Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Confiança

Ens encarreguem de la conformitat. Llança comprovacions d'identitat en un clic

Gestionem les llicències, filials i auditories perquè el teu equip de conformitat i risc pugui avançar més ràpid. Activa un interruptor i llança en qualsevol país de manera compliant, SOC 2 Type 1, ISO/IEC 27001 i l'atestació del govern de Tesoro EU incloses.

En xifres

En xifres
  • 0%
    Temps d'activitat real durant els últims 12 mesos. Registrat en directe a status.didit.me contra l'SLO (Service Level Objective) del 99,99%.
  • 0
    Violacions materials des que Didit es va llançar. Provat en producció des del 2023.
  • Milions
    Persones verificades cada mes a la flota de producció.
  • Certificat
    Complint la normativa a tot arreu on opera Didit, SOC 2 Type 1, ISO/IEC 27001, iBeta Level 1 PAD i l'atestació del regulador espanyol.
Registre públic

Els reguladors diuen que Didit és més segur que la verificació presencial.

Espanya va posar a prova la lectura remota del xip NFC (Near-Field Communication) de Didit, juntament amb la prova de vida activa, i ho va registrar públicament com a mínim tan segur com comprovar una identificació en persona. Cap altre proveïdor d'identitat té aquesta atestació.
Supervisat per
  • Tresor Públic, Tresor espanyol
  • Banco de España, Banc d'Espanya
  • SEPBLAC, Unitat d'intel·ligència financera espanyola
  • CNMV, Comissió Nacional del Mercat de Valors
La verificació NFC + prova de vida activa de Didit ofereix una seguretat equivalent o superior a la verificació presencial.
Tresor Públic, Informe de Conclusions DIDIT, febrer de 2026

Novembre 2024, Juliol 2025 · Sandbox financer (Llei 7/2020), 4a cohort · supervisat per Tesoro Público, Banco de España, SEPBLAC i CNMV.

Enginyeria de frau

Un equip dedicat al frau. Models, monitorització, prevenció.

Un equip centrat només en el frau construeix, entrena i monitoritza els models de detecció darrere de cada sessió de Didit: deepfakes, atacs d'injecció, falsificacions, identitats sintètiques, mules de diners. Nou atac en llibertat? Nou senyal aquella setmana. Els usuaris legítims mai ho noten.
  • Models, creats i reentrenats internament.

    Detecció de vivacitat, detecció de deepfakes, classificadors de documents, coincidència facial, detecció d'atacs d'injecció, risc conductual: cada model resideix en el nostre propi pipeline d'entrenament i servei.

  • Monitorització, cada sessió, cada hora.

    El trànsit de producció alimenta una cua de revisió en temps real. La deriva, la taxa de falsos positius, els canvis en els patrons d'atac i la qualitat del senyal per país es monitoritzen contínuament; els llindars es reajusten sense un canvi de codi del client.

  • Prevenció, en línia, invisible per a l'usuari.

    Cada model s'integra en línia a la sessió. Inferència p99 de menys de 2 segons, sense anades i tornades addicionals, sense tocs extra. L'usuari legítim finalitza la verificació en el mateix flux; només l'atacant veu un camí diferent.

Certificacions

Cada afirmació té un document que la recolza.

Sis certificacions externes que cobreixen seguretat, privacitat, anti-spoofing biomètric, adequació regulatòria i reconeixement governamental. Cada targeta et porta a un document real, no a un PDF de màrqueting.
Insígnia d'atestació SOC 2 Type 1Nou
AICPA · 2026-04-09

SOC 2 Type 1

Auditoria independent dels nostres controls de seguretat, disponibilitat i confidencialitat, emesa per ATOM l'abril de 2026. L'examen de tipus 2 està en curs.

Certificat ISO 27001 emès per Bureau Veritas
ES144068 · Bureau Veritas

ISO/IEC 27001:2022

Certifica que la nostra gestió de la seguretat de la informació cobreix les verificacions de Didit de principi a fi. Emès per Bureau Veritas, vàlid fins al juny de 2027.

Insígnia de compliment iBeta Level 1 PAD
ISO/IEC 30107-3 · NIST/NVLAP

iBeta Level 1 PAD

Prova anti-spoofing biomètric: 360 intents en sis categories d'atac, cap va tenir èxit. Realitzada al laboratori NVLAP 200962 acreditat per NIST.

Logotip del Tesoro Público d'Espanya
Espanya · CNMV · SEPBLAC · BdE

Atestació del sandbox del Tesoro

Un sandbox d'un any de durada, realitzat per quatre reguladors financers espanyols, va concloure que la verificació remota de Didit és almenys tan segura com les comprovacions d'identitat presencials. Cap altre proveïdor d'identitat té això.

Segell GDPR Ready
EU 2016/679 · DPA · TOMs

GDPR Article 32

Compliment total del Reglament General de Protecció de Dades (GDPR) com a processador de dades. Acord de processament de dades i mesures tècniques i organitzatives disponibles a petició.

Segell de compliment EBA / MiCA
EBA/GL/2022/15 · MiCA

Compliment EBA / MiCA

Opinió legal independent: l'onboarding remot de Didit compleix les Directrius de l'Autoritat Bancària Europea sobre l'onboarding remot de clients (EBA/GL/2022/15) i és compatible amb el nou Reglament Únic contra el Blanqueig de Capitals (AML) de la UE i la regulació dels Mercats de Criptoactius (MiCA).

Protecció de dades

Què emmagatzemem, on ho emmagatzemem, quant de temps ho conservem.

Tu ets el propietari de les dades; Didit les processa en nom teu. Sota el GDPR (Reglament General de Protecció de Dades), tu ets el Responsable del Tractament i Didit és l'Encarregat del Tractament. La plataforma inclou controls de l'Article 32 del GDPR i normes locals de protecció de dades ja integrades.
  • Xifrat en repòsAES-256.

    Cada sessió es xifra en repòs amb claus AES (Advanced Encryption Standard) de 256 bits. Les claus mai toquen el nostre codi d'aplicació; resideixen a AWS KMS (Key Management Service), amb claus separades per a l'entorn de proves i producció.

  • Xifrat en trànsitTLS 1.3.

    Cada trucada a l'API, webhook i sessió de la Business Console es xifra mitjançant TLS (Transport Layer Security) 1.3 amb regles de xifrat estrictes. Els protocols antics no poden tornar a utilitzar-se; HSTS (HTTP Strict Transport Security) s'aplica a tot el lloc.

  • Residència de dadesUE per defecte.

    Les sessions es processen i emmagatzemen a la Unió Europea per defecte a AWS. Les empreses poden habilitar la residència al país, subjecte a disponibilitat, perquè els equips de qualsevol mercat puguin utilitzar Didit de manera compliant.

  • RetencióD'1 mes a 10 anys.

    Tria quant de temps Didit conserva cada sessió,d'un mes a deu anys, per aplicació a la Business Console. Les implementacions de petjada mínima poden eliminar la sessió tan bon punt arriba el webhook.

  • Gestió biomètricaMinimització de dades.

    Tu tries exactament quines dades recull Didit; tota la resta s'elimina. Per defecte, només es conserven les plantilles biomètriques i les metadades; els selfies en brut i el vídeo de liveness s'eliminen en el moment en què es tanca la sessió.

  • Drets dels interessatsElimina dades amb un sol endpoint.

    Accés complet a les sol·licituds d'accés dels interessats (DSAR) i dret a l'oblit sota demanda mitjançant l'API pública. Els usuaris finals envien DSARs des de l'aplicació Didit Identity; el teu equip les activa amb una trucada DELETE a l'endpoint de sessions. S'aplica a cada rèplica: sense eliminació suau ni cub d'arxiu.

FAQ

Preguntes de seguretat, respostes.

Les mateixes respostes que enviem als equips de seguretat d'empreses. Qualsevol altra cosa, security@didit.me.
Com de segur és Didit?

Zero bretxes de dades des que Didit es va llançar el 2023. La seguretat està integrada en cada capa de la plataforma.

  • Zero bretxes, en milions de verificacions i més de 1.500 clients de pagament.
  • Tot està xifrat, tant quan les dades s'emmagatzemen com quan es mouen entre sistemes. Les claus de xifrat resideixen a Amazon Web Services (AWS), separades perquè un sandbox no pugui llegir dades de producció.
  • Cada sol·licitud es comprova. Cada acció es registra. No hi ha secrets compartits entre clients.
  • Auditat independentment, SOC 2 Tipus 1 (Tipus 2 en curs), ISO/IEC 27001:2022, i iBeta Nivell 1 de Detecció d'Atacs de Presentació (PAD) amb un 0% d'èxit d'atac en 360 intents.
  • Pàgina d'estat pública en directe a status.didit.me, cada incident, cada anàlisi post-mortem, sense necessitat d'iniciar sessió. 100% de temps d'activitat en els últims 6 mesos.
  • Si passa alguna cosa, t'ho diem en hores, dins del termini de notificació de l'Article 33 del Reglament General de Protecció de Dades (GDPR). Les empreses tenen un enginyer assignat de guàrdia 24/7, amb un canal dedicat de Slack i WhatsApp.

Sol·licita el Paquet de Confiança en aquesta pàgina, informe SOC 2, certificat ISO, informe iBeta, certificació Tesoro, Acord de Processament de Dades (DPA), llista de sub-processadors, enviat el mateix dia hàbil sota un Acord de Confidencialitat (NDA) signat.

Tinc moltes verificacions. Didit suportarà el meu volum?

Sí. La infraestructura s'escala en temps real i suporta milions de verificacions al dia.

  • S'escala automàticament. Quan el teu trànsit es duplica d'un dia per l'altre, la plataforma s'expandeix. Sense trucades de vendes, sense reescriure el pla de capacitat, sense necessitat d'avís.
  • Cada comprovació es completa en menys de 2 segons, fins i tot en hores punta. La infraestructura està optimitzada per a una inferència ràpida de principi a fi.
  • 100% de temps d'activitat en els últims 6 mesos. Segueix-ho en directe a status.didit.me, sense necessitat d'iniciar sessió.
  • Provat en producció, més de 1.500 clients de pagament en més de 220 països, en producció des del 2023.
  • Construït per a esdeveniments de pic, inicis d'apostes esportives, llançaments de marketplaces, desplegaments de verificació d'edat. La plataforma gestiona el pic sense que ningú a Didit hagi de moure un dit.
  • Els contractes empresarials inclouen garanties per escrit, un Acord de Nivell de Servei (SLA) sobre velocitat, temps d'activitat i capacitat, amb crèdits de facturació si no complim.

Els nivells de volum a la pàgina de preus s'activen automàticament a mesura que creixes, sense canvis de contracte, sense renegociació manual.

Quines dades emmagatzema Didit i quant control tinc sobre elles?

Tu tries, per cada flux de treball. Didit no una llista fixa del que conservem. El teu equip de compliment configura cada aplicació a la Consola de Negoci, i el flux de treball només recull i emmagatzema el que tu li indiques.

La pestanya Dades retornades et proporciona un interruptor per a cada categoria:

  • Imatges de documents d'identitat (ID) i camps de la Zona de Lectura Mecànica (MRZ)
  • Dades del xip de Comunicació de Camp Proper (NFC)
  • Camps d'identitat extrets (nom, data de naixement, número de document, caducitat, adreça)
  • Plantilles biomètriques
  • Selfie en brut i vídeo complet de vivacitat
  • Empremta digital del dispositiu, navegador, sistema operatiu, plataforma
  • Geolocalització d'adreces de Protocol d'Internet (IP), senyals de Xarxa Privada Virtual (VPN) / Tor
  • Coordenades de coincidència de la ubicació del document
  • Coincidències de detecció de Blanqueig de Capitals (AML) amb sancions, Persona Políticament Exposada (PEP) i detalls de coincidència de mitjans adversos
  • Càrrega útil del webhook, registre d'auditoria i metadades per sessió

La llista exacta d'interruptors depèn dels mòduls del teu flux de treball, comprova-los quan configuris el flux de treball a la Consola de Negoci sota Dades retornades.

Qui és el Responsable del Tractament de Dades i qui és l'Encarregat del Tractament de Dades?

Tu ets el Responsable del Tractament de Dades. Didit és l'Encarregat del Tractament de Dades. Aquesta és la configuració de l'Article 28 del Reglament General de Protecció de Dades (GDPR) que la majoria de compradors regulats esperen.

  • Tu decideixes per què es recullen les dades, quins camps es conserven, quant de temps es retenen i qui dins del teu equip pot actuar sobre elles. L'Acord de Processament de Dades (DPA) d'aquesta pàgina és el contracte que vincula Didit a aquestes instruccions.
  • Didit processa les dades en nom teu, realitzant les verificacions, la detecció, les comprovacions biomètriques, la classificació de documents, els webhooks, sota el teu DPA i sota els nostres propis controls SOC 2, ISO/IEC 27001 i l'Article 32 del Reglament General de Protecció de Dades (GDPR).

Et recomanem que permetis a Didit emmagatzemar i accedir a les dades en nom teu. La majoria dels nostres clients ho fan. Assegurar les dades d'identitat a escala d'internet és una feina a temps complet: xifratge reforçat, rotació de claus, detecció d'intrusions, gestió de vulnerabilitats, renovacions de certificacions, residència regional, eines de drets dels interessats, notificació de bretxes. Els equips de seguretat i plataforma de Didit s'hi centren cada dia perquè els teus equips de compliment i enginyeria no hagin de fer-ho. Tu mantens el control total a través de la Consola de Negoci, cada regla de retenció, cada Sol·licitud d'Accés de l'Interessat (DSAR), cada eliminació és teva per activar.

Si la teva política requereix que les dades resideixin completament en el teu propi entorn (el teu compte al núvol, la teva base de dades local), també ho suportem, Didit funciona com a processador sobre una base de "fetch-and-forget" i el teu equip és el propietari de la retenció de principi a fi.

On s'emmagatzemen les dades i puc triar la regió?

Unió Europea per defecte. Regió específica o al país disponible a Enterprise.

El desplegament per defecte s'executa a Amazon Web Services (AWS) a la UE. Les dades estan xifrades en repòs i en trànsit, amb les claus de xifratge en poder d'AWS i separades per entorn.

  • Unió Europea (per defecte), per a cada compte. Cobreix el Reglament General de Protecció de Dades (RGPD), Schrems II / Marc de Privadesa de Dades Unió Europea, Estats Units i eIDAS 2.0.
  • Regió específica (Est dels Estats Units, Àsia-Pacífic, etc.), contractes Enterprise, quan el teu regulador ho requereixi.
  • Residència al país (Brasil, Índia, etc.), Enterprise, subjecte a disponibilitat, per a lleis locals com la Lei Geral de Proteção de Dados (LGPD) del Brasil i la Digital Personal Data Protection Act (DPDPA) de l'Índia.

Quan les dades creuen una frontera, estan protegides per les Clàusules Contractuals Estàndard (SCCs) de la Comissió Europea de 2021. L'Avaluació d'Impacte de la Transferència (TIA) corresponent s'inclou amb el Trust Pack en aquesta pàgina.

Quant de temps conserveu les dades i com configuro la retenció?

Tu estableixes la finestra de retenció. Des d'1 mes fins a 10 anys, per aplicació. L'aplicació és automàtica.

A la Business Console configures:

  • Una finestra de retenció global, des d'1 mes (quan vols que Didit no conservi res després que s'activi el teu webhook) fins a 10 anys (el límit de la Sisena Directiva contra el Blanqueig de Capitals (AMLD6)).
  • Retenció per categoria de dades, les plantilles biomètriques poden sobreviure a les imatges en brut; els resultats de cribratge poden sobreviure a les dades d'identitat; la coincidència de la ubicació del document es pot eliminar completament.
  • Aplicació automàtica, cada nit, la plataforma elimina qualsevol cosa que hagi superat la seva finestra de retenció en totes les còpies. Cada eliminació es registra al registre d'auditoria.

Si vols que Didit no conservi res després del veredicte, crida POST /v3/sessions/:session_id/delete/ des del teu gestor de webhook i la sessió desapareixerà en el moment en què el teu sistema registri la seva pròpia còpia del resultat, Didit mai conserva les dades més enllà de la trucada. Referència completa a docs.didit.me/sessions-api/delete-session.

Com gestioneu les Sol·licituds d'Accés de l'Interessat (DSARs), l'eliminació i la portabilitat?

Un endpoint per dret.

  • Dret d'accés (Article 15) i dret a la portabilitat de les dades (Article 20), obtén la càrrega útil completa de la sessió a GET /v3/sessions/:session_id/decision/. Referència a docs.didit.me/sessions-api/retrieve-session.
  • Dret d'eliminació (Article 17), POST /v3/sessions/:session_id/delete/ elimina la sessió i tots els artefactes vinculats. Referència a docs.didit.me/sessions-api/delete-session.
Quines certificacions i atestacions teniu?

Cinc atestacions externes en arxiu. Totes incloses al Trust Pack.

  • SOC 2 Tipus 1, Seguretat, Disponibilitat i Confidencialitat, emès per ATOM l'abril de 2026 sota els Criteris de Serveis de Confiança de l'American Institute of Certified Public Accountants (AICPA). L'examen SOC 2 Tipus 2 està en curs.
  • ISO/IEC 27001:2022, Sistema de Gestió de la Seguretat de la Informació, certificat per Bureau Veritas (certificat ES144068, vàlid fins al 03-06-2027).
  • iBeta Nivell 1 Detecció d'Atacs de Presentació (PAD), prova independent anti-spoofing biomètrica, realitzada sota ISO/IEC 30107-3 en un laboratori acreditat pel National Institute of Standards and Technology (NIST). 0 atacs reeixits en 360 intents.
  • RGPD Article 32, Acord de Processament de Dades (DPA), llista de sub-processadors i Mesures Tècniques i Organitzatives (TOMs), tot públic.
  • Memo de l'Autoritat Bancària Europea (EBA) / Mercats de Criptoactius (MiCA), opinió legal independent que Didit satisfà les Directrius de l'EBA sobre l'onboarding remot de clients (EBA/GL/2022/15) i la regulació MiCA.

Sol·licita el Trust Pack en aquesta pàgina i t'enviarem tots els informes, certificats i memos el mateix dia hàbil sota un Acord de Confidencialitat (NDA) signat.

Què significa realment per a mi l'atestació del regulador espanyol?

Reconeixement mutu a tota la Unió Europea (UE), i un registre d'auditoria defensable davant el regulador.

El Tesoro Público, el Banco de España, el SEPBLAC i la CNMV d'Espanya van dur a terme un sandbox financer d'un any (novembre de 2024, juliol de 2025) sobre la lectura de xips Near-Field Communication (NFC) de Didit més el flux d'onboarding amb prova de vida activa. L'informe oficial de conclusions, publicat a tesoro.es, conclou que la verificació remota de Didit compleix o supera el nivell de seguretat de la identificació presencial segons la Directiva contra el Blanqueig de Capitals (AMLD).

Per al teu equip de compliance això significa:

  • Reconeixement mutu AMLD6, l'atestació és portable a qualsevol altre estat membre de la UE sense necessitat de recertificació.
  • Alineació amb eIDAS 2.0, el flux NFC + prova de vida de Didit està registrat públicament com a adequat per a l'onboarding de Signatura Electrònica Qualificada (QES).
  • Registre d'auditoria defensable, quan la teva Unitat d'Intel·ligència Financera (FIU) local revisi el teu onboarding, podràs assenyalar el mateix informe que els teus reguladors europeus han aprovat.

Didit és l'únic proveïdor de verificació d'identitat amb aquesta atestació en el registre públic.

Puc demanar a Didit que obtingui una llicència o certificació específica?

Sí, i probablement ja hi estem treballant. Didit persegueix activament més de 10 certificacions, llicències i aprovacions reguladores en diferents mercats i verticals en qualsevol moment: autoritzacions de pagament, registres de cripto i Mercats de Criptoactius (MiCA), aprovacions de supervisors Anti-Money Laundering (AML), estat de Proveïdor de Serveis de Confiança Qualificat (QTSP) eIDAS 2.0, informes de la Unitat d'Intel·ligència Financera (FIU) regional i autoritzacions específiques per a verticals (iGaming, salut, banca).

Si hi ha una llicència o certificació que el teu equip de compliance necessita que Didit tingui, envia un correu electrònic a `security@didit.me`. El més probable és que ja estigui a la nostra cua, i si no ho està, la teva sol·licitud la farà pujar a la llista. Et respondrem amb:

  • On es troba la certificació en el nostre full de ruta.
  • El termini previst.
  • L'abast (cobertura total, una regió específica, un mòdul específic).

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Demana a una IA que resumeixi aquesta pàgina