HelloSafe

Entwicklerplattform

Die API, um Reiseversicherung in Ihr Produkt zu bringen

Eine signierte Conversion-API, getrackte Deep Links und S2S-Postback zu Ihrem Stack. Binden Sie die Reiseversicherung von HelloSafe innerhalb weniger Tage ein, ohne selbst Versicherer zu werden.

Integrationswege

Fünf Wege, HelloSafe anzubinden

Vom getrackten Link, in einem Nachmittag eingerichtet, bis zur REST-API für Angebote: wählen Sie Ihren Integrationsgrad. Gleicher Versicherungsschutz, gleiche Provision.

In Produktion

Getrackte Deep Links

Ein getrackter Link pro Inhalt oder Kampagne, mit Sub-ID. Der schnellste Einstieg, ganz ohne Code.

  • Deep Links pro Seite und Angebot
  • Sub-ID pro Kampagne, Inhalt oder Verkaufsstelle
  • 90-Tage-Attributionscookie, Last-Click
In Produktion

Conversion-Postback-API

Melden Sie Atlas, wenn ein zugeordneter Verkauf bestätigt wird oder den Status ändert. HMAC-signierte Anfrage, Zustandsmaschine, idempotent.

  • Pro Aufrufer signierte Schlüssel (HMAC-SHA256)
  • Status pending, validated, cancelled
  • Nativer Betrag: Provision wird serverseitig berechnet
In Produktion

S2S-Postback zu Ihrem Stack

Leiten Sie Conversions dorthin, wo Sie steuern: Impact, Partnerize, Awin, Voluum, RedTrack, Everflow oder ein BI-Webhook.

  • Standard-S2S-Connectoren
  • Webhook zu Ihrem BI
  • CSV-Export
Früher Zugang

REST-API für Angebot und Abschluss

Fragen Sie Policen ab, vergleichen und schließen Sie per API ab. REST-Endpunkte und Sandbox-Umgebung, in privater Beta.

  • Echtzeit-Angebote mehrerer Versicherer
  • Abschluss und Ausstellung per API
  • OpenAPI-Dokumentation in Vorbereitung
Früher Zugang

MCP-Server für KI-Agenten

Stellen Sie HelloSafe als typisierte Werkzeuge bereit, die Ihr LLM aufrufen kann: suchen, vergleichen, abschließen. In privater Beta.

  • Typisierte Werkzeuge für Claude, ChatGPT und eigene Agenten
  • Antworten, die auf echten Daten beruhen
  • Agentischer Checkout

Die Conversion-API, konkret

Vom Postback zur Provision, in einer signierten Anfrage

Die Conversion-API ist bereits heute in Produktion. Sie senden einen zugeordneten Verkauf, Atlas gleicht ihn mit dem Link ab, rechnet in EUR um und berechnet die Provision nach Ihrer Staffel.

  1. 01

    Schlüssel bereitstellen

    In der Startphase werden Schlüssel auf Anfrage vergeben. Sie erhalten eine key_id und ein Signatur-Secret, beide speziell für Ihre Integration.

  2. 02

    Anfrage signieren

    Berechnen Sie HMAC-SHA256 des Secrets über timestamp.body und senden Sie die Header x-atlas-key-id, x-atlas-timestamp und x-atlas-signature. Das Anti-Replay-Fenster beträgt 5 Minuten.

  3. 03

    Conversion posten

    Senden Sie ref und externalOrderId sowie den Bruttobetrag in seiner nativen Währung und den Status. Atlas friert den Wechselkurs ein, berechnet die Provision und liefert den angewendeten Status zurück.

postback.js
import { createHmac } from "node:crypto";

const secret = process.env.ATLAS_SIGNING_SECRET;
const body = JSON.stringify({
  ref: "hs-acme-7f3k9",
  externalOrderId: "ORDER-5821",
  amount: 89.90,
  currency: "USD",
  status: "validated"
});

const ts = Math.floor(Date.now() / 1000).toString();
const signature = "v1=" + createHmac("sha256", secret)
  .update(`${ts}.${body}`)
  .digest("hex");

await fetch("https://atlas.hellosafe.com/api/postback/conversion", {
  method: "POST",
  headers: {
    "Content-Type": "application/json",
    "x-atlas-key-id": "pbk_live_a1b2c3",
    "x-atlas-timestamp": ts,
    "x-atlas-signature": signature
  },
  body
});
// → 200 { ok: true, action: "inserted", status: "validated" }

HMAC-SHA256-signiertes Postback. Antwort 200 mit angewendeter Aktion und Status.

Payload-Referenz

Der Request-Body

JSON. ref und externalOrderId sind erforderlich; der Rest ist optional. Jede gesendete Provision wird ignoriert: maßgeblich ist das Register.

Feld Typ Erforderlich Beschreibung
ref string Ja Attributions-ID im Format partnerCode-shortCode.
externalOrderId string Ja Ihre eigene Bestell-ID. Dient bei Atlas als Idempotenzschlüssel.
amount number Nein Bruttobetrag des Verkaufs, in seiner nativen Währung.
currency string (3) Nein ISO-4217-Code. Eine unbekannte Währung wird als needs_fx gespeichert und später tarifiert.
status enum Nein pending, validated oder cancelled. Standard: pending.
subId string Nein Sub-Kennung für Kampagne oder Inhalt, für Ihr Reporting.

Antwortcodes

Was die API zurückgibt

Klare HTTP-Codes. Unzulässige Statusübergänge werden nie stillschweigend angewendet.

Code Bedeutung
200 Conversion gespeichert. action: inserted, updated, transitioned oder unchanged.
400 Fehlende Felder, ungültige ref oder ref, die nicht zum Linkinhaber passt.
401 Ungültige Signatur, ungültiger Schlüssel oder Zeitstempel (5-Minuten-Fenster).
404 Kein Link für diese ref gefunden.
409 Unzulässiger Statusübergang: die Zustandsmaschine lehnt ihn ab.
422 Betrag über dem Sicherheitslimit pro Conversion.

Authentifizierung und Sicherheit

Signiert, isoliert, nachvollziehbar

Jeder Aufrufer hat seinen eigenen Schlüssel und sein eigenes Secret. Nichts wird geteilt, alles ist widerrufbar.

Schlüssel pro Aufrufer

Eine eigene key_id und ein eigenes Signatur-Secret pro Integration. Einzelner Widerruf, ohne Auswirkung auf andere Aufrufer.

HMAC-SHA256-Signatur

Die Signatur deckt timestamp.body Byte für Byte ab. Jede Änderung des Bodys macht die Anfrage ungültig.

Anti-Replay-Schutz

Anfragen mit einem Zeitstempel älter als 5 Minuten werden abgelehnt. Eine abgefangene Anfrage kann nicht wiederverwendet werden.

Idempotente Zustandsmaschine

pending zu validated oder cancelled; validated nur zu cancelled; cancelled ist terminal. Das erneute Senden desselben Status hat keine Wirkung.

Preise

Kostenlos zu integrieren. Sie verdienen, wenn Ihre Nutzer abschließen.

Keine Einrichtungsgebühr, kein monatliches Abonnement, keine Kosten pro Aufruf. HelloSafe erhält seinen Anteil von den Versicherern; Ihr Umsatz stammt ausschließlich aus Provisionen.

$0

0 Euro für die Integration

Ihren API-Schlüssel zu erhalten, Ihre Integration anzubinden und in unserer Umgebung zu testen, kostet nichts. Kein NDA, kein Einkaufsprozess.

$0

0 Euro pro Aufruf

Die Conversion-API, die Deep Links und das S2S-Postback verursachen keine Kosten pro Aufruf und kein monatliches Minimum. Skalieren Sie im Takt Ihrer Reisenden.

50%

50 % der Provisionen

Sie erhalten die Hälfte der HelloSafe-Provisionen auf jeden Abschluss und jede Verlängerung, die durch Ihre Integration entsteht, monatlich ausgezahlt.

Zuverlässigkeit und Support

Auf Verfügbarkeit ausgelegt, mit Antworten von Menschen

Die Conversion-API und die getrackten Links laufen auf dem Cloudflare-Edge-Netzwerk. So sieht es bei Verfügbarkeit, Wiederholungen und Support aus.

99,9 %

Angestrebte Verfügbarkeit

Postbacks und getrackte Links laufen auf Cloudflare Workers mit automatischem Failover. Keine einzelne Region kann den Dienst lahmlegen.

300+

Standorte weltweit

Anfragen werden vom nächstgelegenen Cloudflare-Standort Ihrer Nutzer bedient; Provision und Wechselkurs werden anschließend asynchron berechnet, außerhalb des kritischen Pfads Ihrer Zahlung.

< 24 Std.

Antwortzeit Support

Der E-Mail-Support antwortet innerhalb eines Werktags, an Werktagen. Ihre Integrationsfragen gehen direkt an das technische Partnerteam, nicht in eine anonyme Warteschlange.

5 Min.

Sicheres Wiederholungsfenster

Idempotent über externalOrderId: Wiederholen Sie nach einem Timeout, ohne doppelt zu zählen; eine abgefangene Anfrage kann nach fünf Minuten nicht mehr wiederholt werden.

Eine öffentliche Status-Seite ist in Vorbereitung. Bis dahin ist Ihr Ansprechpartner für Integration und Störungen das Partnerteam, erreichbar über die Kontaktseite.

Früher Zugang

In privater Beta

Über die Conversion hinaus existieren diese Funktionen bereits in privater Beta. Sagen Sie uns, was Sie bauen, um dem Programm beizutreten.

Private Beta

REST-API für Angebot und Abschluss

Angebote mehrerer Versicherer, Vergleich und Abschluss per API, mit Sandbox und OpenAPI-Dokumentation.

Private Beta

BIN-Deckungs-API

Die ersten 6 Ziffern einer Karte liefern zurück, was sie bereits abdeckt, um nur die Lücke zu verkaufen.

Private Beta

MCP-Server

Typisierte Werkzeuge, mit denen Ihre KI-Agenten suchen, vergleichen und abschließen können, gestützt auf echte Daten.

Technische Fragen

Was Teams vor der Integration fragen.

Was kostet die API?

Nichts. Es gibt keine Einrichtungsgebühr, kein monatliches Abonnement und keine Kosten pro Aufruf bei der Conversion-API oder den Deep Links. Sie erhalten 50 % der Provisionen auf Verkäufe, die durch Ihre Integration entstehen; das ist der einzige Geldfluss im Programm.

Gibt es eine REST-API für Angebote?

Die Conversion-API (Postback) ist in Produktion. Die REST-API für Angebot und Abschluss existiert in privater Beta: Fordern Sie frühen Zugang an, und wir öffnen Ihnen eine Sandbox.

Wie funktioniert die Authentifizierung?

Über signierte Schlüssel, die jedem Aufrufer eigen sind. Sie berechnen HMAC-SHA256 des Secrets über timestamp.body und senden es in x-atlas-signature, mit einem Anti-Replay-Fenster von 5 Minuten. Ein älterer Bearer-Weg existiert übergangsweise, bis alle Aufrufer migriert sind.

In welcher Währung soll ich den Betrag senden?

Den Bruttobetrag in seiner nativen Währung, zusammen mit dem Währungscode. Atlas friert den Kurs bei der Erfassung ein, rechnet in EUR um (die interne Rechnungswährung) und berechnet die Provision nach Ihrer Staffel. Jede von Ihnen gesendete Provision wird ignoriert.

Ist das Postback idempotent?

Ja. externalOrderId ist der Schlüssel: Das erneute Senden desselben Status hat keine Wirkung, und die Zustandsmaschine lehnt unzulässige Übergänge mit einem 409 ab, statt sie stillschweigend anzuwenden.

Kann ich über Impact, Partnerize oder Awin gehen?

Ja. Wir stellen ein Standard-S2S-Postback bereit, das sich nativ an Impact, Partnerize, Awin, Voluum, RedTrack und Everflow anbinden lässt, oder einen Webhook zu Ihrem BI.

Haben Sie eine OpenAPI-Spezifikation?

Eine OpenAPI-Referenz begleitet die REST-API für Angebote in privater Beta. Die Conversion-API ist über ihren Vertrag oben dokumentiert: Endpunkt, signierte Header, Payload und Antwortcodes.

Bieten Sie MCP-Unterstützung an?

Ja, in privater Beta. Der MCP-Server stellt Angebot, Vergleich und Abschluss als typisierte Werkzeuge bereit, die Ihr LLM oder Agent aufrufen kann.

Auf welche Verfügbarkeit und welchen Support kann ich zählen?

Die Conversion-API und die getrackten Links laufen auf Cloudflare Workers, verteilt auf mehr als 300 Standorte mit automatischem Failover, bei einer angestrebten Verfügbarkeit von 99,9 %. Der E-Mail-Support antwortet innerhalb eines Werktags. Das Postback ist idempotent: Jeder Timeout kann risikofrei wiederholt werden. Eine öffentliche Status-Seite ist in Vorbereitung.

Eine technische oder geschäftliche Frage? Kontaktieren Sie uns

Lassen Sie uns bauen

Binden Sie Reiseversicherung an Ihr Produkt

Sagen Sie uns, was Sie bauen. Wir zeigen den schnellsten Weg (Links, Postback oder API) und stellen Ihnen einen Schlüssel bereit.