NouveauSOC 2 Type 1
Audit indépendant de nos contrôles de sécurité, de disponibilité et de confidentialité, délivré par ATOM en avril 2026. L'examen de Type 2 est en cours.
Nous nous occupons des licences, des filiales et des audits pour que ton équipe conformité et risques puisse avancer plus vite. Active un interrupteur et lance-toi dans n'importe quel pays en toute conformité, SOC 2 Type 1, ISO/IEC 27001 et l'attestation gouvernementale Tesoro EU incluses.
“La vérification NFC + vivacité active de Didit offre une sécurité équivalente ou supérieure à la vérification en personne.”
Novembre 2024, Juillet 2025 · Sandbox financiero (Ley 7/2020), 4e cohorte · supervisé par Tesoro Público, Banco de España, SEPBLAC et CNMV.
Détection du vivant, détection des deepfakes, classificateurs de documents, correspondance faciale, détection des attaques par injection, risque comportemental, chaque modèle est intégré à notre propre pipeline d'entraînement et de service.
Le trafic de production alimente une file d'attente de révision en temps réel. La dérive, le taux de faux positifs, les changements de modèles d'attaque et la qualité du signal par pays sont surveillés en continu ; les seuils sont réajustés sans modification du code client.
Chaque modèle s'intègre en ligne à la session. Inférence p99 en moins de 2 secondes, pas d'aller-retour supplémentaire, pas de tapotement supplémentaire. L'utilisateur légitime termine la vérification dans le même flux ; seul l'attaquant voit un chemin différent.
NouveauAudit indépendant de nos contrôles de sécurité, de disponibilité et de confidentialité, délivré par ATOM en avril 2026. L'examen de Type 2 est en cours.

Certifie que notre gestion de la sécurité de l'information couvre les vérifications Didit de bout en bout. Délivré par Bureau Veritas, valide jusqu'en juin 2027.

Test anti-usurpation biométrique, 360 tentatives sur six catégories d'attaques, zéro échec. Réalisé au laboratoire NVLAP 200962 accrédité par le NIST.
Un sandbox d'un an mené par quatre régulateurs financiers espagnols a conclu que la vérification à distance de Didit est au moins aussi sûre que les contrôles d'identité en personne. Aucun autre fournisseur d'identité ne détient cette attestation.

Conformité totale au Règlement Général sur la Protection des Données (RGPD) en tant que sous-traitant. L'accord de traitement des données et les mesures techniques et organisationnelles sont disponibles sur demande.

Avis juridique indépendant : l'onboarding à distance de Didit est conforme aux lignes directrices de l'Autorité bancaire européenne sur l'onboarding à distance des clients (EBA/GL/2022/15) et est compatible avec le futur cadre réglementaire unique de l'UE en matière de lutte contre le blanchiment d'argent (AML) et le règlement sur les marchés de crypto-actifs (MiCA).
Chaque session est chiffrée au repos avec des clés AES (Advanced Encryption Standard) de 256 bits. Les clés ne touchent jamais notre code applicatif, elles résident dans AWS KMS (Key Management Service), avec des clés distinctes pour les environnements de sandbox et de production.
Chaque appel API, webhook et session de la console d'administration est chiffré via TLS (Transport Layer Security) 1.3 avec des règles de chiffrement strictes. Les protocoles plus anciens ne peuvent pas être utilisés en repli ; HSTS (HTTP Strict Transport Security) est appliqué sur l'ensemble du site.
Les sessions sont traitées et stockées par défaut dans l'Union Européenne sur AWS. Les entreprises peuvent activer la résidence des données dans le pays, sous réserve de disponibilité, afin que les équipes de n'importe quel marché puissent utiliser Didit en toute conformité.
Choisis la durée de conservation de chaque session par Didit, d'un mois à dix ans, par application dans la console d'administration. Les déploiements à empreinte minimale peuvent supprimer la session dès que le webhook est reçu.
Tu choisis précisément les données que Didit collecte, tout le reste est supprimé. Par défaut, seuls les modèles biométriques et les métadonnées sont conservés ; les selfies bruts et les vidéos de preuve de vie sont supprimés dès la fermeture de la session.
Accès complet aux demandes d'accès des personnes concernées (DSAR) et droit à l'effacement sur demande via l'API publique. Les utilisateurs finaux envoient les DSAR depuis l'application Didit Identity ; ton équipe les déclenche avec un appel DELETE sur l'endpoint des sessions. Appliqué sur chaque réplique, pas de suppression logicielle, pas de bucket d'archivage.
Aucune violation de données depuis le lancement de Didit en 2023. La sécurité est intégrée à chaque couche de la plateforme.
status.didit.me, chaque incident, chaque post-mortem, aucune connexion requise. 100 % de disponibilité au cours des 6 derniers mois.Demandez le Dossier de Confiance sur cette page, rapport SOC 2, certificat ISO, rapport iBeta, attestation Tesoro, Accord de Traitement des Données (DPA), liste des sous-traitants, envoyé le jour même sous un Accord de Non-Divulgation (NDA) signé.
Oui. L'infrastructure s'adapte en temps réel et supporte des millions de vérifications par jour.
status.didit.me, aucune connexion requise.Les paliers de volume sur la page de tarification s'appliquent automatiquement à mesure que vous grandissez, pas de changement de contrat, pas de renégociation manuelle.
Tu choisis, par workflow. Didit n'a pas de liste fixe de ce que nous conservons. Ton équipe de conformité configure chaque application dans la Business Console, et le workflow ne collecte et ne stocke que ce que tu lui indiques.
L'onglet Données retournées te donne un interrupteur pour chaque catégorie :
La liste exacte des interrupteurs dépend des modules de ton workflow, vérifie-les lors de la configuration du workflow dans la Business Console sous Données retournées.
Tu es le Responsable du Traitement. Didit est le Sous-traitant. C'est la configuration de l'article 28 du Règlement Général sur la Protection des Données (RGPD) que la plupart des acheteurs réglementés attendent.
Nous te recommandons de laisser Didit stocker et accéder aux données en ton nom. La plupart de nos clients le font. Sécuriser les données d'identité à l'échelle d'Internet est un travail à temps plein : chiffrement renforcé, rotation des clés, détection d'intrusion, gestion des vulnérabilités, renouvellement des certifications, résidence régionale, outils de droits des personnes concernées, notification de violation. Les équipes de sécurité et de plateforme de Didit s'y consacrent chaque jour afin que tes équipes de conformité et d'ingénierie n'aient pas à le faire. Tu conserves un contrôle total via la Business Console, chaque règle de rétention, chaque Demande d'Accès aux Données (DSAR), chaque suppression est à ta discrétion.
Si ta politique exige que les données résident entièrement dans ton propre environnement (ton compte cloud, ta base de données sur site), nous le supportons également, Didit fonctionne comme un processeur sur une base de récupération et d'oubli, et ton équipe gère la rétention de bout en bout.
Union Européenne par défaut. Région spécifique ou dans le pays disponible pour les entreprises.
Le déploiement par défaut s'exécute sur Amazon Web Services (AWS) dans l'UE. Les données sont chiffrées au repos et en transit, avec des clés de chiffrement détenues par AWS et séparées par environnement.
Lorsque les données traversent une frontière, elles sont protégées par les Clauses Contractuelles Types (CCT) de la Commission Européenne de 2021. L'Évaluation d'Impact sur les Transferts (TIA) correspondante est incluse dans le Dossier de Confiance sur cette page.
Tu définis la fenêtre de rétention. De 1 mois à 10 ans, par application. L'application est automatique.
Dans la Business Console, tu définis :
Si tu veux que Didit ne conserve rien après le verdict, appelle POST /v3/sessions/:session_id/delete/ depuis ton gestionnaire de webhook et la session disparaît dès que ton système enregistre sa propre copie du résultat, Didit ne conserve jamais les données après l'appel. Référence complète sur docs.didit.me/sessions-api/delete-session.
Un endpoint par droit.
GET /v3/sessions/:session_id/decision/. Référence sur docs.didit.me/sessions-api/retrieve-session.POST /v3/sessions/:session_id/delete/ supprime la session et tous les artefacts liés. Référence sur docs.didit.me/sessions-api/delete-session.Cinq attestations externes déposées. Toutes incluses dans le Dossier de Confiance.
ES144068, valide jusqu'au 03/06/2027).EBA/GL/2022/15) et à la réglementation MiCA.Demande le Dossier de Confiance sur cette page et nous t'enverrons chaque rapport, certificat et note le jour même sous un Accord de Non-Divulgation (NDA) signé.
Reconnaissance mutuelle dans toute l'Union Européenne (UE), et une piste d'audit défendable par le régulateur.
Le Tesoro Público, la Banco de España, le SEPBLAC et la CNMV espagnols ont mené un sandbox financier d'un an (novembre 2024, juillet 2025) sur le flux d'intégration de Didit combinant la lecture de puce Near-Field Communication (NFC) et la détection active du vivant. Le rapport de conclusions officiel, publié sur tesoro.es, constate que la vérification à distance de Didit atteint ou dépasse le niveau de sécurité de l'identification en personne en vertu de la Directive Anti-Blanchiment (AMLD).
Pour ton équipe de conformité, cela signifie :
Didit est le seul fournisseur de vérification d'identité à détenir cette attestation publiquement.
Oui, et nous y travaillons probablement déjà. Didit poursuit activement plus de 10 certifications, licences et approbations réglementaires sur différents marchés et verticales à tout moment : autorisations de paiement, enregistrements crypto et Markets in Crypto-Assets (MiCA), approbations des superviseurs Anti-Money Laundering (AML), statut de Prestataire de Services de Confiance Qualifié (QTSP) eIDAS 2.0, rapports des Unités de Renseignement Financier (FIU) régionales, et autorisations spécifiques à des verticales (iGaming, santé, banque).
S'il y a une licence ou une certification que ton équipe de conformité a besoin que Didit détienne, envoie un e-mail à `security@didit.me`. Il y a de fortes chances que ce soit déjà dans notre file d'attente, et si ce n'est pas le cas, ta demande la fera remonter dans la liste. Nous te répondrons avec :
Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.