Skip to main content
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Didit
Política de Seguridad de la Información
Actualizado el 16 de mayo de 2026 · didit.me/terms/information-security
Legal

Política de Seguridad de la Información

Actualizado: 16 de mayo de 2026

En esta página

Esta Política de Seguridad de la Información describe las certificaciones que posee Didit, los controles técnicos y organizativos que opera Didit, y los artefactos de confianza disponibles para clientes, clientes potenciales, reguladores y auditores. Se revisa al menos cada seis meses.

1. Certificaciones y atestaciones

AtestaciónEstándarEmisorEstado
SOC 2 Tipo 1Criterios de Servicios de Confianza del Instituto Americano de Contadores Públicos Certificados (AICPA), Seguridad, Disponibilidad, ConfidencialidadATOM (auditor de servicios independiente)Emitido el 9 de abril de 2026. Examen SOC 2 Tipo 2 en curso y se espera que se emita antes de que finalice el período de uso del logotipo SOC 2 Tipo 1.
ISO/IEC 27001:2022Sistema de Gestión de Seguridad de la Información, Ciberseguridad y PrivacidadBureau Veritas Certification (acreditado por ENAC), certificado nº ES144068Emitido el 7 de abril de 2026. Válido hasta el 3 de junio de 2027.
iBeta Nivel 1 PADISO/IEC 30107-3, Detección de Ataques de Presentación Biométrica, Nivel 1iBeta Quality Assurance (laboratorio NIST / NVLAP código 200962)Período de prueba del 5 de enero al 4 de febrero de 2026. 0% de tasa de éxito de ataque en 360 intentos.
Atestación de sandbox Tesoro / SEPBLAC / CNMVSandbox financiero español (Ley 7/2020)CNMV (Comisión Nacional del Mercado de Valores), revisado por SEPBLAC (Unidad de Inteligencia Financiera Española)Pruebas del 1 de noviembre de 2024 al 9 de julio de 2025. Informe de conclusión pública publicado en `tesoro.es` (febrero de 2026): La verificación de identidad remota de Didit es al menos tan segura como la identificación presencial.
Memorándum de adecuación EBA / MiCADirectrices de la Autoridad Bancaria Europea sobre la incorporación remota de clientes (EBA/GL/2022/15) + Reglamento Único de Lucha contra el Blanqueo de Capitales de la UE + Reglamento de Mercados de Criptoactivos (MiCA)finReg360 (opinión legal independiente)Emitido el 28 de abril de 2026.
GDPR Artículo 32Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679)Autoevaluado; respaldado por los controles ISO/IEC 27001 y el Acuerdo de Procesamiento de Datos en `/terms/business`Continuo.

Para solicitar cualquiera de los informes o certificados subyacentes, envía un correo electrónico a security@didit.me. Los informes restringidos según los términos de su emisor (por ejemplo, SOC 2 Tipo 1) se comparten después de un Acuerdo de Confidencialidad (NDA) firmado, el mismo día hábil.

2. Alcance

Esta política cubre a todo el personal de Didit (empleados, contratistas y terceros autorizados), todos los sistemas de información de producción y corporativos de Didit, y los Servicios orientados al cliente descritos en los Términos y Condiciones Comerciales. Está respaldada por la Declaración de Aplicabilidad que sustenta el sistema de gestión ISO/IEC 27001:2022 de Didit. Se revisa al menos cada seis meses.

3. Gobernanza

  • Sistema de Gestión de Seguridad de la Información y Privacidad alineado con los controles ISO/IEC 27001:2022 e ISO/IEC 27701, con una Declaración de Aplicabilidad documentada.
  • El Director de Tecnología (CTO) es el patrocinador ejecutivo de seguridad de la información; el Delegado de Protección de Datos (DPO) (dpo@didit.me) es el responsable de la gobernanza del programa de privacidad.
  • Auditoría de seguridad externa anual por auditores independientes (vigilancia ISO 27001 y exámenes SOC 2).
  • Registro de riesgos revisado y actualizado trimestralmente. Los riesgos materiales se escalan al comité de dirección.
  • Mejora continua: cada incidente, hallazgo de auditoría y evaluación de riesgos alimenta el backlog de acciones correctivas y la próxima actualización de la política.

4. Cifrado y gestión de claves

  • En reposo: AES-256 en cada base de datos de producción, almacenamiento de objetos y volumen de respaldo.
  • En tránsito: TLS 1.3 para cada llamada a la API externa, webhook y sesión de la Consola de Negocios. Las versiones anteriores de TLS y los cifrados débiles están deshabilitados. HTTP Strict Transport Security (HSTS) se aplica en todo el sitio y se precarga.
  • Gestión de claves: AWS Key Management Service (KMS) almacena y rota las claves. El código de la aplicación nunca toca material de clave sin procesar. Las claves de sandbox y producción están completamente separadas.
  • Hashing: las credenciales de los clientes se cifran con funciones adaptativas estándar de la industria (bcrypt o equivalente). Las claves API se almacenan como hashes unidireccionales; el valor sin procesar se muestra al operador solo en el momento de la creación.

5. Identidad, acceso y arquitectura de confianza cero

  • Confianza cero por defecto: cada solicitud a cada sistema interno se autentica y autoriza. No hay confianza implícita basada en la ubicación de la red.
  • Control de acceso basado en roles (RBAC) con el principio de mínimo privilegio. Las revisiones de acceso se realizan trimestralmente.
  • La Autenticación Multifactor (MFA) es obligatoria para cada empleado, cada sistema de producción, cada consola en la nube y cada cuenta de alojamiento de código.
  • Inicio de sesión único (SSO) para aplicaciones internas, con MFA de token de hardware para roles privilegiados.
  • Acceso Just-in-Time para producción: el acceso privilegiado permanente es la excepción, no la regla.
  • Registro de auditoría: cada acción privilegiada se registra en una tubería de auditoría a prueba de manipulaciones y de escritura única, conservada durante al menos 12 meses.

6. Residencia y segregación de datos

  • Unión Europea por defecto. Los datos de producción se procesan y almacenan en la Unión Europea en Amazon Web Services. La residencia en una región específica o en el país está disponible en contratos Enterprise, sujeta a disponibilidad, para jurisdicciones cuyos reguladores lo requieran.
  • Separación de entornos. Sandbox, staging y producción están aislados en las capas de red, identidad y gestión de claves. Ningún humano o servicio en un entorno puede leer datos en otro sin una ruta de acceso explícita y auditada.
  • Separación de inquilinos. Los datos multi-inquilino se separan lógicamente con claves de cifrado por inquilino cuando corresponda. Las consultas entre inquilinos se bloquean en la capa de aplicación y base de datos.

7. Ciclo de vida de desarrollo seguro (SDLC)

  • La revisión de código es obligatoria para cada cambio en producción. Ningún ingeniero puede fusionar código sin revisar en producción.
  • El Análisis Estático de Seguridad de Aplicaciones (SAST), el escaneo de dependencias y el Análisis de Composición de Software (SCA) se ejecutan automáticamente en cada pull request.
  • Escaneo de contenedores e infraestructura en cada compilación y en un cronograma recurrente para las imágenes desplegadas.
  • Pruebas de seguridad pre-producción para cambios de alto impacto (autenticación, gestión de claves, pipelines biométricos, flujos de pago).
  • Pruebas de penetración internas continuamente; pruebas de penetración externas al menos una vez al año por especialistas independientes. Los hallazgos materiales se rastrean hasta su cierre en un cronograma vinculado a SLA.
  • Canal de recompensas por errores / divulgación responsable: informa los problemas de seguridad a security@didit.me.

8. Gestión de vulnerabilidades

  • SLA de parcheo por gravedad: crítico (dentro de las 72 horas de la divulgación del proveedor), alto (dentro de los 7 días), medio (dentro de los 30 días), bajo (dentro de los 90 días).
  • Escaneo continuo de vulnerabilidades en la infraestructura de producción, contenedores y dependencias.
  • Modelado de amenazas para nuevas superficies de productos, pipelines biométricos e integraciones entre entornos.

9. Monitoreo, detección y respuesta a incidentes

  • Monitoreo 24x7 de cada sistema de producción con alertas sobre disponibilidad, errores y señales de seguridad.
  • Gestión de Información y Eventos de Seguridad (SIEM) agrega y correlaciona eventos de seguridad; los patrones anormales se escalan a los ingenieros de seguridad de guardia.
  • Plan de Respuesta a Incidentes documentado con roles designados, árbol de comunicación, matriz de gravedad y proceso de revisión posterior al incidente. El plan se prueba al menos anualmente mediante ejercicios de mesa.
  • Notificación de violación de datos personales. Didit notifica a los clientes afectados sin demora indebida y, en cualquier caso, a tiempo para permitir que los clientes cumplan con su propia obligación de notificación de 72 horas según el Artículo 33 del Reglamento General de Protección de Datos (GDPR). Los clientes empresariales reciben un ingeniero de guardia asignado y un canal de comunicación dedicado.
  • Página de estado pública en status.didit.me: cada incidente de producción, cada post-mortem, sin necesidad de iniciar sesión.

10. Continuidad del negocio y recuperación ante desastres

  • Redundancia activa multi-AZ en cada región de producción; conmutación por error automática para servicios sin estado.
  • Las copias de seguridad están cifradas, geográficamente separadas dentro del límite de residencia elegido y probadas en un cronograma recurrente.
  • Objetivo de Punto de Recuperación (RPO) ≤ 1 hora y Objetivo de Tiempo de Recuperación (RTO) ≤ 4 horas para la API de verificación central y la Consola de Negocios.
  • Pruebas de Recuperación ante Desastres (DR) al menos anualmente.

11. Seguridad del personal

  • Verificaciones de antecedentes de cada empleado y contratista con acceso a datos de producción o datos personales, cuando lo permita la ley aplicable.
  • Acuerdos de confidencialidad al contratar a cada empleado y contratista.
  • Formación obligatoria en seguridad y privacidad en la incorporación y actualizada al menos anualmente para cada empleado. Formación específica (codificación segura, manejo de datos biométricos, antifraude, antilavado de dinero) para los roles que lo necesiten.
  • Simulaciones de phishing en un cronograma recurrente.
  • El proceso de incorporación / cambio de puesto / desvinculación revoca el acceso dentro de las 24 horas posteriores al cambio de rol o la salida.

12. Gestión de proveedores y subprocesadores

  • Cada subprocesador es evaluado en cuanto a riesgos antes de la incorporación y reevaluado al menos anualmente.
  • Cada subprocesador firma un Acuerdo de Procesamiento de Datos (DPA) que impone obligaciones de protección de datos sustancialmente similares a las que Didit tiene con sus propios clientes.
  • La lista actual de subprocesadores se comparte con clientes y clientes potenciales por correo electrónico después de la firma de un Acuerdo de Confidencialidad (NDA). Envía un correo electrónico a security@didit.me para solicitarla. Los clientes suscritos a las notificaciones de cambio de subprocesador son notificados por correo electrónico con suficiente antelación para oponerse.

13. Derechos del interesado y eliminación

  • Derecho de acceso y portabilidad, `GET /v3/sessions/:session_id/decision/`.
  • Derecho de supresión, `POST /v3/sessions/:session_id/delete/`. Elimina la sesión y cada artefacto vinculado en todas las réplicas.
  • La retención por aplicación es configurable en la Consola de Negocios entre 30 días y 10 años; el valor predeterminado es indefinido a menos que el cliente configure un período más corto. La retención de datos biométricos está en todos los casos sujeta y limitada por las leyes y regulaciones de privacidad biométrica aplicables, incluyendo el Artículo 9 del Reglamento General de Protección de Datos (GDPR) de la UE, la Ley de Privacidad de Información Biométrica de Illinois (BIPA), la Ley de Captura o Uso de Identificadores Biométricos de Texas (CUBI), la Ley H.B. 1493 de Washington y cualquier otra ley de privacidad biométrica aplicable; cuando dicha ley prescriba un período de retención más corto o una obligación de destrucción anterior, esa regla más corta o estricta prevalece sobre cualquier período de retención predeterminado o configurado por el cliente.
  • Consulta la Política de Privacidad y el Aviso de Privacidad de Verificación para conocer el proceso completo de derechos del interesado.

14. Notificación de un problema de seguridad

Si crees haber encontrado una vulnerabilidad de seguridad en cualquier producto o servicio de Didit, envía un correo electrónico a security@didit.me con una descripción, los pasos para reproducirla y el impacto que observaste. Didit acusa recibo de los informes de seguridad en un plazo de 2 días hábiles y trabaja de buena fe con los informantes que siguen prácticas de divulgación responsable.

15. Contacto

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, España
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/information-security

¿Tienes preguntas sobre algún documento específico?

Envía un email a legal@didit.me, privacy@didit.me o security@didit.me, o escríbenos por WhatsApp. Te pondremos en contacto con la persona adecuada.

Habla con nosotros
Pide a una IA que resuma esta página