Los datos de producción se procesan y almacenan en la Unión Europea por defecto, en Amazon Web Services. Los contratos empresariales pueden solicitar regiones alternativas para jurisdicciones cuyos reguladores lo exijan.
Cifrado en todas partes. AES-256 en reposo en cada base de datos, almacenamiento de objetos y copia de seguridad. Transport Layer Security 1.3 en tránsito en cada llamada API, webhook y sesión de la Consola de Negocios. Los datos biométricos se cifran bajo una clave maestra de cliente separada.
La retención la controlas tú. La retención predeterminada es indefinida (ilimitada) a menos que configures un período más corto,entre 30 días y 10 años por aplicación, y puedes eliminar cualquier sesión individual en cualquier momento desde el panel de control o la API.
Certificaciones: SOC 2 Tipo 1 (auditoría Tipo 2 en curso), ISO/IEC 27001:2022, iBeta Nivel 1 PAD, y una certificación pública del Tesoro / SEPBLAC / CNMV de España de que la verificación de identidad remota de Didit es más segura que verificar a alguien en persona. Informe completo en /security-compliance.