar kaydı sadece toplamda değil, yolculuk bazında ölçmelidir. Başarılı bir ödeme veya talep durumu kontrolünden sonra gösterilen bir istem, son oturumdan aylar sonra ilk giriş ekranında gösterilen soğuk bir istemden çok daha iyi dönüşüm sağlayabilir. Sigortacılıkta en iyi benimseme anları genellikle giriş sıklığına değil, güvene ve görevin tamamlanmasına bağlıdır.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study6. Sigorta Kimlik Doğrulama Olgunluk Modeli nedir?#
Bu dört seviyeli çerçeve, sigortacılara bugün kimlik doğrulama konusunda nerede durduklarını kıyaslamaları, hedef dönüm noktaları belirlemeleri ve ilerlemeyi yönetim kurullarına, düzenleyicilere ve denetçilere iletmeleri için bir yol sunar. Her seviye bir öncekinin üzerine inşa edilir.
| Seviye | İsim | Kimlik Doğrulama Yöntemi | Kimlik Avı Direnci | Uyumluluk Durumu | Destek Yükü | Maliyet Profili | Görünürlük |
|---|---|---|---|---|---|---|---|
| 1 | Yalnızca SMS | Parola + Tek ikinci faktör olarak SMS OTP | Yok: SMS, SIM değiştirme, SS7 ve kimlik avı rölesi yoluyla ele geçirilebilir | NYDFS kimlik avına dirençli kılavuzda başarısız olur; minimum FTC uyumluluğu; NAIC risk tabanlı boşluk | Yüksek: OTP teslimat hataları, süresi dolan kodlar ve parola sıfırlamaları çağrı merkezi hacminin %20-40'ını yönlendirir | Yüksek: büyük ölçekte OTP başına 0,01-0,05 ABD doları artı destek maliyetleri | Minimal: yalnızca sunucu tarafı HTTP günlükleri; istemci tarafı tören verisi yok |
| 2 | MFA-Etkin | Parola + İkinci faktör olarak SMS/TOTP/push | Düşük: TOTP ve push, gerçek zamanlı röle yoluyla kimlik avına açıktır; push, yorgunluk saldırılarına karşı savunmasızdır | FTC ve NAIC için temel MFA onay kutusunu karşılar; NYDFS'nin kimlik avına karşı dirençli önerisini karşılamaz | Orta: daha az SMS teslimat sorunu var ancak TOTP kurulum hataları ve push yorgunluğu yeni bilet kategorileri ekliyor | Orta: TOTP, mesaj başına maliyeti ortadan kaldırır ancak uygulama desteği ek yükü devam eder | Sınırlı: MFA yöntem seçimini izleyebilir ancak seremoni düzeyinde telemetriden yoksundur |
| 3 | Kimlik Avına Dirençli | Birincil yöntem olarak dağıtılan geçiş anahtarları; uyumsuz cihazlar için geri dönüş olarak parola/OTP | Yüksek: FIDO2/WebAuthn kimlik bilgileri etki alanına bağlı ve kriptografiktir; kimlik avı, doldurma ve SIM değiştirmeye karşı bağışıktır | NYDFS, FTC ve NAIC gereksinimlerini karşılar veya aşar; NIST SP 800-63B AAL2 uyumlu | Düşük: Branch Insurance yaklaşık %50 bilet düşüşü gördü; Aflac %96 giriş başarısına ulaştı | Düşük: kimlik doğrulama başına maliyet sıfır; SMS eliminasyonu ve dolandırıcılığın azaltılmasından sağlanan yatırım getirisi | Orta: kayıt ve kimlik doğrulama hunileri araçsallaştırıldı; temel hata sınıflandırması yerinde |
| 4 | Kimlik Avına Dirençli + Gözlemlenebilirlik | Varsayılan olarak geçiş anahtarları; cihaz güveni puanlaması; anormallikler için riske dayalı artış; akıllı geri dönüşler | En Yüksek: kriptografik kimlik doğrulama + sürekli cihaz güven değerlendirmesi + davranışsal sinyaller | Denetime hazır: tam telemetri, CEO/CISO onayını, NYDFS incelemesini ve mevzuat raporlamasını destekler | En Düşük: proaktif anomali tespiti, sorunları çağrı merkezine ulaşmadan önler | En Düşük: optimize edilmiş geri dönüş yönlendirmesi artık SMS harcamasını en aza indirir; dolandırıcılık kayıpları azaldı | Tam: benimseme eğrilerini, cihaz/işletim sistemine göre hata oranlarını, güven azalmasını ve SCA faktörü kapsamını kapsayan gerçek zamanlı panolar |
Aşağıdaki diyagram dört olgunluk seviyesini sadece SMS'ten tam gözlemlenebilirliğe doğru bir ilerleme olarak görselleştirmektedir.
Bu model nasıl kullanılır:
- Değerlendir: Tüm müşteriye dönük portallarda kimlik doğrulama yöntemlerini, telemetri kapsamını ve uyumluluk boşluklarını denetleyerek mevcut seviyenizi belirleyin.
- Hedefle: En azından Seviye 3'e ulaşmak için 12-18 aylık bir yol haritası belirleyin. NYDFS gözetimi altındaki sigortacılar, ikili CEO/CISO sertifika gereksinimini desteklemek için Seviye 4'ü hedeflemelidir.
- İletişim Kur: Ad hoc iyileştirmeler yerine yapılandırılmış ilerlemeyi göstermek için modeli yönetim kurulu sunumlarında ve düzenleyici başvurularda kullanın.
Kurumsal Passkey Whitepaper. Passkey programları için pratik rehberler, geçiş kalıpları ve KPI'lar.
7. Geçiş anahtarları dijital benimsemeyi ve self servis geçişini nasıl yönlendirir?#
Çoğu sigorta yöneticisi kimlik doğrulamayı bir BT sorunu olarak ele alır. Bu bir hatadır. Stratejik gündemi poliçe sahiplerini çağrı merkezlerinden ve şubelerden dijital self servise kaydırmayı içeren C-seviyesi ve VP-seviyesi liderler için kimlik doğrulama, önlerindeki en büyük sürtünme noktasıdır.
7.1 Kimlik doğrulama, her dijital girişimin ön kapısıdır#
Her dijital sigorta girişimi - self servis talepler, çevrimiçi poliçe değişiklikleri, dijital ödemeler, e-imza iş akışları - bir girişle başlar. Poliçe sahipleri bu ön kapıyı güvenilir bir şekilde geçemezse, aşağı akış yatırımlarının hiçbiri yatırım getirisi sağlamaz.
Veriler açıktır:
- Tüketicilerin %43'ü, girişleri yönetmenin çevrimiçi hizmetleri kullanma isteklerini etkilediğini söylüyor.
- %64'ü, hesap oluşturmaları gerektiğinden veya giriş yapamadıklarından dolayı bir satın alma işleminden vazgeçti.
- Tüketicilerin %60'ı sigorta, emeklilik ve ipotek portallarında gezinmeyi zor buluyor, ve giriş yapma ilk ve en yaygın başarısızlık noktasıdır.
- Sigorta müşterilerinin yalnızca %20'si dijital kanalların sigortacılarıyla etkileşim kurmak için tercih ettikleri yol olduğunu söylüyor, çünkü büyük ölçüde kimlik doğrulamayla başlayan deneyim, bankacılık ve perakende uygulamalarından aldıklarından daha kötü.
Aşağıdaki diyagram bu dört veri noktasının nasıl birleşerek tek bir benimsemeyi engelleyen modele dönüştüğünü göstermektedir.
Portal yeniden tasarımlarına, sohbet robotlarına ve dijital hasar iş akışlarına milyonlar harcayan sigortacılar için parola ve SMS OTP giriş deneyimi, tüm yatırımı baltalıyor. Giriş yapamayan veya hüsrana uğrayıp pes eden poliçe sahipleri, dijital stratejinin yerini alması gereken tam da o yüksek maliyetli kanallar olan iletişim merkezini aramaya veya bir şubeyi ziyaret etmeye yöneliyor.
7.2 Self servis geçişinin sayısallaştırılması#
Poliçe sahiplerini insan destekli kanallardan dijital self servise taşımak, sigortacılıkta en yüksek kaldıraçlı maliyet düşürme stratejilerinden biridir:
- Telefon etkileşimleri temas başına 8-15 ABD dolarına mal olurken, self servis için 1 ABD dolarının altındadır. Sigortacı ölçeğinde, telefondan dijitale %10'luk bir kanal değişimi bile her yıl milyonlar kazandırır.
- Portal kullanıcılarının, portal kullanmayanlara kıyasla poliçelerini iptal etme olasılığı %12 daha düşüktür. Çok kanallı kullanıcılar %25 daha yüksek bir elde tutma oranı gösteriyor.
- Dijital self servis uygulayan sigortacılar %15-25 hizmet maliyeti düşüşü ve %30 daha düşük hasar işleme maliyeti bildiriyor.
- Sigorta müşterilerinin %82'si sorunları aramadan çözmek istiyor, ancak yalnızca %56'sı yeterli self servis araçları bildiriyor - bu boşluk, kimlik doğrulama sürtüşmesi ile daha da genişliyor.
Aşağıdaki grafik bu ekonomilerin kanallar arasında nasıl karşılaştırıldığını göstermektedir.
Geçiş anahtarları doğrudan müşteri niyeti ile gerçek portal kullanımı arasındaki uçurumu ele alır. Giriş işlemi, %5-15 oranında başarısız olan bir parola artı OTP akışı yerine biyometrik onayla 2 saniyenin altında gerçekleştiğinde, daha fazla poliçe sahibi telefonu açmak yerine dijital yolculuğu tamamlıyor.
7.3 Corbado'nun gözlemlenebilirliği dijital benimseme hakkında neyi benzersiz şekilde ortaya koyuyor?#
Çoğu sigortacı dijital benimseme oranlarının istediklerinden daha düşük olduğunu bilir. Cevaplayamadıkları şey neden olduğudur. Cihaz uyumsuzluğu mu? Kayıt akışı sürtünmesi mi? Geçiş anahtarlarının sessizce başarısız olduğu belirli bir işletim sistemi veya tarayıcı mı? Hiçbir zaman uyarılmayan bir demografik segment mi?
İşte bu noktada Corbado'nun kimlik doğrulama gözlemlenebilirliği, piyasadaki başka hiçbir aracın sunmadığı bir şey sağlar: kimlik doğrulama telemetrisini doğrudan dijital benimseme oranı, self servis tamamlama oranı ve kanal geçişi gibi iş metriklerine bağlama yeteneği.
Corbado şunları yüzeye çıkarır:
- Poliçe sahiplerinin kimlik doğrulama hunisinden nerede ayrıldığı - sadece "giriş başarısız oldu" değil, hangi tören aşamasında, hangi cihazda, hangi kullanıcı segmentinde.
- Eski yöntemlerde takılı kalan gruplar - örneğin, Android kullanan ve cihazları uyumsuz olduğu için hiçbir zaman geçiş anahtarı istemi görmeyen ve onları sessizce SMS'e ve ardından çağrı merkezine yönlendiren 60 yaş üstü poliçe sahipleri.
- Kimlik doğrulama başarısı ile dijital etkileşim arasındaki doğrudan bağlantı - eğer giriş başarı oranı 10 yüzde puanı artarsa, portal self servis kullanımı ne kadar artar? İletişim merkezine ne kadar daha az arama gelir?
Yönetim kuruluna sunum yapan bir CIO veya Dijital SVP için bu, "geçiş anahtarlarını piyasaya sürdük" ifadesini "geçiş anahtarları dijital self servis benimsemesini %X artırdı, çağrı merkezi hacmini %Y azalttı ve çeyrekte Z ABD Doları tasarruf sağladı" ifadesine dönüştürür. Gerekçelendiren ve daha geniş dijital dönüşüm yol haritasını hızlandıran stratejik anlatı budur.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study8. Corbado sigortacıların geçiş anahtarlarını dağıtmasına nasıl yardımcı olur?#
Çoğu sigortacının halihazırda WebAuthn seremonisini yönetebilen bir CIAM platformu (Ping, ForgeRock, Okta) vardır. Eksik olan şey, "geçiş anahtarlarını destekliyoruz"u "poliçe sahiplerimizin %50'si geçiş anahtarlarını kullanıyor" haline getiren benimseme katmanıdır. Corbado o katmanı sağlar.
8.1 Benimseme motoru#
Corbado'nun önceden oluşturulmuş kullanıcı arayüzü bileşenleri ve karar mantığı, CIAM platformlarının özel geliştirmeye bıraktığı kayıt yolculuğunu yönetir:
- Bağlamsal kayıt istemleri, hesap ayarlarında gizlenmek yerine yüksek güvenli anlarda (başarılı bir MFA kontrolünden hemen sonra) ortaya çıkar.
- Aşamalı aciliyet, çoğu sigortacının ihtiyaç duyduğu 12-18 aylık benimseme eğrisiyle eşleşerek, yapılandırılabilir bir zaman çizelgesi üzerinde "İsteğe Bağlı" dürtmelerden "Önerilen" ve "Zorunlu"ya doğru ilerler.
- Farklı poliçe sahibi segmentleri ve ürün grupları arasında dönüşüm oranlarını optimize etmek için kayıt mesajlaşması, zamanlaması ve yerleşimi için A/B testi.
8.2 Cihaz zekası#
Corbado, cihaz düzeyinde geçiş anahtarı uyumluluğunun sürekli güncellenen bir matrisini korur:
- Belirli bir Samsung modelinde bozuk bir geçiş anahtarı uygulaması varsa, Corbado istemi otomatik olarak bastırır ve kullanıcıyı sinir bozucu olmadan bir geri dönüşe yönlendirir.
- Passkey Intelligence istemden önce cihaz yeteneklerini algılar ve destek artışlarına neden olan "İşlem Kesintiye Uğradı" hatalarını önler.
- Sigortaya özgü cihaz çeşitliliği (emekliler tarafından kullanılan eski tabletler, paylaşılan acente iş istasyonları, şirket tarafından yönetilen dizüstü bilgisayarlar) yapılandırılabilir güven politikalarıyla ele alınır.
8.3 Akıllı geri dönüşler#
Corbado, cihazları veya ortamları geçiş anahtarına hazır olmadığında kullanıcıları alternatiflere akıllıca yönlendirerek kalıcı kilitlenmeleri önler:
- Uyumsuz cihazlardaki poliçe sahipleri bir hata ekranı yerine bir sonraki en iyi yönteme yumuşak bir geçiş görür.
- Kimlik doğrulama (eKYC, Kimlik taraması + canlılık) kullanan kurtarma akışları, çağrı merkezi müdahalesi olmadan yeniden kaydolmaya izin verir.
- Acenteye özgü geri dönüş politikaları, paylaşılan iş istasyonlarını ve hibrit (QR kod) akışlarını engelleyen kurumsal proxy ortamlarını barındırır.
8.4 Adli telemetri#
Corbado, sunucu tarafı CIAM günlüklerinin sağlayamadığı "Röntgen vizyonunu" sağlar:
- Cihaz Güveni panosu, geçiş anahtarı türü, cihaz sınıflandırması ve SCA faktörü kapsamına göre başarı oranlarını yüzeye çıkarır.
- Gerçek zamanlı anomali tespiti, alışılmadık kalıpları (paylaşılan cihaz artışları, şüpheli ortamlardan kayıt) güvenlik olaylarına dönüşmeden önce işaretler.
- Denetime hazır raporlama, CISO'lara NYDFS yıllık sertifikasyonu, NAIC sınavları ve dahili yönetim kurulu raporlaması için gereken verileri verir.
Corbado mevcut CIAM yığınınızın yerini almaz. Onun önünde oturur; geçiş anahtarı yatırımınızın yatırım getirisi sağlayıp sağlamadığını veya %1'in altında benimsemede durup durmadığını belirleyen cihaz parçalanması, kullanıcı eğitimi ve operasyonel görünürlüğün gerçek dünyadaki karmaşıklığını yönetir.
9. Sonuç#
Sigorta müşteri portalları aynı anda birden fazla yönden baskı altında: artan ATO saldırıları, maliyetli SMS OTP altyapısı, parola sıfırlamalarından kaynaklanan çağrı merkezi aşırı yüklenmesi, ABD, AB, Avustralya ve Kanada'da sıkılaşan düzenleyici beklentiler - ve poliçe sahiplerini yüksek maliyetli insan kanallarından dijital self servise kaydırma yönünde stratejik bir zorunluluk. Geçiş anahtarları, kimlik avına açık kimlik bilgilerini ortadan kaldırarak, kimlik doğrulama başına maliyetleri kaldırarak, destek yükünü azaltarak, daha güçlü MFA'ya doğru kayma ile hizalanarak ve dijital benimsemeyi engelleyen giriş sürtünmesini ortadan kaldırarak beşini de ele alır.
Aflac (500.000 kayıt, %96 başarı oranı), Branch Insurance (%50 bilet düşüşü) ve HealthEquity (vazgeçme seçeneği olmayan zorunlu sunum) halihazırda büyük ölçekte benimsemenin işe yaradığını kanıtladı. Anahtar, geçiş anahtarlarını bir altyapı onay kutusu yerine bir ürün yolculuğu olarak ele almaktır: kayıt akışlarına yatırım yapın, istemciyi araçsallaştırın, geri dönüşleri planlayın ve kimlik doğrulama performansını yönetim kurulunuzun aslında önemsediği iş metriklerine (dijital benimseme oranı, çağrı merkezi saptırması ve self servis tamamlama) bağlayan telemetriyi oluşturun.
Mevcut duruşunuzu kıyaslamak, 12-18 aylık bir hedef belirlemek ve yönetim kurulunuza ve düzenleyicilere yapılandırılmış ilerlemeyi iletmek için Sigorta Kimlik Doğrulama Olgunluk Modeli'ni kullanın.
Corbado Hakkında
Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →
Sıkça Sorulan Sorular#
Geçiş anahtarları, sigorta müşteri portalları için hesap ele geçirme riskini nasıl azaltır?#
Geçiş anahtarları, sigortacının alan adına bağlı açık-gizli anahtar kriptografisi kullanır ve bu sayede onları parola ve SMS OTP akışlarını etkileyen kimlik avı, kimlik bilgisi doldurma ve SIM değiştirme saldırılarına karşı bağışık hale getirir. Aflac, geçiş anahtarlarını dağıttıktan sonra %96 oranında başarılı giriş bildirdi ve Branch Insurance, destek biletlerinin yaklaşık %50 oranında düştüğünü gördü. Kimlik doğrulama sırasında hiçbir paylaşılan sır iletilmediği için, saldırganlar ağı kontrol etseler bile yeniden kullanılabilir kimlik bilgilerini toplayamazlar.
Sigorta müşteri portalları için kimlik doğrulama gereksinimlerini hangi uyumluluk çerçeveleri şekillendiriyor ve geçiş anahtarları nasıl yardımcı oluyor?#
ABD'de NYDFS Bölüm 500, FTC Önlemler Kuralı ve NAIC Sigorta Veri Güvenliği Model Yasası, sigortacıları daha güçlü MFA'ya doğru itiyor. ABD dışında, AB sigortacıları DORA, Avustralyalı sigortacılar APRA CPS 234 ve Kanadalı sigortacılar OSFI Kılavuzu B-13 kapsamına giriyor ve bunların tümü müşteriye dönük sistemler için kimlik doğrulama kontrolleri etrafındaki beklentileri artırıyor. Geçiş anahtarları yardımcı olur çünkü FIDO2/WebAuthn kriptografik kimlik bilgileriyle kimlik avına dirençli MFA sunarken daha zayıf SMS OTP akışlarına bağımlılığı azaltırlar.
Sigorta portalı kimlik doğrulaması için geçiş anahtarları SMS OTP, TOTP ve cihaz güveniyle nasıl karşılaştırılır?#
SMS OTP, büyük ölçekte mesaj başına 0,01-0,05 ABD dolarına mal olur, SIM değiştirme ve kimlik avına karşı savunmasızdır ve teslimat hatalarından dolayı yüksek çağrı merkezi yükü oluşturur. TOTP uygulamaları mesaj başına maliyeti ortadan kaldırır ancak kimlik avına açıktır ve manuel kod girişi gerektirir. Cihaz güveni, bilinen cihazlarda sürtünmeyi azaltır ancak kimlik avı direnci sunmaz. Geçiş anahtarları, kimlik avına dirençli güvenliği sıfır kimlik doğrulama maliyeti ve 2 saniyenin altındaki giriş süreleriyle birleştirerek onları güvenlik, UX, maliyet ve uyumluluk boyutlarında en yüksek puanı alan tek yöntem haline getirir.
Sigortacılar için geçiş anahtarı sunumunu bankalara veya SaaS şirketlerine kıyasla farklı kılan nedir?#
Sigortacılar, otomobil, ev ve hayat ürünlerinin birleştirilmiş bir rpID stratejisi gerektiren ayrı alt alan adlarında çalışabileceği çok markalı portal karmaşıklığıyla karşı karşıyadır. Ping, ForgeRock veya Okta gibi eski CIAM platformları arka uç WebAuthn'u yönetir ancak sınırlı benimseme araçları sunar. Acente ve poliçe sahibi akışları farklı güven düzeyleri ve cihaz profilleri gerektirir. Düzenleyici baskı ayrıca birden fazla yargı alanını kapsar: ABD sigortacıları NYDFS Bölüm 500, NAIC Model Yasası ve FTC Önlemler Kuralı ile karşı karşıyadır, AB sigortacıları DORA kapsamındadır, Avustralya sigortacıları APRA CPS 234'e ve Kanadalı sigortacılar OSFI Kılavuzu B-13'e tabidir. Bu, geçerli en katı standardı karşılayan bir sunum planı gerektirir.
Sigorta Kimlik Doğrulama Olgunluk Modeli nedir ve sigortacılar bunu ilerlemelerini kıyaslamak için nasıl kullanabilir?#
Sigorta Kimlik Doğrulama Olgunluk Modeli dört seviye tanımlar: Seviye 1 (Yalnızca SMS), tek faktörlü OTP'li ve kimlik avı direnci olmayan; Seviye 2 (MFA-etkin), parola ve SMS veya temel uyumluluğu karşılayan TOTP ile; Seviye 3 (kimlik avına dirençli), geçiş anahtarları dağıtılmış, kayıt güvenliğe alınmış ve akıllı geri dönüşler sağlanmış; Seviye 4 (kimlik avına dirençli + gözlemlenebilirlik), tam telemetri, cihaz güveni ve sürekli izleme ile. Sigortacılar mevcut seviyelerini belirlemek, hedef dönüm noktaları belirlemek ve ilerlemeyi yönetim kurullarına ve düzenleyicilere iletmek için modeli kullanabilir.
Bu makaleyi paylaş
İlgili makaleler
İçindekiler