Didits umfassende Nachweisdokumentation: Compliance von Grund auf (DE)

Jeder kann behaupten, dass seine Identitätsplattform sicher und compliant ist. Weitaus weniger können die unabhängigen Berichte vorlegen, die dies beweisen. Didits Compliance-Haltung ist ein nachweisbarer Wert: fünf externe Nachweise – die Informationssicherheit, biometrische Anti-Spoofing-Maßnahmen und die rechtliche Angemessenheit des Remote-Onboardings abdecken – einschließlich der einzigen staatlichen Bestätigung eines EU-Mitgliedsstaates, dass ein Remote-Identitätsprüfungstool die Standards der persönlichen Identifizierung erfüllt und übertrifft.

Dieser Beitrag ist der zentrale Ort, um den gesamten Stack zu verstehen: was jeder Nachweis ist, wer ihn ausgestellt hat, was genau er abdeckt und wie Sie ihn bei Due Diligence, RFPs und Beschaffung nutzen können. Keine Übertreibung – die Stufen und Daten sind präzise angegeben, denn in der Compliance ist Präzision der Wert.

Wichtige Erkenntnisse

• SOC 2 Typ 1 – Service-Organisation-Kontrollbescheinigung (Sicherheit, Verfügbarkeit, Vertraulichkeit) durch ATOM, Stand: 09.04.2026. Typ-2-Prüfung geplant. Begrenzte Nutzung (NDA).
• ISO/IEC 27001:2022 – Informationssicherheits-Managementsystem, zertifiziert durch Bureau Veritas, Zertifikat Nr. ES144068, gültig bis 03.06.2027. Verbreitbar.
• iBeta Level 1 PAD – Biometrische Präsentationsangriffserkennung gemäß ISO/IEC 30107-3, 0% Angriffserfolg / 0% IAPAR über 360 Versuche. Verbreitbar.
• Tesoro / SEPBLAC / CNMV – Schlussfolgerung der spanischen Finanz-Sandbox, dass Didits Remote-Verifizierung die persönliche Identifizierung erfüllt und übertrifft. Öffentlich veröffentlicht, dauerhaft. Das wichtigste EU-Alleinstellungsmerkmal.
• finReg360 – EBA/GL/2022/15 Memo – Unabhängiges Rechtsgutachten (28.04.2026), dass Didits Remote-Onboarding gemäß den EBA-Richtlinien für Remote-Kunden-Onboarding (EBA/GL/2022/15) und dem EU-AML-Einheitlichen Regelwerk angemessen ist. Verbreitbar.
• Zusammen decken sie die drei Fragen ab, die jeder Käufer stellt: Ist Ihre Sicherheit solide, ist Ihre Biometrie spoofing-resistent und ist Ihr Onboarding rechtlich ausreichend?

Was „Compliant by Design“ erfordert

Ein Käufer, der einen Anbieter für Identitätsprüfung evaluiert, führt im Grunde drei Audits gleichzeitig durch:

1. Informationssicherheit – ist die Plattform selbst sicher? Sind Kundendaten geschützt? Sind Kontrollen nach einem anerkannten Standard konzipiert und verwaltet?
2. Biometrische Integrität – können die Lebenderkennung und der Gesichtsabgleich durch Fotos, Replays, Masken oder Deepfakes getäuscht werden?
3. Regulatorische Angemessenheit – erfüllt die Verwendung dieses Tools tatsächlich das Gesetz, dem der Käufer unterliegt, insbesondere für das Remote-Onboarding?

Ein Anbieter, der alle drei Fragen mit unabhängigen Nachweisen Dritter – statt einer Selbsteinschätzung – beantwortet, verkürzt einen mehrwöchigen Due-Diligence-Zyklus auf einen Ordner voller Dokumente. Das bedeutet „Compliant by Design“ in der Praxis: Der Nachweis existiert, bevor der Käufer fragt.

Warum es wichtig ist

Compliance-Nachweise sind im Verkaufszyklus kein „nice-to-have“ mehr, sondern ein Tor. Bank- und EMI-Beschaffungsteams, Krypto-VASP-MLROs und Sicherheitsprüfer von Unternehmen werden ohne sie nicht unterschreiben. Der Fragebogen kommt früh, und der Deal stockt, bis die Artefakte vorliegen.

Der Anbieter, der sofort einen SOC 2-Bericht, ein ISO 27001-Zertifikat, ein iBeta-Ergebnis, eine staatliche Sandbox-Schlussfolgerung und ein unabhängiges Rechtsgutachten vorlegen kann, passiert nicht nur das Tor – er verkürzt den Zyklus und minimiert das Risiko der Entscheidung für das Compliance-Team des Käufers. Jede Bescheinigung beseitigt einen Grund, Nein zu sagen.

Wie Didit hilft: die fünf Bescheinigungen

1. SOC 2 Typ 1 (ATOM)

Eine Service-Organisation-Kontrollbescheinigung nach den AICPA Trust Services Criteria für Sicherheit, Verfügbarkeit und Vertraulichkeit, ausgestellt von ATOM. Sie berichtet über das Design der Didit-Kontrollen zum 09.04.2026. Eine Typ-2-Prüfung – die operative Wirksamkeit über einen Zeitraum – ist der geplante nächste Schritt. Der vollständige Bericht ist gemäß AICPA-Regeln nur für den internen Gebrauch und wird an Interessenten und Kunden weitergegeben, die einen legitimen Bedarf und eine NDA haben. Verwenden Sie ihn für US-Unternehmenssicherheitsfragebögen und Fintech-Beschaffung.

2. ISO/IEC 27001:2022 (Bureau Veritas, Zertifikat Nr. ES144068)

Zertifizierung von Didits Informationssicherheits-, Cybersicherheits- und Datenschutzmanagementsystem, ausgestellt von Bureau Veritas Certification (ENAC-akkreditiert). Zertifikatsnummer ES144068, ursprünglich am 07.04.2026 zertifiziert, gültig bis 03.06.2027. Es belegt ein verwaltetes, geprüftes Informationssicherheitssystem – die Basis, die EU-Beschaffungsstellen und regulierte Finanzkunden erwarten. Auf Anfrage verbreitbar.

3. iBeta Level 1 PAD (ISO/IEC 30107-3)

Eine unabhängige biometrische Präsentationsangriffserkennung (PAD) durch iBeta Quality Assurance (ein NIST/NVLAP-akkreditiertes Labor) gemäß ISO/IEC 30107-3, Level 1. Der Test umfasste 6 Arten von Präsentationsangriffen bei registrierten Personen über 360 Angriffsversuche – und verzeichnete eine 0%ige Angriffserfolgsrate / 0% IAPAR. Dies ist der geprüfte Nachweis für Didits Anti-Spoofing-Behauptungen. Auf Anfrage verbreitbar. (Es ist Level 1, nicht Level 2 – präzise angegeben.)

4. Tesoro / SEPBLAC / CNMV Sandbox-Schlussfolgerung

Das wichtigste Alleinstellungsmerkmal. Im Rahmen der spanischen Finanz-Sandbox kam die spanische CNMV – in Abstimmung mit SEPBLAC (der spanischen Financial Intelligence Unit) – zu dem Schluss, dass Didits Remote-Identitätsprüfung (kryptografisches NFC-Chip-Lesen plus Gesichtsbiometrie mit aktiver Lebenderkennung) die Standards der persönlichen Identifizierung erfüllt und übertrifft. Die Tests liefen von November 2024 bis Juli 2025, die Schlussfolgerungen wurden im Februar 2026 auf der Website des spanischen Finanzministeriums veröffentlicht. Dies ist die einzige staatliche Bestätigung dieser Art eines EU-Mitgliedsstaates, sie ist öffentlich zugänglich und dauerhaft. Verbreitbar.

5. finReg360 – EBA/GL/2022/15 Angemessenheits-Memo

Ein unabhängiges Rechtsgutachten von finReg360 (Madrid) vom 28.04.2026, das zu dem Schluss kommt, dass Didits Tool für das Remote-Kunden-Onboarding die EBA-Leitlinien für das Remote-Kunden-Onboarding (EBA/GL/2022/15) erfüllt und mit dem kommenden EU-AML-Einheitlichen Regelwerk kompatibel ist – und dass der Video-Identifikationsprozess keine manuelle menschliche Überprüfung erfordert, wenn Didits automatisierte Kontrollen vorhanden sind. Das Dokument, das ein MLRO einem Vorstand oder einer Aufsichtsbehörde vorlegen kann. Auf Anfrage verbreitbar.

Tiefenanalyse: Welche Bescheinigung beantwortet welche Frage

Verschiedene Käufer haben unterschiedliche Anliegen. So finden Sie das richtige Dokument:

• „Ist Ihre Plattform sicher / wie schützen Sie unsere Daten?“ → SOC 2 Typ 1 (unter NDA) und ISO/IEC 27001:2022 (Zertifikat ES144068).
• „Kann Ihre Lebenderkennung getäuscht werden?“ → iBeta Level 1 PAD: 0% Angriffserfolg bei 360 Versuchen.
• „Erfüllt die Nutzung Ihres Tools tatsächlich unsere Remote-Onboarding-Pflichten?“ → das finReg360 EBA/GL/2022/15 Memo, gestützt durch die staatliche Schlussfolgerung von Tesoro/SEPBLAC/CNMV.
• „Warum sollten wir Remote-Identifizierung gegenüber persönlicher Identifizierung vertrauen?“ → Die Schlussfolgerung von Tesoro/SEPBLAC/CNMV, dass Didit die persönliche Identifizierung erfüllt und übertrifft.

Ein Hinweis zur Weitergabe: ISO 27001, iBeta, der Tesoro/SEPBLAC/CNMV-Bericht und das finReg360-Memo sind auf Anfrage verbreitbar; der SOC 2-Bericht ist nur für den internen Gebrauch bestimmt und wird nur unter NDA weitergegeben. Die Bescheinigungen werden in Materialien referenziert – der eingeschränkte Bericht selbst wird nicht veröffentlicht.

Anwendungsfälle

• Einkauf von Unternehmen und Banken, der SOC 2 und ISO 27001 vor der Unterzeichnung erfordert.
• Krypto-VASP-MLROs, die rechtliche Angemessenheitsnachweise für das Remote-Onboarding gemäß EU-Vorschriften benötigen.
• Sicherheitsteams, die biometrisches Anti-Spoofing mit einem unabhängigen Laborergebnis bewerten.
• EU-Vertrieb, wo die staatliche Sandbox-Schlussfolgerung das entscheidende Alleinstellungsmerkmal gegenüber Wettbewerbern ist.

Häufig gestellte Fragen

Ist Didits SOC 2 ein Typ 1 oder Typ 2?

Es ist eine Typ-1-Bescheinigung, die über das Design der Kontrollen zum 09.04.2026 berichtet. Eine Typ-2-Prüfung ist geplant. Der Bericht ist nur für den internen Gebrauch und wird unter NDA weitergegeben.

Welches Level hat das iBeta PAD-Ergebnis?

Level 1 gemäß ISO/IEC 30107-3, mit einer 0%igen Angriffserfolgsrate / 0% IAPAR bei 360 Angriffsversuchen.

Was macht die Schlussfolgerung von Tesoro/SEPBLAC/CNMV so einzigartig?

Es ist die einzige staatliche Bestätigung eines EU-Mitgliedsstaates, dass ein Remote-Identitätsprüfungstool die persönliche Identifizierung erfüllt und übertrifft – und sie ist öffentlich zugänglich und dauerhaft.

Welche Dokumente kann ich ohne NDA erhalten?

ISO/IEC 27001:2022, der iBeta Level 1 PAD-Brief, die Tesoro/SEPBLAC/CNMV-Schlussfolgerung und das finReg360-Memo sind auf Anfrage verbreitbar. Der SOC 2 Typ 1-Bericht erfordert ein NDA.

Ist Didit ein eIDAS-zertifizierter Qualifizierter Vertrauensdiensteanbieter?

Nein. Didit ist auf relevante EU-Rahmenwerke ausgerichtet und unterstützt diese, ist aber kein zertifizierter QTSP; diese fünf Bescheinigungen sind die, die es heute besitzt.

Bereit zum Start?

Sehen Sie alle Didit-Bescheinigungen im Trust Hub, erkunden Sie das ID Verification Produkt und überprüfen Sie die transparenten Preise auf der Preisseite. Wenn Sie bereit sind, starten Sie kostenlos – 500 kostenlose KYC-Prüfungen jeden Monat, mit einem Kernverifizierungsfluss ab 0,33 $.