Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Confianza

Nos encargamos del cumplimiento normativo. Lanza verificaciones de identidad en un clic

Gestionamos las licencias, filiales y auditorías para que tu equipo de cumplimiento y riesgos avance más rápido. Activa un interruptor y lanza tu servicio en cualquier país cumpliendo la normativa, incluyendo SOC 2 Tipo 1, ISO/IEC 27001 y la certificación del Tesoro de la UE.

En cifras

En cifras
  • 0%
    Uptime real en los últimos 12 meses. Registrado en vivo en status.didit.me frente al SLO (Service Level Objective) del 99,99%.
  • 0
    Brechas de seguridad importantes desde el lanzamiento de Didit. Probado en producción desde 2023.
  • Millones
    De personas verificadas cada mes en nuestra plataforma de producción.
  • Certificado
    Cumplimos la normativa en todos los lugares donde opera Didit: SOC 2 Tipo 1, ISO/IEC 27001, iBeta Nivel 1 PAD y la certificación del regulador español.
Registro público

Los reguladores dicen que Didit es más seguro que la verificación presencial.

España puso a prueba la lectura remota del chip NFC (Near-Field Communication) de Didit, junto con la prueba de vida activa, y lo registró públicamente como al menos tan seguro como verificar una identificación en persona. Ningún otro proveedor de identidad tiene esta certificación.
Supervisado por
  • Tesoro Público, Tesoro español
  • Banco de España, Banco de España
  • SEPBLAC, Unidad de inteligencia financiera española
  • CNMV, Comisión Nacional del Mercado de Valores
La verificación NFC + prueba de vida activa de Didit ofrece una seguridad equivalente o superior a la verificación presencial.
Tesoro Español, Informe de Conclusiones DIDIT, Febrero 2026

Noviembre 2024, Julio 2025 · Sandbox financiero (Ley 7/2020), 4ª cohorte · supervisado por Tesoro Público, Banco de España, SEPBLAC y CNMV.

Ingeniería antifraude

Un equipo antifraude dedicado. Modelos, monitorización, prevención.

Un equipo centrado únicamente en el fraude construye, entrena y monitoriza los modelos de detección detrás de cada sesión de Didit: deepfakes, ataques de inyección, falsificaciones, identidades sintéticas, mulas de dinero. ¿Un nuevo ataque en la calle? Una nueva señal esa misma semana. Los usuarios legítimos nunca lo notan.
  • Modelos: desarrollados y reentrenados internamente.

    Detección de vida, deepfakes, clasificadores de documentos, coincidencia facial, detección de ataques de inyección, riesgo de comportamiento… cada modelo reside en nuestra propia pipeline de entrenamiento y servicio.

  • Monitorización: cada sesión, cada hora.

    El tráfico de producción alimenta una cola de revisión en tiempo real. La desviación, la tasa de falsos positivos, los cambios en los patrones de ataque y la calidad de la señal por país se monitorizan continuamente; los umbrales se reajustan sin necesidad de cambiar el código del cliente.

  • Prevención: integrada, invisible para el usuario.

    Cada modelo se integra en línea en la sesión. Inferencia p99 en menos de 2 segundos, sin viajes de ida y vuelta adicionales, sin pasos extra. El usuario legítimo finaliza la verificación en el mismo flujo; solo el atacante ve un camino diferente.

Certificaciones

Cada afirmación tiene un documento que la respalda.

Seis certificaciones externas que cubren seguridad, privacidad, anti-spoofing biométrico, adecuación regulatoria y reconocimiento gubernamental. Cada tarjeta te lleva a un documento real, no a un PDF de marketing.
Insignia de certificación SOC 2 Tipo 1Nuevo
AICPA · 09-04-2026

SOC 2 Tipo 1

Auditoría independiente de nuestros controles de seguridad, disponibilidad y confidencialidad, emitida por ATOM en abril de 2026. La auditoría Tipo 2 está en curso.

Certificado ISO 27001 emitido por Bureau Veritas
ES144068 · Bureau Veritas

ISO/IEC 27001:2022

Certifica que nuestra gestión de seguridad de la información cubre las verificaciones de Didit de principio a fin. Emitido por Bureau Veritas, válido hasta junio de 2027.

Insignia de cumplimiento iBeta Nivel 1 PAD
ISO/IEC 30107-3 · NIST/NVLAP

iBeta Nivel 1 PAD

Prueba biométrica anti-spoofing: 360 intentos en seis categorías de ataque, ninguno superado. Realizada en el laboratorio NVLAP 200962, acreditado por NIST.

Logotipo del Tesoro Público de España
España · CNMV · SEPBLAC · BdE

Certificación del sandbox del Tesoro

Un sandbox de un año de duración, supervisado por cuatro reguladores financieros españoles, concluyó que la verificación remota de Didit es al menos tan segura como las comprobaciones de identidad presenciales. Ningún otro proveedor de identidad tiene esto.

Insignia de cumplimiento RGPD
UE 2016/679 · DPA · TOMs

RGPD Artículo 32

Cumplimiento total del Reglamento General de Protección de Datos (RGPD) como Encargado del Tratamiento. Acuerdo de Tratamiento de Datos y Medidas Técnicas y Organizativas disponibles bajo petición.

Insignia de cumplimiento EBA / MiCA
EBA/GL/2022/15 · MiCA

Cumplimiento EBA / MiCA

Opinión legal independiente: el onboarding remoto de Didit cumple con las Directrices de la Autoridad Bancaria Europea sobre el onboarding remoto de clientes (EBA/GL/2022/15) y es compatible con el próximo Reglamento Único contra el Blanqueo de Capitales (AML) de la UE y la regulación de Mercados de Criptoactivos (MiCA).

Protección de datos

Qué almacenamos, dónde lo almacenamos y cuánto tiempo lo conservamos.

Tú eres el dueño de los datos; Didit los procesa en tu nombre. Bajo el RGPD (Reglamento General de Protección de Datos), tú eres el Responsable del Tratamiento y Didit es el Encargado del Tratamiento. La plataforma incluye controles del Artículo 32 del RGPD y reglas locales de protección de datos ya integradas.
  • Cifrado en reposoAES-256.

    Cada sesión se cifra en reposo con claves AES (Advanced Encryption Standard) de 256 bits. Las claves nunca tocan nuestro código de aplicación; residen en AWS KMS (Key Management Service), con claves separadas para entornos de prueba y producción.

  • Cifrado en tránsitoTLS 1.3.

    Cada llamada a la API, webhook y sesión de la Consola de Negocio se cifra mediante TLS (Transport Layer Security) 1.3 con reglas de cifrado estrictas. Los protocolos antiguos no pueden acceder; HSTS (HTTP Strict Transport Security) se aplica en todo el sitio.

  • Residencia de datosUE por defecto.

    Las sesiones se procesan y almacenan en la Unión Europea por defecto en AWS. Las empresas pueden habilitar la residencia en el país, sujeta a disponibilidad, para que los equipos de cualquier mercado utilicen Didit de forma conforme.

  • RetenciónDe 1 mes a 10 años.

    Elige cuánto tiempo Didit conserva cada sesión,desde un mes hasta diez años, por aplicación en la Consola de Negocio. Las implementaciones de mínima huella pueden eliminar la sesión tan pronto como llegue el webhook.

  • Manejo de datos biométricosMinimización de datos.

    Tú eliges exactamente qué datos recopila Didit; todo lo demás se elimina. Por defecto, solo se conservan las plantillas biométricas y los metadatos; los selfies sin procesar y el vídeo de prueba de vida se eliminan en el momento en que se cierra la sesión.

  • Derechos del interesadoElimina datos con un solo endpoint.

    Acceso completo a las solicitudes de acceso del interesado (DSAR) y derecho de supresión bajo demanda a través de la API pública. Los usuarios finales envían DSAR desde la aplicación Didit Identity; tu equipo los activa con una llamada DELETE en el endpoint de sesiones. Se aplica en cada réplica: sin eliminación suave ni cubo de archivo.

FAQ

Preguntas de seguridad, respondidas.

Las mismas respuestas que enviamos a los equipos de seguridad de empresas. Cualquier otra cosa, security@didit.me.
¿Qué tan seguro es Didit?

Cero filtraciones de datos desde que Didit se lanzó en 2023. La seguridad está integrada en cada capa de la plataforma.

  • Cero filtraciones, a través de millones de verificaciones y más de 1.500 clientes de pago.
  • Todo está cifrado, tanto cuando los datos se almacenan como cuando se mueven entre sistemas. Las claves de cifrado residen en Amazon Web Services (AWS), separadas para que un sandbox no pueda leer datos de producción.
  • Cada solicitud es verificada. Cada acción es registrada. No hay secretos compartidos entre clientes.
  • Auditado de forma independiente, SOC 2 Tipo 1 (Tipo 2 en progreso), ISO/IEC 27001:2022, y iBeta Nivel 1 de Detección de Ataques de Presentación (PAD) con 0% de éxito en ataques en 360 intentos.
  • Página de estado público en vivo en status.didit.me, cada incidente, cada post-mortem, sin necesidad de iniciar sesión. 100% de tiempo de actividad en los últimos 6 meses.
  • Si algo sucede, te lo comunicamos en horas, mucho antes de la ventana de notificación del Artículo 33 del Reglamento General de Protección de Datos (GDPR). Las empresas Enterprise tienen un ingeniero de guardia 24/7, con un canal dedicado de Slack y WhatsApp.

Solicita el Paquete de Confianza en esta página, informe SOC 2, certificado ISO, informe iBeta, certificación de Tesoro, Acuerdo de Procesamiento de Datos (DPA), lista de subprocesadores, enviado el mismo día hábil bajo un Acuerdo de Confidencialidad (NDA) firmado.

Tengo muchas verificaciones. ¿Didit soportará mi volumen?

Sí. La infraestructura se escala en tiempo real y soporta millones de verificaciones al día.

  • Escalado automático. Si tu tráfico se duplica de la noche a la mañana, la plataforma se expande sola. Sin llamadas de ventas, sin reescritura del plan de capacidad, sin necesidad de avisar.
  • Cada verificación se completa en menos de 2 segundos, incluso en picos de carga. La infraestructura está optimizada para una inferencia rápida de principio a fin.
  • 100% de tiempo de actividad en los últimos 6 meses. Compruébalo en vivo en status.didit.me, no necesitas iniciar sesión.
  • Probado en producción, más de 1.500 clientes de pago en más de 220 países, en producción desde 2023.
  • Diseñado para eventos pico, inicios de apuestas deportivas, lanzamientos de marketplaces, despliegues de verificación de edad. La plataforma gestiona el pico sin que nadie en Didit tenga que mover un dedo.
  • Los contratos Enterprise incluyen garantías por escrito, un Acuerdo de Nivel de Servicio (SLA) sobre velocidad, tiempo de actividad y capacidad, con créditos de facturación si no cumplimos.

Los niveles de volumen en la página de precios se activan automáticamente a medida que creces, sin cambios de contrato, sin renegociaciones manuales.

¿Qué datos almacena Didit y cuánto control tengo sobre ellos?

eliges, por flujo de trabajo. Didit no tiene una lista fija de lo que guardamos. Tu equipo de cumplimiento configura cada aplicación en la Consola de Negocio, y el flujo de trabajo solo recopila y almacena lo que le indiques.

La pestaña Datos devueltos te ofrece un interruptor para cada categoría:

  • Imágenes de documentos de identidad (ID) y campos de la Zona de Lectura Mecánica (MRZ)
  • Datos del chip de Comunicación de Campo Cercano (NFC)
  • Campos de identidad extraídos (nombre, fecha de nacimiento, número de documento, caducidad, dirección)
  • Plantillas biométricas
  • Selfie sin procesar y vídeo completo de prueba de vida
  • Huella digital del dispositivo, navegador, sistema operativo, plataforma
  • Geolocalización de Protocolo de Internet (IP), señales de Red Privada Virtual (VPN) / Tor
  • Coordenadas de coincidencia de ubicación del documento
  • Coincidencias de detección de Anti-Lavado de Dinero (AML) con sanciones, Persona Expuesta Políticamente (PEP) y detalles de coincidencia de medios adversos
  • Carga útil del webhook, registro de auditoría y metadatos por sesión

La lista exacta de interruptores depende de los módulos de tu flujo de trabajo, revísalos cuando configures el flujo de trabajo en la Consola de Negocio en Datos devueltos.

¿Quién es el Responsable del Tratamiento de Datos y quién es el Encargado del Tratamiento de Datos?

eres el Responsable del Tratamiento de Datos. Didit es el Encargado del Tratamiento de Datos. Esta es la configuración del Artículo 28 del Reglamento General de Protección de Datos (GDPR) que la mayoría de los compradores regulados esperan.

  • decides por qué se recopilan los datos, qué campos se conservan, cuánto tiempo se retienen y quién dentro de tu equipo puede actuar sobre ellos. El Acuerdo de Procesamiento de Datos (DPA) en esta página es el contrato que vincula a Didit a esas instrucciones.
  • Didit procesa los datos en tu nombre, realizando las verificaciones, el cribado, las comprobaciones biométricas, la clasificación de documentos, los webhooks, bajo tu DPA y bajo nuestros propios controles SOC 2, ISO/IEC 27001 y el Artículo 32 del Reglamento General de Protección de Datos (GDPR).

Te recomendamos que permitas a Didit almacenar y acceder a los datos en tu nombre. La mayoría de nuestros clientes lo hacen. Proteger los datos de identidad a escala de internet es un trabajo a tiempo completo: cifrado reforzado, rotación de claves, detección de intrusiones, gestión de vulnerabilidades, renovaciones de certificaciones, residencia regional, herramientas para los derechos de los interesados, notificación de infracciones. Los equipos de seguridad y plataforma de Didit se centran en ello cada día para que tus equipos de cumplimiento e ingeniería no tengan que hacerlo. mantienes el control total a través de la Consola de Negocio, cada regla de retención, cada Solicitud de Acceso del Interesado (DSAR), cada eliminación es tuya para activar.

¿Dónde se almacenan los datos y puedo elegir la región?

Unión Europea por defecto. Región específica o en el país disponible para Enterprise.

El despliegue por defecto se ejecuta en Amazon Web Services (AWS) en la UE. Los datos se cifran en reposo y en tránsito, con claves de cifrado en poder de AWS y separadas por entorno.

  • Unión Europea (por defecto), para todas las cuentas. Cubre el Reglamento General de Protección de Datos (GDPR), Schrems II / Marco de Privacidad de Datos entre la Unión Europea y Estados Unidos, y eIDAS 2.0.
  • Región específica (Este de Estados Unidos, Asia-Pacífico, etc.), contratos Enterprise, cuando tu regulador lo requiera.
  • Residencia en el país (Brasil, India, etc.), Enterprise, sujeto a disponibilidad, para leyes locales como la Lei Geral de Proteção de Dados (LGPD) de Brasil y la Digital Personal Data Protection Act (DPDPA) de India.

Cuando los datos cruzan una frontera, están protegidos por las Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea de 2021. La Evaluación de Impacto de Transferencia (TIA) correspondiente se incluye en el Paquete de Confianza de esta página.

¿Cuánto tiempo conserváis los datos y cómo configuro la retención?

estableces la ventana de retención. Desde 1 mes hasta 10 años, por aplicación. La aplicación es automática.

En la Consola de Negocio configuras:

  • Una ventana de retención global, desde 1 mes (cuando quieres que Didit no guarde nada después de que se active tu webhook) hasta 10 años (el límite de la Directiva Anti-Lavado de Dinero 6 (AMLD6)).
  • Retención por categoría de datos, las plantillas biométricas pueden sobrevivir a las imágenes sin procesar; los resultados de cribado pueden sobrevivir a los datos de identidad; la coincidencia de ubicación del documento puede eliminarse por completo.
  • Aplicación automática, cada noche, la plataforma elimina cualquier dato que haya superado su ventana de retención en todas las copias. Cada eliminación se registra en el registro de auditoría.

Si quieres que Didit no guarde nada después del veredicto, llama a POST /v3/sessions/:session_id/delete/ desde tu manejador de webhook y la sesión desaparecerá en el momento en que tu sistema registre su propia copia del resultado, Didit nunca retiene los datos más allá de la llamada. Referencia completa en docs.didit.me/sessions-api/delete-session.

¿Cómo gestionáis las Solicitudes de Acceso del Interesado (DSARs), la eliminación y la portabilidad?

Un endpoint por derecho.

  • Derecho de acceso (Artículo 15) y derecho a la portabilidad de datos (Artículo 20), obtén la carga útil completa de la sesión en GET /v3/sessions/:session_id/decision/. Referencia en docs.didit.me/sessions-api/retrieve-session.
  • Derecho de supresión (Artículo 17), POST /v3/sessions/:session_id/delete/ elimina la sesión y todos los artefactos vinculados. Referencia en docs.didit.me/sessions-api/delete-session.
¿Qué certificaciones y acreditaciones tenéis?

Cinco acreditaciones externas en archivo. Todas incluidas en el Paquete de Confianza.

  • SOC 2 Tipo 1, Seguridad, Disponibilidad y Confidencialidad, emitido por ATOM en abril de 2026 bajo los Criterios de Servicios de Confianza del American Institute of Certified Public Accountants (AICPA). El examen SOC 2 Tipo 2 está en curso.
  • ISO/IEC 27001:2022, Sistema de Gestión de Seguridad de la Información, certificado por Bureau Veritas (certificado ES144068, válido hasta el 03-06-2027).
  • iBeta Nivel 1 de Detección de Ataques de Presentación (PAD), prueba independiente de anti-spoofing biométrico, realizada bajo ISO/IEC 30107-3 en un laboratorio acreditado por el National Institute of Standards and Technology (NIST). 0 ataques exitosos en 360 intentos.
  • GDPR Artículo 32, Acuerdo de Procesamiento de Datos (DPA), lista de subprocesadores y Medidas Técnicas y Organizativas (TOMs), todo público.
  • Memorándum de la Autoridad Bancaria Europea (EBA) / Mercados de Criptoactivos (MiCA), opinión legal independiente de que Didit cumple con las Directrices de la EBA sobre la incorporación remota de clientes (EBA/GL/2022/15) y la regulación MiCA.

Solicita el Paquete de Confianza en esta página y te enviaremos cada informe, certificado y memorándum el mismo día hábil bajo un Acuerdo de Confidencialidad (NDA) firmado.

¿Qué significa realmente para mí la certificación del regulador español?

Reconocimiento mutuo en toda la Unión Europea (UE), y un rastro de auditoría defendible ante el regulador.

El Tesoro Público, el Banco de España, el SEPBLAC y la CNMV de España llevaron a cabo un sandbox financiero de un año (noviembre de 2024, julio de 2025) sobre el flujo de incorporación de Didit con lectura de chip de Comunicación de Campo Cercano (NFC) y prueba de vida activa. El informe oficial de conclusiones, publicado en tesoro.es, concluye que la verificación remota de Didit cumple o supera el nivel de seguridad de la identificación presencial según la Directiva Anti-Lavado de Dinero (AMLD).

Para tu equipo de cumplimiento, esto significa:

  • Reconocimiento mutuo de AMLD6, la certificación es portable a cualquier otro estado miembro de la UE sin necesidad de recertificación.
  • Alineación con eIDAS 2.0, el flujo NFC + prueba de vida de Didit está registrado públicamente como adecuado para la incorporación de Firma Electrónica Cualificada (QES).
  • Rastro de auditoría defendible, cuando tu Unidad de Inteligencia Financiera (FIU) local revise tu proceso de incorporación, puedes señalar el mismo informe que tus reguladores europeos han aprobado.

Didit es el único proveedor de verificación de identidad con esta certificación en el registro público.

¿Puedo pedir a Didit que obtenga una licencia o certificación específica?

Sí, y probablemente ya estamos trabajando en ello. Didit busca activamente más de 10 certificaciones, licencias y aprobaciones regulatorias en diferentes mercados y verticales en cualquier momento: autorizaciones de pago, registros de cripto y Mercados de Criptoactivos (MiCA), aprobaciones de supervisores de Anti-Lavado de Dinero (AML), estado de Proveedor de Servicios de Confianza Cualificado (QTSP) eIDAS 2.0, informes a Unidades de Inteligencia Financiera (FIU) regionales y autorizaciones específicas por vertical (iGaming, salud, banca).

Si hay una licencia o certificación que tu equipo de cumplimiento necesita que Didit tenga, envía un correo electrónico a `security@didit.me`. Lo más probable es que ya esté en nuestra cola, y si no lo está, tu solicitud la impulsará en la lista. Te responderemos con:

  • Dónde se encuentra la certificación en nuestra hoja de ruta.
  • El cronograma esperado.
  • El alcance (cobertura total, una región específica, un módulo específico).

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Pide a una IA que resuma esta página