Cumplimiento desde el Diseño: El Completo Conjunto de Atestaciones de Didit (ES)

Cualquiera puede decir que su plataforma de identidad es segura y cumple con las normativas. Muchísimos menos pueden entregarle los informes independientes que lo demuestran. La postura de cumplimiento de Didit es un activo demostrable: cinco atestaciones externas — que cubren la seguridad de la información, la biometría anti-suplantación y la adecuación legal del onboarding remoto — incluyendo la única atestación gubernamental de un estado miembro de la UE de que una herramienta de verificación de identidad remota cumple y supera los estándares de identificación presencial.

Esta publicación es el único lugar para comprender el conjunto completo: qué es cada atestación, quién la emitió, qué cubre exactamente y cómo puede usarla en la debida diligencia, las RFP y las adquisiciones. No hay exageración: los niveles y las fechas se establecen con precisión, porque en el cumplimiento, la precisión es el valor.

Puntos clave

• SOC 2 Tipo 1 — atestación de control de la organización de servicios (Seguridad, Disponibilidad, Confidencialidad) por ATOM, a fecha de 2026-04-09. Examen Tipo 2 planificado. Uso restringido (NDA).
• ISO/IEC 27001:2022 — sistema de gestión de seguridad de la información, certificado por Bureau Veritas, cert nº ES144068, válido hasta el 2027-06-03. Distribuible.
• iBeta Nivel 1 PAD — Detección de Ataques de Presentación biométricos bajo ISO/IEC 30107-3, 0% de éxito de ataque / 0% IAPAR en 360 intentos. Distribuible.
• Tesoro / SEPBLAC / CNMV — conclusión del sandbox financiero español de que la verificación remota de Didit cumple y supera la identificación presencial. Publicado públicamente, permanente. El diferenciador insignia de la UE.
• finReg360 — memo EBA/GL/2022/15 — opinión legal independiente (2026-04-28) de que el onboarding remoto de Didit es adecuado según las directrices de onboarding remoto de la EBA y el Libro Único de Normas AML de la UE. Distribuible.
• Juntos, cubren las tres preguntas que todo comprador se hace: ¿su seguridad es sólida, su biometría es resistente a la suplantación y su onboarding es legalmente adecuado?

Lo que requiere el "cumplimiento desde el diseño"

Un comprador que evalúa a un proveedor de verificación de identidad está realmente realizando tres auditorías a la vez:

1. Seguridad de la información — ¿es la plataforma en sí segura? ¿Están protegidos los datos del cliente? ¿Están los controles diseñados y gestionados según un estándar reconocido?
2. Integridad biométrica — ¿se pueden engañar la vivacidad y la coincidencia facial con fotos, reproducciones, máscaras o deepfakes?
3. Adecuación regulatoria — ¿el uso de esta herramienta satisface realmente la ley a la que está sujeto el comprador, especialmente para el onboarding remoto?

Un proveedor que responde a las tres con evidencia independiente de terceros — en lugar de una autoevaluación — reduce un ciclo de debida diligencia de varias semanas a una carpeta de documentos. Eso es lo que significa "cumplimiento desde el diseño" en la práctica: la prueba existe antes de que el comprador la solicite.

Por qué es importante

La evidencia de cumplimiento ya no es un "agradable tener" al final del ciclo de ventas, es una puerta de entrada. Los equipos de adquisiciones de bancos y EMI, los MLRO de VASP de criptomonedas y los revisores de seguridad empresarial no firmarán sin ella. El cuestionario llega temprano y el trato se estanca hasta que los artefactos llegan.

El proveedor que puede producir inmediatamente un informe SOC 2, un certificado ISO 27001, un resultado iBeta, una conclusión de sandbox gubernamental y una opinión legal independiente no solo pasa la puerta, sino que acorta el ciclo y reduce el riesgo de la decisión para el equipo de cumplimiento del comprador. Cada atestación elimina una razón para decir que no.

Cómo ayuda Didit: las cinco atestaciones

1. SOC 2 Tipo 1 (ATOM)

Una atestación de control de la organización de servicios contra los Criterios de Servicios de Confianza de AICPA para Seguridad, Disponibilidad y Confidencialidad, emitida por ATOM. Informa sobre el diseño de los controles de Didit a fecha de 2026-04-09. Un examen Tipo 2 — eficacia operativa durante un período — es el siguiente paso planificado. El informe completo es de uso restringido según las reglas de AICPA y se comparte con prospectos y clientes que tienen una necesidad legítima y un NDA vigente. Úselo para cuestionarios de seguridad empresarial de EE. UU. y adquisiciones de fintech.

2. ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068)

Certificación del sistema de gestión de seguridad de la información, ciberseguridad y privacidad de Didit, emitida por Bureau Veritas Certification (acreditado por ENAC). Número de certificado ES144068, certificado originalmente el 2026-04-07, válido hasta el 2027-06-03. Evidencia un sistema de seguridad de la información gestionado y auditado — el estándar que esperan los clientes de adquisiciones de la UE y los clientes financieros regulados. Distribuible bajo petición.

3. iBeta Nivel 1 PAD (ISO/IEC 30107-3)

Una evaluación independiente de Detección de Ataques de Presentación biométrica por iBeta Quality Assurance (un laboratorio acreditado por NIST/NVLAP) contra ISO/IEC 30107-3, Nivel 1. La prueba ejecutó 6 tipos de ataques de presentación en sujetos inscritos para 360 intentos de ataque — y registró una tasa de éxito de ataque del 0% / 0% IAPAR. Esta es la evidencia auditada detrás de las afirmaciones anti-suplantación de Didit. Distribuible bajo petición. (Es Nivel 1, no Nivel 2 — declarado con precisión).

4. Conclusión del sandbox Tesoro / SEPBLAC / CNMV

El diferenciador insignia. Dentro del sandbox financiero español, la CNMV de España — revisando en coordinación con SEPBLAC (la Unidad de Inteligencia Financiera española) — concluyó que la verificación de identidad remota de Didit (lectura criptográfica de chip NFC más biometría facial con vivacidad activa) cumple y supera los estándares de identificación presencial. Las pruebas se realizaron desde 2024-11 hasta 2025-07, con conclusiones publicadas en febrero de 2026 en el sitio web del Tesoro español. Esta es la única atestación gubernamental de un estado miembro de la UE de su tipo, está publicada públicamente y es permanente. Distribuible.

5. finReg360 — memo de adecuación EBA/GL/2022/15

Una opinión legal independiente de finReg360 (Madrid), fechada el 2026-04-28, que concluye que la herramienta de onboarding de clientes remota de Didit cumple con las Directrices de la EBA sobre onboarding de clientes remotos (EBA/GL/2022/15) y es compatible con el próximo Libro Único de Normas AML de la UE — y que el proceso de videoidentificación no requiere revisión manual humana cuando los controles automatizados de Didit están implementados. El documento que un MLRO puede presentar a una junta o supervisor. Distribuible bajo petición.

Análisis profundo: qué atestación responde a qué pregunta

Diferentes compradores tienen diferentes preocupaciones. Aquí le indicamos cómo buscar el documento correcto:

• "¿Su plataforma es segura / cómo protegen nuestros datos?" → SOC 2 Tipo 1 (bajo NDA) e ISO/IEC 27001:2022 (cert ES144068).
• "¿Se puede suplantar su vivacidad?" → iBeta Nivel 1 PAD: 0% de éxito de ataque en 360 intentos.
• "¿El uso de su servicio realmente satisface nuestras obligaciones de onboarding remoto?" → el memo finReg360 EBA/GL/2022/15, respaldado por la conclusión gubernamental Tesoro/SEPBLAC/CNMV.
• "¿Por qué deberíamos confiar en el remoto sobre el presencial?" → la conclusión Tesoro/SEPBLAC/CNMV de que Didit cumple y supera la identificación presencial.

Una nota sobre el intercambio: ISO 27001, iBeta, el informe Tesoro/SEPBLAC/CNMV y el memo finReg360 son distribuibles bajo petición; el informe SOC 2 es de uso restringido y se comparte solo bajo NDA. Las atestaciones se referencian en los materiales; el informe restringido en sí no se publica.

Casos de uso

• Adquisiciones empresariales y bancarias que requieren SOC 2 e ISO 27001 antes de firmar.
• MLRO de VASP de criptomonedas que necesitan evidencia de adecuación legal para el onboarding remoto según las reglas de la UE.
• Equipos de seguridad que evalúan la biometría anti-suplantación con un resultado de laboratorio independiente.
• Ventas en la UE donde la conclusión del sandbox gubernamental es el diferenciador decisivo frente a los competidores.

Preguntas frecuentes

¿El SOC 2 de Didit es Tipo 1 o Tipo 2?

Es una atestación Tipo 1, que informa sobre el diseño de los controles a fecha de 2026-04-09. Se ha planificado un examen Tipo 2. El informe es de uso restringido y se comparte bajo NDA.

¿Qué nivel tiene el resultado iBeta PAD?

Nivel 1 según ISO/IEC 30107-3, con una tasa de éxito de ataque del 0% / 0% IAPAR en 360 intentos de ataque.

¿Qué hace única la conclusión Tesoro/SEPBLAC/CNMV?

Es la única atestación gubernamental de un estado miembro de la UE de que una herramienta de verificación de identidad remota cumple y supera la identificación presencial, y está publicada públicamente y es permanente.

¿Qué documentos puedo recibir sin un NDA?

ISO/IEC 27001:2022, la carta iBeta Nivel 1 PAD, la conclusión Tesoro/SEPBLAC/CNMV y el memo finReg360 son distribuibles bajo petición. El informe SOC 2 Tipo 1 requiere un NDA.

¿Didit es un Proveedor de Servicios de Confianza Cualificado certificado por eIDAS?

No. Didit está alineado y apoya los marcos relevantes de la UE, pero no es un QTSP certificado; estas cinco atestaciones son las que posee actualmente.

¿Listo para empezar?

Vea todas las atestaciones de Didit en el centro de confianza, explore el producto de verificación de identidad y revise los precios transparentes en la página de precios. Cuando esté listo, comience gratis — 500 verificaciones KYC gratuitas cada mes, con un flujo de verificación central desde 0,33 $.