Zum Hauptinhalt springen
Didit erhält 7,5 Mio. $ für die Infrastruktur für Identität und Betrug
Didit
PSD3 · Starke Kundenauthentifizierung

Zwei SCA-Faktoren. Ein Tap.

Biometrische Authentifizierung ($0.10) plus Geräte- & IP-Analyse ($0.03) liefern zwei PSD3-konforme SCA-Faktoren in einer einzigen Abfrage. Phishing-resistent. Drop-in-Ersatz für SMS-Einmalpasswörter.

Unterstützt von
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

Über 2.000 Organisationen weltweit vertrauen uns.

Eine filmische, dunkle, abstrakte Compliance-Illustration, vier schwebende, durchscheinende dunkelglasige Paneele in 3D-Perspektive auf einer rein schwarzen Leinwand, durchzogen von einer leuchtenden Didit-Blauen vertikalen Linie und umrahmt von vier glühenden Scannerklammern. Jedes Paneel trägt ein winziges, blassweißes abstraktes Motiv (Fingerabdruckbögen, Gesichts-Oval, Telefon-Silhouette, Schlossform), das die biometrische starke Kundenauthentifizierung darstellt.

Warum SMS-OTP ausgedient hat

SIM-Swap-sicher. Phishing-sicher. $0.13 pro Authentifizierung.

Die PSD3 löst SMS-Einmalpasswörter als Faktor für die starke Kundenauthentifizierung ab. Didits gerätegebundene biometrische SCA blockiert SIM-Swaps, Echtzeit-Phishing und SS7-Abfangen, für $0.13 pro Authentifizierung, mit einem Ergebnis in unter zwei Sekunden und bereit für Dynamic Linking. 500 Verifizierungen pro Monat sind kostenlos.

So funktioniert's

In vier Schritten vom Sign-up zum verifizierten Nutzer.

  1. Schritt 01

    Workflow erstellen

    Wähle die gewünschten Prüfungen aus, ID, Liveness, Face Match, Sanktionen, Adresse, Alter, Telefon, E-Mail, benutzerdefinierte Fragen. Ziehe sie im Dashboard in einen Flow oder poste denselben Flow an unsere API. Verzweige nach Bedingungen, führe A/B-Tests durch, kein Code erforderlich.

  2. Schritt 02

    Integrieren

    Bette nativ mit unserem Web-, iOS-, Android-, React Native- oder Flutter-SDK ein. Leite auf eine gehostete Seite weiter. Oder sende deinem Nutzer einfach einen Link, per E-Mail, SMS, WhatsApp, überall. Wähle, was zu deinem Stack passt.

  3. Schritt 03

    Nutzer durchläuft den Flow

    Didit hostet die Kamera, die Lichtsignale, die mobile Übergabe und die Barrierefreiheit. Während der Nutzer den Flow durchläuft, bewerten wir über 200 Betrugssignale in Echtzeit und verifizieren jedes Feld anhand autoritativer Datenquellen. Das Ergebnis liegt in unter zwei Sekunden vor.

  4. Schritt 04

    Du erhältst die Ergebnisse

    Echtzeit-signierte Webhooks halten deine Datenbank synchron, sobald ein Nutzer genehmigt, abgelehnt oder zur Überprüfung gesendet wird. Frage die API bei Bedarf ab. Oder öffne die Konsole, um jede Session, jedes Signal zu prüfen und Fälle nach deinen Vorstellungen zu verwalten.

Für SCA entwickelt · Preis wie Infrastruktur

Zwei Faktoren. Eine Aufforderung. $0.13 pro Authentifizierung.

Echte starke Kundenauthentifizierung ist keine einzelne Prüfung, sie ist ein Rezept. Schalte Ausnahmen pro Workflow um. Eskaliere bei Risikosignalen auf einen Hardware-Schlüssel. Kein erneutes Deployment nötig.
01 · SCA-Faktoren

Zwei Faktoren. Unterschiedliche Kategorien.

Inhärenz (Passive Liveness + Face Match 1:1) plus Besitz (das gebundene Gerät des Nutzers). Standardmäßig PSD3-konform. Wissensfaktor (PIN, Passwort) optional und pro Workflow konfigurierbar.
Biometrisches Authentifizierungsmodul
02 · Dynamic Linking

Eine Genehmigung. Gebunden an Betrag + Empfänger.

Bei Zahlungen bettet die Authentifizierungsanfrage den genauen Betrag und den Empfänger ein. Der Nutzer sieht diese direkt in der biometrischen Aufforderung. Jede Manipulation macht die Genehmigung ungültig, im PSR integriert.
Sessions API-Referenz
03 · Warum SMS-OTP ausgedient hat

Phishing-resistent von Haus aus.

SIM-Swap-Betrug, Echtzeit-Phishing-Kits, SS7-Abfangen, all das untergräbt SMS-Einmalpasswörter. Gerätegebundene Biometrie mit Origin Binding blockiert jeden gängigen Angriff, den die Europäische Bankenaufsichtsbehörde in ihrer SCA-Stellungnahme 2024 genannt hat.
Schutz vor Kontoübernahme
04 · Ausnahmen-Engine

Ausnahmen, pro Workflow kalibriert.

Geringwertige Fernzahlungen unter 30 EUR, kontaktlose Point-of-Sale-Zahlungen unter 50 EUR, wiederkehrende identische Zahlungen, vertrauenswürdige Empfänger, Transaction Risk Analysis-Stufen. Alles im No-Code Workflow Builder editierbar.
Workflow Orchestrator
05 · Über 200 Signale pro Authentifizierung

Über 200 Signale bei jeder Authentifizierung.

Geräte-Fingerprint, IP-Geolokalisierung, VPN-/Proxy-/Datacenter-Erkennung, New-Device-Flag, Verhaltensabweichungen. Eskaliere automatisch auf einen Hardware-Schlüssel, wenn das Risiko deinen Schwellenwert überschreitet.
Geräte- & IP-Analysemodul
06 · Wirtschaftlichkeit

$0.13 per auth, not $0.04 plus SIM-swap loss.

$0.10 Biometrische Authentifizierung + $0.03 Geräte- & IP-Analyse = $0.13 pro starker Kundenauthentifizierung. SMS-Einmalpasswörter kosten $0.04-$0.07 plus Zustellfehler, Wiederholungsversuche und SIM-Swap-Verlustrisiko, das die Regulierungsbehörden in die PSD3 einpreisen.
Preise
Integrieren

Eine Session. Ein Tap. Ein Webhook.

Eröffne die Session mit Betrag + Empfänger. Der Nutzer genehmigt auf seinem Telefon. Der signierte Webhook bestätigt die Bindung.
POST /v3/session/Login
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "purpose": "login" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201ErstelltStatus Genehmigt · Abgelehnt · In Prüfung
Übergib das KYC-Registrierungs-Selfie als portrait_image. Keine erneute Registrierung.Doku →
POST /v3/session/Zahlung
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "amount": "247.50", "payee_account": "ES91…1332" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201ErstelltWebhook spiegelt Betrag + Empfänger zur Verifizierung wider
Der Nutzer sieht Betrag + Empfänger direkt in der biometrischen Aufforderung. Dynamische Verknüpfung.Doku →
Agenten-fertige Integration

PSD3 SCA Flow in einem Prompt implementieren.

Füge dies in Claude Code, Cursor, Codex, Devin, Aider oder Replit Agent ein. Ergänze deinen Stack. Der Agent erstellt den Workflow, verbindet die dynamische Verknüpfung, bindet das SDK ein und liefert eine funktionierende Starke Kundenauthentifizierung in fünf Minuten.
didit-integration-prompt.md
You are integrating Didit's Strong Customer Authentication into a payment service provider, bank, EMI, or wallet to satisfy PSD3 / the Payment Services Regulation (PSR). Two factors in one prompt:

  1. Inherence — Biometric Authentication: Passive Liveness + Face Match 1:1 against the user's previously-enrolled KYC selfie.
  2. Possession — Device & IP Analysis: 200+ real-time fraud signals binding the auth to the user's known device.

Pricing (verified live 2026-05-16):
  - Biometric Authentication: $0.10 per auth
  - Device & IP Analysis: $0.03 per auth
  - Total: $0.13 per Strong Customer Authentication
  - First 500 verifications free every month, forever
  - Re-uses the enrolled selfie from the original KYC — no re-enrolment

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - Webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header.
  - A workflow_id from the no-code Workflow Builder configured as a Biometric Authentication workflow (Passive Liveness + Face Match 1:1 + Device & IP Analysis).
  - The user has previously completed a Didit KYC (the same enrolled selfie backs every subsequent auth).

STEP 1 — Open an authentication session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body (for login auth):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/auth/callback",
      "metadata": {
        "purpose": "login",
        "session_id": "<your front-end session id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor; OMIT only if the workflow is liveness-only>"
    }

  Body (for payment with dynamic linking):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/payment/callback",
      "metadata": {
        "purpose": "payment",
        "amount": "247.50",
        "currency": "EUR",
        "payee_account": "ES9121000418450200051332",
        "payee_name": "<merchant or recipient>",
        "transaction_reference": "<your internal transaction id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor>"
    }

  Response: 201 Created with the hosted session URL. Push the URL to the user via deep-link / push notification / in-app sheet.

STEP 2 — User completes the biometric auth

  The user sees one prompt on their phone (or via the Didit SDK in your native app). Three things happen on the same screen:

  1. The amount + payee are displayed (dynamic linking — the user explicitly approves THIS amount to THIS payee for payments).
  2. Passive Liveness defeats screen replay, printed photo, mask, deepfake.
  3. Face Match 1:1 matches the new selfie against the enrolled KYC selfie.

  Device & IP Analysis runs server-side on the session. Sub-2-second median verdict.

STEP 3 — Read the signed webhook on the auth verdict

  Didit POSTs to your callback. Session statuses (Title Case With Spaces):

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "vpn_detected": false, "datacenter_ip": false },
      "metadata_echo": {
        "amount": "247.50",
        "payee_account": "ES9121000418450200051332"
      }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  For payments, verify that metadata_echo.amount and metadata_echo.payee_account match the values you passed in. If they do not, REJECT the payment — it's a dynamic-linking violation.

STEP 4 — Branch on verdict

  Approved   → unlock the action (login, payment, account change).
  In Review  → hold the action, route to manual review queue.
  Declined   → block, log the attempt, surface a friendly "try again" to the user.
  Resubmitted → the user re-submitted after a soft fail (poor lighting, occlusion); proceed if the latest status is Approved.

STEP 5 — Retrieve the full decision later

  GET https://verification.didit.me/v3/session/{sessionId}/decision/
  Headers:
    x-api-key: <your api key>

  Returns the full payload: liveness verdict (iBeta Level 1 anti-spoof certified), Face Match similarity score, device fingerprint, IP geolocation, VPN / proxy / datacenter flags, 200+ fraud-signal score, dynamic-linking echo, HMAC signature.

  Use this for the audit-trail surface a regulator examines on Strong Customer Authentication coverage.

STEP 6 — Step up on risk

  When Device & IP Analysis surfaces a high-risk signal (new device + high-value payment, VPN/proxy on a login, geolocation jump), your workflow can step up to:

  - A separate hardware-key challenge (FIDO2 / WebAuthn)
  - A trusted-beneficiary whitelist confirmation
  - A manual-review hold

  Encode the step-up policy in the no-code Workflow Builder — no redeploy required.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE on a session.
  - Dynamic linking is REQUIRED for payments — pass amount + payee in metadata, verify the echo on the webhook.
  - The enrolled selfie that backs every SCA is the one captured during the user's original KYC — no separate enrolment step.
  - PSD3 / PSR exemptions (low-value remote < EUR 30, contactless point-of-sale < EUR 50, recurring identical, trusted beneficiary, Transaction Risk Analysis tiers) are configured per workflow in the Business Console.
  - Default record retention is 5 years per the EU AML and payments rules.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/sessions-api/retrieve-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
Brauchst du mehr Kontext? Siehe die vollständige Moduldokumentation.docs.didit.me →
Compliant by Design

Ein neues Land mit einem Klick erschließen. Wir machen die Arbeit.

Wir gründen lokale Tochtergesellschaften, sichern Lizenzen, führen Penetrationstests durch, erhalten Zertifizierungen und passen uns jeder neuen Regulierung an. Um Verifizierungen in einem neuen Land zu starten, legst du einfach einen Schalter um. Über 220 Länder live, vierteljährlich auditiert und Pen-getestet, der einzige Identitätsanbieter, den eine EU-Mitgliedsregierung offiziell als sicherer als die persönliche Verifizierung eingestuft hat.
Sicherheits- & Compliance-Dossier lesen
EU Financial Sandbox
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
Informationssicherheit · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
EU-konform by Design

Zahlen, die überzeugen

Zahlen, die überzeugen
  • $0.00
    Pro starker Kundenauthentifizierung, Biometrische Authentifizierung + Geräte- & IP-Analyse.
  • <0s
    End-to-End-Authentifizierungs-Ergebnis pro Session, auf Einsteiger-Android-Geräten.
  • 0+
    Echtzeit-Betrugssignale bei jeder Authentifizierung ausgewertet, VPN, Rechenzentrum, Geolocation-Drift, Geräte-Drift.
  • 0
    Kostenlose Verifizierungen jeden Monat, für jedes Konto.
Drei Stufen, eine Preisliste

Kostenlos starten. Nach Nutzung zahlen. Bis zum Enterprise-Level skalieren.

500 kostenlose Verifizierungen jeden Monat, für immer. Pay-as-you-go für die Produktion. Individuelle Verträge, Datenresidenz und SLAs (Service Level Agreements) für Enterprise.
Kostenlos

Kostenlos

$0 / Monat. Keine Kreditkarte erforderlich.

  • Kostenloses KYC-Paket (ID-Verifizierung + passive Lebenderkennung + Gesichtsabgleich + Geräte- & IP-Analyse), 500 / Monat, jeden Monat
  • Blockierte Nutzer
  • Duplikaterkennung
  • Über 200 Betrugssignale pro Session
  • Wiederverwendbares KYC im Didit-Netzwerk
  • Case Management Plattform
  • Workflow Builder
  • Öffentliche Docs, Sandbox, SDKs, MCP (Model Context Protocol) Server
  • Community Support
Am beliebtesten
Zahlung nach Nutzung

Nutzungsbasiert

Zahle nur, was du nutzt. Über 25 Module. Öffentliche Preise pro Modul, keine monatliche Mindestgebühr.

  • Full KYC für $0.33 (ID + Biometrie + IP / Gerät)
  • Über 10.000 AML-Datensätze, Sanktionen, PEPs, Adverse Media
  • Über 1.000 staatliche Datenquellen für Datenbankvalidierung
  • Transaktionsüberwachung für $0.02 pro Transaktion
  • Live KYB für $2.00 pro Unternehmen
  • Wallet Screening für $0.15 pro Prüfung
  • Whitelabel-Verifizierungsflow, deine Marke, unsere Infrastruktur
Enterprise

Enterprise

Individuelle MSA & SLA. Für große Volumina und regulierte Programme.

  • Jahresverträge
  • Individuelle MSA, DPA und SLA
  • Dedizierter Slack- und WhatsApp-Kanal
  • Manuelle Prüfer auf Abruf
  • Reseller- und White-Label-Konditionen
  • Exklusive Features und Partnerintegrationen
  • Benannter CSM, Sicherheitsprüfung, Compliance-Support

Kostenlos starten → nur zahlen, wenn eine Prüfung läuft → Enterprise für einen individuellen Vertrag, SLA oder Datenresidenz freischalten.

FAQ

Häufige Fragen

Was ist Didit?

Didit ist die Infrastruktur für Identität und Betrug, die Plattform, die wir uns gewünscht hätten, als wir selbst Produkte entwickelten: offen, flexibel und entwicklerfreundlich, damit sie als echter Teil deines Stacks funktioniert, anstatt als Blackbox, um die du herum integrieren musst.

Eine API deckt die Verifizierung von Personen (KYC, Know Your Customer), die Verifizierung von Unternehmen (KYB, Know Your Business), das Screening von Krypto-Wallets (KYT, Know Your Transaction) und die Echtzeit-Überwachung von Transaktionen ab, auf einem Stack, der gebaut wurde, um:

  • Schnell zu sein, unter 2 Sekunden p99 bei jeder Sitzung
  • Zuverlässig zu sein, im Einsatz bei über 1.500 Unternehmen in über 220 Ländern
  • Sicher zu sein, SOC 2 Typ 1, ISO 27001, GDPR-nativ und formell von der spanischen Finanzaufsichtsbehörde als sicherer als die persönliche Verifizierung bestätigt

Die zugrunde liegende Basis: über 14.000 Dokumententypen in über 48 Sprachen, über 1.000 Datenquellen und über 200 Betrugssignale bei jeder Sitzung. Die Didit-Infrastruktur lernt dynamisch aus jeder Sitzung und wird jeden Tag besser.

Was ist starke Kundenauthentifizierung, einfach erklärt?

Starke Kundenauthentifizierung (SCA) ist eine Regel aus der EU-Zahlungsdienstleistungsverordnung, die besagt: Wenn ein Kunde sich in sein Konto einloggt oder eine Zahlung initiiert, musst du ihn mit mindestens zwei von drei unabhängigen Faktorkategorien verifizieren.

Die drei Kategorien:

  • Wissen, etwas, das nur der Nutzer weiß (Passwort, PIN, geheime Antwort)
  • Besitz, etwas, das nur der Nutzer hat (Telefon, Hardware-Schlüssel, SIM-gebundenes Gerät)
  • Inhärenz, etwas, das nur der Nutzer ist (Fingerabdruck, Gesicht, Verhaltensmuster)

Die beiden Faktoren müssen aus verschiedenen Kategorien stammen, ein Passwort plus eine Sicherheitsfrage ist keine SCA, da beides Wissen ist. Ein Passwort plus ein Fingerabdruck ist es, da sie Kategorien überschreiten.

Eine dritte Anforderung, die dynamische Verknüpfung, besagt, dass der zweite Faktor für eine Zahlung eindeutig mit dem Transaktionsbetrag und dem Zahlungsempfänger verknüpft sein muss, damit ein gestohlener Code nicht für eine andere Transaktion wiederverwendet werden kann.

Was ist PSD3 und wie unterscheidet sie sich von PSD2?

PSD3, kurz für Payment Services Directive 3, ist die Überarbeitung der PSD2-Regelwerke von 2018 durch die EU, die 2026 in Kraft treten soll. Parallel dazu existiert die Payment Services Regulation (PSR), die in den Mitgliedstaaten direkt anwendbar ist, ohne nationale Umsetzung.

Wesentliche Änderungen gegenüber PSD2:

  • Weniger Ausnahmen, die Ausnahmen für Unternehmenszahlungen und vertrauenswürdige Begünstigte werden verschärft
  • Phishing-resistente SCA vorgeschrieben, SMS-Einmalpasswörter werden als alleiniger zweiter Faktor schrittweise abgeschafft; FIDO2, gerätegebundene Biometrie oder App-basierte Push-Benachrichtigungen werden zum neuen Standard
  • Open-Banking-Zugang gestärkt, Banken müssen eine saubere, einheitliche API anbieten; berechtigte Drittanbieter erhalten bessere technische Bedingungen
  • Betrugshaftung geklärt, Zahlungsdienstleister (PSPs) tragen einen größeren Teil des Betrugsverlusts, wenn ihre SCA schwach war
  • Breiterer Anwendungsbereich, Wallet-Anbieter, E-Geld-Institute (EMIs) und einige Krypto-Anbieter fallen unter die Regelung

Der Übergang erfolgt schrittweise, die meisten SCA-Änderungen werden voraussichtlich 18 bis 24 Monate nach der endgültigen Verabschiedung in Kraft treten.

Wie schnell ist die Verifizierung für meinen Endnutzer?

Der gesamte Ablauf dauert normalerweise unter 30 Sekunden von Anfang bis Ende, Ausweis nehmen, Dokument fotografieren, Selfie machen, fertig. Das ist der schnellste auf dem Markt. Herkömmliche KYC-Anbieter benötigen für denselben Ablauf in der Regel mehr als 90 Sekunden.

Im Backend liefert Didit das Ergebnis in unter zwei Sekunden bei p99, gemessen vom Moment, in dem der Nutzer das Selfie beendet, bis zum Auslösen deines Webhooks. Die mobile Erfassung ist für langsame Telefone und langsame Netzwerke optimiert: progressive Bildkomprimierung, verzögertes Laden des Software Development Kits und eine One-Tap-Übergabe vom Desktop zum Telefon per QR-Code, wenn der Nutzer am Web beginnt.

Welche Transaktionen benötigen SCA, und welche sind ausgenommen?

SCA erforderlich standardmäßig bei:

  • Kunden-Login in ein Zahlungskonto
  • Initiierung einer elektronischen Zahlung
  • Jede Handlung, die zur Begehung von Zahlungsbetrug ausgenutzt werden könnte

Ausgenommen (PSD3 behält die meisten PSD2-Ausnahmen bei, verschärft aber die Schwellenwerte):

  • Geringwertige Fernzahlungen, unter 30 einzeln, mit kumulativen Obergrenzen pro Kunde
  • Kontaktlose Point-of-Sale-Zahlungen, unter 50 einzeln, mit kumulativen Obergrenzen
  • Wiederkehrende Transaktionen mit identischem Betrag und Zahlungsempfänger, SCA bei der ersten, danach ausgenommen
  • Vertrauenswürdige Begünstigte, Nutzer explizit auf Whitelist gesetzt, aber PSD3 verschärft den Genehmigungsprozess
  • Transaktionsrisikoanalyse (TRA), unter Schwellenwerten, die mit deiner gesamten Betrugsrate verknüpft sind (1, 5, 10, 25 Basispunkte)
  • Dedizierte Unternehmenskanäle, wenn beide Enden Unternehmenskunden in einem geschlossenen System sind

Die korrekte Berechnung der Ausnahmen ist die effektivste SCA-Optimierungsarbeit, die die meisten Teams leisten, gut angewendet reduziert sie die Authentifizierungsreibung, ohne den Betrug zu erhöhen.

Was passiert, wenn ein Nutzer scheitert, abbricht oder die Sitzung abläuft?

Jede Sitzung landet in einem von sieben klaren Status, damit dein Code immer weiß, was zu tun ist:

  • Approved, alle Prüfungen bestanden. Leite den Nutzer weiter.
  • Declined, eine oder mehrere Prüfungen fehlgeschlagen. Du kannst dem Nutzer erlauben, den spezifischen fehlgeschlagenen Schritt (z. B. das Selfie erneut aufzunehmen) erneut einzureichen, ohne den gesamten Ablauf neu zu starten.
  • In Review, zur Compliance-Prüfung markiert. Öffne den Fall in der Konsole, sieh dir alle Signale an, entscheide über Genehmigung oder Ablehnung.
  • In Progress, Nutzer befindet sich mitten im Ablauf.
  • Not Started, Link gesendet, Nutzer hat ihn noch nicht geöffnet. Sende eine Erinnerung, wenn es zu lange dauert.
  • Abandoned, Nutzer hat den Link geöffnet, aber nicht rechtzeitig abgeschlossen. Erneut ansprechen oder ablaufen lassen.
  • Expired, der Sitzungslink ist abgelaufen. Erstelle eine neue Sitzung.

Ein signierter Webhook wird bei jeder Statusänderung ausgelöst, sodass deine Datenbank immer synchron bleibt. Abgebrochene und abgelehnte Sitzungen sind kostenlos.

Wo werden meine Kundendaten gespeichert und wie sind sie geschützt?

Produktionsdaten werden standardmäßig in der Europäischen Union verarbeitet und gespeichert, auf Amazon Web Services. Unternehmenskunden können alternative Regionen anfragen, wenn die Regulierungsbehörden ihrer Jurisdiktion dies erfordern.

Verschlüsselung überall. AES-256 im Ruhezustand über jede Datenbank, jeden Objektspeicher und jedes Backup. Transport Layer Security 1.3 während der Übertragung bei jedem API-Aufruf, Webhook und jeder Business Console-Sitzung. Biometrische Daten werden unter einem separaten Customer Master Key verschlüsselt.

Die Aufbewahrung liegt in deiner Hand. Die Standardaufbewahrungsfrist ist unbegrenzt, es sei denn, du konfigurierst eine kürzere, zwischen 30 Tagen und 10 Jahren pro Anwendung, und du kannst jede einzelne Sitzung jederzeit über das Dashboard oder die API löschen.

Zertifizierungen: SOC 2 Typ 1 (Typ 2 Audit läuft), ISO/IEC 27001:2022, iBeta Level 1 PAD und eine öffentliche Bestätigung des spanischen Tesoro / SEPBLAC / CNMV, dass Didits Fernidentitätsprüfung sicherer ist als die persönliche Verifizierung. Vollständiger Bericht unter /security-compliance.

Ist Didit für meine Branche konform?

Didit ist standardmäßig konform für die Regulierungsbehörden, die für die Identitätsinfrastruktur relevant sind:

  • GDPR + UK GDPR, Aufteilung in Verantwortlichen und Auftragsverarbeiter, vollständige Datenverarbeitungsvereinbarung veröffentlicht, federführende Aufsichtsbehörde benannt (spanische AEPD).
  • AMLD6 + EU AML Single Rulebook, über 1.300 Sanktions-, politisch exponierte Personen- und Adverse-Media-Listen werden in Echtzeit geprüft.
  • eIDAS 2.0, EU Digital Identity Wallet konform; bereit für wiederverwendbare Identitäten.
  • MiCA (Markets in Crypto-Assets), bereit für Krypto-On-Ramps, Börsen und Verwahrstellen.
  • DORA, Digital Operational Resilience Act, operative Resilienz für Finanzdienstleistungen in der EU.
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, US-Biometrie-Datenschutz (Illinois, Texas, Washington) und kalifornischer Verbraucherdatenschutz.
  • UK Online Safety Act, Altersverifikation und Kinderschutzpflichten.
  • FATF Travel Rule, Originator- und Begünstigtendaten bei Krypto-Transfers, IVMS-101 interoperabel.

Detailliertes Memo, jedes Zertifikat, jeder Regulierungsbrief: /security-compliance.

Wie schnell kann ich Didit integrieren und mit der Nutzerverifizierung starten?
  • 60 Sekunden für ein Sandbox-Konto auf business.didit.me, keine Kreditkarte erforderlich.
  • 5 Minuten für eine funktionierende Verifizierung über Claude Code, Cursor oder jeden anderen Coding Agenten via unserem Model Context Protocol (MCP) Server.
  • Ein Wochenende für eine produktionsreife Integration mit signierter Webhook-Verifizierung, Retries und einem Remediation-Flow, falls ein Nutzer abgelehnt wird.

Drei Integrationspfade, wähle den, der am besten zu deinem Stack passt:

  • Nativ einbetten mit unseren Web-, iOS-, Android-, React Native- oder Flutter-SDKs.
  • Nutzer weiterleiten zur gehosteten Verifizierungsseite, kein SDK nötig.
  • Einen Link senden per E-Mail, SMS, WhatsApp oder jedem anderen Kanal, keine Frontend-Arbeit.

Das gleiche Dashboard, die gleiche Abrechnung, der gleiche Pay-per-Success-Preis für alle drei Optionen. Eine Schritt-für-Schritt-Anleitung findest du unter docs.didit.me/integration/integration-prompt.

Wie funktioniert das auf iOS, Android und im Web?

Die gleiche POST /v3/session/ API auf jeder Oberfläche, die nutzerseitige Erfassung unterscheidet sich:

  • Web (Desktop-Browser), Didit startet den Authentifizierungsfluss in einem Popup; das Telefon des Nutzers erhält eine Push-Benachrichtigung, schließt die Biometrie auf dem Telefon ab, und das Popup schließt sich mit dem genehmigten Ergebnis. Universal-Link-Übergabe, wenn der Nutzer auf mobilem Web ist.
  • Native iOS / Android, integriere das Didit iOS oder Android SDK, rufe die Auth-Methode auf, der OS-native biometrische Prompt erscheint (Face ID, Touch ID, Fingerabdruck), gestützt durch das Secure Enclave.
  • React Native / Flutter / Cordova, offizielle SDKs umschließen die nativen Module; identische API-Oberfläche.
  • MCP Server, wenn die Authentifizierung hinter einem AI-Agenten liegt, ruft der Agent das Auth-Tool auf, der Nutzer erhält eine Push-Benachrichtigung auf seinem Telefon, genehmigt, und das Ergebnis wird zurückgegeben.

Dieselbe biometrische Vorlage, die der Nutzer zum KYC-Zeitpunkt registriert hat, unterstützt jede Authentifizierung, keine erneute Registrierung, kein separater Flow.

Funktioniert das auch außerhalb von PSD3 / der EU?

Ja, das gleiche Auth-Bundle erfüllt die meisten gleichwertigen globalen Regeln:

  • Vereinigtes Königreich, die Strong Customer Authentication-Regeln der FCA spiegeln PSD2/PSD3 im Wesentlichen wider; Didits Auth-Bundle ist qualifiziert.
  • Vereinigte Staaten, kein landesweites SCA-Mandat, aber Bankenaufsichtsbehörden (OCC, Federal Reserve) und der Federal Financial Institutions Examination Council (FFIEC) empfehlen Multi-Faktor-Authentifizierung für hochvolumige Transaktionen; Didit lässt sich hier integrieren.
  • Singapur, die Monetary Authority of Singapore (MAS) Notice 644 schreibt SCA für Internet-Banking vor.
  • Indien, die Zwei-Faktor-Authentifizierung der Reserve Bank of India ist bei jeder inländischen Kartentransaktion obligatorisch.
  • Brasilien, die Regeln der Banco Central stimmen mit PSD2-ähnlicher SCA bei Sofortzahlungen überein.
  • Australien, Japan, Südkorea, gleichwertige Multi-Faktor-Authentifizierungsanforderungen für Bankgeschäfte und hochvolumigen E-Commerce.

Eine API, ein Auth-Bundle, jede Jurisdiktion. Die Ausnahmeregelungen ändern sich; der technische Vertrag nicht.

Wie sehen die Nachweise für ein Authentifizierungsereignis für einen Prüfer aus?

Jede Authentifizierung erzeugt einen signierten Nachweisdatensatz, der über die Business Console exportiert werden kann:

  • Die Auth-Challenge, Zeitstempel, Session-ID, angeforderte Faktoren.
  • Das biometrische Ergebnis, Pass/Fail der passiven Lebenderkennung, Ähnlichkeits-Score des Face Match (verknüpft mit dem KYC-Referenz-Selfie des Nutzers), iBeta Level 1 Anti-Spoofing-Anspruch.
  • Das Geräte-Ergebnis, Geräte-Fingerabdruck, IP-Geolokalisierung, VPN/Proxy/Rechenzentrums-Flags, 200+ Betrugssignal-Score.
  • Die Dynamic-Linking-Payload, Betrag, Zahlungsempfänger, Zeitstempel, Ende-zu-Ende signiert.
  • Der vollständige Audit-Trail, jeder Schritt vom Status Pending zu Approved oder Declined, mit Prüfernotizen bei Eskalation.
  • HMAC SHA-256 Signatur auf der Payload, um die Nachweiskette belegbar zu machen.

Alle Datensätze werden in der Europäischen Union (EU-Rechenzentren) gespeichert und unbegrenzt aufbewahrt, solange dein Abonnement aktiv ist. Die Standard-Datenaufbewahrung beträgt 5 Jahre gemäß den EU-AML- und Zahlungsregeln, erweiterbar gemäß den Anweisungen deiner Aufsichtsbehörde.

Infrastruktur für Identität und Betrugsprävention.

Eine API für KYC, KYB, Transaktionsüberwachung und Wallet-Screening. In 5 Minuten integriert.

Lass dir diese Seite von einer KI zusammenfassen