
SOC 2 Typ 1
Unabhängige Prüfung unserer Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen, ausgestellt von ATOM im April 2026. Typ-2-Prüfung läuft.
Wir kümmern uns um Lizenzen, Tochtergesellschaften und Audits, damit dein Compliance- und Risikoteam schneller arbeiten kann. Einfach aktivieren und in jedem Land compliant starten, SOC 2 Type 1, ISO/IEC 27001 und die Tesoro EU-Regierungsbescheinigung inklusive.
“Didits NFC + aktive Liveness-Verifizierung bietet eine Sicherheit, die der persönlichen Verifizierung gleichwertig oder überlegen ist.”
November 2024, Juli 2025 · Sandbox financiero (Ley 7/2020), 4. Kohorte · überwacht von Tesoro Público, Banco de España, SEPBLAC und CNMV.
Liveness, Deepfake-Erkennung, Dokumentenklassifizierer, Gesichtsabgleich, Erkennung von Injection-Angriffen, Verhaltensrisiken, jedes Modell läuft in unserer eigenen Trainings- und Serving-Pipeline.
Produktions-Traffic speist eine Echtzeit-Review-Warteschlange. Drift, False-Positive-Rate, Verschiebungen von Angriffsmustern und länderspezifische Signalqualität werden kontinuierlich überwacht; Schwellenwerte werden ohne Codeänderung auf Kundenseite neu angepasst.
Jedes Modell ist inline in die Session integriert. Sub-2-Sekunden p99-Inferenz, keine zusätzliche Round-Trip, kein zusätzlicher Tap. Der legitime Nutzer schließt die Verifizierung im selben Flow ab; nur der Angreifer sieht einen anderen Pfad.

Unabhängige Prüfung unserer Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen, ausgestellt von ATOM im April 2026. Typ-2-Prüfung läuft.

Zertifiziert, dass unser Informationssicherheitsmanagement die Didit-Verifizierungen End-to-End abdeckt. Ausgestellt von Bureau Veritas, gültig bis Juni 2027.

Biometrischer Anti-Spoofing-Test, 360 Versuche in sechs Angriffskategorien, keiner davon erfolgreich. Durchgeführt im NIST-akkreditierten NVLAP-Labor 200962.
Eine einjährige Sandbox von vier spanischen Finanzaufsichtsbehörden kam zu dem Schluss, dass Didits Fernverifizierung mindestens so sicher ist wie persönliche ID-Prüfungen. Kein anderer Identitätsanbieter besitzt dies.

Volle DSGVO-Konformität als Datenverarbeiter. Datenverarbeitungsvertrag sowie technische und organisatorische Maßnahmen auf Anfrage erhältlich.

Unabhängiges Rechtsgutachten: Didits Remote Onboarding erfüllt die Leitlinien der Europäischen Bankenaufsichtsbehörde für das Remote Onboarding von Kunden (EBA/GL/2022/15) und ist kompatibel mit dem kommenden EU-Regelwerk zur Bekämpfung der Geldwäsche (AML) und der Verordnung über Märkte für Kryptowerte (MiCA).

Unabhängiges Rechtsgutachten: Didits Remote-Onboarding erfüllt die Leitlinien der Europäischen Bankenaufsichtsbehörde für die Fernidentifizierung von Kunden (EBA/GL/2022/15) und ist mit dem kommenden EU-Regelwerk zur Bekämpfung der Geldwäsche (AML Single Rulebook) sowie der Verordnung über Märkte für Kryptowerte (MiCA) kompatibel.
Jede Session wird im Ruhezustand mit 256-Bit AES (Advanced Encryption Standard) Schlüsseln verschlüsselt. Die Schlüssel berühren niemals unseren Anwendungscode, sie leben in AWS KMS (Key Management Service), mit separaten Schlüsseln für Sandbox und Produktion.
Jeder API-Aufruf, Webhook und jede Business Console Session wird über TLS (Transport Layer Security) 1.3 mit strengen Cipher-Regeln verschlüsselt. Ältere Protokolle können nicht zurückfallen; HSTS (HTTP Strict Transport Security) wird site-weit erzwungen.
Sessions werden standardmäßig in der Europäischen Union auf AWS verarbeitet und gespeichert. Enterprise-Kunden können eine länderspezifische Datenresidenz aktivieren, vorbehaltlich der Verfügbarkeit, so können Teams in jedem Markt Didit konform betreiben.
Lege in der Business Console pro App fest, wie lange Didit jede Session aufbewahrt, von einem Monat bis zu zehn Jahren. Minimalistische Implementierungen können die Session löschen, sobald der Webhook eintrifft.
Du wählst genau aus, welche Daten Didit sammelt, alles andere wird gelöscht. Standardmäßig werden nur biometrische Vorlagen und Metadaten gespeichert; Roh-Selfies und Liveness-Videos werden gelöscht, sobald die Session geschlossen wird.
Volle DSAR (Data Subject Access Request) und Recht auf Löschung auf Abruf über die öffentliche API. Endnutzer senden DSARs über die Didit Identity App; dein Team löst sie mit einem DELETE-Aufruf am Sessions-Endpunkt aus. Auf jeder Replik erzwungen, kein Soft-Delete, kein Archiv-Bucket.
Keine Datenpannen seit dem Start von Didit im Jahr 2023. Sicherheit ist in jede Schicht der Plattform integriert.
status.didit.me, jeder Vorfall, jede Post-Mortem-Analyse, kein Login erforderlich. 100 % Uptime in den letzten 6 Monaten.Fordere das Trust Pack auf dieser Seite an, SOC 2-Bericht, ISO-Zertifikat, iBeta-Bericht, Tesoro-Bestätigung, Datenverarbeitungsvereinbarung (DPA), Liste der Unterauftragsverarbeiter, Versand am selben Werktag unter einem unterzeichneten Non-Disclosure Agreement (NDA).
Ja. Die Infrastruktur skaliert sich in Echtzeit und unterstützt Millionen von Verifizierungen pro Tag.
status.didit.me, kein Login erforderlich.Volumenstufen auf der Preisseite werden automatisch aktiviert, wenn du wächst, keine Vertragsänderung, keine manuelle Neuverhandlung.
Du wählst, pro Workflow. Didit hat keine feste Liste dessen, was wir speichern. Dein Compliance-Team konfiguriert jede App in der Business Console, und der Workflow sammelt und speichert nur das, was du ihm vorgibst.
Der Tab Returned-data bietet dir einen Schalter für jede Kategorie:
Die genaue Liste der Schalter hängt von den Modulen in deinem Workflow ab, überprüfe sie, wenn du den Workflow in der Business Console unter Returned-data einrichtest.
Du bist der Datenverantwortliche. Didit ist der Datenverarbeiter. Dies ist die Einrichtung gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO), die die meisten regulierten Käufer erwarten.
Wir empfehlen dir, Didit die Daten in deinem Namen speichern und darauf zugreifen zu lassen. Die meisten unserer Kunden tun dies. Die Sicherung von Identitätsdaten im Internetmaßstab ist eine Vollzeitaufgabe: gehärtete Verschlüsselung, Schlüsselrotation, Intrusion Detection, Schwachstellenmanagement, Zertifizierungserneuerungen, regionale Residenz, Tools für Betroffenenrechte, Benachrichtigung bei Datenschutzverletzungen. Die Sicherheits- und Plattformteams von Didit konzentrieren sich täglich darauf, damit deine Compliance- und Engineering-Teams dies nicht tun müssen. Du behältst die volle Kontrolle über die Business Console, jede Aufbewahrungsregel, jede Anfrage auf Auskunft über personenbezogene Daten (DSAR), jede Löschung kannst du auslösen.
Wenn deine Richtlinie erfordert, dass die Daten vollständig in deiner eigenen Umgebung (dein Cloud-Konto, deine On-Premise-Datenbank) verbleiben, unterstützen wir dies ebenfalls, Didit fungiert als Verarbeiter auf Fetch-and-Forget-Basis, und dein Team ist für die End-to-End-Aufbewahrung verantwortlich.
Standardmäßig in der Europäischen Union. Spezifische Region oder In-Country für Enterprise verfügbar.
Die Standardbereitstellung läuft auf Amazon Web Services (AWS) in der EU. Daten sind im Ruhezustand und während der Übertragung verschlüsselt, wobei die Verschlüsselungsschlüssel von AWS gehalten und pro Umgebung getrennt sind.
Wenn Daten eine Grenze überschreiten, werden sie durch die Standardvertragsklauseln (SCCs) der Europäischen Kommission von 2021 geschützt. Die entsprechende Transfer Impact Assessment (TIA) wird mit dem Trust Pack auf dieser Seite geliefert.
Du legst das Aufbewahrungsfenster fest. Von 1 Monat bis 10 Jahre, pro App. Die Durchsetzung erfolgt automatisch.
In der Business Console legst du fest:
Wenn du möchtest, dass Didit nach dem Ergebnis nichts mehr speichert, rufe POST /v3/sessions/:session_id/delete/ von deinem Webhook-Handler auf, und die Session ist verschwunden, sobald dein System eine eigene Kopie des Ergebnisses speichert, Didit speichert die Daten nach dem Aufruf nie mehr. Vollständige Referenz unter docs.didit.me/sessions-api/delete-session.
Ein Endpunkt pro Recht.
GET /v3/sessions/:session_id/decision/ ab. Referenz unter docs.didit.me/sessions-api/retrieve-session.POST /v3/sessions/:session_id/delete/ entfernt die Session und alle verknüpften Artefakte. Referenz unter docs.didit.me/sessions-api/delete-session.Fünf externe Bestätigungen liegen vor. Alle im Trust Pack gebündelt.
ES144068, gültig bis 03.06.2027).EBA/GL/2022/15) und die MiCA-Verordnung erfüllt.Fordere das Trust Pack auf dieser Seite an, und wir senden jeden Bericht, jedes Zertifikat und jedes Memo am selben Werktag unter einem unterzeichneten Non-Disclosure Agreement (NDA) zurück.
Gegenseitige Anerkennung in der gesamten Europäischen Union (EU), und ein regulatorisch verteidigbarer Audit-Trail.
Spaniens Tesoro Público, Banco de España, SEPBLAC und CNMV führten ein einjähriges Finanz-Sandbox-Projekt (November 2024, Juli 2025) mit Didits Near-Field Communication (NFC)-Chip-Lesung plus aktivem Liveness-Onboarding-Flow durch. Der offizielle Abschlussbericht, veröffentlicht auf tesoro.es, stellt fest, dass Didits Fernverifizierung das Sicherheitsniveau der persönlichen Identifizierung gemäß der Anti-Geldwäsche-Richtlinie (AMLD) erfüllt oder übertrifft.
Für dein Compliance-Team bedeutet dies:
Didit ist der einzige Anbieter von Identitätsverifizierungen mit dieser öffentlich dokumentierten Bestätigung.
Ja, und wir arbeiten wahrscheinlich bereits daran. Didit verfolgt jederzeit aktiv über 10 Zertifizierungen, Lizenzen und behördliche Genehmigungen in verschiedenen Märkten und Branchen: Zahlungsgenehmigungen, Krypto- und Markets in Crypto-Assets (MiCA)-Registrierungen, Anti-Money Laundering (AML)-Aufsichtsbehörden-Genehmigungen, eIDAS 2.0 Qualified Trust Service Provider (QTSP)-Status, regionale Financial Intelligence Unit (FIU)-Berichterstattung und branchenspezifische Genehmigungen (iGaming, Gesundheitswesen, Bankwesen).
Wenn dein Compliance-Team eine Lizenz oder Zertifizierung benötigt, die Didit besitzen soll, sende eine E-Mail an `security@didit.me`. Die Chancen stehen gut, dass sie bereits in unserer Warteschlange ist, und wenn nicht, rückt deine Anfrage sie auf der Liste nach oben. Wir melden uns mit:
Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.