Les dades de producció es processen i emmagatzemen a la Unió Europea per defecte, a Amazon Web Services. Els contractes empresarials poden sol·licitar regions alternatives per a jurisdiccions els reguladors de les quals ho requereixin.
Xifratge a tot arreu. AES-256 en repòs a totes les bases de dades, emmagatzematge d'objectes i còpies de seguretat. Transport Layer Security 1.3 en trànsit a cada trucada API, webhook i sessió de la Consola de Negocis. Les dades biomètriques es xifren sota una Customer Master Key separada.
La retenció la controles tu. La retenció per defecte és indefinida (il·limitada) tret que configuris una durada més curta, entre 30 dies i 10 anys per aplicació, i pots eliminar qualsevol sessió individual en qualsevol moment des del tauler de control o l'API.
Certificacions: SOC 2 Type 1 (auditoria Type 2 en curs), ISO/IEC 27001:2022, iBeta Level 1 PAD, i una atestació pública del Tesoro / SEPBLAC / CNMV d'Espanya que la verificació remota d'identitat de Didit és més segura que verificar algú en persona. Informe complet a /security-compliance.