Les données de production sont traitées et stockées dans l'Union Européenne par défaut, sur Amazon Web Services. Les contrats d'entreprise peuvent demander des régions alternatives pour les juridictions dont les régulateurs l'exigent.
Chiffrement partout. AES-256 au repos sur chaque base de données, stockage d'objets et sauvegarde. TLS 1.3 en transit sur chaque appel API, webhook et session de la console d'administration. Les données biométriques sont chiffrées sous une clé principale client distincte.
La rétention est sous votre contrôle. La rétention par défaut est indéfinie (illimitée), sauf si vous configurez une durée plus courte, entre 30 jours et 10 ans par application, et vous pouvez supprimer n'importe quelle session individuelle à tout moment depuis le tableau de bord ou l'API.
Certifications : SOC 2 Type 1 (audit Type 2 en cours), ISO/IEC 27001:2022, iBeta Level 1 PAD, et une attestation publique du Tesoro / SEPBLAC / CNMV espagnol que la vérification d'identité à distance de Didit est plus sûre que la vérification en personne. Rapport complet sur /security-compliance.