Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 21 de mayo de 2026

Didit y DORA: Gestión del Riesgo TIC de Terceros para la Identidad (ES)

DORA responsabiliza a las entidades financieras por los terceros TIC de los que dependen, incluidos los proveedores de identidad. Así es como la certificación ISO 27001 de Didit, la certificación SOC 2 Tipo 1 y la postura de.

Por DiditActualizado el
didit-dora-compliance.png

La Ley de Resiliencia Operativa Digital (DORA) cambió el significado de la subcontratación. A partir de enero de 2025, las entidades financieras de toda la UE son directamente responsables de la resiliencia operativa de los terceros de tecnología de la información y la comunicación (TIC) de los que dependen, y un proveedor de verificación de identidad que se encuentra en el flujo de incorporación de un banco, una institución de dinero electrónico o un proveedor de servicios de criptoactivos es exactamente ese tipo de tercero TIC.

Esto plantea una nueva pregunta en cada llamada de adquisición: ¿puede demostrar que su proveedor es resiliente y puede documentar esa prueba para su regulador? Esta guía explica lo que DORA exige a los terceros TIC y muestra exactamente cómo las certificaciones, los controles y el seguimiento de auditoría de Didit respaldan un archivo de proveedor listo para DORA.

Puntos clave

  • DORA hace que la entidad financiera sea responsable de los terceros TIC que utiliza, incluidos los proveedores de identidad y fraude. No se puede externalizar la responsabilidad, solo el trabajo.
  • Didit está certificada ISO/IEC 27001:2022 (Bureau Veritas, acreditada por ENAC, certificado nº ES144068, válido hasta el 03-06-2027), un sistema de gestión de seguridad de la información reconocido internacionalmente que se alinea directamente con las expectativas de gestión de riesgos TIC de DORA.
  • Didit posee una certificación SOC 2 Tipo 1 (ATOM, a partir del 09-04-2026) en los criterios de confianza de Seguridad, Disponibilidad y Confidencialidad, con un examen Tipo 2 planificado.
  • Cada verificación deja un seguimiento de auditoría inmutable: estados, decisiones y eventos de webhook que su equipo puede reproducir para la notificación de incidentes y el registro de TIC.
  • El ciclo de vida completo de identidad y fraude se ejecuta en una API unificada /v3/, por lo que la resiliencia, el monitoreo y los informes se concentran en un proveedor responsable en lugar de dispersarse en muchos.

Lo que DORA exige

DORA es el marco de la UE para la resiliencia operativa digital en el sector financiero. En lugar de tratar la ciberseguridad como una preocupación secundaria, construye cinco pilares en una única regulación:

  1. Gestión de riesgos TIC: un marco documentado para identificar, proteger, detectar, responder y recuperarse de incidentes relacionados con las TIC.
  2. Notificación de incidentes TIC: clasificar y notificar incidentes importantes a las autoridades competentes dentro de los plazos establecidos.
  3. Pruebas de resiliencia operativa digital: pruebas regulares de los sistemas TIC, hasta pruebas de penetración basadas en amenazas para entidades significativas.
  4. Gestión de riesgos de terceros TIC: el pilar que afecta a proveedores como Didit: diligencia debida, salvaguardias contractuales, un registro de información sobre cada acuerdo TIC y la capacidad de monitorear y salir.
  5. Intercambio de información: intercambio voluntario de inteligencia sobre ciberamenazas.

El cuarto pilar es el que un proveedor debe responder. DORA espera que la entidad financiera mantenga un registro de información que describa cada acuerdo con terceros TIC, que realice la diligencia debida antes de contratar, que asegure derechos contractuales específicos (auditoría, acceso, transparencia de la subcontratación, salida) y que evalúe el riesgo de concentración. El trabajo del proveedor es facilitar la evidencia de todo esto.

Por qué es importante

La verificación de identidad rara vez es un sistema periférico. Se encuentra en la ruta crítica de la incorporación de clientes, y cada vez más del monitoreo continuo a través del cribado de transacciones. Si esa función se degrada, la incorporación se detiene y los ingresos también. DORA trata exactamente este tipo de dependencia como algo sobre lo que el regulador puede preguntar.

La consecuencia práctica: cuando una entidad financiera agrega un proveedor de identidad a su registro TIC, necesita una garantía documentada sobre los controles de seguridad de ese proveedor, los compromisos de disponibilidad y la postura ante incidentes. Un proveedor que puede entregar certificaciones reconocidas y un seguimiento de auditoría limpio acorta la diligencia debida de meses a días. Un proveedor que no puede se convierte en un hallazgo.

Cómo ayuda Didit

La postura de cumplimiento de Didit está diseñada para encajar en un archivo de proveedor DORA con evidencia, no promesas.

Certificación ISO/IEC 27001:2022. Didit opera un Sistema de Gestión de Seguridad de la Información (SGSI) certificado. El certificado —Bureau Veritas Certification, acreditado por ENAC, cert. nº ES144068, certificado originalmente el 07-04-2026 y válido hasta el 03-06-2027, emitido a DIDIT IDENTITY SPAIN S.L.— cubre el desarrollo, operación y soporte técnico de la solución de identidad digital de Didit. ISO 27001 es la base internacional para la gestión de riesgos TIC: requiere un marco documentado, controles definidos, evaluación de riesgos y mejora continua, las mismas disciplinas que el primer pilar de DORA espera de las entidades que confían en Didit. El certificado es distribuible, por lo que puede ir directamente al archivo de registro.

Certificación SOC 2 Tipo 1. Didit posee un informe SOC 2 Tipo 1 de ATOM (un auditor de servicios independiente bajo el marco AICPA SOC para Organizaciones de Servicios), que certifica el diseño de los controles en Seguridad, Disponibilidad y Confidencialidad a partir del 09-04-2026. La disponibilidad es el criterio que más le importa a DORA para una dependencia crítica de incorporación. Se planea un examen Tipo 2, que prueba la efectividad operativa durante un período. El informe SOC 2 completo es de uso restringido según las reglas de AICPA y se comparte con posibles clientes y clientes bajo NDA; Didit lo menciona aquí en lugar de publicar su contenido.

Seguimiento de auditoría y evidencia de incidentes. Cada verificación, cada decisión de monitoreo de transacciones y cada cambio de estado se registra y expone a través de la API unificada /v3/ y los webhooks (session.status.updated, transaction.status.updated y eventos relacionados). Esto le da a una entidad financiera un registro reproducible y con marca de tiempo que puede incorporar a sus propias obligaciones de notificación de incidentes y pruebas de resiliencia, y un flujo de datos claro para documentar en el registro.

Un proveedor responsable. Debido a que la identidad, la verificación comercial, el cribado AML, el monitoreo de transacciones y el cribado de billeteras se ejecutan en la misma API /v3/, una entidad financiera concentra una función crítica con un único tercero TIC certificado en lugar de conectar varios. Menos acuerdos en el registro, una relación contractual que gobernar, un conjunto de certificaciones que mantener.

Análisis en profundidad: creación de la entrada del registro TIC para Didit

Una entrada del registro de información DORA para un proveedor de identidad generalmente necesita capturar la función proporcionada, su criticidad, las salvaguardias contractuales y la evidencia de aseguramiento. Con Didit, eso se mapea limpiamente:

Elemento del registro DORALo que Didit proporciona
Descripción del servicio TICVerificación de identidad (KYC), verificación comercial (KYB), cribado AML, monitoreo de transacciones, cribado de billeteras — API unificada /v3/
Criticidad / función soportadaIncorporación de clientes y monitoreo continuo — típicamente una función crítica o importante
Aseguramiento de seguridadCertificado ISO/IEC 27001:2022 nº ES144068 (distribuible)
Aseguramiento operativoSOC 2 Tipo 1 (Seguridad, Disponibilidad, Confidencialidad), a partir del 09-04-2026 (bajo NDA)
Ubicación / procesamiento de datosDocumentado en el acuerdo de procesamiento de datos; entidad de la UE DIDIT IDENTITY SPAIN S.L.
Derechos de auditoría / accesoDerechos de auditoría contractuales; seguimiento de auditoría completo de la API y registro de eventos de webhook
Salida / portabilidadExportación API estándar de registros de sesión y transacciones

Las certificaciones realizan el trabajo pesado en las filas de aseguramiento. El centro de documentación y seguridad de Didit en didit.me/security-compliance es el único lugar para recopilar los artefactos que su equipo de diligencia debida necesita.

Casos de uso

  • Bancos y EMIs de la UE que añaden la incorporación remota sin expandir su huella de registro TIC: un proveedor certificado, un acuerdo.
  • Proveedores de servicios de criptoactivos bajo MiCA, que también están bajo DORA, que necesitan tanto la incorporación como el monitoreo de transacciones de un tercero resiliente.
  • Instituciones de pago que deben evidenciar la disponibilidad y seguridad de una dependencia de incorporación a una autoridad competente cuando se les solicite.
  • Equipos de cumplimiento y adquisiciones que desean certificaciones y evidencia de auditoría entregadas por adelantado, no perseguidas durante un examen.

Preguntas frecuentes

¿Aplica DORA directamente a los proveedores de verificación de identidad?

Las obligaciones de DORA recaen en la entidad financiera, pero alcanzan a terceros TIC como los proveedores de identidad a través del pilar de gestión de riesgos de terceros. La entidad financiera debe realizar la diligencia debida, asegurar los derechos contractuales y registrar el acuerdo, lo que significa que el proveedor debe poder evidenciar su resiliencia.

¿Está Didit certificada con la ISO 27001?

Sí. Didit posee un certificado ISO/IEC 27001:2022 (Bureau Veritas, acreditado por ENAC), certificado nº ES144068, válido hasta el 03-06-2027, emitido a DIDIT IDENTITY SPAIN S.L. El certificado es distribuible para su archivo de proveedor.

¿Está Didit certificada con la SOC 2?

Didit posee una certificación SOC 2 Tipo 1 (ATOM) en Seguridad, Disponibilidad y Confidencialidad, a partir del 09-04-2026. Se planea un examen SOC 2 Tipo 2. El informe completo se comparte bajo NDA.

¿Puedo obtener un seguimiento de auditoría para la notificación de incidentes de DORA?

Sí. Cada evento de verificación y monitoreo de transacciones se registra y expone a través de la API /v3/ y los webhooks, lo que le brinda un registro reproducible y con marca de tiempo para la notificación de incidentes y la documentación de resiliencia.

¿Dónde obtengo los documentos de certificación?

Comience en el centro de seguridad y cumplimiento de Didit en didit.me/security-compliance. El certificado ISO 27001 es distribuible; el informe SOC 2 Tipo 1 se comparte bajo NDA.

¿Listo para empezar?

Vea toda la pila de certificaciones de Didit en el centro de seguridad y cumplimiento, explore cómo la verificación de identidad encaja en un flujo de incorporación de la UE en la página de producto de verificación de identidad y revise los precios transparentes por verificación en la página de precios. Cuando esté listo, comience gratis: 500 verificaciones KYC gratuitas cada mes, en la misma API unificada /v3/ que documentará su registro DORA.

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
Didit y DORA: Riesgo TIC de Terceros | Didit.