Conformité dès la Conception : La Pile Complète d'Attestations Didit (FR)

N'importe qui peut dire que sa plateforme d'identité est sécurisée et conforme. Beaucoup moins nombreux sont ceux qui peuvent fournir les rapports indépendants qui le prouvent. La posture de conformité de Didit est un atout prouvable : cinq attestations externes — couvrant la sécurité de l'information, l'anti-usurpation biométrique, et l'adéquation légale de l'intégration à distance — incluant la seule attestation gouvernementale d'un État membre de l'UE selon laquelle un outil de vérification d'identité à distance respecte et dépasse les normes d'identification en personne.

Ce billet est l'endroit unique pour comprendre la pile complète : ce qu'est chaque attestation, qui l'a délivrée, ce qu'elle couvre exactement, et comment vous pouvez l'utiliser dans le cadre de la diligence raisonnable, des appels d'offres et des achats. Pas d'exagération — les niveaux et les dates sont énoncés précisément, car en matière de conformité, la précision est la valeur.

Points clés à retenir

• SOC 2 Type 1 — attestation de contrôle d'organisation de service (Sécurité, Disponibilité, Confidentialité) par ATOM, en date du 2026-04-09. Un examen de Type 2 est prévu. Utilisation restreinte (NDA).
• ISO/IEC 27001:2022 — système de management de la sécurité de l'information, certifié par Bureau Veritas, cert nº ES144068, valide jusqu'au 2027-06-03. Diffusable.
• iBeta Level 1 PAD — détection d'attaque par présentation biométrique selon ISO/IEC 30107-3, 0 % de succès d'attaque / 0 % IAPAR sur 360 tentatives. Diffusable.
• Tesoro / SEPBLAC / CNMV — conclusion du bac à sable financier espagnol selon laquelle la vérification à distance de Didit respecte et dépasse l'identification en personne. Publiée publiquement, permanente. Le différenciateur phare de l'UE.
• finReg360 — mémo EBA/GL/2022/15 — avis juridique indépendant (2026-04-28) selon lequel l'intégration à distance de Didit est adéquate en vertu des lignes directrices de l'ABE sur l'intégration à distance et du Règlement unique anti-blanchiment de l'UE. Diffusable.
• Ensemble, ils couvrent les trois questions que tout acheteur se pose : votre sécurité est-elle solide, votre biométrie est-elle résistante à l'usurpation, et votre intégration est-elle légalement adéquate ?

Ce que requiert la « conformité dès la conception »

Un acheteur évaluant un fournisseur de vérification d'identité effectue en réalité trois audits simultanément :

1. Sécurité de l'information — la plateforme elle-même est-elle sécurisée ? Les données des clients sont-elles protégées ? Les contrôles sont-ils conçus et gérés selon une norme reconnue ?
2. Intégrité biométrique — la détection de la vivacité et la correspondance faciale peuvent-elles être trompées par des photos, des relectures, des masques ou des deepfakes ?
3. Adéquation réglementaire — l'utilisation de cet outil satisfait-elle réellement la loi à laquelle l'acheteur est soumis, en particulier pour l'intégration à distance ?

Un fournisseur qui répond aux trois avec des preuves indépendantes de tiers — plutôt qu'une auto-évaluation — réduit un cycle de diligence raisonnable de plusieurs semaines à un dossier de documents. C'est ce que signifie « conforme dès la conception » en pratique : la preuve existe avant que l'acheteur ne la demande.

Pourquoi c'est important

La preuve de conformité n'est plus un « plus » en fin de cycle de vente ; c'est un barrage. Les équipes d'approvisionnement des banques et des IME, les MLRO des PSAN crypto et les réviseurs de sécurité d'entreprise ne signeront pas sans elle. Le questionnaire arrive tôt, et l'accord est bloqué jusqu'à ce que les éléments probants soient fournis.

Le fournisseur qui peut produire immédiatement un rapport SOC 2, un certificat ISO 27001, un résultat iBeta, une conclusion de bac à sable gouvernemental et un avis juridique indépendant ne passe pas seulement le barrage — il raccourcit le cycle et réduit les risques de la décision pour l'équipe de conformité de l'acheteur. Chaque attestation supprime une raison de dire non.

Comment Didit aide : les cinq attestations

1. SOC 2 Type 1 (ATOM)

Une attestation de contrôle d'organisation de service par rapport aux critères de services de confiance de l'AICPA pour la Sécurité, la Disponibilité et la Confidentialité, délivrée par ATOM. Elle rend compte de la conception des contrôles de Didit au 2026-04-09. Un examen de Type 2 — efficacité opérationnelle sur une période — est la prochaine étape prévue. Le rapport complet est à usage restreint selon les règles de l'AICPA et partagé avec les prospects et clients ayant un besoin légitime et un accord de non-divulgation (NDA) en place. Utilisez-le pour les questionnaires de sécurité d'entreprise américains et l'approvisionnement en fintech.

2. ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068)

Certification du système de management de la sécurité de l'information, de la cybersécurité et de la confidentialité de Didit, délivrée par Bureau Veritas Certification (accrédité ENAC). Numéro de certificat ES144068, certifié initialement le 2026-04-07, valide jusqu'au 2027-06-03. Il atteste d'un système de sécurité de l'information géré et audité — la référence attendue par les acheteurs de l'UE et les clients financiers réglementés. Diffusable sur demande.

3. iBeta Level 1 PAD (ISO/IEC 30107-3)

Une évaluation indépendante de la détection d'attaque par présentation biométrique par iBeta Quality Assurance (un laboratoire accrédité NIST/NVLAP) selon ISO/IEC 30107-3, Niveau 1. Le test a exécuté 6 types d'attaques par présentation sur des sujets enregistrés pour 360 tentatives d'attaque — et a enregistré un taux de succès d'attaque de 0 % / 0 % IAPAR. C'est la preuve auditée derrière les affirmations anti-usurpation de Didit. Diffusable sur demande. (C'est le Niveau 1, pas le Niveau 2 — énoncé précisément.)

4. Conclusion du bac à sable Tesoro / SEPBLAC / CNMV

Le différenciateur phare. Dans le cadre du bac à sable financier espagnol, la CNMV espagnole — examinant en coordination avec le SEPBLAC (l'Unité de Renseignement Financier espagnole) — a conclu que la vérification d'identité à distance de Didit (lecture cryptographique de puce NFC plus biométrie faciale avec détection de vivacité active) respecte et dépasse les normes d'identification en personne. Les tests ont eu lieu de novembre 2024 à juillet 2025, avec des conclusions publiées en février 2026 sur le site du Trésor espagnol. C'est la seule attestation gouvernementale d'un État membre de l'UE de ce type, elle est publiée publiquement et elle est permanente. Diffusable.

5. finReg360 — mémo d'adéquation EBA/GL/2022/15

Un avis juridique indépendant de finReg360 (Madrid), daté du 2026-04-28, concluant que l'outil d'intégration client à distance de Didit satisfait aux lignes directrices de l'ABE sur l'intégration client à distance (EBA/GL/2022/15) et est compatible avec le futur Règlement unique anti-blanchiment de l'UE — et que le processus d'identification vidéo ne nécessite pas d'examen humain manuel lorsque les contrôles automatisés de Didit sont en place. Le document qu'un MLRO peut présenter à un conseil d'administration ou à un superviseur. Diffusable sur demande.

Approfondissement : quelle attestation répond à quelle question

Différents acheteurs ont des préoccupations différentes. Voici comment trouver le bon document :

• « Votre plateforme est-elle sécurisée / comment protégez-vous nos données ? » → SOC 2 Type 1 (sous NDA) et ISO/IEC 27001:2022 (cert ES144068).
• « Votre détection de vivacité peut-elle être usurpée ? » → iBeta Level 1 PAD : 0 % de succès d'attaque sur 360 tentatives.
• « L'utilisation de votre solution satisfait-elle réellement nos obligations d'intégration à distance ? » → le mémo finReg360 EBA/GL/2022/15, soutenu par la conclusion gouvernementale Tesoro/SEPBLAC/CNMV.
• « Pourquoi devrions-nous faire confiance à la vérification à distance plutôt qu'en personne ? » → la conclusion Tesoro/SEPBLAC/CNMV selon laquelle Didit respecte et dépasse l'identification en personne.

Une note sur le partage : ISO 27001, iBeta, le rapport Tesoro/SEPBLAC/CNMV et le mémo finReg360 sont diffusables sur demande ; le rapport SOC 2 est à usage restreint et partagé uniquement sous NDA. Les attestations sont référencées dans les documents — le rapport restreint lui-même n'est pas publié.

Cas d'utilisation

• Achats d'entreprise et bancaires qui nécessitent SOC 2 et ISO 27001 avant la signature.
• MLRO des PSAN crypto ayant besoin de preuves d'adéquation légale pour l'intégration à distance selon les règles de l'UE.
• Équipes de sécurité évaluant l'anti-usurpation biométrique avec un résultat de laboratoire indépendant.
• Ventes dans l'UE où la conclusion du bac à sable gouvernemental est le différenciateur décisif par rapport aux concurrents.

Questions fréquemment posées

Le SOC 2 de Didit est-il de Type 1 ou de Type 2 ?

Il s'agit d'une attestation de Type 1, rendant compte de la conception des contrôles au 2026-04-09. Un examen de Type 2 est prévu. Le rapport est à usage restreint et partagé sous NDA.

Quel est le niveau du résultat iBeta PAD ?

Niveau 1 selon ISO/IEC 30107-3, avec un taux de succès d'attaque de 0 % / 0 % IAPAR sur 360 tentatives d'attaque.

Qu'est-ce qui rend la conclusion Tesoro/SEPBLAC/CNMV unique ?

C'est la seule attestation gouvernementale d'un État membre de l'UE selon laquelle un outil de vérification d'identité à distance respecte et dépasse l'identification en personne — et elle est publiée publiquement et permanente.

Quels documents puis-je recevoir sans NDA ?

ISO/IEC 27001:2022, la lettre iBeta Level 1 PAD, la conclusion Tesoro/SEPBLAC/CNMV et le mémo finReg360 sont diffusables sur demande. Le rapport SOC 2 Type 1 nécessite un NDA.

Didit est-il un Prestataire de Services de Confiance Qualifié certifié eIDAS ?

Non. Didit est aligné et prend en charge les cadres pertinents de l'UE mais n'est pas un PSCE certifié ; ces cinq attestations sont ce qu'il détient aujourd'hui.

Prêt à commencer ?

Consultez toutes les attestations de Didit sur le centre de confiance, explorez le produit de vérification d'identité, et examinez les tarifs transparents sur la page des tarifs. Quand vous êtes prêt, commencez gratuitement — 500 vérifications KYC gratuites chaque mois, avec un flux de vérification de base à partir de 0,33 $.