Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Confiance

On gère la conformité. Lance tes vérifications d'identité en un clic

Nous nous occupons des licences, des filiales et des audits pour que ton équipe conformité et risques puisse avancer plus vite. Active un interrupteur et lance-toi dans n'importe quel pays en toute conformité, SOC 2 Type 1, ISO/IEC 27001 et l'attestation gouvernementale Tesoro EU incluses.

En chiffres

En chiffres
  • 0%
    Disponibilité réelle sur les 12 derniers mois. Enregistré en direct sur status.didit.me par rapport à l'objectif de niveau de service (SLO) de 99,99 %.
  • 0
    Incidents majeurs depuis le lancement de Didit. Testé en production depuis 2023.
  • Des millions
    D'humains vérifiés chaque mois sur notre flotte de production.
  • Certifié
    Conforme partout où Didit opère, SOC 2 Type 1, ISO/IEC 27001, iBeta Level 1 PAD et l'attestation du régulateur espagnol.
Dossier public

Les régulateurs affirment que Didit est plus sûr que la vérification en personne.

L'Espagne a mis à l'épreuve la lecture de puce NFC (Near-Field Communication) à distance de Didit, combinée à la détection de vivacité active, et l'a inscrite au dossier public comme étant au moins aussi sûre que la vérification d'une pièce d'identité en personne. Aucun autre fournisseur d'identité ne détient cette attestation.
Supervisé par
  • Tesoro Público, Trésor espagnol
  • Banco de España, Banque d'Espagne
  • SEPBLAC, Unité de renseignement financier espagnole
  • CNMV, Comisión Nacional del Mercado de Valores
La vérification NFC + vivacité active de Didit offre une sécurité équivalente ou supérieure à la vérification en personne.
Trésor espagnol, Informe de Conclusiones DIDIT, février 2026

Novembre 2024, Juillet 2025 · Sandbox financiero (Ley 7/2020), 4e cohorte · supervisé par Tesoro Público, Banco de España, SEPBLAC et CNMV.

Ingénierie de la fraude

Une équipe dédiée à la fraude. Modèles, surveillance, prévention.

Une équipe entièrement dédiée à la fraude construit, entraîne et surveille les modèles de détection derrière chaque session Didit, deepfakes, attaques par injection, falsifications, identités synthétiques, mules financières. Une nouvelle attaque dans la nature ? Un nouveau signal cette semaine. Les utilisateurs légitimes ne le ressentent jamais.
  • Modèles, conçus et réentraînés en interne.

    Détection du vivant, détection des deepfakes, classificateurs de documents, correspondance faciale, détection des attaques par injection, risque comportemental, chaque modèle est intégré à notre propre pipeline d'entraînement et de service.

  • Surveillance, chaque session, chaque heure.

    Le trafic de production alimente une file d'attente de révision en temps réel. La dérive, le taux de faux positifs, les changements de modèles d'attaque et la qualité du signal par pays sont surveillés en continu ; les seuils sont réajustés sans modification du code client.

  • Prévention, intégrée, invisible pour l'utilisateur.

    Chaque modèle s'intègre en ligne à la session. Inférence p99 en moins de 2 secondes, pas d'aller-retour supplémentaire, pas de tapotement supplémentaire. L'utilisateur légitime termine la vérification dans le même flux ; seul l'attaquant voit un chemin différent.

Certifications

Chaque affirmation est étayée par un document.

Six attestations externes couvrant la sécurité, la confidentialité, l'anti-usurpation biométrique, l'adéquation réglementaire et la reconnaissance gouvernementale. Chaque carte renvoie à un document réel, pas à un PDF marketing.
Badge d'attestation SOC 2 Type 1Nouveau
AICPA · 2026-04-09

SOC 2 Type 1

Audit indépendant de nos contrôles de sécurité, de disponibilité et de confidentialité, délivré par ATOM en avril 2026. L'examen de Type 2 est en cours.

Certificat ISO 27001 délivré par Bureau Veritas
ES144068 · Bureau Veritas

ISO/IEC 27001:2022

Certifie que notre gestion de la sécurité de l'information couvre les vérifications Didit de bout en bout. Délivré par Bureau Veritas, valide jusqu'en juin 2027.

Badge de conformité iBeta Level 1 PAD
ISO/IEC 30107-3 · NIST/NVLAP

iBeta Level 1 PAD

Test anti-usurpation biométrique, 360 tentatives sur six catégories d'attaques, zéro échec. Réalisé au laboratoire NVLAP 200962 accrédité par le NIST.

Logo Tesoro Público, Trésor public espagnol
Espagne · CNMV · SEPBLAC · BdE

Attestation du sandbox Tesoro

Un sandbox d'un an mené par quatre régulateurs financiers espagnols a conclu que la vérification à distance de Didit est au moins aussi sûre que les contrôles d'identité en personne. Aucun autre fournisseur d'identité ne détient cette attestation.

Badge de conformité RGPD
UE 2016/679 · DPA · TOMs

RGPD Article 32

Conformité totale au Règlement Général sur la Protection des Données (RGPD) en tant que sous-traitant. L'accord de traitement des données et les mesures techniques et organisationnelles sont disponibles sur demande.

Badge de conformité EBA / MiCA
EBA/GL/2022/15 · MiCA

Conformité EBA / MiCA

Avis juridique indépendant : l'onboarding à distance de Didit est conforme aux lignes directrices de l'Autorité bancaire européenne sur l'onboarding à distance des clients (EBA/GL/2022/15) et est compatible avec le futur cadre réglementaire unique de l'UE en matière de lutte contre le blanchiment d'argent (AML) et le règlement sur les marchés de crypto-actifs (MiCA).

Protection des données

Ce que nous stockons, où nous le stockons, combien de temps nous le conservons.

Tu es propriétaire des données ; Didit les traite en ton nom. Conformément au RGPD (Règlement Général sur la Protection des Données), tu es le responsable du traitement des données et Didit est le sous-traitant. La plateforme intègre les contrôles de l'Article 32 du RGPD et les règles locales de protection des données.
  • Chiffrement au reposAES-256.

    Chaque session est chiffrée au repos avec des clés AES (Advanced Encryption Standard) de 256 bits. Les clés ne touchent jamais notre code applicatif, elles résident dans AWS KMS (Key Management Service), avec des clés distinctes pour les environnements de sandbox et de production.

  • Chiffrement en transitTLS 1.3.

    Chaque appel API, webhook et session de la console d'administration est chiffré via TLS (Transport Layer Security) 1.3 avec des règles de chiffrement strictes. Les protocoles plus anciens ne peuvent pas être utilisés en repli ; HSTS (HTTP Strict Transport Security) est appliqué sur l'ensemble du site.

  • Résidence des donnéesUE par défaut.

    Les sessions sont traitées et stockées par défaut dans l'Union Européenne sur AWS. Les entreprises peuvent activer la résidence des données dans le pays, sous réserve de disponibilité, afin que les équipes de n'importe quel marché puissent utiliser Didit en toute conformité.

  • RétentionDe 1 mois à 10 ans.

    Choisis la durée de conservation de chaque session par Didit, d'un mois à dix ans, par application dans la console d'administration. Les déploiements à empreinte minimale peuvent supprimer la session dès que le webhook est reçu.

  • Gestion des données biométriquesMinimisation des données.

    Tu choisis précisément les données que Didit collecte, tout le reste est supprimé. Par défaut, seuls les modèles biométriques et les métadonnées sont conservés ; les selfies bruts et les vidéos de preuve de vie sont supprimés dès la fermeture de la session.

  • Droits des personnes concernéesSupprime les données avec un seul endpoint.

    Accès complet aux demandes d'accès des personnes concernées (DSAR) et droit à l'effacement sur demande via l'API publique. Les utilisateurs finaux envoient les DSAR depuis l'application Didit Identity ; ton équipe les déclenche avec un appel DELETE sur l'endpoint des sessions. Appliqué sur chaque réplique, pas de suppression logicielle, pas de bucket d'archivage.

FAQ

Questions de sécurité, réponses.

Les mêmes réponses que nous envoyons aux équipes de sécurité des entreprises. Pour toute autre question, security@didit.me.
Quelle est la sécurité de Didit ?

Aucune violation de données depuis le lancement de Didit en 2023. La sécurité est intégrée à chaque couche de la plateforme.

  • Zéro violation, sur des millions de vérifications et plus de 1 500 clients payants.
  • Tout est chiffré, aussi bien lorsque les données sont stockées que lorsqu'elles circulent entre les systèmes. Les clés de chiffrement sont hébergées sur Amazon Web Services (AWS), séparées de sorte qu'un sandbox ne puisse pas lire les données de production.
  • Chaque requête est vérifiée. Chaque action est journalisée. Pas de secrets partagés entre les clients.
  • Audité indépendamment, SOC 2 Type 1 (Type 2 en cours), ISO/IEC 27001:2022, et iBeta Niveau 1 Presentation Attack Detection (PAD) avec 0 % de succès d'attaque sur 360 tentatives.
  • Page de statut public en direct sur status.didit.me, chaque incident, chaque post-mortem, aucune connexion requise. 100 % de disponibilité au cours des 6 derniers mois.
  • Si quelque chose se produit, nous vous informons dans les heures, bien avant la fenêtre de signalement de l'article 33 du Règlement Général sur la Protection des Données (RGPD). Les entreprises bénéficient d'un ingénieur dédié joignable 24h/24 et 7j/7, avec un canal Slack et WhatsApp dédié.

Demandez le Dossier de Confiance sur cette page, rapport SOC 2, certificat ISO, rapport iBeta, attestation Tesoro, Accord de Traitement des Données (DPA), liste des sous-traitants, envoyé le jour même sous un Accord de Non-Divulgation (NDA) signé.

J'ai beaucoup de vérifications. Didit supportera-t-il mon volume ?

Oui. L'infrastructure s'adapte en temps réel et supporte des millions de vérifications par jour.

  • Mise à l'échelle automatique. Si votre trafic double du jour au lendemain, la plateforme s'adapte. Pas d'appel commercial, pas de réécriture de plan de capacité, pas d'avertissement nécessaire.
  • Chaque vérification est complétée en moins de 2 secondes, même en période de pointe. L'infrastructure est optimisée pour une inférence rapide de bout en bout.
  • 100 % de disponibilité au cours des 6 derniers mois. Suivez-le en direct sur status.didit.me, aucune connexion requise.
  • Testé en production, plus de 1 500 clients payants dans plus de 220 pays, en production depuis 2023.
  • Conçu pour les pics d'activité, lancements de paris sportifs, de marketplaces, déploiements de vérification d'âge. La plateforme gère le pic sans que personne chez Didit n'ait à lever le petit doigt.
  • Les contrats d'entreprise incluent des garanties écrites, un Accord de Niveau de Service (SLA) sur la vitesse, la disponibilité et la capacité, avec des crédits de facturation en cas de non-respect.

Les paliers de volume sur la page de tarification s'appliquent automatiquement à mesure que vous grandissez, pas de changement de contrat, pas de renégociation manuelle.

Quelles données Didit stocke-t-il, et quel contrôle ai-je sur celles-ci ?

Tu choisis, par workflow. Didit n'a pas de liste fixe de ce que nous conservons. Ton équipe de conformité configure chaque application dans la Business Console, et le workflow ne collecte et ne stocke que ce que tu lui indiques.

L'onglet Données retournées te donne un interrupteur pour chaque catégorie :

  • Images de documents d'identité (ID) et champs de la Zone de Lecture Automatique (MRZ)
  • Données de puce Near-Field Communication (NFC)
  • Champs d'identité extraits (nom, date de naissance, numéro de document, expiration, adresse)
  • Modèles biométriques
  • Selfie brut et vidéo complète de détection du vivant
  • Empreinte digitale de l'appareil, navigateur, système d'exploitation, plateforme
  • Géolocalisation par Protocole Internet (IP), signaux de Réseau Privé Virtuel (VPN) / Tor
  • Coordonnées de correspondance de localisation de document
  • Résultats de filtrage Anti-Money Laundering (AML) avec sanctions, Personne Politiquement Exposée (PEP) et détails de correspondance de médias défavorables
  • Charge utile de webhook, journal d'audit et métadonnées par session

La liste exacte des interrupteurs dépend des modules de ton workflow, vérifie-les lors de la configuration du workflow dans la Business Console sous Données retournées.

Qui est le Responsable du Traitement et qui est le Sous-traitant ?

Tu es le Responsable du Traitement. Didit est le Sous-traitant. C'est la configuration de l'article 28 du Règlement Général sur la Protection des Données (RGPD) que la plupart des acheteurs réglementés attendent.

  • Tu décides pourquoi les données sont collectées, quels champs sont conservés, combien de temps ils sont conservés, et qui au sein de ton équipe peut agir sur eux. L'Accord de Traitement des Données (DPA) sur cette page est le contrat qui lie Didit à ces instructions.
  • Didit traite les données en ton nom, effectuant les vérifications, le filtrage, les contrôles biométriques, la classification des documents, les webhooks, en vertu de ton DPA et de nos propres contrôles SOC 2, ISO/IEC 27001 et de l'article 32 du Règlement Général sur la Protection des Données (RGPD).

Nous te recommandons de laisser Didit stocker et accéder aux données en ton nom. La plupart de nos clients le font. Sécuriser les données d'identité à l'échelle d'Internet est un travail à temps plein : chiffrement renforcé, rotation des clés, détection d'intrusion, gestion des vulnérabilités, renouvellement des certifications, résidence régionale, outils de droits des personnes concernées, notification de violation. Les équipes de sécurité et de plateforme de Didit s'y consacrent chaque jour afin que tes équipes de conformité et d'ingénierie n'aient pas à le faire. Tu conserves un contrôle total via la Business Console, chaque règle de rétention, chaque Demande d'Accès aux Données (DSAR), chaque suppression est à ta discrétion.

Si ta politique exige que les données résident entièrement dans ton propre environnement (ton compte cloud, ta base de données sur site), nous le supportons également, Didit fonctionne comme un processeur sur une base de récupération et d'oubli, et ton équipe gère la rétention de bout en bout.

Où les données sont-elles stockées, et puis-je choisir la région ?

Union Européenne par défaut. Région spécifique ou dans le pays disponible pour les entreprises.

Le déploiement par défaut s'exécute sur Amazon Web Services (AWS) dans l'UE. Les données sont chiffrées au repos et en transit, avec des clés de chiffrement détenues par AWS et séparées par environnement.

  • Union Européenne (par défaut), pour chaque compte. Couvre le Règlement Général sur la Protection des Données (RGPD), Schrems II / Cadre de Confidentialité des Données Union Européenne, États-Unis, et eIDAS 2.0.
  • Région spécifique (États-Unis Est, Asie-Pacifique, etc.), Contrats d'entreprise, lorsque ton régulateur l'exige.
  • Résidence dans le pays (Brésil, Inde, etc.), Entreprise, sous réserve de disponibilité, pour les lois locales comme la Lei Geral de Proteção de Dados (LGPD) du Brésil et le Digital Personal Data Protection Act (DPDPA) de l'Inde.

Lorsque les données traversent une frontière, elles sont protégées par les Clauses Contractuelles Types (CCT) de la Commission Européenne de 2021. L'Évaluation d'Impact sur les Transferts (TIA) correspondante est incluse dans le Dossier de Confiance sur cette page.

Combien de temps conservez-vous les données, et comment configurer la rétention ?

Tu définis la fenêtre de rétention. De 1 mois à 10 ans, par application. L'application est automatique.

Dans la Business Console, tu définis :

  • Une fenêtre de rétention globale, de 1 mois (si tu veux que Didit ne conserve rien après le déclenchement de ton webhook) à 10 ans (le plafond de la 6e Directive Anti-Blanchiment (AMLD6)).
  • Rétention par catégorie de données, les modèles biométriques peuvent survivre aux images brutes ; les résultats de filtrage peuvent survivre aux données d'identité ; la correspondance de localisation de document peut être entièrement supprimée.
  • Application automatique, chaque nuit, la plateforme supprime tout ce qui dépasse sa fenêtre de rétention sur toutes les copies. Chaque suppression est enregistrée dans le journal d'audit.

Si tu veux que Didit ne conserve rien après le verdict, appelle POST /v3/sessions/:session_id/delete/ depuis ton gestionnaire de webhook et la session disparaît dès que ton système enregistre sa propre copie du résultat, Didit ne conserve jamais les données après l'appel. Référence complète sur docs.didit.me/sessions-api/delete-session.

Comment gérez-vous les Demandes d'Accès des Personnes Concernées (DSAR), la suppression et la portabilité ?

Un endpoint par droit.

  • Droit d'accès (Article 15) et droit à la portabilité des données (Article 20), récupère la charge utile complète de la session sur GET /v3/sessions/:session_id/decision/. Référence sur docs.didit.me/sessions-api/retrieve-session.
  • Droit à l'effacement (Article 17), POST /v3/sessions/:session_id/delete/ supprime la session et tous les artefacts liés. Référence sur docs.didit.me/sessions-api/delete-session.
Quelles certifications et attestations détenez-vous ?

Cinq attestations externes déposées. Toutes incluses dans le Dossier de Confiance.

  • SOC 2 Type 1, Sécurité, Disponibilité et Confidentialité, délivré par ATOM en avril 2026 selon les Critères de Services de Confiance de l'American Institute of Certified Public Accountants (AICPA). L'examen SOC 2 Type 2 est en cours.
  • ISO/IEC 27001:2022, Système de Management de la Sécurité de l'Information, certifié par Bureau Veritas (certificat ES144068, valide jusqu'au 03/06/2027).
  • iBeta Niveau 1 Presentation Attack Detection (PAD), test indépendant anti-usurpation biométrique, réalisé selon la norme ISO/IEC 30107-3 dans un laboratoire accrédité par le National Institute of Standards and Technology (NIST). 0 attaque réussie sur 360 tentatives.
  • RGPD Article 32, Accord de Traitement des Données (DPA), liste des sous-traitants et Mesures Techniques et Organisationnelles (MTO), tous publics.
  • Note EBA / MiCA, avis juridique indépendant selon lequel Didit satisfait aux Lignes directrices de l'EBA sur l'intégration à distance des clients (EBA/GL/2022/15) et à la réglementation MiCA.

Demande le Dossier de Confiance sur cette page et nous t'enverrons chaque rapport, certificat et note le jour même sous un Accord de Non-Divulgation (NDA) signé.

Que signifie réellement l'attestation du régulateur espagnol pour moi ?

Reconnaissance mutuelle dans toute l'Union Européenne (UE), et une piste d'audit défendable par le régulateur.

Le Tesoro Público, la Banco de España, le SEPBLAC et la CNMV espagnols ont mené un sandbox financier d'un an (novembre 2024, juillet 2025) sur le flux d'intégration de Didit combinant la lecture de puce Near-Field Communication (NFC) et la détection active du vivant. Le rapport de conclusions officiel, publié sur tesoro.es, constate que la vérification à distance de Didit atteint ou dépasse le niveau de sécurité de l'identification en personne en vertu de la Directive Anti-Blanchiment (AMLD).

Pour ton équipe de conformité, cela signifie :

  • Reconnaissance mutuelle AMLD6, l'attestation est transférable à tous les autres États membres de l'UE sans nouvelle certification.
  • Alignement eIDAS 2.0, le flux NFC + détection du vivant de Didit est publiquement reconnu comme adapté à l'intégration de la Signature Électronique Qualifiée (QES).
  • Piste d'audit défendable, lorsque ton Unité de Renseignement Financier (FIU) locale examine ton processus d'intégration, tu peux te référer au même rapport que tes homologues régulateurs de l'UE ont approuvé.

Didit est le seul fournisseur de vérification d'identité à détenir cette attestation publiquement.

Puis-je demander à Didit d'obtenir une licence ou une certification spécifique ?

Oui, et nous y travaillons probablement déjà. Didit poursuit activement plus de 10 certifications, licences et approbations réglementaires sur différents marchés et verticales à tout moment : autorisations de paiement, enregistrements crypto et Markets in Crypto-Assets (MiCA), approbations des superviseurs Anti-Money Laundering (AML), statut de Prestataire de Services de Confiance Qualifié (QTSP) eIDAS 2.0, rapports des Unités de Renseignement Financier (FIU) régionales, et autorisations spécifiques à des verticales (iGaming, santé, banque).

S'il y a une licence ou une certification que ton équipe de conformité a besoin que Didit détienne, envoie un e-mail à `security@didit.me`. Il y a de fortes chances que ce soit déjà dans notre file d'attente, et si ce n'est pas le cas, ta demande la fera remonter dans la liste. Nous te répondrons avec :

  • se situe la certification dans notre feuille de route.
  • Le calendrier prévu.
  • La portée (couverture complète, une région spécifique, un module spécifique).

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Demande à une IA de résumer cette page