Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
Biometrische 2FA

Ersetze SMS-Einmalpasswörter. Mach ein Selfie zum zweiten Faktor.

Sichere sensible Abläufe mit einem Gesichtsabgleich in unter 2 Sekunden gegen das hinterlegte Portrait ab. Phishing-resistent. SIM-Swap-sicher. $0.10 pro Authentifizierung. 500 Verifizierungen pro Monat kostenlos.

Unterstützt von
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

Über 2.000 Organisationen weltweit vertrauen uns.

Dunkle, filmische Biometric 2FA-Darstellung, vier schwebende, durchscheinende Glaspaneele in 3D-Perspektive auf reinem Schwarz, durchzogen von einer leuchtenden Didit-Blauen Linie und umrahmt von glühenden Scanner-Klammern. Jedes Paneel trägt ein kleines, blassweißes Motiv, das ein Vorhängeschloss, ein ovales Gesichtsabgleich-Paar, ein mobiles Gerät und eine durchgestrichene SMS-Blase darstellt.

Phishing-resistent · SIM-Swap-sicher

Kein Code zum Phishing. Keine SIM zum Swappen.

Der zweite Faktor ist das Gesicht des Nutzers, 1:1 abgeglichen mit dem Portrait, das er bei der Registrierung hinterlegt hat. Liveness blockiert Print-/Replay-/Masken-/ Generative Adversarial Network (GAN)-Angriffe im selben Frame. Ergebnis in unter zwei Sekunden auf Einsteiger-Android-Geräten. $0.10 pro Authentifizierung. 500 Verifizierungen pro Monat kostenlos.

So funktioniert's

In vier Schritten vom Sign-up zum verifizierten Nutzer.

  1. Schritt 01

    Workflow erstellen

    Wähle die gewünschten Prüfungen aus, ID, Liveness, Gesichtsabgleich, Sanktionen, Adresse, Alter, Telefon, E-Mail, benutzerdefinierte Fragen. Ziehe sie im Dashboard in einen Flow oder poste denselben Flow an unsere API. Verzweige nach Bedingungen, führe A/B-Tests durch, kein Code erforderlich.

  2. Schritt 02

    Integrieren

    Bette nativ mit unserem Web-, iOS-, Android-, React Native- oder Flutter-SDK ein. Leite auf eine gehostete Seite um. Oder sende deinem Nutzer einfach einen Link, per E-Mail, SMS, WhatsApp, überall. Wähle, was zu deinem Stack passt.

  3. Schritt 03

    Nutzer durchläuft den Flow

    Didit hostet die Kamera, die Beleuchtungshinweise, die mobile Übergabe und die Barrierefreiheit. Während der Nutzer den Flow durchläuft, bewerten wir über 200 Betrugssignale in Echtzeit und verifizieren jedes Feld anhand autoritativer Datenquellen. Ergebnis in unter zwei Sekunden.

  4. Schritt 04

    Du erhältst die Ergebnisse

    Echtzeit-signierte Webhooks halten deine Datenbank synchron, sobald ein Nutzer genehmigt, abgelehnt oder zur Überprüfung gesendet wird. Frage die API bei Bedarf ab. Oder öffne die Konsole, um jede Session, jedes Signal zu prüfen und Fälle nach deinen Wünschen zu verwalten.

Drop-in für SMS OTP · An den Nutzer gebunden, nicht an einen Code

Sechs Funktionen. $0.10 pro Authentifizierung.

Ein adaptiver Workflow, ein signiertes Ergebnis, dieselbe Callback-Struktur wie dein bestehender OAuth-Flow. Keine Abhängigkeit vom Mobilfunkanbieter, keine SS7-Angriffsfläche, keine SIM-Swap-Exposition.
01 · Tap-to-authenticate Flow

Ein Tap. Selfie in unter 2 Sekunden. Fertig.

Öffne einen Sessions API-Call, leite den Nutzer zur gehosteten UI um, erfasse einen passiven Frame. Liveness + Gesichtsabgleich 1:1 + der signierte Webhook kehren innerhalb derselben zwei Sekunden zurück. Keine App-Installation, kein SDK, kein Carrier-Pfad.
Biometrisches Authentifizierungsmodul
02 · Gesichtsabgleich 1:1

Gleiche das Live-Selfie mit dem hinterlegten Porträt ab.

Das bei der ursprünglichen KYC-Sitzung des Nutzers aufgenommene Porträt dient als Vorlage. Jede nachfolgende Authentifizierung vergleicht das neue Selfie damit und liefert einen similarity_score (0-1) zurück. Den Schwellenwert für die automatische Genehmigung kannst du pro Workflow anpassen. $0.05 pro separatem Face Match Aufruf; $0.10 in Kombination mit Liveness.
Face Match 1:1 Modul
03 · Besiegt die SMS-Angriffsfläche

SIM-Swap. OTP-Phishing. Smishing. SS7. Alles blockiert.

Die vier Angriffe, vor denen das United States Federal Bureau of Investigation (FBI) und das United Kingdom National Cyber Security Centre (NCSC) bei SMS-Einmalpasswörtern warnen, SIM-Swap, OTP-Phishing, Smishing-Kits, Carrier-Abfangen, machen SMS alle nutzlos. Keiner davon funktioniert gegen ein Live-Selfie, das mit dem hinterlegten Porträt abgeglichen wird. Die FIDO Alliance stuft On-Device-Face als phishing-resistent ein.
Warum SMS unsicher ist
04 · Absicherung, wo es darauf ankommt

Nur bei Bedarf auslösen.

Login von einem neuen Gerät, Überweisung über deinem Risikoschwellenwert, Passwort-/Einstellungsänderung, Kontowiederherstellung. Kombiniere es mit Device + IP Analysis, damit eine erneute Authentifizierung auf einem brandneuen Gerät + brandneuer Internet Protocol (IP) automatisch eine stärkere Überprüfung auslöst. Gleicher Flow, intelligentere Trigger.
Device & IP Analysis Modul
05 · Eine signierte Payload

Drop-in-Ersatz für deinen bestehenden OTP-Callback.

Der Webhook liefert Status, similarity_score, Methode und den X-Signature-V2 Header für die Hash-based Message Authentication Code (HMAC) SHA-256 Verifizierung. Gleiche Callback-Struktur, gleiches Redirect-Muster. Die meisten Teams tauschen SMS innerhalb eines Wochenendes gegen Face aus.
Webhook-Vertrag
06 · Günstiger als SMS

$0.10 per auth, no carrier fees, no minimums.

Ein SMS-Einmalpasswort in den Vereinigten Staaten der Tier-1-Klasse kostet zwischen $0.05 und $0.30 pro Versand, je nach Anbieter, und du zahlst, selbst wenn der Nutzer den Code nie erhält. Didits biometrische Authentifizierung kostet pauschal $0.10, mit 500 kostenlosen Verifizierungen pro Monat. Keine Abhängigkeit vom Mobilfunkanbieter, keine länderspezifischen Tarife, keine Vertragsmindestmengen.
Preise ansehen
Integrieren

Eine Session. Ein Callback. Ein Ergebnis.

Öffne eine biometrische Authentifizierungssitzung, erfasse das Selfie in der gehosteten UI, lies das signierte Ergebnis in deinem Webhook.
POST /v3/session/Re-Auth
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_bio_2fa",
    "workflow_type": "biometric_authentication",
    "vendor_data": "user-42",
    // base64 reference selfie, ≤ 1MB (omit for liveness-only)
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Erstellt{ "session_url": "verify.didit.me/..." }
Führt LIVENESS + FACE_MATCH gegen das bereitgestellte portrait_image aus.Dokumentation →
POST /v3/face-match/Server zu Server
$ curl -X POST https://verification.didit.me/v3/face-match/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -F "image_a=@live.jpg" \
  -F "image_b=@enrolled.jpg"
200OK{ "status": "Genehmigt", "similarity_score": 0.96 }
Nur verwenden, wenn du die Capture-Pipeline selbst kontrollierst. Browser-Flows = gehostete Session.Dokumentation →
Agenten-fertige Integration

SMS-OTP in einem Prompt ersetzen.

In Claude Code, Cursor, Codex, Devin, Aider oder Replit Agent einfügen. Fülle deinen Stack aus. Der Agent provisioniert Didit, baut den biometrischen Authentifizierungs-Workflow, tauscht deinen bestehenden OTP-Callback aus und ist am Wochenende einsatzbereit.
didit-integration-prompt.md
You are integrating Didit's Biometric 2FA into <my_stack>. Replace SMS one-time-password (OTP) on sensitive flows — login from a new device, large-value transfer, settings change, account recovery — with a sub-2-second face match against the user's enrolled portrait. Cheaper than SMS. Phishing-resistant. SIM-swap-proof.

  1. Enrol the user's portrait ONCE at sign-up via the standard Know Your Customer (KYC) session.
  2. On every sensitive action, open a Biometric Authentication session that runs Passive Liveness + Face Match 1:1 against the stored portrait. Verdict in sub-2-seconds.

Pricing (public):
  - Biometric Authentication: $0.10 per authentication (Sessions API)
  - Standalone Face Match 1:1: $0.05 per match (server-to-server)
  - First 500 verifications free every month, forever

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60s, no card).
  - Webhook endpoint with Hash-based Message Authentication Code (HMAC) SHA-256 verification using the X-Signature-V2 header.
  - The user has previously enrolled — either via a full KYC session (recommended; the portrait is stored automatically and never leaves Didit) or via a portrait you supply on each re-auth.
  - A workflow_id from the Workflow Builder. The workflow MUST contain LIVENESS, and the session must be opened with workflow_type = "biometric_authentication" (or use a workflow that has FACE_MATCH and pass a portrait_image at session creation).

STEP 1 — Enrolment (one-time, at user sign-up)

  Run a standard KYC session at sign-up. Didit stores the portrait (the face captured during the liveness step) as the user's enrolled template, bound to vendor_data.

  POST https://verification.didit.me/v3/session/
  Body:
    {
      "workflow_id": "<your KYC workflow>",
      "vendor_data": "<your user id>"
    }

  No additional code — once the user passes KYC, their enrolled portrait is ready for every future re-auth.

STEP 2 — Re-authentication (on every sensitive action)

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<your biometric_authentication workflow>",
      "workflow_type": "biometric_authentication",
      "vendor_data": "<the same user id used at enrolment>",
      "callback": "https://<your-app>/2fa/callback",
      "metadata": {
        "reason": "<login_new_device | high_value_txn | settings_change | account_recovery>",
        "amount": "<optional, for large-value transfers>"
      },
      "portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; OMIT for liveness-only mode>"
    }

  Response: 201 Created with the hosted session_url. Redirect the user to it. The hosted UI:
    - Opens the front camera
    - Captures one passive frame
    - Runs Liveness + Face Match 1:1 against the user's enrolled portrait
    - Returns the verdict in sub-2-seconds

STEP 3 — Read the signed verdict on the webhook

  Body (excerpted for a passing re-auth):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved", "method": "PASSIVE", "score": 96 },
      "face": {
        "status": "Approved",
        "similarity_score": 0.96
      }
    }

  Verify X-Signature-V2 BEFORE trusting the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  Session status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Branch your application:
    Approved      → execute the action (sign in, release the transfer, save settings).
    Declined      → block the action, re-prompt with a higher-friction recovery path (support contact / KYC re-do).
    In Review     → hold; route to your operations queue.
    Not Finished  → user abandoned the capture; safe to re-prompt or fall back.

STEP 4 — Alternate path (server-to-server, when you already have the selfie)

  If you already captured the selfie locally (native mobile SDK, in-app camera):

  POST https://verification.didit.me/v3/face-match/
  Headers:
    x-api-key: <your api key>
  Body (multipart/form-data):
    image_a         <the live selfie>
    image_b         <the enrolled portrait>

  Response: similarity_score (0-1), status (Approved | Declined | In Review).

  Use the standalone path only when you trust your client-side capture pipeline. For browser flows or any surface where the SDK is not embedded, always prefer the hosted session — Didit's liveness check is harder to defeat than a raw camera grab.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  - Always verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
  - Feature enum is UPPERCASE: LIVENESS, FACE_MATCH, ID_VERIFICATION, AML, IP_ANALYSIS, AGE_ESTIMATION.
  - Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
  - Auth header is x-api-key (lowercase, hyphenated).
  - Webhook signature header is X-Signature-V2 (NOT X-Signature).
  - Status casing matches exactly: Approved, Declined, In Review, Expired, Not Finished, Resubmitted, Kyc Expired, Abandoned.
  - The biometric template is irreversible (a one-way hash) and stored on Didit's infrastructure. You never receive the raw template. Standard data-subject-deletion rules apply.

PRO TIPS
  - Pair Biometric 2FA with Device & IP Analysis (bundled into the 200+ fraud-signal stack). A re-auth that originates from a brand-new device + a brand-new IP should always step up to face.
  - For the strongest possible surface, swap method PASSIVE for ACTIVE_3D — a short motion challenge — on transfers above your operational risk threshold.

Read the docs:
  - https://docs.didit.me/core-technology/biometric-auth/overview
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
Brauchst du mehr Kontext? Siehe die vollständige Moduldokumentation.docs.didit.me →
Compliant by Design

Ein neues Land mit einem Klick erschließen. Wir machen die Arbeit.

Wir gründen lokale Tochtergesellschaften, sichern Lizenzen, führen Penetrationstests durch, erhalten Zertifizierungen und passen uns jeder neuen Regulierung an. Um Verifizierungen in einem neuen Land zu starten, legst du einfach einen Schalter um. Über 220 Länder live, vierteljährlich auditiert und Pen-getestet, der einzige Identitätsanbieter, den eine EU-Mitgliedsregierung offiziell als sicherer als die persönliche Verifizierung eingestuft hat.
Sicherheits- & Compliance-Dossier lesen
EU Financial Sandbox
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
Informationssicherheit · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
EU-konform by Design

Zahlen, die überzeugen

Zahlen, die überzeugen
  • $0.00
    Pro Authentifizierung, pauschal. SMS-OTP kostet in den USA zwischen $0.05 und $0.30.
  • <0s
    End-to-End-Re-Authentifizierung auf Einsteiger-Android, von der Erfassung bis zum signierten Webhook.
  • 0
    Keine Abhängigkeiten von Mobilfunkanbietern, keine SIM-Swap-Angriffsfläche oder SS7-Angriffsvektoren.
  • 0
    Jeden Monat kostenlose Verifizierungen, für immer.
Drei Stufen, eine Preisliste

Kostenlos starten. Nach Nutzung zahlen. Bis zum Enterprise-Level skalieren.

500 kostenlose Verifizierungen jeden Monat, für immer. Pay-as-you-go für die Produktion. Individuelle Verträge, Datenresidenz und SLAs (Service Level Agreements) für Enterprise.
Kostenlos

Kostenlos

$0 / Monat. Keine Kreditkarte erforderlich.

  • Kostenloses KYC-Paket (ID-Verifizierung + passive Lebenderkennung + Gesichtsabgleich + Geräte- & IP-Analyse), 500 / Monat, jeden Monat
  • Blockierte Nutzer
  • Duplikaterkennung
  • Über 200 Betrugssignale pro Session
  • Wiederverwendbares KYC im Didit-Netzwerk
  • Case Management Plattform
  • Workflow Builder
  • Öffentliche Docs, Sandbox, SDKs, MCP (Model Context Protocol) Server
  • Community Support
Am beliebtesten
Zahlung nach Nutzung

Nutzungsbasiert

Zahle nur, was du nutzt. Über 25 Module. Öffentliche Preise pro Modul, keine monatliche Mindestgebühr.

  • Full KYC für $0.33 (ID + Biometrie + IP / Gerät)
  • Über 10.000 AML-Datensätze, Sanktionen, PEPs, Adverse Media
  • Über 1.000 staatliche Datenquellen für Datenbankvalidierung
  • Transaktionsüberwachung für $0.02 pro Transaktion
  • Live KYB für $2.00 pro Unternehmen
  • Wallet Screening für $0.15 pro Prüfung
  • Whitelabel-Verifizierungsflow, deine Marke, unsere Infrastruktur
Enterprise

Enterprise

Individuelle MSA & SLA. Für große Volumina und regulierte Programme.

  • Jahresverträge
  • Individuelle MSA, DPA und SLA
  • Dedizierter Slack- und WhatsApp-Kanal
  • Manuelle Prüfer auf Abruf
  • Reseller- und White-Label-Konditionen
  • Exklusive Features und Partnerintegrationen
  • Benannter CSM, Sicherheitsprüfung, Compliance-Support

Kostenlos starten → nur zahlen, wenn eine Prüfung läuft → Enterprise für einen individuellen Vertrag, SLA oder Datenresidenz freischalten.

FAQ

Häufige Fragen

Was ist Didit?

Didit ist die Infrastruktur für Identität und Betrug, die Plattform, die wir uns gewünscht hätten, als wir selbst Produkte entwickelten: offen, flexibel und entwicklerfreundlich, damit sie als echter Teil deines Stacks funktioniert und nicht als Blackbox, um die du herum integrieren musst.

Eine API deckt die Verifizierung von Personen (KYC, Know Your Customer), die Verifizierung von Unternehmen (KYB, Know Your Business), das Screening von Krypto-Wallets (KYT, Know Your Transaction) und die Echtzeit-Überwachung von Transaktionen ab, auf einem Stack, der gebaut wurde, um:

  • Schnell zu sein, unter 2 Sekunden p99 bei jeder Session
  • Zuverlässig zu sein, im Einsatz bei über 1.500 Unternehmen in über 220 Ländern
  • Sicher zu sein, SOC 2 Type 1, ISO 27001, GDPR-nativ und von der spanischen Finanzaufsichtsbehörde formell als sicherer als die persönliche Verifizierung bestätigt

Die zugrunde liegende Basis: über 14.000 Dokumententypen in über 48 Sprachen, über 1.000 Datenquellen und über 200 Betrugssignale bei jeder Session. Die Didit-Infrastruktur lernt dynamisch aus jeder Session und wird jeden Tag besser.

Was ist biometrische 2FA?

Zwei-Faktor-Authentifizierung unter Verwendung des Gesichts des Nutzers, nicht eines über ein Netzwerk gesendeten Codes. Der erste Faktor ist das, was der Nutzer weiß (Passwort, Passkey, Magic Link). Der zweite Faktor ist das, was der Nutzer ist, ein Live-Selfie, das 1:1 mit einem zuvor registrierten Porträt abgeglichen wird.

Es nimmt im Anwendungsfluss denselben Platz ein wie das SMS-Einmalpasswort (OTP), jedoch mit einem anderen Kosten-, Sicherheits- und Konversionsprofil.

Warum gilt das SMS-Einmalpasswort als schwach?

Vier gut dokumentierte Angriffsarten können es überwinden. Das US Federal Bureau of Investigation (FBI) und das UK National Cyber Security Centre (NCSC) haben beide Leitlinien veröffentlicht, die Organisationen davon abraten, SMS für sensible Abläufe zu verwenden.

  • SIM-Swap. Angreifer überzeugen den Anbieter, die Nummer des Nutzers auf eine neue SIM zu portieren. Jeder Code geht nun an den Angreifer.
  • OTP-Phishing. Angreifer proxyt die legitime Seite, fängt den Code ab, während der Nutzer ihn eingibt, und spielt ihn ab, bevor er abläuft.
  • Smishing-Kits. Vorgefertigte Kits führen Tausende von gefälschten Liefer-/Bank-SMS aus, die Codes in großem Umfang abfangen.
  • Signalling System 7 (SS7) Interception. Angreifer mit Carrier-Zugang können Codes passiv aus dem Netzwerk lesen.
Wie schnell ist die Verifizierung für meine Endnutzer?

Der gesamte Flow dauert normalerweise unter 30 Sekunden von Anfang bis Ende, Ausweis nehmen, Dokument fotografieren, Selfie machen, fertig. Das ist der schnellste auf dem Markt. Herkömmliche KYC-Anbieter benötigen für denselben Flow in der Regel mehr als 90 Sekunden.

Im Backend liefert Didit das Ergebnis in unter zwei Sekunden bei p99, gemessen vom Zeitpunkt, an dem der Nutzer das Selfie beendet, bis zum Auslösen deines Webhooks. Die mobile Erfassung ist für langsame Telefone und langsame Netzwerke optimiert: progressive Bildkomprimierung, verzögertes Laden des Software Development Kits und eine One-Tap-Übergabe vom Desktop zum Telefon per QR-Code, wenn der Nutzer im Web beginnt.

Wie wird das Gesicht des Nutzers tatsächlich „registriert“?

Die meisten Teams registrieren sich während der ursprünglichen Know Your Customer (KYC)-Session des Nutzers. Das durch den Liveness-Schritt erfasste Porträt wird an deine vendor_data gebunden gespeichert und als Vorlage für jede nachfolgende Re-Authentifizierung verwendet.

Wenn du beim Anmelden kein KYC durchführst, kannst du eine einmalige Registrierungssession mit einem Didit-Workflow durchführen, der nur LIVENESS + FACE_MATCH enthält. Beide Wege kosten einmalig $0.10, und die resultierende Vorlage ist für jede zukünftige Authentifizierung wiederverwendbar.

Was passiert, wenn ein Nutzer scheitert, abbricht oder die Session abläuft?

Jede Session landet in einem von sieben eindeutigen Status, damit dein Code immer weiß, was zu tun ist:

  • Approved, alle Prüfungen bestanden. Lass den Nutzer fortfahren.
  • Declined, eine oder mehrere Prüfungen fehlgeschlagen. Du kannst dem Nutzer erlauben, den spezifischen fehlgeschlagenen Schritt (z.B. das Selfie erneut aufnehmen) erneut einzureichen, ohne den gesamten Flow neu zu starten.
  • In Review, zur Compliance-Prüfung markiert. Öffne den Fall in der Konsole, sieh dir alle Signale an und entscheide, ob du genehmigst oder ablehnst.
  • In Progress, der Nutzer befindet sich mitten im Flow.
  • Not Started, Link gesendet, Nutzer hat ihn noch nicht geöffnet. Sende eine Erinnerung, wenn er zu lange unbeachtet bleibt.
  • Abandoned, Nutzer hat den Link geöffnet, aber nicht rechtzeitig abgeschlossen. Re-engagiere oder lasse die Session ablaufen.
  • Expired, der Session-Link ist abgelaufen. Erstelle eine neue Session.

Ein signierter Webhook wird bei jeder Statusänderung ausgelöst, sodass deine Datenbank immer synchron bleibt. Abgebrochene und abgelehnte Sessions sind kostenlos.

Wo werden meine Kundendaten gespeichert und wie sind sie geschützt?

Produktionsdaten werden standardmäßig in der Europäischen Union verarbeitet und gespeichert, auf Amazon Web Services. Unternehmenskunden können alternative Regionen anfragen, wenn die Aufsichtsbehörden dies erfordern.

Verschlüsselung überall. AES-256 im Ruhezustand über jede Datenbank, jeden Objektspeicher und jedes Backup. Transport Layer Security 1.3 während der Übertragung bei jedem API-Aufruf, Webhook und jeder Business Console Session. Biometrische Daten werden unter einem separaten Customer Master Key verschlüsselt.

Die Aufbewahrung liegt in deiner Hand. Die Standardaufbewahrungsfrist ist unbegrenzt, es sei denn, du konfigurierst eine kürzere, zwischen 30 Tagen und 10 Jahren pro Anwendung, und du kannst jede einzelne Session jederzeit über das Dashboard oder die API löschen.

Zertifizierungen: SOC 2 Type 1 (Type 2 Audit läuft), ISO/IEC 27001:2022, iBeta Level 1 PAD und eine öffentliche Bestätigung von Spaniens Tesoro / SEPBLAC / CNMV, dass Didits Fernidentitätsprüfung sicherer ist als die persönliche Verifizierung. Den vollständigen Bericht findest du unter /security-compliance.

Ist Didit für meine Branche konform?

Didit ist standardmäßig konform für die Regulierungsbehörden, die für die Identitätsinfrastruktur relevant sind:

  • GDPR + UK GDPR, Aufteilung in Controller/Processor, vollständige Veröffentlichung des Data Processing Agreement, benannte federführende Aufsichtsbehörde (Spaniens AEPD).
  • AMLD6 + EU AML Single Rulebook, über 1.300 Sanktions-, PEP- und Adverse-Media-Listen werden in Echtzeit geprüft.
  • eIDAS 2.0, EU Digital Identity Wallet konform; bereit für wiederverwendbare Identitäten.
  • MiCA (Markets in Crypto-Assets), bereit für Krypto-On-Ramps, Börsen und Verwahrstellen.
  • DORA, Digital Operational Resilience Act, EU-weite operationelle Resilienz für Finanzdienstleistungen.
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, US-Biometrie-Datenschutz (Illinois, Texas, Washington) und kalifornischer Verbraucherdatenschutz.
  • UK Online Safety Act, Altersverifikation und Kinderschutzpflichten.
  • FATF Travel Rule, Originator- und Begünstigtendaten bei Krypto-Transfers, IVMS-101 interoperabel.

Ausführliches Memo, jedes Zertifikat, jedes Schreiben der Regulierungsbehörde: /security-compliance.

Wie schnell kann ich integrieren und Nutzer verifizieren?
  • 60 Sekunden bis zu einem Sandbox-Konto auf business.didit.me, keine Kreditkarte erforderlich.
  • 5 Minuten bis zu einer funktionierenden Verifizierung über Claude Code, Cursor oder jeden Coding Agent via unserem Model Context Protocol (MCP) Server.
  • Ein Wochenende bis zu einer produktionsreifen Integration mit signierter Webhook-Verifizierung, Retries und einem Korrektur-Workflow, falls ein Nutzer abgelehnt wird.

Drei Integrationswege, wähle den, der am besten zu deinem Stack passt:

  • Nativ einbetten mit unserem Web-, iOS-, Android-, React Native- oder Flutter-SDK.
  • Den Nutzer auf die gehostete Verifizierungsseite weiterleiten, kein SDK nötig.
  • Einen Link senden per E-Mail, SMS, WhatsApp oder jedem anderen Kanal, keine Frontend-Arbeit.

Dashboard, Abrechnung und Pay-per-Success-Preis sind für alle drei gleich. Eine Schritt-für-Schritt-Anleitung findest du unter docs.didit.me/integration/integration-prompt.

Wie sieht die Integration aus?

Es ist ein Drop-in für deinen bestehenden One-Time-Password Callback Contract.

  • POST /v3/session/ mit workflow_type: "biometric_authentication" und den gleichen vendor_data, die du bei der Registrierung verwendet hast.
  • Leite den Nutzer zur zurückgegebenen session_url weiter.
  • Verifiziere den X-Signature-V2 Header des Webhooks, bevor du dem Body vertraust.
  • Verzweige nach status, Approved (Aktion ausführen), Declined (blockieren), In Review (in Warteschlange), Not Finished (erneut anfragen).

Die meisten Teams tauschen SMS innerhalb eines Wochenendes gegen Face-Authentifizierung aus. Der vollständige, agent-pastable Prompt ist oben; der Model Context Protocol (MCP) Server spricht beide Oberflächen.

Was, wenn sich das Gesicht des Nutzers verändert hat (Haarschnitt, Bart, Brille)?

Face Match 1:1 ist robust gegenüber moderaten Veränderungen des Aussehens, Gesichtsbehaarung, Brillen, Haarfarbe, Beleuchtung. Der bei der Authentifizierung zurückgegebene Ähnlichkeits-Score zeigt an, wie sicher das Modell ist.

Für Nutzer, die außerhalb des automatischen Genehmigungsschwellenwerts liegen (typische Fälle: drastische Gewichtsveränderung, Operation, Alterung über viele Jahre), wird das Ergebnis In Review zurückgegeben und an deine Operations-Warteschlange weitergeleitet. Der Standard-Wiederherstellungspfad ist eine erneute Registrierungssitzung, ein KYC-Anruf aktualisiert das Porträt, und die nächste Authentifizierung verwendet die neue Vorlage.

Ist dies konform mit der EU PSD2 Strong Customer Authentication?

Ja, für die Kategorie Inhärenz. Die Regulatory Technical Standards der Europäischen Bankenaufsichtsbehörde zur starken Kundenauthentifizierung erkennen biometrische Attribute (etwas, das du bist) als gültigen zweiten Faktor an, wenn sie mit einer der beiden anderen Kategorien (Wissen oder Besitz) kombiniert werden.

Für einen vollständigen PSD2 Strong-Customer-Authentication-Flow kombiniere biometrische 2FA mit dem Passwort des Nutzers (Wissen) oder einer gerätegebundenen Session (Besitz). Das signierte Didit-Urteil ist der Audit-Nachweis des Inhärenz-Faktors.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Lass dir diese Seite von einer KI zusammenfassen