NuevoSOC 2 Tipo 1
Auditoría independiente de nuestros controles de seguridad, disponibilidad y confidencialidad, emitida por ATOM en abril de 2026. La auditoría Tipo 2 está en curso.
Gestionamos las licencias, filiales y auditorías para que tu equipo de cumplimiento y riesgos avance más rápido. Activa un interruptor y lanza tu servicio en cualquier país cumpliendo la normativa, incluyendo SOC 2 Tipo 1, ISO/IEC 27001 y la certificación del Tesoro de la UE.
“La verificación NFC + prueba de vida activa de Didit ofrece una seguridad equivalente o superior a la verificación presencial.”
Noviembre 2024, Julio 2025 · Sandbox financiero (Ley 7/2020), 4ª cohorte · supervisado por Tesoro Público, Banco de España, SEPBLAC y CNMV.
Detección de vida, deepfakes, clasificadores de documentos, coincidencia facial, detección de ataques de inyección, riesgo de comportamiento… cada modelo reside en nuestra propia pipeline de entrenamiento y servicio.
El tráfico de producción alimenta una cola de revisión en tiempo real. La desviación, la tasa de falsos positivos, los cambios en los patrones de ataque y la calidad de la señal por país se monitorizan continuamente; los umbrales se reajustan sin necesidad de cambiar el código del cliente.
Cada modelo se integra en línea en la sesión. Inferencia p99 en menos de 2 segundos, sin viajes de ida y vuelta adicionales, sin pasos extra. El usuario legítimo finaliza la verificación en el mismo flujo; solo el atacante ve un camino diferente.
NuevoAuditoría independiente de nuestros controles de seguridad, disponibilidad y confidencialidad, emitida por ATOM en abril de 2026. La auditoría Tipo 2 está en curso.

Certifica que nuestra gestión de seguridad de la información cubre las verificaciones de Didit de principio a fin. Emitido por Bureau Veritas, válido hasta junio de 2027.

Prueba biométrica anti-spoofing: 360 intentos en seis categorías de ataque, ninguno superado. Realizada en el laboratorio NVLAP 200962, acreditado por NIST.
Un sandbox de un año de duración, supervisado por cuatro reguladores financieros españoles, concluyó que la verificación remota de Didit es al menos tan segura como las comprobaciones de identidad presenciales. Ningún otro proveedor de identidad tiene esto.

Cumplimiento total del Reglamento General de Protección de Datos (RGPD) como Encargado del Tratamiento. Acuerdo de Tratamiento de Datos y Medidas Técnicas y Organizativas disponibles bajo petición.

Opinión legal independiente: el onboarding remoto de Didit cumple con las Directrices de la Autoridad Bancaria Europea sobre el onboarding remoto de clientes (EBA/GL/2022/15) y es compatible con el próximo Reglamento Único contra el Blanqueo de Capitales (AML) de la UE y la regulación de Mercados de Criptoactivos (MiCA).
Cada sesión se cifra en reposo con claves AES (Advanced Encryption Standard) de 256 bits. Las claves nunca tocan nuestro código de aplicación; residen en AWS KMS (Key Management Service), con claves separadas para entornos de prueba y producción.
Cada llamada a la API, webhook y sesión de la Consola de Negocio se cifra mediante TLS (Transport Layer Security) 1.3 con reglas de cifrado estrictas. Los protocolos antiguos no pueden acceder; HSTS (HTTP Strict Transport Security) se aplica en todo el sitio.
Las sesiones se procesan y almacenan en la Unión Europea por defecto en AWS. Las empresas pueden habilitar la residencia en el país, sujeta a disponibilidad, para que los equipos de cualquier mercado utilicen Didit de forma conforme.
Elige cuánto tiempo Didit conserva cada sesión,desde un mes hasta diez años, por aplicación en la Consola de Negocio. Las implementaciones de mínima huella pueden eliminar la sesión tan pronto como llegue el webhook.
Tú eliges exactamente qué datos recopila Didit; todo lo demás se elimina. Por defecto, solo se conservan las plantillas biométricas y los metadatos; los selfies sin procesar y el vídeo de prueba de vida se eliminan en el momento en que se cierra la sesión.
Acceso completo a las solicitudes de acceso del interesado (DSAR) y derecho de supresión bajo demanda a través de la API pública. Los usuarios finales envían DSAR desde la aplicación Didit Identity; tu equipo los activa con una llamada DELETE en el endpoint de sesiones. Se aplica en cada réplica: sin eliminación suave ni cubo de archivo.
Cero filtraciones de datos desde que Didit se lanzó en 2023. La seguridad está integrada en cada capa de la plataforma.
status.didit.me, cada incidente, cada post-mortem, sin necesidad de iniciar sesión. 100% de tiempo de actividad en los últimos 6 meses.Solicita el Paquete de Confianza en esta página, informe SOC 2, certificado ISO, informe iBeta, certificación de Tesoro, Acuerdo de Procesamiento de Datos (DPA), lista de subprocesadores, enviado el mismo día hábil bajo un Acuerdo de Confidencialidad (NDA) firmado.
Sí. La infraestructura se escala en tiempo real y soporta millones de verificaciones al día.
status.didit.me, no necesitas iniciar sesión.Los niveles de volumen en la página de precios se activan automáticamente a medida que creces, sin cambios de contrato, sin renegociaciones manuales.
Tú eliges, por flujo de trabajo. Didit no tiene una lista fija de lo que guardamos. Tu equipo de cumplimiento configura cada aplicación en la Consola de Negocio, y el flujo de trabajo solo recopila y almacena lo que tú le indiques.
La pestaña Datos devueltos te ofrece un interruptor para cada categoría:
La lista exacta de interruptores depende de los módulos de tu flujo de trabajo, revísalos cuando configures el flujo de trabajo en la Consola de Negocio en Datos devueltos.
Tú eres el Responsable del Tratamiento de Datos. Didit es el Encargado del Tratamiento de Datos. Esta es la configuración del Artículo 28 del Reglamento General de Protección de Datos (GDPR) que la mayoría de los compradores regulados esperan.
Te recomendamos que permitas a Didit almacenar y acceder a los datos en tu nombre. La mayoría de nuestros clientes lo hacen. Proteger los datos de identidad a escala de internet es un trabajo a tiempo completo: cifrado reforzado, rotación de claves, detección de intrusiones, gestión de vulnerabilidades, renovaciones de certificaciones, residencia regional, herramientas para los derechos de los interesados, notificación de infracciones. Los equipos de seguridad y plataforma de Didit se centran en ello cada día para que tus equipos de cumplimiento e ingeniería no tengan que hacerlo. Tú mantienes el control total a través de la Consola de Negocio, cada regla de retención, cada Solicitud de Acceso del Interesado (DSAR), cada eliminación es tuya para activar.
Unión Europea por defecto. Región específica o en el país disponible para Enterprise.
El despliegue por defecto se ejecuta en Amazon Web Services (AWS) en la UE. Los datos se cifran en reposo y en tránsito, con claves de cifrado en poder de AWS y separadas por entorno.
Cuando los datos cruzan una frontera, están protegidos por las Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea de 2021. La Evaluación de Impacto de Transferencia (TIA) correspondiente se incluye en el Paquete de Confianza de esta página.
Tú estableces la ventana de retención. Desde 1 mes hasta 10 años, por aplicación. La aplicación es automática.
En la Consola de Negocio configuras:
Si quieres que Didit no guarde nada después del veredicto, llama a POST /v3/sessions/:session_id/delete/ desde tu manejador de webhook y la sesión desaparecerá en el momento en que tu sistema registre su propia copia del resultado, Didit nunca retiene los datos más allá de la llamada. Referencia completa en docs.didit.me/sessions-api/delete-session.
Un endpoint por derecho.
GET /v3/sessions/:session_id/decision/. Referencia en docs.didit.me/sessions-api/retrieve-session.POST /v3/sessions/:session_id/delete/ elimina la sesión y todos los artefactos vinculados. Referencia en docs.didit.me/sessions-api/delete-session.Cinco acreditaciones externas en archivo. Todas incluidas en el Paquete de Confianza.
ES144068, válido hasta el 03-06-2027).EBA/GL/2022/15) y la regulación MiCA.Solicita el Paquete de Confianza en esta página y te enviaremos cada informe, certificado y memorándum el mismo día hábil bajo un Acuerdo de Confidencialidad (NDA) firmado.
Reconocimiento mutuo en toda la Unión Europea (UE), y un rastro de auditoría defendible ante el regulador.
El Tesoro Público, el Banco de España, el SEPBLAC y la CNMV de España llevaron a cabo un sandbox financiero de un año (noviembre de 2024, julio de 2025) sobre el flujo de incorporación de Didit con lectura de chip de Comunicación de Campo Cercano (NFC) y prueba de vida activa. El informe oficial de conclusiones, publicado en tesoro.es, concluye que la verificación remota de Didit cumple o supera el nivel de seguridad de la identificación presencial según la Directiva Anti-Lavado de Dinero (AMLD).
Para tu equipo de cumplimiento, esto significa:
Didit es el único proveedor de verificación de identidad con esta certificación en el registro público.
Sí, y probablemente ya estamos trabajando en ello. Didit busca activamente más de 10 certificaciones, licencias y aprobaciones regulatorias en diferentes mercados y verticales en cualquier momento: autorizaciones de pago, registros de cripto y Mercados de Criptoactivos (MiCA), aprobaciones de supervisores de Anti-Lavado de Dinero (AML), estado de Proveedor de Servicios de Confianza Cualificado (QTSP) eIDAS 2.0, informes a Unidades de Inteligencia Financiera (FIU) regionales y autorizaciones específicas por vertical (iGaming, salud, banca).
Si hay una licencia o certificación que tu equipo de cumplimiento necesita que Didit tenga, envía un correo electrónico a `security@didit.me`. Lo más probable es que ya esté en nuestra cola, y si no lo está, tu solicitud la impulsará en la lista. Te responderemos con:
Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.