Skip to main content
Didit recapta 2M $ i s'uneix a Y Combinator (W26)
Didit
Didit
Information Security Policy
Updated May 16, 2026 · didit.me/terms/information-security
Legal

Information Security Policy

Updated: May 16, 2026

On this page

Aquesta Política de seguretat de la informació descriu les certificacions que Didit posseeix, els controls tècnics i organitzatius que Didit opera, i els artefactes de confiança disponibles per a clients, clients potencials, reguladors i auditors. Es revisa almenys cada sis mesos.

1. Certificacions i atestacions

AtestacióEstàndardEmissorEstat
SOC 2 Tipus 1Criteris de Serveis de Confiança de l'American Institute of Certified Public Accountants (AICPA), Seguretat, Disponibilitat, ConfidencialitatATOM (auditor de serveis independent)Emès el 9 d'abril de 2026. Examen SOC 2 Tipus 2 en curs i s'espera que s'emeti abans que es tanqui la finestra d'ús del logotip SOC 2 Tipus 1.
ISO/IEC 27001:2022Sistema de Gestió de la Seguretat de la Informació, Ciberseguretat i PrivadesaBureau Veritas Certification (acreditat per ENAC), certificat núm. ES144068Emès el 7 d'abril de 2026. Vàlid fins al 3 de juny de 2027.
iBeta Nivell 1 PADISO/IEC 30107-3, Detecció d'Atacs de Presentació Biomètrica, Nivell 1iBeta Quality Assurance (codi de laboratori NIST / NVLAP 200962)Període de prova del 5 de gener al 4 de febrer de 2026. Taxa d'èxit d'atac del 0% en 360 intents.
Atestació de sandbox Tesoro / SEPBLAC / CNMVSandbox financer espanyol (Llei 7/2020)CNMV (Comisión Nacional del Mercado de Valores), revisat per SEPBLAC (Unitat d'Intel·ligència Financera Espanyola)Proves de l'1 de novembre de 2024 al 9 de juliol de 2025. Informe de conclusió pública publicat a `tesoro.es` (febrer de 2026): La verificació d'identitat remota de Didit és almenys tan segura com la identificació presencial.
Memo d'adequació EBA / MiCADirectrius de l'Autoritat Bancària Europea sobre l'incorporació remota de clients (EBA/GL/2022/15) + Llibre de normes úniques de la UE contra el blanqueig de capitals + Reglament de Mercats de Criptoactius (MiCA)finReg360 (opinió legal independent)Emès el 28 d'abril de 2026.
GDPR Article 32Reglament General de Protecció de Dades de la UE (Reglament (UE) 2016/679)Autoavaluat; recolzat pels controls ISO/IEC 27001 i l'Acord de Processament de Dades a `/terms/business`Continu.

Per sol·licitar qualsevol dels informes o certificats subjacents, envia un correu electrònic a security@didit.me. Els informes restringits segons les condicions del seu emissor (per exemple, SOC 2 Tipus 1) es comparteixen després d'un Acord de Confidencialitat (NDA) signat, el mateix dia hàbil.

2. Abast

Aquesta política cobreix tot el personal de Didit (empleats, contractistes i tercers autoritzats), tots els sistemes d'informació de producció i corporatius de Didit, i els Serveis orientats al client descrits en les Condicions Comercials. Està recolzada per la Declaració d'Aplicabilitat que sustenta el sistema de gestió ISO/IEC 27001:2022 de Didit.

3. Governança

  • Sistema de Gestió de la Seguretat de la Informació i la Privadesa alineat amb els controls ISO/IEC 27001:2022 i ISO/IEC 27701, amb una Declaració d'Aplicabilitat documentada.
  • El Director de Tecnologia (CTO) és el patrocinador executiu de seguretat de la informació designat; el Delegat de Protecció de Dades (DPO) (dpo@didit.me) és el responsable de la governança del programa de privadesa.
  • Auditoria de seguretat externa anual per auditors independents (vigilància ISO 27001 i exàmens SOC 2).
  • Registre de riscos revisat i actualitzat trimestralment. Els riscos materials s'escalen al comitè de direcció.
  • Millora contínua, cada incident, troballa d'auditoria i avaluació de riscos alimenta el backlog d'accions correctives i la propera actualització de la política.

4. Xifratge i gestió de claus

  • En repòs: AES-256 a totes les bases de dades de producció, emmagatzematge d'objectes i volums de còpia de seguretat.
  • En trànsit: TLS 1.3 per a cada trucada API externa, webhook i sessió de la Consola de Negocis. Les versions anteriors de TLS i els xifratges febles estan deshabilitats. HTTP Strict Transport Security (HSTS) s'aplica a tot el lloc i es precàrrega.
  • Gestió de claus: AWS Key Management Service (KMS) guarda i rota les claus. El codi de l'aplicació mai toca material de clau en brut. Les claus de sandbox i producció estan completament separades.
  • Hashing: les credencials del client es fan hash amb funcions adaptatives estàndard de la indústria (bcrypt o equivalent). Les claus API s'emmagatzemen com a hashes unidireccionals; el valor en brut es mostra a l'operador només en el moment de la creació.

5. Identitat, accés i arquitectura de confiança zero

  • Confiança zero per defecte, cada sol·licitud a cada sistema intern s'autentica i s'autoritza. No hi ha confiança implícita basada en la ubicació de la xarxa.
  • Control d'accés basat en rols (RBAC) amb el principi de mínim privilegi. Les revisions d'accés es realitzen trimestralment.
  • Autenticació multifactor (MFA) és obligatòria per a cada empleat, cada sistema de producció, cada consola al núvol i cada compte d'allotjament de codi.
  • Single Sign-On (SSO) per a aplicacions internes, amb MFA de token de maquinari per a rols privilegiats.
  • Accés Just-in-Time per a producció: l'accés privilegiat permanent és l'excepció, no la regla.
  • Registre d'auditoria, cada acció privilegiada es registra en un pipeline d'auditoria a prova de manipulacions i d'escriptura única, conservat durant almenys 12 mesos.

6. Residència i segregació de dades

  • Unió Europea per defecte. Les dades de producció es processen i s'emmagatzemen a la Unió Europea a Amazon Web Services. La residència en una regió específica o dins del país està disponible en contractes Enterprise, subjecte a disponibilitat, per a jurisdiccions els reguladors de les quals ho requereixin.
  • Separació d'entorns. Sandbox, staging i producció estan aïllats a les capes de xarxa, identitat i gestió de claus. Cap humà o servei en un entorn pot llegir dades en un altre sense una ruta d'accés explícita i auditada.
  • Separació de tenants. Les dades multi-tenant estan lògicament separades amb claus de xifratge per tenant quan sigui aplicable. Les consultes entre tenants estan bloquejades a la capa d'aplicació i de base de dades.

7. Cicle de vida de desenvolupament segur (SDLC)

  • Revisió de codi és obligatòria per a cada canvi de producció. Cap enginyer pot fusionar codi no revisat a producció.
  • Static Application Security Testing (SAST), escaneig de dependències i Software Composition Analysis (SCA) s'executen automàticament en cada pull request.
  • Escaneig de contenidors i infraestructura en cada compilació i en un calendari recurrent per a imatges desplegades.
  • Proves de seguretat pre-producció per a canvis d'alt impacte (autenticació, gestió de claus, pipelines biomètriques, fluxos de pagament).
  • Proves de penetració internes contínuament; proves de penetració externes almenys un cop a l'any per especialistes independents. Les troballes materials es segueixen fins al tancament en un calendari amb SLA.
  • Canal de recompenses per errors / divulgació responsable, informa de problemes de seguretat a security@didit.me.

8. Gestió de vulnerabilitats

  • SLA de pegats per gravetat, crítica (en 72 hores des de la divulgació del proveïdor), alta (en 7 dies), mitjana (en 30 dies), baixa (en 90 dies).
  • Escaneig continu de vulnerabilitats a tota la infraestructura de producció, contenidors i dependències.
  • Modelització d'amenaces per a noves superfícies de producte, pipelines biomètriques i integracions entre entorns.

9. Monitorització, detecció i resposta a incidents

  • Monitorització 24x7 de cada sistema de producció amb alertes sobre disponibilitat, errors i senyals de seguretat.
  • Security Information and Event Management (SIEM) agrega i correlaciona esdeveniments de seguretat; els patrons anormals s'escalen als enginyers de seguretat de guàrdia.
  • Pla de resposta a incidents documentat amb rols designats, arbre de comunicació, matriu de gravetat i procés de revisió posterior a l'incident. El pla es prova almenys anualment mitjançant exercicis de taula.
  • Notificació de violació de dades personals. Didit notifica els clients afectats sense demora indeguda i en qualsevol cas a temps per permetre als clients complir la seva pròpia obligació de notificació de 72 hores segons l'article 33 del Reglament General de Protecció de Dades (GDPR). Els clients empresarials reben un enginyer de guàrdia designat i un canal de comunicació dedicat.
  • Pàgina d'estat pública a status.didit.me, cada incident de producció, cada post-mortem, sense necessitat d'iniciar sessió.

10. Continuïtat del negoci i recuperació de desastres

  • Redundància activa multi-AZ a cada regió de producció; commutació per error automàtica per a serveis sense estat.
  • Les còpies de seguretat estan xifrades, separades geogràficament dins del límit de residència escollit i provades en un calendari recurrent.
  • Objectiu de punt de recuperació (RPO) ≤ 1 hora i Objectiu de temps de recuperació (RTO) ≤ 4 hores per a l'API de verificació principal i la Consola de Negocis.
  • Proves de recuperació de desastres (DR) almenys anualment.

11. Seguretat del personal

  • Verificació d'antecedents de cada empleat i contractista amb accés a dades de producció o dades personals, quan ho permeti la llei aplicable.
  • Acords de confidencialitat en la contractació per a cada empleat i contractista.
  • Formació obligatòria en seguretat i privadesa en la incorporació i actualitzada almenys anualment per a cada empleat. Formació específica (codificació segura, gestió de dades biomètriques, antifrau, antiblanqueig de capitals) per als rols que la necessiten.
  • Simulacions de phishing en un calendari recurrent.
  • El procés d'incorporació / canvi de rol / cessament revoca l'accés en 24 hores des del canvi de rol o la sortida.

12. Gestió de proveïdors i subencarregats

  • Cada subencarregat és avaluat en termes de risc abans de la incorporació i revisat almenys anualment.
  • Cada subencarregat signa un Acord de Processament de Dades (DPA) que imposa obligacions de protecció de dades substancialment similars a les que Didit deu als seus propis clients.
  • La llista actual de subencarregats es comparteix amb clients i clients potencials per correu electrònic després de signar un Acord de Confidencialitat (NDA). Envia un correu electrònic a security@didit.me per sol·licitar-la. Els clients subscrits a les notificacions de canvis de subencarregats reben una notificació per correu electrònic amb suficient antelació per oposar-se.

13. Drets dels interessats i supressió

  • Dret d'accés i portabilitat, `GET /v3/sessions/:session_id/decision/`.
  • Dret de supressió, `POST /v3/sessions/:session_id/delete/`. Elimina la sessió i tots els artefactes vinculats a totes les rèpliques.
  • La retenció per aplicació és configurable a la Consola de Negocis entre 30 dies i 10 anys; el valor per defecte és indefinit, tret que el client configuri un període més curt. La retenció de dades biomètriques està en tots els casos subjecta i limitada per les lleis i regulacions de privadesa biomètrica aplicables, inclòs l'article 9 del Reglament General de Protecció de Dades (GDPR) de la UE, la Llei de Privadesa de la Informació Biomètrica d'Illinois (BIPA), la Llei de Captura o Ús d'Identificadors Biomètrics de Texas (CUBI), la Llei H.B. 1493 de Washington i qualsevol altra llei de privadesa biomètrica aplicable; quan aquesta llei prescrigui un període de retenció més curt o una obligació de destrucció anterior, aquesta norma més curta o estricta preval sobre qualsevol període de retenció per defecte o configurat pel client.
  • Consulta la Política de privadesa i l'Avís de privadesa de verificació per al procés complet dels drets dels interessats.

14. Notificació d'un problema de seguretat

Si creus que has trobat una vulnerabilitat de seguretat en qualsevol producte o servei de Didit, envia un correu electrònic a security@didit.me amb una descripció, els passos per reproduir-la i l'impacte que has observat. Didit reconeix els informes de seguretat en un termini de 2 dies hàbils i treballa de bona fe amb els informadors que segueixen pràctiques de divulgació responsable.

15. Contacte

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/information-security

Have questions about a specific document?

Email legal@didit.me, privacy@didit.me, or security@didit.me, or message us on WhatsApp. We route you to the right contact.

Talk to us
Demana a una IA que resumeixi aquesta pàgina