Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
2FA Biométrica

Sustituye la contraseña de un solo uso por SMS. Haz de un selfie el segundo factor.

Refuerza los flujos sensibles con una verificación facial en menos de 2 segundos contra el retrato registrado. Resistente al phishing. A prueba de SIM-swap. $0.10 por autenticación. 500 verificaciones gratis cada mes.

Respaldado por
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

Con la confianza de más de 2.000 organizaciones en todo el mundo.

Pila cinematográfica oscura de 2FA Biométrica, cuatro paneles de cristal translúcido flotantes en perspectiva 3D sobre negro puro, atravesados por una línea luminosa Didit Blue y enmarcados por soportes de escáner brillantes. Cada panel lleva un pequeño motivo blanco pálido que representa un candado, un par ovalado de coincidencia facial, un dispositivo móvil y una burbuja de SMS tachada.

Resistente al phishing · A prueba de SIM-swap

Sin código que suplantar. Sin SIM que intercambiar.

El segundo factor es la cara del usuario, verificada 1:1 contra el retrato que registró al darse de alta. La prueba de vida bloquea ataques de impresión / reproducción / máscara / Red Generativa Antagónica (GAN) en el mismo fotograma. Veredicto en menos de 2 segundos en Android de gama baja. $0.10 por autenticación. 500 verificaciones gratis cada mes.

Cómo funciona

Del registro al usuario verificado en cuatro pasos.

  1. Paso 01

    Crea el flujo de trabajo

    Elige las comprobaciones que necesites: ID, prueba de vida, verificación facial, sanciones, dirección, edad, teléfono, email, preguntas personalizadas. Arrástralas a un flujo en el panel de control, o publica el mismo flujo en nuestra API. Crea ramificaciones condicionales, haz pruebas A/B, sin código.

  2. Paso 02

    Integra

    Intégralo de forma nativa con nuestro SDK para Web, iOS, Android, React Native o Flutter. Redirige a una página alojada. O simplemente envía a tu usuario un enlace, por email, SMS, WhatsApp, donde quieras. Elige lo que mejor se adapte a tu stack.

  3. Paso 03

    El usuario completa el flujo

    Didit aloja la cámara, las indicaciones de iluminación, la transferencia móvil y la accesibilidad. Mientras el usuario está en el flujo, puntuamos más de 200 señales de fraude en tiempo real y verificamos cada campo contra fuentes de datos autorizadas. Resultado en menos de dos segundos.

  4. Paso 04

    Recibes los resultados

    Los webhooks firmados en tiempo real mantienen tu base de datos sincronizada en el momento en que un usuario es aprobado, rechazado o enviado a revisión. Consulta la API bajo demanda. O abre la consola para inspeccionar cada sesión, cada señal y gestionar los casos a tu manera.

Sustituto directo para SMS OTP · Vinculado al usuario, no a un código

Seis funcionalidades. $0.10 por autenticación.

Un flujo de trabajo adaptativo, un veredicto firmado, la misma forma de callback que tu flujo OAuth existente. Sin dependencia del operador, sin superficie SS7, sin exposición a SIM-swap.
01 · Flujo de autenticación con un toque

Un toque. Selfie en menos de 2 segundos. Listo.

Abre una llamada a la API de Sesiones, redirige al usuario a la interfaz de usuario alojada, captura un fotograma pasivo. Prueba de vida + Verificación facial 1:1 + el webhook firmado se devuelven en los mismos dos segundos. Sin instalación de app, sin SDK, sin ruta de operador.
Módulo de Autenticación Biométrica
02 · Verificación facial 1:1

Compara el selfie en vivo con la imagen registrada.

La imagen capturada durante la sesión KYC original del usuario es la plantilla. Cada autenticación posterior compara el nuevo selfie con ella y devuelve una `similarity_score` (0-1). Ajusta el umbral de aprobación automática por flujo de trabajo. $0.05 por llamada de Face Match independiente; $0.10 si se incluye con Liveness.
Módulo Face Match 1:1
03 · Elimina la superficie de ataque de SMS

SIM swap. Phishing de OTP. Smishing. SS7. Todo bloqueado.

Los cuatro ataques sobre los que advierten el FBI (Oficina Federal de Investigación de Estados Unidos) y el NCSC (Centro Nacional de Ciberseguridad del Reino Unido) para las contraseñas de un solo uso por SMS,intercambio de SIM, phishing de OTP, kits de smishing, interceptación de operador, todos ellos superan la seguridad del SMS. Ninguno funciona contra un selfie en vivo comparado con la imagen registrada. La FIDO Alliance considera el reconocimiento facial en el dispositivo como resistente al phishing.
Por qué el SMS es un problema
04 · Refuerza donde importa

Activa solo cuando sea necesario.

Inicio de sesión desde un nuevo dispositivo, transferencia por encima de tu umbral de riesgo, cambio de contraseña/configuración, recuperación de cuenta. Combínalo con el Análisis de Dispositivo e IP para que una reautenticación en un dispositivo y una IP (Protocolo de Internet) completamente nuevos escale automáticamente. El mismo flujo, con disparadores más inteligentes.
Módulo de Análisis de Dispositivo e IP
05 · Una única carga útil firmada

Reemplazo directo para tu callback de OTP actual.

El webhook entrega el estado, `similarity_score`, método y la cabecera `X-Signature-V2` para la verificación HMAC (Código de Autenticación de Mensajes Basado en Hash) SHA-256. La misma estructura de callback, el mismo patrón de redirección. La mayoría de los equipos cambian el SMS por el reconocimiento facial en un fin de semana.
Contrato de Webhook
06 · Más barato que SMS

$0.10 per auth, no carrier fees, no minimums.

Una contraseña de un solo uso por SMS de nivel 1 en Estados Unidos cuesta entre $0.05 y $0.30 por envío, dependiendo del operador, y pagas incluso si el usuario nunca recibe el código. La autenticación biométrica de Didit cuesta $0.10 fijos, con 500 verificaciones gratuitas cada mes. Sin dependencia del operador, sin tarifas por país, sin mínimos de contrato.
Ver precios
Integra

Una sesión. Un callback. Un veredicto.

Abre una sesión de autenticación biométrica, captura el selfie en la interfaz de usuario alojada, lee el veredicto firmado en tu webhook.
POST /v3/session/Reautenticación
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_bio_2fa",
    "workflow_type": "biometric_authentication",
    "vendor_data": "user-42",
    // base64 reference selfie, ≤ 1MB (omit for liveness-only)
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Creado{ "session_url": "verify.didit.me/..." }
Ejecuta LIVENESS + FACE_MATCH contra la portrait_image proporcionada.docs →
POST /v3/face-match/De servidor a servidor
$ curl -X POST https://verification.didit.me/v3/face-match/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -F "image_a=@live.jpg" \
  -F "image_b=@enrolled.jpg"
200OK{ "status": "Aprobado", "similarity_score": 0.96 }
Úsalo solo si controlas el proceso de captura. Los flujos de navegador equivalen a una sesión alojada.docs →
Integración lista para agentes

Sustituye el SMS OTP con una sola petición.

Pégalo en Claude Code, Cursor, Codex, Devin, Aider o Replit Agent. Rellena tu stack. El agente provisiona Didit, construye el flujo de autenticación biométrica, reemplaza tu callback OTP actual y lo tienes listo en un fin de semana.
didit-integration-prompt.md
You are integrating Didit's Biometric 2FA into <my_stack>. Replace SMS one-time-password (OTP) on sensitive flows — login from a new device, large-value transfer, settings change, account recovery — with a sub-2-second face match against the user's enrolled portrait. Cheaper than SMS. Phishing-resistant. SIM-swap-proof.

  1. Enrol the user's portrait ONCE at sign-up via the standard Know Your Customer (KYC) session.
  2. On every sensitive action, open a Biometric Authentication session that runs Passive Liveness + Face Match 1:1 against the stored portrait. Verdict in sub-2-seconds.

Pricing (public):
  - Biometric Authentication: $0.10 per authentication (Sessions API)
  - Standalone Face Match 1:1: $0.05 per match (server-to-server)
  - First 500 verifications free every month, forever

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60s, no card).
  - Webhook endpoint with Hash-based Message Authentication Code (HMAC) SHA-256 verification using the X-Signature-V2 header.
  - The user has previously enrolled — either via a full KYC session (recommended; the portrait is stored automatically and never leaves Didit) or via a portrait you supply on each re-auth.
  - A workflow_id from the Workflow Builder. The workflow MUST contain LIVENESS, and the session must be opened with workflow_type = "biometric_authentication" (or use a workflow that has FACE_MATCH and pass a portrait_image at session creation).

STEP 1 — Enrolment (one-time, at user sign-up)

  Run a standard KYC session at sign-up. Didit stores the portrait (the face captured during the liveness step) as the user's enrolled template, bound to vendor_data.

  POST https://verification.didit.me/v3/session/
  Body:
    {
      "workflow_id": "<your KYC workflow>",
      "vendor_data": "<your user id>"
    }

  No additional code — once the user passes KYC, their enrolled portrait is ready for every future re-auth.

STEP 2 — Re-authentication (on every sensitive action)

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<your biometric_authentication workflow>",
      "workflow_type": "biometric_authentication",
      "vendor_data": "<the same user id used at enrolment>",
      "callback": "https://<your-app>/2fa/callback",
      "metadata": {
        "reason": "<login_new_device | high_value_txn | settings_change | account_recovery>",
        "amount": "<optional, for large-value transfers>"
      },
      "portrait_image": "<base64 JPEG of the user's enrolment selfie, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; OMIT for liveness-only mode>"
    }

  Response: 201 Created with the hosted session_url. Redirect the user to it. The hosted UI:
    - Opens the front camera
    - Captures one passive frame
    - Runs Liveness + Face Match 1:1 against the user's enrolled portrait
    - Returns the verdict in sub-2-seconds

STEP 3 — Read the signed verdict on the webhook

  Body (excerpted for a passing re-auth):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved", "method": "PASSIVE", "score": 96 },
      "face": {
        "status": "Approved",
        "similarity_score": 0.96
      }
    }

  Verify X-Signature-V2 BEFORE trusting the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  Session status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Branch your application:
    Approved      → execute the action (sign in, release the transfer, save settings).
    Declined      → block the action, re-prompt with a higher-friction recovery path (support contact / KYC re-do).
    In Review     → hold; route to your operations queue.
    Not Finished  → user abandoned the capture; safe to re-prompt or fall back.

STEP 4 — Alternate path (server-to-server, when you already have the selfie)

  If you already captured the selfie locally (native mobile SDK, in-app camera):

  POST https://verification.didit.me/v3/face-match/
  Headers:
    x-api-key: <your api key>
  Body (multipart/form-data):
    image_a         <the live selfie>
    image_b         <the enrolled portrait>

  Response: similarity_score (0-1), status (Approved | Declined | In Review).

  Use the standalone path only when you trust your client-side capture pipeline. For browser flows or any surface where the SDK is not embedded, always prefer the hosted session — Didit's liveness check is harder to defeat than a raw camera grab.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  - Always verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
  - Feature enum is UPPERCASE: LIVENESS, FACE_MATCH, ID_VERIFICATION, AML, IP_ANALYSIS, AGE_ESTIMATION.
  - Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
  - Auth header is x-api-key (lowercase, hyphenated).
  - Webhook signature header is X-Signature-V2 (NOT X-Signature).
  - Status casing matches exactly: Approved, Declined, In Review, Expired, Not Finished, Resubmitted, Kyc Expired, Abandoned.
  - The biometric template is irreversible (a one-way hash) and stored on Didit's infrastructure. You never receive the raw template. Standard data-subject-deletion rules apply.

PRO TIPS
  - Pair Biometric 2FA with Device & IP Analysis (bundled into the 200+ fraud-signal stack). A re-auth that originates from a brand-new device + a brand-new IP should always step up to face.
  - For the strongest possible surface, swap method PASSIVE for ACTIVE_3D — a short motion challenge — on transfers above your operational risk threshold.

Read the docs:
  - https://docs.didit.me/core-technology/biometric-auth/overview
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
¿Necesitas más contexto? Consulta la documentación completa del módulo.docs.didit.me →
Cumplimiento por diseño

Abre un nuevo país en un clic. Nosotros hacemos el trabajo duro.

Abrimos las filiales locales, aseguramos las licencias, realizamos las pruebas de penetración, obtenemos las certificaciones y nos alineamos con cada nueva regulación. Para lanzar verificaciones en un nuevo país, activa un interruptor. Más de 220 países en vivo, auditados y probados trimestralmente, el único proveedor de identidad que un gobierno de un estado miembro de la UE ha calificado formalmente como más seguro que la verificación presencial.
Lee el dossier de seguridad y cumplimiento
Sandbox financiero de la UE
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
Seguridad de la información · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Alineado con la UE por diseño

Cifras que lo demuestran

Cifras que lo demuestran
  • $0.00
    Por autenticación, tarifa plana. El SMS OTP varía de $0.05 a $00.30 en EE. UU.
  • <0s
    Reautenticación de extremo a extremo en Android de gama baja: desde la captura hasta el webhook firmado.
  • 0
    Dependencias de operador, superficie de SIM-swapping o vectores de ataque SS7.
  • 0
    Verificaciones gratuitas cada mes, para siempre.
Tres niveles, una lista de precios

Empieza gratis. Paga por uso. Escala a Enterprise.

500 verificaciones gratuitas cada mes, para siempre. Pago por uso para producción. Contratos personalizados, residencia de datos y SLAs (Acuerdos de Nivel de Servicio) en Enterprise.
Gratis

Gratis

$0 / mes. No se requiere tarjeta de crédito.

  • Paquete KYC gratuito (Verificación de ID + Prueba de vida pasiva + Coincidencia facial + Análisis de dispositivo e IP), 500 / mes, cada mes
  • Usuarios en lista negra
  • Detección de duplicados
  • Más de 200 señales de fraude en cada sesión
  • KYC reutilizable en la red Didit
  • Plataforma de gestión de casos
  • Constructor de flujos de trabajo
  • Documentación pública, sandbox, SDKs, servidor MCP (Model Context Protocol)
  • Soporte de la comunidad
El más popular
Paga por uso

Basado en el uso

Paga solo por lo que usas. Más de 25 módulos. Precios públicos por módulo, sin cuota mínima mensual.

  • KYC completo por $0.33 (ID + Biométrico + IP / Dispositivo)
  • Más de 10.000 conjuntos de datos AML: sanciones, PEPs, medios adversos
  • Más de 1.000 fuentes de datos gubernamentales para la validación de bases de datos
  • Monitoreo de transacciones por $0.02 por transacción
  • KYB en vivo por $2.00 por empresa
  • Análisis de monederos por $0.15 por verificación
  • Flujo de verificación de marca blanca: tu marca, nuestra infraestructura
Empresarial

Empresarial

MSA y SLA personalizados. Para grandes volúmenes y programas regulados.

  • Contratos anuales
  • MSA, DPA y SLA personalizados
  • Canal dedicado en Slack y WhatsApp
  • Revisores manuales bajo demanda
  • Condiciones de reventa y marca blanca
  • Funciones exclusivas e integraciones con socios
  • CSM asignado, revisión de seguridad, soporte de cumplimiento

Empieza gratis → paga solo cuando se ejecuta una verificación → desbloquea Enterprise para un contrato personalizado, SLA o residencia de datos.

FAQ

Preguntas frecuentes

¿Qué es Didit?

Didit es la infraestructura para identidad y fraude, la plataforma que nos hubiera gustado tener cuando construíamos productos: abierta, flexible y amigable para desarrolladores, para que funcione como una parte real de tu stack en lugar de una caja negra con la que tienes que integrar.

Una única API cubre la verificación de personas (KYC, know your customer), la verificación de empresas (KYB, know your business), el cribado de carteras de criptomonedas (KYT, know your transaction), y la monitorización de transacciones en tiempo real, sobre un stack construido para ser:

  • Rápido, p99 en menos de 2 segundos en cada sesión
  • Fiable, en producción con más de 1.500 empresas en más de 220 países
  • Seguro, SOC 2 Tipo 1, ISO 27001, nativo de GDPR, y formalmente certificado por el regulador financiero de España como más seguro que verificar a alguien en persona

La base subyacente: más de 14.000 tipos de documentos en más de 48 idiomas, más de 1.000 fuentes de datos, y más de 200 señales de fraude en cada sesión. La infraestructura de Didit aprende dinámicamente de cada sesión y mejora cada día.

¿Qué es la 2FA biométrica?

Autenticación de segundo factor usando la cara del usuario, no un código enviado por la red. El primer factor es lo que el usuario sabe (contraseña, passkey, enlace mágico). El segundo factor es lo que el usuario es, un selfie en vivo que se compara 1:1 con un retrato que el usuario registró previamente.

Se sitúa en el mismo lugar que la contraseña de un solo uso por SMS (OTP) en el flujo de tu aplicación, pero con un perfil de coste, seguridad y conversión diferente.

¿Por qué se considera débil la contraseña de un solo uso por SMS?

Cuatro clases de ataques bien documentadas la superan. Tanto el FBI (Oficina Federal de Investigación de EE. UU.) como el NCSC (Centro Nacional de Ciberseguridad del Reino Unido) han publicado guías que aconsejan a las organizaciones alejarse del SMS para flujos sensibles.

  • Intercambio de SIM. El atacante convence al operador para que transfiera el número del usuario a una nueva SIM. Ahora todos los códigos van al atacante.
  • Phishing de OTP. El atacante actúa como proxy del sitio legítimo, captura el código mientras el usuario lo escribe y lo reproduce antes de que expire.
  • Kits de smishing. Kits preconstruidos ejecutan miles de mensajes de texto falsos de entrega/banco que capturan códigos a gran escala.
  • Intercepción del Sistema de Señalización 7 (SS7). Adversarios con acceso al operador pueden leer pasivamente los códigos de la red.
¿Qué tan rápida es la verificación para mi usuario final?

El flujo completo normalmente tarda menos de 30 segundos de principio a fin, coger el DNI, escanear el documento, hacer el selfie, listo. Es el más rápido del mercado. Los proveedores de KYC tradicionales suelen tardar más de 90 segundos para el mismo flujo.

En el backend, Didit devuelve el resultado en menos de dos segundos en p99, medido desde el momento en que el usuario termina el selfie hasta que se activa tu webhook. La captura móvil está optimizada para teléfonos lentos y redes lentas: compresión progresiva de imágenes, carga diferida del kit de desarrollo de software y un traspaso con un solo toque de escritorio a teléfono mediante código QR si el usuario empieza en la web.

¿Cómo se "registra" realmente la cara del usuario?

La mayoría de los equipos registran durante la sesión original de Know Your Customer (KYC) del usuario. El retrato capturado por el paso de vivacidad se almacena vinculado a tu vendor_data y se utiliza como plantilla para cada reautenticación posterior.

Si no realizas KYC al registrarte, puedes ejecutar una sesión de registro única contra un flujo de trabajo de Didit que contenga solo LIVENESS + FACE_MATCH. Cualquiera de las dos rutas cuesta $0.10 una vez, y la plantilla resultante es reutilizable para cada autenticación futura.

¿Qué pasa si un usuario falla, abandona o expira?

Cada sesión termina en uno de siete estados claros, para que tu código siempre sepa qué hacer:

  • Approved, todas las comprobaciones superadas. Deja que el usuario avance.
  • Declined, una o más comprobaciones fallaron. Puedes permitir que el usuario reenvíe el paso fallido específico (por ejemplo, que se haga de nuevo el selfie) sin tener que ejecutar de nuevo todo el flujo.
  • In Review, marcado para revisión de cumplimiento. Abre el caso en la consola, revisa todas las señales y decide si aprobar o rechazar.
  • In Progress, el usuario está a mitad del flujo.
  • Not Started, enlace enviado, el usuario aún no lo ha abierto. Envía un recordatorio si pasa demasiado tiempo.
  • Abandoned, el usuario abrió el enlace pero no terminó a tiempo. Vuelve a contactarle o expira la sesión.
  • Expired, el enlace de la sesión caducó. Crea una nueva sesión.

Un webhook firmado se activa con cada cambio de estado, para que tu base de datos esté siempre sincronizada. Las sesiones abandonadas y rechazadas son gratuitas.

¿Dónde residen los datos de mis clientes y cómo se protegen?

Los datos de producción se procesan y almacenan en la Unión Europea por defecto, en Amazon Web Services. Los contratos empresariales pueden solicitar regiones alternativas para jurisdicciones cuyos reguladores lo requieran.

Cifrado en todas partes. AES-256 en reposo en cada base de datos, almacén de objetos y copia de seguridad. Transport Layer Security 1.3 en tránsito en cada llamada API, webhook y sesión de la Consola de Negocio. Los datos biométricos se cifran bajo una Customer Master Key separada.

controlas la retención. La retención por defecto es indefinida (ilimitada) a menos que configures un período más corto,entre 30 días y 10 años por aplicación, y puedes eliminar cualquier sesión individual en cualquier momento desde el panel de control o la API.

Certificaciones: SOC 2 Tipo 1 (auditoría Tipo 2 en curso), ISO/IEC 27001:2022, iBeta Nivel 1 PAD, y una certificación pública del Tesoro / SEPBLAC / CNMV de España de que la verificación remota de identidad de Didit es más segura que verificar a alguien en persona. Informe completo en /security-compliance.

¿Didit cumple con la normativa de mi sector?

Didit cumple por defecto con los reguladores clave para la infraestructura de identidad:

  • GDPR + UK GDPR, separación controlador/procesador, Acuerdo de Procesamiento de Datos completo publicado, autoridad supervisora principal designada (AEPD de España).
  • AMLD6 + EU AML Single Rulebook, más de 1.300 listas de sanciones, personas políticamente expuestas y medios adversos filtradas en tiempo real.
  • eIDAS 2.0, alineado con la Cartera de Identidad Digital de la UE; preparado para identidad reutilizable.
  • MiCA (Markets in Crypto-Assets), listo para plataformas de entrada, exchanges y custodios de criptoactivos.
  • DORA, Digital Operational Resilience Act, resiliencia operativa de servicios financieros de la UE.
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, privacidad biométrica de EE. UU. (Illinois, Texas, Washington) y privacidad del consumidor de California.
  • UK Online Safety Act, obligaciones de control de edad y seguridad infantil.
  • FATF Travel Rule, datos del originador y beneficiario en transferencias de criptoactivos, interoperable con IVMS-101.

Memorándum detallado, todos los certificados, todas las cartas de los reguladores: /security-compliance.

¿Qué tan rápido puedo integrar y empezar a verificar usuarios?
  • 60 segundos para una cuenta sandbox en business.didit.me, sin tarjeta de crédito.
  • 5 minutos para una verificación funcional a través de Claude Code, Cursor o cualquier agente de codificación mediante nuestro servidor Model Context Protocol (MCP).
  • Un fin de semana para una integración lista para producción con verificación de webhook firmada, reintentos y un flujo de remediación cuando se rechaza a un usuario.

Tres rutas de integración: elige la que mejor se adapte a tu stack:

  • Integra de forma nativa con nuestro SDK para Web, iOS, Android, React Native o Flutter.
  • Redirige al usuario a la página de verificación alojada, sin SDK.
  • Envía un enlace por email, SMS, WhatsApp o cualquier canal, sin trabajo de front-end.

Mismo panel de control, misma facturación, mismo precio de pago por éxito para los tres. Guía paso a paso en docs.didit.me/integration/integration-prompt.

¿Cómo es la integración?

Es un "drop-in" para tu contrato de callback de contraseña de un solo uso (OTP) existente.

  • POST /v3/session/ con workflow_type: "biometric_authentication" y los mismos vendor_data que usaste en el registro.
  • Redirige al usuario a la session_url devuelta.
  • Verifica el encabezado X-Signature-V2 en el webhook antes de confiar en el cuerpo.
  • Ramifica según el status, Approved (ejecuta la acción), Declined (bloquea), In Review (pon en cola), Not Finished (vuelve a solicitar).

La mayoría de los equipos cambian el SMS por el reconocimiento facial en un fin de semana. El prompt completo para el agente está arriba; el servidor Model Context Protocol (MCP) funciona con ambas interfaces.

¿Qué pasa si la cara del usuario ha cambiado (corte de pelo, barba, gafas)?

El Face Match 1:1 es robusto ante cambios moderados en la apariencia, vello facial, gafas, color de pelo, iluminación. La puntuación de similitud devuelta por autenticación refleja la confianza del modelo.

Para los usuarios que superan el umbral de aprobación automática (caso típico: cambio drástico de peso, cirugía, envejecimiento a lo largo de muchos años), el veredicto devuelve In Review y se dirige a tu cola de operaciones. La ruta de recuperación estándar es una sesión de reinscripción, una llamada KYC actualiza el retrato, y la siguiente autenticación utiliza la nueva plantilla.

¿Cumple esto con la autenticación reforzada de clientes (SCA) de la PSD2 de la UE?

Sí, para la categoría de inherencia. Las Normas Técnicas de Regulación de la Autoridad Bancaria Europea sobre la Autenticación Reforzada de Clientes reconocen los atributos biométricos (algo que eres) como un segundo factor válido cuando se combina con una de las otras dos categorías (conocimiento o posesión).

Para un flujo completo de autenticación reforzada de clientes (SCA) de la PSD2, combina la 2FA biométrica con la contraseña del usuario (conocimiento) o una sesión vinculada al dispositivo (posesión). El veredicto firmado de Didit es la evidencia del paquete de auditoría del factor de inherencia.

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Pide a una IA que resuma esta página