Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Torna al blog
Blog · 21 de maig del 2026

Com Didit s'adapta a DORA: el risc de tercers TIC per a la identitat (CA)

DORA fa que les entitats financeres siguin responsables dels tercers TIC dels quals depenen, inclosos els proveïdors d'identitat. Així és com la certificació ISO 27001 de Didit, l'atestació SOC 2 Tipus 1 i la postura de registre.

Per DiditActualitzat el
didit-dora-compliance.png

La Llei de Resiliència Operativa Digital (DORA) va canviar el que significa externalitzar. A partir de gener de 2025, les entitats financeres de tota la UE són directament responsables de la resiliència operativa dels tercers de tecnologia de la informació i la comunicació (TIC) dels quals depenen —i un proveïdor de verificació d'identitat que s'integra en el flux d'onboarding d'un banc, una institució de diners electrònics o un proveïdor de serveis de criptoactius és exactament aquest tipus de tercer TIC.

Això planteja una nova pregunta en cada procés de contractació: pots demostrar que el teu proveïdor és resilient i pots documentar aquesta prova per al teu regulador? Aquesta guia explica què exigeix DORA als tercers TIC i mostra exactament com les certificacions, controls i registre d'auditoria de Didit donen suport a un fitxer de proveïdor preparat per a DORA.

Punts clau

  • DORA fa responsable l'entitat financera dels tercers TIC que utilitza, inclosos els proveïdors d'identitat i frau. No es pot externalitzar la responsabilitat, només la feina.
  • Didit està certificat amb ISO/IEC 27001:2022 (Bureau Veritas, acreditat per ENAC, certificat núm. ES144068, vàlid fins al 03-06-2027) — un sistema de gestió de la seguretat de la informació reconegut internacionalment que s'ajusta directament a les expectatives de gestió de riscos TIC de DORA.
  • Didit té una atestació SOC 2 Tipus 1 (ATOM, a partir del 09-04-2026) en els criteris de confiança de Seguretat, Disponibilitat i Confidencialitat, amb un examen de Tipus 2 planificat.
  • Cada verificació deixa un registre d'auditoria immutable — estats, decisions i esdeveniments de webhook que el vostre equip pot reproduir per a la notificació d'incidents i el registre de TIC.
  • El cicle de vida complet d'identitat i frau s'executa en una única API unificada /v3/, de manera que la resiliència, la supervisió i la generació d'informes es concentren en un proveïdor responsable en lloc d'estar disperses entre molts.

Què exigeix DORA

DORA és el marc de la UE per a la resiliència operativa digital al sector financer. En lloc de tractar la ciberseguretat com una preocupació secundària, construeix cinc pilars en una única regulació:

  1. Gestió de riscos TIC — un marc documentat per identificar, protegir-se, detectar, respondre i recuperar-se d'incidents relacionats amb les TIC.
  2. Notificació d'incidents TIC — classificar i informar d'incidents importants a les autoritats competents dins dels terminis establerts.
  3. Proves de resiliència operativa digital — proves regulars de sistemes TIC, fins a proves de penetració dirigides per amenaces per a entitats significatives.
  4. Gestió de riscos de tercers TIC — el pilar que afecta proveïdors com Didit: diligència deguda, salvaguardes contractuals, un registre d'informació sobre cada acord TIC i la capacitat de supervisar i sortir.
  5. Intercanvi d'informació — intercanvi voluntari d'intel·ligència sobre ciberamenaces.

El quart pilar és el que un proveïdor ha de respondre. DORA espera que l'entitat financera mantingui un registre d'informació que descrigui cada acord amb tercers TIC, que realitzi la diligència deguda abans de contractar, que garanteixi drets contractuals específics (auditoria, accés, transparència de sub-externalització, sortida) i que avaluï el risc de concentració. La feina del proveïdor és fer que tot això sigui fàcil de provar.

Per què és important

La verificació d'identitat poques vegades és un sistema perifèric. Es troba en el camí crític de l'onboarding de clients —i cada vegada més de la supervisió contínua mitjançant la detecció de transaccions. Si aquesta funció es degrada, l'onboarding s'atura i els ingressos també. DORA tracta exactament aquest tipus de dependència com una cosa sobre la qual el regulador pot preguntar.

La conseqüència pràctica: quan una entitat financera afegeix un proveïdor d'identitat al seu registre TIC, necessita una garantia documentada sobre els controls de seguretat d'aquest proveïdor, els compromisos de disponibilitat i la postura d'incidents. Un proveïdor que pot lliurar certificacions reconegudes i un registre d'auditoria net escurça la diligència deguda de mesos a dies. Un proveïdor que no pot es converteix en una deficiència.

Com Didit ajuda

La postura de compliment de Didit està construïda per encaixar en un fitxer de proveïdor DORA amb evidències, no promeses.

Certificació ISO/IEC 27001:2022. Didit opera un Sistema de Gestió de la Seguretat de la Informació (SGSI) certificat. El certificat —Bureau Veritas Certification, acreditat per ENAC, certificat núm. ES144068, certificat originalment el 07-04-2026 i vàlid fins el 03-06-2027, emès a DIDIT IDENTITY SPAIN S.L.— cobreix el desenvolupament, l'operació i el suport tècnic de la solució d'identitat digital de Didit. ISO 27001 és la base internacional per a la gestió de riscos TIC: requereix un marc documentat, controls definits, avaluació de riscos i millora contínua —les mateixes disciplines que el primer pilar de DORA espera de les entitats que confien en Didit. El certificat és distribuïble, de manera que es pot incloure directament al fitxer de registre.

Atestació SOC 2 Tipus 1. Didit té un informe SOC 2 Tipus 1 d'ATOM (un auditor de serveis independent sota el marc AICPA SOC for Service Organizations), que acredita el disseny dels controls en Seguretat, Disponibilitat i Confidencialitat a partir del 09-04-2026. La disponibilitat és el criteri que més importa a DORA per a una dependència d'onboarding crítica. S'ha previst un examen de Tipus 2 —que prova l'eficàcia operativa durant un període. L'informe SOC 2 complet és d'ús restringit segons les normes de l'AICPA i es comparteix amb possibles clients i clients sota NDA; Didit el referencia aquí en lloc de publicar-ne el contingut.

Registre d'auditoria i evidència d'incidents. Cada verificació, cada decisió de monitorització de transaccions i cada canvi d'estat es registra i s'exposa a través de l'API unificada /v3/ i els webhooks (session.status.updated, transaction.status.updated i esdeveniments relacionats). Això proporciona a una entitat financera un registre reproducible i amb segell de temps que pot incorporar a les seves pròpies obligacions d'informació d'incidents i proves de resiliència, i un flux de dades clar per documentar en el registre.

Un proveïdor responsable. Com que la identitat, la verificació de negocis, la detecció d'AML, la monitorització de transaccions i la detecció de carteres s'executen totes a la mateixa API /v3/, una entitat financera concentra una funció crítica en un únic tercer TIC certificat en lloc de connectar-ne diversos. Menys acords al registre, una relació contractual per governar, un conjunt de certificacions per mantenir.

Aprofundiment: construint l'entrada del registre TIC per a Didit

Un registre d'informació DORA per a un proveïdor d'identitat normalment necessita capturar la funció proporcionada, la seva criticitat, les salvaguardes contractuals i l'evidència d'assegurança. Amb Didit, això es mapeja clarament:

Element del registre DORAQuè proporciona Didit
Descripció del servei TICVerificació d'identitat (KYC), verificació de negocis (KYB), detecció d'AML, monitorització de transaccions, detecció de carteres — API unificada /v3/
Criticitat / funció suportadaOnboarding de clients i monitorització contínua — típicament una funció crítica o important
Garantia de seguretatCertificat ISO/IEC 27001:2022 núm. ES144068 (distribuïble)
Garantia operativaSOC 2 Tipus 1 (Seguretat, Disponibilitat, Confidencialitat), a partir del 09-04-2026 (sota NDA)
Ubicació / processament de dadesDocumentat en l'acord de processament de dades; entitat de la UE DIDIT IDENTITY SPAIN S.L.
Drets d'auditoria / accésDrets d'auditoria contractuals; registre d'auditoria complet de l'API i registre d'esdeveniments de webhook
Sortida / portabilitatExportació estàndard de l'API de registres de sessió i transaccions

Les certificacions realitzen la major part del treball a les files d'assegurament. La documentació i el centre de seguretat de Didit a didit.me/security-compliance és l'únic lloc per recollir els artefactes que necessita el vostre equip de diligència deguda.

Casos d'ús

  • Bancs i EMIs de la UE que afegeixen onboarding remot sense expandir la seva empremta de registre TIC — un proveïdor certificat, un acord.
  • Proveïdors de serveis de criptoactius sota MiCA, que també estan sota DORA, que necessiten tant onboarding com monitorització de transaccions d'un tercer resilient.
  • Institucions de pagament que han d'evidenciar la disponibilitat i la seguretat d'una dependència d'onboarding a una autoritat competent a petició.
  • Equips de compliment i contractació que volen certificacions i evidència d'auditoria lliurades per avançat, no perseguides durant un examen.

Preguntes freqüents

DORA s'aplica directament als proveïdors de verificació d'identitat?

Les obligacions de DORA recauen en l'entitat financera, però arriben a tercers TIC com els proveïdors d'identitat a través del pilar de gestió de riscos de tercers. L'entitat financera ha de realitzar la diligència deguda, garantir els drets contractuals i registrar l'acord, cosa que significa que el proveïdor ha de poder evidenciar la seva resiliència.

Didit està certificat amb ISO 27001?

Sí. Didit té un certificat ISO/IEC 27001:2022 (Bureau Veritas, acreditat per ENAC), certificat núm. ES144068, vàlid fins al 03-06-2027, emès a DIDIT IDENTITY SPAIN S.L. El certificat és distribuïble per al vostre fitxer de proveïdor.

Didit té la certificació SOC 2?

Didit té una atestació SOC 2 Tipus 1 (ATOM) en Seguretat, Disponibilitat i Confidencialitat, a partir del 09-04-2026. S'ha planificat un examen SOC 2 Tipus 2. L'informe complet es comparteix sota NDA.

Puc obtenir un registre d'auditoria per a la notificació d'incidents de DORA?

Sí. Cada esdeveniment de verificació i monitorització de transaccions es registra i s'exposa a través de l'API /v3/ i els webhooks, proporcionant-vos un registre reproducible i amb segell de temps per a la notificació d'incidents i la documentació de resiliència.

On puc obtenir els documents de certificació?

Comenceu al centre de seguretat i compliment de Didit a didit.me/security-compliance. El certificat ISO 27001 és distribuïble; l'informe SOC 2 Tipus 1 es comparteix sota NDA.

Llest per començar?

Consulteu tot el conjunt d'atestacions de Didit al centre de seguretat i compliment, exploreu com la verificació d'identitat s'adapta a un flux d'onboarding de la UE a la pàgina del producte de Verificació d'Identitat i reviseu els preus transparents per comprovació a la pàgina de preus. Quan estigueu preparats, comenceu gratuïtament — 500 comprovacions KYC gratuïtes cada mes, a la mateixa API unificada /v3/ que documentarà el vostre registre DORA.

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina
Didit i DORA: Risc de tercers TIC | Didit.