Technische Architektur

 

Föderiertes System

Das OpenPK-Ökosystem ist ein föderiertes System mit wenigen zentralen Komponenten. Pensionskassen nehmen als API-Anbieter teil und implementieren das API. Die Anwendungen, die die APIs nutzen (konsumieren), sind vielfältig und verteilt. Da ein standardisiertes, technologie-neutrales API-Protokoll verwendet wird, kann jeder Konsument den API-Zugriff selbst implementieren.

Bei der API-Nutzung erfolgt die Kommunikation direkt von der Anwendung zu einer Pensionskasse. Die einzige zentrale Komponente ist ein Verzeichnis-Dienst. Darin sind teilnehmende Pensionskassen mit den technischen Informationen für den API-Zugriff und zertifizierte Anwendungen verzeichnet.

 
Federated System.png
 
 

Beispielsweise könnte eine versicherte Person eine App eines Drittanbieters nutzen. Bei der ersten Nutzung wählt die Person die Pensionskasse aus, bei der sie versichert ist, z.B. “PK 2”. Die entsprechende Liste hat die App vorher über das zentrale Verzeichnis abgefragt. Nun macht die App eine weitere Abfrage, um die technischen Informationen (z.B. die Web-Adresse für die Authentisierung) der PK 2 zu holen. Mit diesen Informationen kann die App nun einen User Interface Flow auslösen, damit die Person der App die Zustimmung zum Zugriff auf die Daten erteilen kann. Dabei wird sie sich gegenüber den Pensionskasse authentisieren müssen. Mit der erteilten Zustimmung (Consent) kann die App nun auf die Daten zugreifen.

Damit das klappt implementieren alle Pensionskassen die gleichen APIs und registrieren sich im PK-Verzeichnis

 

API-Anbieter

Jeder API-Anbieter implementiert eine Reihe von APIs und User Interfaces:

  • User Interface für Authentisierung und Erteilung der Einwilligung

  • Consent-API (um Zugriffstoken zu lösen und erteilte Einwilligungen abzufragen)

  • Fach-APIs: Policen- und Versicherten-Daten, Einkäufe, Kontobewegungen, Anlageerfolg und weitere APIs in Zukunft

 
Pension Fund.png
 
 

User Interface für Einwilligungs-Erteilung

Eine Applikation kann nur auf Daten von Versicherten zugreifen, wenn diese zuvor ihre Einwilligung (Consent) gegeben haben. Die Consent-Erteilung kann zeitlich und örtlich unabhängig von der Applikationsnutzung erfolgen. In der Regel wird sie aber bei der ersten Applikationsnutzung durchgeführt. Der dazu nötige Ablauf kann in der Applikation selbst ausgeführt oder aus ihr heraus ausgelöst werden.

Der Ablauf sieht grob wie folgt aus:

  • Der Benutzer beginnt in der Applikation und wählt seine Pensionskasse aus.

  • Die Applikation startet den Flow und gibt an, auf welche Datenbereiche (Scopes) sie zugreifen möchte.

  • Die Applikation leitet den Benutzer zur Pensionskasse weiter.

  • Der Benutzer authentisiert sich gegenüber der Pensionskasse.

  • Der Benutzer erteilt die Zustimmung für den Datenzugriff.

  • Die Applikation erhält ein Token, mit dem sie im Namen des Benutzers auf die Daten bei der Pensionskasse zugreifen kann.

Mit welchen Mitteln (Passwort, Einmal-Code per SMS, Authentisierungs-App etc.) sich eine versicherte Person authentisiert, kann jede Pensionskasse selbst wählen. Diese Flexibilität ist möglich, das User Interface für die Authentisierung und Einwilligungs-Erteilung von der Pensionskasse (in Web-Technologie) implementiert wird.

Fach-APIs

Die Fach-APIs sind die standardisierten APIs, um die Versicherten- und Pensionskassendaten abzufragen und Aktionen auszulösen (z.B. einen Einkauf). Die Fach-APIs sind unterteilt in mehrere Teil-APIs, wovon nicht alle implementiert werden müssen. Minimal muss nur das Versicherten-Daten-API implementiert und angeboten werden.

Die Fach-APIs werden als REST-Service mit JSON als Datenformat implementiert und gemäss dem Open API-Standard beschrieben. Diese Standards sind technologie-neutral und weit verbreitet, so dass sie mit einer Vielzahl von Technologien implementiert und genutzt werden können und dafür viele gute Werkzeuge vorhanden sind.

 

Verzeichnis-Dienst

Der Verzeichnis-Dienst führt eine Liste der Pensionskassen und zertifizierten Applikationen. Er dient Applikationen dazu, die PK-spezifischen technischen Informationen zu holen, die für die Kommunikation nötig sind, und er dient API-Anbietern dazu, die anfragende Applikation zu identifizieren.

PK-Verzeichnis

Das PK-Verzeichnis ist ein Verzeichnis aller teilnehmenden Pensionskassen. Die Liste wird von Applikationen auch verwendet, um dem Benutzer eine Liste zur Wahl seiner Pensionskasse anzuzeigen. Pro Pensionskasse werden voraussichtlich folgende Daten geführt:

  • Name (mehrsprachig) und Logo der Pensionskasse

  • Status (in Vorbereitung, aktiv, supendiert, …)

  • Liste der implementierten APIs

  • Basis-URL der fachlichen APIs

  • URLs für Consent-Erteilung

  • Technischer Ansprechpartner (Name, Telefon, Email)

  • Fachlicher Ansprechpartner (Name, Telefon, Email)

Applikationsverzeichnis

  • Name und Beschreibung der Applikation

  • Verantwortliche Firma (oder Person)

  • Zertifikat / Public Key für Signierung

  • Zulässige Redirect URLs für Authentisierung

  • Technischer Ansprechpartner (Name, Telefon, Email)

  • Fachlicher Ansprechpartner (Name, Telefon, Email)

  • Web-Adresse der Datenschutzerklärung