Archiv Anbindung

Anbindung an das Dokumentenarchiv (DMS)

Die eingescannten Dokumente werden im Sinne des Datenschutzes gesetzlich veranlasst digital erfasst und dauerhaft gespeichert, sofern das durch ein Kundenverhältnis oder gesetzliche Vorgaben (Geldwäschegesetz etc.) begründet ist.

VERISCORE speichert analog zum Scanner und dem Email-System für die Dauer der Verarbeitung die Scans und die personenbezogenen Daten.

Bei Abschluss des Falls werden die Bewegungsdaten in das Kernbankensystem übergeleitet. Dies erfolgt über die Dynamische Schnittstelle.

Weiterhin werden die Daten (bei gewählter Option) auch an ZAK überleitet in dem Nach-Markt weitere Kontrollen durchgeführt werden können.

Um abschließend auch die Bilddaten überzuleiten dient die Archiv-Schnittstelle, welche die Bilder als PDF Dateien in ein Langzeitarchivierungssystem überführt in der die Dokumente durch kryptografische Verfahren geschützt unveränderlich abgelegt werden.

Auswahl des Archivsystems

Es steht eine Reihe von Produkten für die Archivierung bereit, die alle eine Anbindung an das Kernbankensystem und die Fachanwendungen bereit stellen.

Aktuell werden folgende Systeme unterstützt.

  • FI Input Management
  • codecentric PMS
  • Bechtle OSPA Importer
  • KOFAX
  • Nixdorf / Diebold

Sollten Sie Ihr Archivsystem nicht gelistet finden, so treten Sie bitte an uns heran um die Möglichkeiten einer Erstanbindung zu besprechen.

Allen Archivsystemen gemein ist, dass sie für die Einlieferung von Dokumenten ein Dateisystem nutzen in welches VERISCORE die Dokumente ablegt und von dem der Archivierungsdienst die Dateien einliest.

Neben den reinen Bilddateien (PDF) werden auch Meta-Daten importiert, welche Referenz/Index Informationen wie Personennummer etc beinhalten.

Ergänzung

Einbindung SVZ LEG

Zur Nutzung der Funktion „Non-ICAO-Dokumente“ ist es notwendig in VERISCORE das entsprechende Schlüsselverzeichnis SVZ LEG einzubinden. Um das SVZ LEG zu aktivieren hinterlegen Sie bitte den Technischen S-User unter Einstellungen 🡪 Personenneuanlage 🡪 Technischer S-User. Das SVZ wird anschließend automatisch einmal wöchentlich aktualisiert. Wenn Sie noch keine Auswahlliste bei Non-ICAO-Dokumenten sehen sollten, wenden Sie sich bitte an den VERISCORE-Support

Installation auf dem SIA Server

Für weniger rechenintensive Aufgaben können Windows Systemdienste auf einem Windows SIA Server durch einen Administrator Produkte von Drittherstellern und Scripte installiert werden.

VERISCORE liefert für die oben genannten Archivsysteme eine Integration zur Überleitung in das ZDA. Sie besteht aus einem zentralen Serverteil und einem Windows Systemdienst, der bspw. auf dem SIA Server installiert werden kann. Voraussetzung für die Nutzung des Servers ist, dass die o.g. Archivsysteme das lokale Dateisystem für die Übergabe der Dateien verwenden oder alternativ das Netzwerkdateisystem des “Filers”.

Die Lieferung des VERISCORE Archive Service erfolgt als Windows Setup Executable; d.h. eine ausführbare Archivdatei, die während der Installation eine Konfigurationsoberfläche (“Setup Wizard”) anzeigt, mit der der Windows-Administrator Konfigurationsparameter eingeben kann.

Die Konfiguration wird in einer Textdatei bzw der Windows Registry gespeichert, sodass der Dienst ab dem Zeitpunkt der Installation auch bei Systemneustarts automatisch gestartet wird.

Funktionsweise des Archive Service

Der Dienst läuft die meiste Zeit ohne Rechenzeit zu verbrauchen im Hintergrund und wird von einem internen Zeitgeber periodisch angesteuert. Dann werden Dateien (Archiv Jobs) vom VERISCORE Server auf den SIA Server herunter geladen und in den Import-Ordner der o.g. Archivierungsprodukte geschoben.

Pro Job werden dazu eine Index-Datei (meist XML), eine PDF-Datei (das gescannte Dokument) und eine PDF-Datei mit dem Ausweis-Ausschnitt. Die Detaildaten (Business-Log) werden nach ZAK3 geleitet und erlauben einem Revisor zu prüfen ob die im Bild lesbaren Daten mit den von der OCR gelesenen Daten und mit den ins Kernbankensystem übergeleiteten Daten für die Kundenneuanlage übereinstimmen. Eine Archivierung der Detaildaten ist im ZDA wegen der Beschränkung auf Bilddateien nicht möglich.

Weiterhin werden vom Archivsystem als erfolgreich archiviert quittierte Jobs auch in VERISCORE als archiviert markiert und hierfür kein erneuter Versuch zur Archivierung unternommen.

Bereinigung und Datenschutzkonforme Löschung

Nach der Archivierung besteht nur noch für einen begrenzten Zeitraum ein berechtigtes Interesse in VERISCORE die Daten zu halten.

Nach Ablauf dieser Haltefrist werden die archivierten Daten automatisch gelöscht. Dies ist zunächst eine logische Löschung, sodass Anwender in VERISCORE den Datensatz nicht mehr angezeigt bekommen. Nach einer weiteren technischen Löschfrist werden die Daten unwiederbringlich physisch gelöscht. Dazwischen können Anwender in Notfällen über den Support eine Wiederherstellung eines einzelnen Datensatzes unter Angabe des geschäftlichen oder juristischen Anlasses erbitten. Dies erfordert stets auch die Freigabe des Tickets durch einen Vorgesetzten.

Bei Datensätzen, die nicht zu einer erfolgreichen Personenneuanlage oder einer Relegitimierung geführt haben, bei denen also der Vorgang noch nicht abgeschlossen wurde, werden weder die Bilddaten noch die Ergebnisse des Ausweisprüfprozesses archiviert. Es gelten dann andere Haltefristen, die ebenso schrittweise zu einer logischen Löschung und anschließend einer physischen Löschung/Bereinigung der Daten führen.

Die Haltefristen und Löschfristen sowie Bereinigungsfristen sind pro Mandant zu definieren und werden ohne Änderungsmöglichkeit in der VERISCORE Oberfläche institutsweit angewandt.

Installationsvorgang für den Archiv-Dienst

Die Installation erfolgt in mehreren Schritten:

  1. Voraussetzungen schaffen
  2. Berechtigungen und Installationsdatei vorbereiten
  3. Im Falle eines Update: Sichern der alten Konfiguration und Deinstallation der alten Version
  4. Installation über die Setup-Datei
  5. Erstmalig: Verschlüsselung des Server-Tokens und des Proxy-Passworts
  6. Konfiguration der veriscore-archiver.xml und Eintragen der Chiffrate
  7. Starten des Windows Service
  8. Kontrolle des Ereignisprotokolls und der Austausch-Verzeichnisse des Filers

Voraussetzungen schaffen

  • Sie benötigen ein lauffähiges Archivsystem aus der Liste der unterstützten Produkte.
  • Im Archivsystem ist ein automatisierter oder ein manuell anzustartender Import-Prozess erforderlich. Dieser muss die Index- und PDF-Dokumente anhand ihrer Dateinamen in einem Ihnen bekannten Dateipfad importieren.
  • Der Import-Dateipfad muss entweder als Lokales Dateisystem oder als “Mount” eines Netzwerklaufwerkes zum Lesen und Schreiben für den Zielserver freigegeben sein. Sofern für das Schreiben ein technischer User vorgesehen ist, muss der Windows-Systemdienst von VERISCORE Archiver unter diesem technischen Benutzer konfiguriert werden.

Berechtigungen vorbereiten

  • Für den Zugriff auf den gehosteten VERISCORE Service und die zu archivierenden Dokumente muss der Netzwerkzugriff vom SIA Server zu den beiden VERISCORE HTTP Endpunkten freigegeben werden (ggf für den technischen User unter dem der Windows Systemdienst läuft):
https://veriscore.c00577.axilaris.crednet.de/scanserver/rest/archive"

https://test-veriscore.c00577.axilaris.crednet.de/scanserver/rest/archive"
  • Sofern zusätzlich zur Netzfreischaltung (oder ersatzweise) der Web-Proxy notwendig ist müssen dafür Passwörter für einen technischen User beschafft werden. Dieses wird verschlüsselt im Dateisystem gespeichert.
  • Der Administrator, der die Installation des Windows-Dienstes durchführt, benötigt während der Installation Zugriff zu einem Admin-Account im VERISCORE Mandanten um den Token einzutragen
  • Zusätzlich wird für die Kontrolle ein S-User für die Erzeugung von zu archivierenden Daten benötigt.
  • Die Installationsdatei wird zum Zeitpunkt der Installation durch einen VERISCORE Mitarbeiter zum Download bereitgestellt. Sofern der Download eine EXE-Datei auf dem Zielserver nicht direkt erlaubt ist muss der Transfer gemäß der Richtlinien des Instituts vor dem Installationstermin erfolgen.

Token Eintragen in VERISCORE

Für die Kommunikation des VERISCORE Archive-Dienstes zum VERISCORE Webcenter werden die Verbindungen mit einem technischen Token authentifiziert. Sie können diese mit einem Werkzeug wie Keepass oder einem anderen Passwort-Generator erzeugen. Speichern Sie diesen an einem sicheren Ort wie z.B. Keepass mit Schlüsseldatei. Im Falle des Verlustes erzeugen Sie einen neuen Token und wiederholen Sie die Prozedur.

Melden Sie sich als technischer Adminstrator (also nicht als S-User) an VERISCORE an und

  1. öffnen Sie die Einstellungen (Zahnrad-Icon)
  2. dort den Reiter API Schlüssel
  3. mit dem (+) Icon können Sie einen neuen Token hinterlegen
  4. im Dialog tragen Sie den unverschlüsselten Token-Inhalt als Wert ein und speichern.

Update des Archiv-Dienstes (Zweitinstallation)

  • Sichern Sie die Konfigurationsdatei veriscore-archiver.xml an einem anderen Dateiort, da diese unter Umständen der letzte Ort ist, an dem der Zugriffstoken (verschlüsselt) abgelegt ist.
  • Stoppen Sie den VERISCORE Systemdienst über die Windows Systemkonsole.
  • Führen Sie die uninstall.exe im Programmverzeichnis der VERISCORE Installation aus
  • Prüfen Sie, dass bis auf Logdateien alle Installationsdateien entfernt wurden. Löschen Sie ggf Restdateien aus dem Programmordner (was passieren kann, wenn noch Locks auf den Dateien bestanden oder die Programminstallation auf einem Netzlaufwerk liegt).

Installation mit der Setup-Datei

  • Klicken die den Installer VeriscoreArchiverSetup-{versionsnummer}.exe mit der rechten Maustaste und installieren Sie diese mit als Administrator ausführen .

  • Wählen Sie ein Installationsverzeichnis für die Programmdateien

  • Der Installer startet den Dienst nicht, damit Sie vor dem Start die Konfiguration durchführen können.

  • In den “Windows Systemdiensten” Control wählen Sie für den VERISCORE Service die Startart Automatisch oder Automatisch (verzögert) Sofern Sie ein Update einspielen überspringen Sie den folgenden Punkt und kopieren die Konfigurationsdatei in den Programmordner.

Erstkonfiguration

  • Öffnen Sie die Konfigurationsdatei veriscore-archiver.xml in einem Editor Ihrer Wahl (z.B. Notepad++)
  • Im Programmordner befindet sich eine ausführbare Windows Batch-Datei encryptpassword.bat. Starten Sie diese und geben Sie den Token (z.B. per Copy&Paste) in die Konsole ein. Kopieren Sie das angezeigte Ergebnis am Ende der Datei in die dort befindliche env Variable RESTCLIENT_TENANTTOKEN
  • Starten Sie danach die encryptpassword.bat erneut und tragen Sie nun das Proxy Passwort ein. Kopieren Sie das angezeigte Ergebnis am Ende der Datei in die dort befindliche env Variable RESTCLIENT_PROXY_PASSWORD
  • Prüfen Sie die anderen dort befindlichen env Einstellungen für den Proxy-Zugang:
    • RESTCLIENT_PROXY_HOST
    • RESTCLIENT_PROXY_PORT
    • RESTCLIENT_PROXY_USERNAME
    • RESTCLIENT_PROXY_PASSWORD
  • Prüfen Sie die Pfadeinstellungen und den zum genutzten Archivsystem passenden Modus:
    • IMPORT_MODE
    • RESTCLIENT_BASEFOLDER
    • RESTCLIENT_IMPORT_FOLDER (relativ zu RESTCLIENT_BASEFOLDER)
    • RESTCLIENT_DONE_FOLDER (relativ zu RESTCLIENT_BASEFOLDER)
    • RESTCLIENT_ERROR_FOLDER (relativ zu RESTCLIENT_BASEFOLDER)
    • SCHEDULER_POLLJOB_TMPDIR

Nach erfolgreichem Test können folgende Parameter an die realen Mengengerüste angepasst werden:

  • SCHEDULER_POLLJOB_CRON wird mit einem 2-Minuten-Intervall ausgeliefert.
  • RESTCLIENT_LIMIT_DEQUEUE kann auf einen höheren Wert (100) angehoben werden, solange sichergestellt ist, dass alle Dateien innerhalb des Intervals gespeichert werden und der Status geprüft wird.
  • RESTCLIENT_NETWORK_TIMEOUT nur ändern, sofern Timeouts zu Stoßzeiten wahrgenommen werden. Wenden Sie sich vorher an den VERISCORE Support.

Starten des Windows Dienstes (Update und Erstinstallation)

  • In der Windows Konsole für Systemdienste können Sie nun den VERISCORE Service starten
  • In der Windows Konsole für die Ereignisanzeige “Anwendungen” können Sie den Start des Dienstes kontrollieren.
  • nach etwa 1-2 Minuten (geradzahlige Kalenderminuten) erscheint ein Log-Eintrag, der sich regelmäßig alle 2 Minuten wiederholen wird.
  • In diesen Eintrag werden einige Konfigurationsparameter aus der Konfigdatei angezeigt und müssen übereinstimmen.

Kontrolle der Funktion

Die folgenden Prüfpunkte erlauben es Ihnen den Prozess nachzuverfolgen:

  • Fehler werden hier in der Ereignisanzeige geloggt und können für die Überwachung genutzt werden.
  • Sofern Sie dem VERISCORE Support eine Fehlermeldung senden möchten schicken Sie bitte statt der Ausgaben in der Ereignisanzeige die log-Dateien im Programm-Ordner
    • veriscore-archiver.out.log
    • veriscore-archiver.wrapper.log
  • Prüfen Sie nun den Import-Ordner
    • Werden Dateien der Art “VERISCORE-{jobid}.xml” geschrieben ?
    • Werden je 2 Dateien der Art “VERISCORE-{jobid}-*.pdf” geschrieben ?
    • “Verschwinden” die XML Dateien nach einer gewissen Zeit?
  • Prüfen Sie nun den Import-Prozess Ihres Filters
    • Werden Dateien als importiert angezeigt ?
    • Werden Fehler angezeigt?
  • Prüfen Sie die Ausgangsordner
    • Sind im “Done” Ordner XML Dateien angekommen? (Erfolgsfall)
    • Sind im “Error” Ordner XML Dateien verschoben worden? (Fehlerfall)