Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Vertrauen

Wir kümmern uns um die Compliance. Starte Identitätsprüfungen mit einem Klick

Wir kümmern uns um Lizenzen, Tochtergesellschaften und Audits, damit dein Compliance- und Risikoteam schneller arbeiten kann. Einfach aktivieren und in jedem Land compliant starten, SOC 2 Type 1, ISO/IEC 27001 und die Tesoro EU-Regierungsbescheinigung inklusive.

In Zahlen

In Zahlen
  • 0%
    Echte Uptime in den letzten 12 Monaten. Live protokolliert unter status.didit.me, gegenüber dem 99,99% SLO (Service Level Objective).
  • 0
    Wesentliche Sicherheitsverletzungen seit dem Start von Didit. Seit 2023 im Produktivbetrieb erprobt.
  • Millionen
    Menschen werden monatlich in der Produktionsumgebung verifiziert.
  • Zertifiziert
    Überall dort compliant, wo Didit tätig ist, SOC 2 Type 1, ISO/IEC 27001, iBeta Level 1 PAD und die spanische Regulierungsbescheinigung.
Öffentliche Aufzeichnungen

Regulierungsbehörden stufen Didit als sicherer ein als persönliche Verifizierung.

Spanien hat Didits Remote Near-Field Communication (NFC)-Chip-Lesung plus aktive Liveness-Erkennung einem Stresstest unterzogen und öffentlich als mindestens so sicher wie eine persönliche ID-Prüfung eingestuft. Kein anderer Identitätsanbieter besitzt diese Bescheinigung.
Beaufsichtigt von
  • Tesoro Público, Spanisches Finanzministerium
  • Banco de España, Spanische Zentralbank
  • SEPBLAC, Spanische Finanzermittlungsbehörde
  • CNMV, Comisión Nacional del Mercado de Valores
Didits NFC + aktive Liveness-Verifizierung bietet eine Sicherheit, die der persönlichen Verifizierung gleichwertig oder überlegen ist.
Spanisches Finanzministerium, Informe de Conclusiones DIDIT, Februar 2026

November 2024, Juli 2025 · Sandbox financiero (Ley 7/2020), 4. Kohorte · überwacht von Tesoro Público, Banco de España, SEPBLAC und CNMV.

Fraud Engineering

Ein engagiertes Fraud-Team. Modelle, Überwachung, Prävention.

Ein Team, das sich ausschließlich auf Betrug konzentriert, entwickelt, trainiert und überwacht die Erkennungsmodelle hinter jeder Didit-Session, Deepfakes, Injection-Angriffe, Fälschungen, synthetische Identitäten, Money Mules. Neuer Angriff in freier Wildbahn? Neues Signal in derselben Woche. Legitime Nutzer merken nichts davon.
  • Modelle, intern entwickelt und trainiert.

    Liveness, Deepfake-Erkennung, Dokumentenklassifizierer, Gesichtsabgleich, Erkennung von Injection-Angriffen, Verhaltensrisiken, jedes Modell läuft in unserer eigenen Trainings- und Serving-Pipeline.

  • Monitoring, jede Session, jede Stunde.

    Produktions-Traffic speist eine Echtzeit-Review-Warteschlange. Drift, False-Positive-Rate, Verschiebungen von Angriffsmustern und länderspezifische Signalqualität werden kontinuierlich überwacht; Schwellenwerte werden ohne Codeänderung auf Kundenseite neu angepasst.

  • Prävention, inline, unsichtbar für den Nutzer.

    Jedes Modell ist inline in die Session integriert. Sub-2-Sekunden p99-Inferenz, keine zusätzliche Round-Trip, kein zusätzlicher Tap. Der legitime Nutzer schließt die Verifizierung im selben Flow ab; nur der Angreifer sieht einen anderen Pfad.

Zertifizierungen

Hinter jedem Versprechen steckt ein Dokument.

Sechs externe Bestätigungen zu Sicherheit, Datenschutz, biometrischer Anti-Spoofing, regulatorischer Angemessenheit und staatlicher Anerkennung. Jede Karte liefert ein echtes Dokument, keinen Marketing-PDF.
SOC 2 Typ 1 Bestätigungsabzeichen
AICPA · 2026-04-09

SOC 2 Typ 1

Unabhängige Prüfung unserer Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen, ausgestellt von ATOM im April 2026. Typ-2-Prüfung läuft.

ISO 27001 Zertifikat ausgestellt von Bureau Veritas
ES144068 · Bureau Veritas

ISO/IEC 27001:2022

Zertifiziert, dass unser Informationssicherheitsmanagement die Didit-Verifizierungen End-to-End abdeckt. Ausgestellt von Bureau Veritas, gültig bis Juni 2027.

iBeta Level 1 PAD konformes Abzeichen
ISO/IEC 30107-3 · NIST/NVLAP

iBeta Level 1 PAD

Biometrischer Anti-Spoofing-Test, 360 Versuche in sechs Angriffskategorien, keiner davon erfolgreich. Durchgeführt im NIST-akkreditierten NVLAP-Labor 200962.

Tesoro Público, Wortmarke des spanischen Finanzministeriums
Spanien · CNMV · SEPBLAC · BdE

Tesoro Sandbox Bestätigung

Eine einjährige Sandbox von vier spanischen Finanzaufsichtsbehörden kam zu dem Schluss, dass Didits Fernverifizierung mindestens so sicher ist wie persönliche ID-Prüfungen. Kein anderer Identitätsanbieter besitzt dies.

DSGVO Ready Badge
EU 2016/679 · DPA · TOMs

DSGVO Artikel 32

Volle DSGVO-Konformität als Datenverarbeiter. Datenverarbeitungsvertrag sowie technische und organisatorische Maßnahmen auf Anfrage erhältlich.

EBA / MiCA Konformitäts-Badge
EBA/GL/2022/15 · MiCA

EBA / MiCA Konformität

Unabhängiges Rechtsgutachten: Didits Remote Onboarding erfüllt die Leitlinien der Europäischen Bankenaufsichtsbehörde für das Remote Onboarding von Kunden (EBA/GL/2022/15) und ist kompatibel mit dem kommenden EU-Regelwerk zur Bekämpfung der Geldwäsche (AML) und der Verordnung über Märkte für Kryptowerte (MiCA).

EBA / MiCA-Konformitätsabzeichen
EBA/GL/2022/15 · MiCA

EBA / MiCA-Konformität

Unabhängiges Rechtsgutachten: Didits Remote-Onboarding erfüllt die Leitlinien der Europäischen Bankenaufsichtsbehörde für die Fernidentifizierung von Kunden (EBA/GL/2022/15) und ist mit dem kommenden EU-Regelwerk zur Bekämpfung der Geldwäsche (AML Single Rulebook) sowie der Verordnung über Märkte für Kryptowerte (MiCA) kompatibel.

Datenschutz

Was wir speichern, wo wir es speichern, wie lange wir es aufbewahren.

Du bist der Eigentümer der Daten; Didit verarbeitet sie in deinem Auftrag. Gemäß DSGVO (Datenschutz-Grundverordnung) bist du der Verantwortliche und Didit der Auftragsverarbeiter. Die Plattform kommt mit DSGVO Artikel 32 Kontrollen und lokalen Datenschutzregeln, die bereits integriert sind.
  • Verschlüsselung ruhender DatenAES-256.

    Jede Session wird im Ruhezustand mit 256-Bit AES (Advanced Encryption Standard) Schlüsseln verschlüsselt. Die Schlüssel berühren niemals unseren Anwendungscode, sie leben in AWS KMS (Key Management Service), mit separaten Schlüsseln für Sandbox und Produktion.

  • Verschlüsselung während der ÜbertragungTLS 1.3.

    Jeder API-Aufruf, Webhook und jede Business Console Session wird über TLS (Transport Layer Security) 1.3 mit strengen Cipher-Regeln verschlüsselt. Ältere Protokolle können nicht zurückfallen; HSTS (HTTP Strict Transport Security) wird site-weit erzwungen.

  • DatenresidenzStandardmäßig in der EU.

    Sessions werden standardmäßig in der Europäischen Union auf AWS verarbeitet und gespeichert. Enterprise-Kunden können eine länderspezifische Datenresidenz aktivieren, vorbehaltlich der Verfügbarkeit, so können Teams in jedem Markt Didit konform betreiben.

  • Aufbewahrung1 Monat bis 10 Jahre.

    Lege in der Business Console pro App fest, wie lange Didit jede Session aufbewahrt, von einem Monat bis zu zehn Jahren. Minimalistische Implementierungen können die Session löschen, sobald der Webhook eintrifft.

  • Biometrische DatenverarbeitungDatenminimierung.

    Du wählst genau aus, welche Daten Didit sammelt, alles andere wird gelöscht. Standardmäßig werden nur biometrische Vorlagen und Metadaten gespeichert; Roh-Selfies und Liveness-Videos werden gelöscht, sobald die Session geschlossen wird.

  • Rechte der betroffenen PersonDaten mit einem Endpunkt löschen.

    Volle DSAR (Data Subject Access Request) und Recht auf Löschung auf Abruf über die öffentliche API. Endnutzer senden DSARs über die Didit Identity App; dein Team löst sie mit einem DELETE-Aufruf am Sessions-Endpunkt aus. Auf jeder Replik erzwungen, kein Soft-Delete, kein Archiv-Bucket.

FAQ

Sicherheitsfragen, beantwortet.

Die gleichen Antworten, die wir an Enterprise-Sicherheitsteams senden. Alles andere, security@didit.me.
Wie sicher ist Didit?

Keine Datenpannen seit dem Start von Didit im Jahr 2023. Sicherheit ist in jede Schicht der Plattform integriert.

  • Keine Pannen, bei Millionen von Verifizierungen und über 1.500 zahlenden Kunden.
  • Alles ist verschlüsselt, sowohl bei der Speicherung der Daten als auch bei der Übertragung zwischen Systemen. Verschlüsselungsschlüssel befinden sich in Amazon Web Services (AWS) und sind getrennt, sodass eine Sandbox keine Produktionsdaten lesen kann.
  • Jede Anfrage wird geprüft. Jede Aktion wird protokolliert. Keine gemeinsamen Geheimnisse über Kunden hinweg.
  • Unabhängig geprüft, SOC 2 Typ 1 (Typ 2 in Arbeit), ISO/IEC 27001:2022 und iBeta Level 1 Presentation Attack Detection (PAD) mit 0 % Angriffserfolg bei 360 Versuchen.
  • Live öffentliche Statusseite unter status.didit.me, jeder Vorfall, jede Post-Mortem-Analyse, kein Login erforderlich. 100 % Uptime in den letzten 6 Monaten.
  • Wenn etwas passiert, informieren wir dich innerhalb von Stunden, weit innerhalb des Berichtszeitraums von Artikel 33 der Datenschutz-Grundverordnung (DSGVO). Enterprise-Kunden erhalten einen namentlich benannten Ingenieur, der 24/7 erreichbar ist, mit einem dedizierten Slack- und WhatsApp-Kanal.

Fordere das Trust Pack auf dieser Seite an, SOC 2-Bericht, ISO-Zertifikat, iBeta-Bericht, Tesoro-Bestätigung, Datenverarbeitungsvereinbarung (DPA), Liste der Unterauftragsverarbeiter, Versand am selben Werktag unter einem unterzeichneten Non-Disclosure Agreement (NDA).

Ich habe viele Verifizierungen. Wird Didit mein Volumen unterstützen?

Ja. Die Infrastruktur skaliert sich in Echtzeit und unterstützt Millionen von Verifizierungen pro Tag.

  • Skaliert automatisch. Wenn dein Traffic über Nacht doppelt so hoch ist, erweitert sich die Plattform von selbst. Kein Verkaufsgespräch, keine Neufassung des Kapazitätsplans, keine Vorwarnung erforderlich.
  • Jede Prüfung ist in unter 2 Sekunden abgeschlossen, selbst bei Spitzenlast. Die Infrastruktur ist für schnelle Inferenz von Ende zu Ende optimiert.
  • 100 % Uptime in den letzten 6 Monaten. Verfolge es live unter status.didit.me, kein Login erforderlich.
  • Produktionserprobt, über 1.500 zahlende Kunden in über 220 Ländern, seit 2023 in Produktion.
  • Gebaut für Spitzenereignisse, Anpfiff bei Sportwetten, Marktplatz-Starts, Rollouts von Altersverifikationen. Die Plattform bewältigt die Spitze, ohne dass jemand bei Didit einen Finger rühren muss.
  • Enterprise-Verträge beinhalten schriftliche Garantien, ein Service Level Agreement (SLA) für Geschwindigkeit, Uptime und Kapazität, mit Gutschriften, falls wir diese nicht einhalten.

Volumenstufen auf der Preisseite werden automatisch aktiviert, wenn du wächst, keine Vertragsänderung, keine manuelle Neuverhandlung.

Welche Daten speichert Didit und wie viel Kontrolle habe ich darüber?

Du wählst, pro Workflow. Didit hat keine feste Liste dessen, was wir speichern. Dein Compliance-Team konfiguriert jede App in der Business Console, und der Workflow sammelt und speichert nur das, was du ihm vorgibst.

Der Tab Returned-data bietet dir einen Schalter für jede Kategorie:

  • Bilder von Ausweisdokumenten (ID) und Machine-Readable Zone (MRZ)-Felder
  • Near-Field Communication (NFC)-Chipdaten
  • Extrahierte Identitätsfelder (Name, Geburtsdatum, Dokumentennummer, Ablaufdatum, Adresse)
  • Biometrische Vorlagen
  • Rohes Selfie und vollständiges Liveness-Video
  • Geräte-Fingerabdruck, Browser, Betriebssystem, Plattform
  • Internet Protocol (IP)-Geolokalisierung, Virtual Private Network (VPN) / Tor-Signale
  • Koordinaten des Dokumentenstandortabgleichs
  • Anti-Money Laundering (AML)-Screening-Treffer mit Sanktionen, Politically Exposed Person (PEP) und Details zu Adverse-Media-Treffern
  • Webhook-Payload, Audit-Log und Metadaten pro Session

Die genaue Liste der Schalter hängt von den Modulen in deinem Workflow ab, überprüfe sie, wenn du den Workflow in der Business Console unter Returned-data einrichtest.

Wer ist der Datenverantwortliche und wer ist der Datenverarbeiter?

Du bist der Datenverantwortliche. Didit ist der Datenverarbeiter. Dies ist die Einrichtung gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO), die die meisten regulierten Käufer erwarten.

  • Du entscheidest, warum die Daten gesammelt werden, welche Felder gespeichert werden, wie lange sie aufbewahrt werden und wer in deinem Team darauf zugreifen kann. Die Datenverarbeitungsvereinbarung (DPA) auf dieser Seite ist der Vertrag, der Didit an diese Anweisungen bindet.
  • Didit verarbeitet die Daten in deinem Namen, führt die Verifizierungen, das Screening, die biometrischen Prüfungen, die Dokumentenklassifizierung, die Webhooks durch, gemäß deiner DPA und unseren eigenen SOC 2-, ISO/IEC 27001- und Datenschutz-Grundverordnung (DSGVO) Artikel 32-Kontrollen.

Wir empfehlen dir, Didit die Daten in deinem Namen speichern und darauf zugreifen zu lassen. Die meisten unserer Kunden tun dies. Die Sicherung von Identitätsdaten im Internetmaßstab ist eine Vollzeitaufgabe: gehärtete Verschlüsselung, Schlüsselrotation, Intrusion Detection, Schwachstellenmanagement, Zertifizierungserneuerungen, regionale Residenz, Tools für Betroffenenrechte, Benachrichtigung bei Datenschutzverletzungen. Die Sicherheits- und Plattformteams von Didit konzentrieren sich täglich darauf, damit deine Compliance- und Engineering-Teams dies nicht tun müssen. Du behältst die volle Kontrolle über die Business Console, jede Aufbewahrungsregel, jede Anfrage auf Auskunft über personenbezogene Daten (DSAR), jede Löschung kannst du auslösen.

Wenn deine Richtlinie erfordert, dass die Daten vollständig in deiner eigenen Umgebung (dein Cloud-Konto, deine On-Premise-Datenbank) verbleiben, unterstützen wir dies ebenfalls, Didit fungiert als Verarbeiter auf Fetch-and-Forget-Basis, und dein Team ist für die End-to-End-Aufbewahrung verantwortlich.

Wo werden Daten gespeichert und kann ich die Region wählen?

Standardmäßig in der Europäischen Union. Spezifische Region oder In-Country für Enterprise verfügbar.

Die Standardbereitstellung läuft auf Amazon Web Services (AWS) in der EU. Daten sind im Ruhezustand und während der Übertragung verschlüsselt, wobei die Verschlüsselungsschlüssel von AWS gehalten und pro Umgebung getrennt sind.

  • Europäische Union (Standard), jedes Konto. Deckt die Datenschutz-Grundverordnung (DSGVO), Schrems II / EU-US Data Privacy Framework und eIDAS 2.0 ab.
  • Spezifische Region (USA Ost, Asien-Pazifik usw.), Enterprise-Verträge, wenn dein Regulator dies erfordert.
  • In-Country Residency (Brasilien, Indien usw.), Enterprise, je nach Verfügbarkeit, für lokale Gesetze wie Brasiliens Lei Geral de Proteção de Dados (LGPD) und Indiens Digital Personal Data Protection Act (DPDPA).

Wenn Daten eine Grenze überschreiten, werden sie durch die Standardvertragsklauseln (SCCs) der Europäischen Kommission von 2021 geschützt. Die entsprechende Transfer Impact Assessment (TIA) wird mit dem Trust Pack auf dieser Seite geliefert.

Wie lange speichert ihr Daten und wie konfiguriere ich die Aufbewahrung?

Du legst das Aufbewahrungsfenster fest. Von 1 Monat bis 10 Jahre, pro App. Die Durchsetzung erfolgt automatisch.

In der Business Console legst du fest:

  • Ein globales Aufbewahrungsfenster, von 1 Monat (wenn Didit nichts behalten soll, nachdem dein Webhook ausgelöst wurde) bis zu 10 Jahren (die Obergrenze der Anti-Geldwäsche-Richtlinie 6 (AMLD6)).
  • Aufbewahrung pro Datenkategorie, biometrische Vorlagen können länger existieren als Rohbilder; Screening-Treffer können länger existieren als Identitätsdaten; der Abgleich des Dokumentenstandorts kann vollständig gelöscht werden.
  • Automatische Durchsetzung, jede Nacht löscht die Plattform alles, was sein Aufbewahrungsfenster überschritten hat, über jede Kopie hinweg. Jede Löschung wird im Audit-Log aufgezeichnet.

Wenn du möchtest, dass Didit nach dem Ergebnis nichts mehr speichert, rufe POST /v3/sessions/:session_id/delete/ von deinem Webhook-Handler auf, und die Session ist verschwunden, sobald dein System eine eigene Kopie des Ergebnisses speichert, Didit speichert die Daten nach dem Aufruf nie mehr. Vollständige Referenz unter docs.didit.me/sessions-api/delete-session.

Wie geht ihr mit Anfragen auf Auskunft über personenbezogene Daten (DSARs), Löschung und Portabilität um?

Ein Endpunkt pro Recht.

  • Auskunftsrecht (Artikel 15) und Recht auf Datenportabilität (Artikel 20), rufe den vollständigen Session-Payload unter GET /v3/sessions/:session_id/decision/ ab. Referenz unter docs.didit.me/sessions-api/retrieve-session.
  • Recht auf Löschung (Artikel 17), POST /v3/sessions/:session_id/delete/ entfernt die Session und alle verknüpften Artefakte. Referenz unter docs.didit.me/sessions-api/delete-session.
Welche Zertifizierungen und Bestätigungen besitzt ihr?

Fünf externe Bestätigungen liegen vor. Alle im Trust Pack gebündelt.

  • SOC 2 Typ 1, Sicherheit, Verfügbarkeit und Vertraulichkeit, ausgestellt von ATOM im April 2026 gemäß den Trust Services Criteria des American Institute of Certified Public Accountants (AICPA). Die SOC 2 Typ 2 Prüfung ist im Gange.
  • ISO/IEC 27001:2022, Informationssicherheits-Managementsystem, zertifiziert von Bureau Veritas (Zertifikat ES144068, gültig bis 03.06.2027).
  • iBeta Level 1 Presentation Attack Detection (PAD), unabhängiger biometrischer Anti-Spoofing-Test, durchgeführt gemäß ISO/IEC 30107-3 in einem vom National Institute of Standards and Technology (NIST) akkreditierten Labor. 0 erfolgreiche Angriffe bei 360 Versuchen.
  • DSGVO Artikel 32, Datenverarbeitungsvereinbarung (DPA), Liste der Unterauftragsverarbeiter und Technische und Organisatorische Maßnahmen (TOMs), alles öffentlich.
  • European Banking Authority (EBA) / Markets in Crypto-Assets (MiCA) Memo, unabhängige Rechtsgutachten, dass Didit die EBA-Leitlinien zur Fernidentifizierung von Kunden (EBA/GL/2022/15) und die MiCA-Verordnung erfüllt.

Fordere das Trust Pack auf dieser Seite an, und wir senden jeden Bericht, jedes Zertifikat und jedes Memo am selben Werktag unter einem unterzeichneten Non-Disclosure Agreement (NDA) zurück.

Was bedeutet die Bestätigung der spanischen Regulierungsbehörde für mich?

Gegenseitige Anerkennung in der gesamten Europäischen Union (EU), und ein regulatorisch verteidigbarer Audit-Trail.

Spaniens Tesoro Público, Banco de España, SEPBLAC und CNMV führten ein einjähriges Finanz-Sandbox-Projekt (November 2024, Juli 2025) mit Didits Near-Field Communication (NFC)-Chip-Lesung plus aktivem Liveness-Onboarding-Flow durch. Der offizielle Abschlussbericht, veröffentlicht auf tesoro.es, stellt fest, dass Didits Fernverifizierung das Sicherheitsniveau der persönlichen Identifizierung gemäß der Anti-Geldwäsche-Richtlinie (AMLD) erfüllt oder übertrifft.

Für dein Compliance-Team bedeutet dies:

  • AMLD6 gegenseitige Anerkennung, die Bestätigung ist in jedem anderen EU-Mitgliedstaat ohne erneute Zertifizierung übertragbar.
  • eIDAS 2.0-Konformität, Didits NFC + Liveness-Flow ist öffentlich als geeignet für das Onboarding qualifizierter elektronischer Signaturen (QES) dokumentiert.
  • Verteidigbarer Audit-Trail, wenn deine lokale Financial Intelligence Unit (FIU) dein Onboarding überprüft, verweist du auf denselben Bericht, den deine EU-Kollegen unterzeichnet haben.

Didit ist der einzige Anbieter von Identitätsverifizierungen mit dieser öffentlich dokumentierten Bestätigung.

Kann ich Didit bitten, eine bestimmte Lizenz oder Zertifizierung zu erhalten?

Ja, und wir arbeiten wahrscheinlich bereits daran. Didit verfolgt jederzeit aktiv über 10 Zertifizierungen, Lizenzen und behördliche Genehmigungen in verschiedenen Märkten und Branchen: Zahlungsgenehmigungen, Krypto- und Markets in Crypto-Assets (MiCA)-Registrierungen, Anti-Money Laundering (AML)-Aufsichtsbehörden-Genehmigungen, eIDAS 2.0 Qualified Trust Service Provider (QTSP)-Status, regionale Financial Intelligence Unit (FIU)-Berichterstattung und branchenspezifische Genehmigungen (iGaming, Gesundheitswesen, Bankwesen).

Wenn dein Compliance-Team eine Lizenz oder Zertifizierung benötigt, die Didit besitzen soll, sende eine E-Mail an `security@didit.me`. Die Chancen stehen gut, dass sie bereits in unserer Warteschlange ist, und wenn nicht, rückt deine Anfrage sie auf der Liste nach oben. Wir melden uns mit:

  • Wo die Zertifizierung in unserer Roadmap steht.
  • Dem voraussichtlichen Zeitplan.
  • Dem Umfang (volle Abdeckung, eine bestimmte Region, ein bestimmtes Modul).

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Lass dir diese Seite von einer KI zusammenfassen