Passer au contenu principal
Didit lève 2 millions de dollars et rejoint Y Combinator (W26)
Didit
DSP3 · Authentification forte du client

Deux facteurs SCA. Un seul geste.

L'authentification biométrique (0,10 $) et l'analyse de l'appareil et de l'IP (0,03 $) offrent deux facteurs SCA de niveau PSD3 en une seule invite. Résistant au phishing. Remplacement direct du mot de passe à usage unique par SMS.

Commencer gratuitementLire la documentation
Soutenu par
Y Combinator
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

Approuvé par plus de 2 000 organisations dans le monde entier.

Une illustration de conformité abstraite sombre et cinématographique — quatre panneaux translucides flottants en verre foncé en perspective 3D sur une toile noire pure, traversés par une ligne verticale lumineuse Didit Blue et encadrés par quatre supports de scanner lumineux. Chaque panneau porte un petit motif abstrait blanc pâle (arcs d'empreintes digitales, ovale de visage, silhouette de téléphone, forme de cadenas) représentant l'authentification forte du client biométrique.

Pourquoi le SMS OTP est en voie de disparition

À l'épreuve des échanges de carte SIM. À l'épreuve du phishing. 0,13 $ par authentification.

La DSP3 supprime progressivement le mot de passe à usage unique par SMS en tant que facteur d'authentification forte du client. L'authentification forte du client biométrique liée à l'appareil de Didit bloque l'échange de carte SIM, le phishing en temps réel et l'interception SS7 — à 0,13 $ par authentification, verdict en moins de deux secondes, prêt pour la liaison dynamique. 500 vérifications gratuites chaque mois.

Comment ça marche

De l'inscription à l'utilisateur vérifié en quatre étapes.

  1. Étape 01

    Créer le flux de travail

    Choisissez les vérifications que vous souhaitez — identité, vivacité, correspondance faciale, sanctions, adresse, âge, téléphone, e-mail, questions personnalisées. Faites-les glisser dans un flux dans le tableau de bord, ou publiez le même flux sur notre API. Créez des branches conditionnelles, exécutez des tests A/B, aucun code requis.

  2. Étape 02

    Intégrer

    Intégrez nativement avec nos SDK Web, iOS, Android, React Native ou Flutter. Redirigez vers une page hébergée. Ou envoyez simplement un lien à votre utilisateur — par e-mail, SMS, WhatsApp, n'importe où. Choisissez ce qui convient à votre pile.

  3. Étape 03

    L'utilisateur parcourt le flux

    Didit héberge la caméra, les signaux lumineux, le transfert mobile et l'accessibilité. Pendant que l'utilisateur est dans le flux, nous évaluons plus de 200 signaux de fraude en temps réel et vérifions chaque champ par rapport à des sources de données fiables. Résultat en moins de deux secondes.

  4. Étape 04

    Vous recevez les résultats

    Les webhooks signés en temps réel maintiennent votre base de données synchronisée dès qu'un utilisateur est approuvé, refusé ou envoyé en révision. Interrogez l'API à la demande. Ou ouvrez la console pour inspecter chaque session, chaque signal et gérer les cas à votre manière.

Conçu pour la SCA · Prix comme une infrastructure

Deux facteurs. Une invite. 0,13 $ par authentification.

La véritable authentification forte du client n'est pas une simple vérification — c'est une recette. Activez les exemptions par flux de travail. Passez à une clé matérielle en cas de signaux de risque. Pas de redéploiement.
Lire la documentationObtenir une clé API
01 · Facteurs SCA

Deux facteurs. Différentes catégories.

Inhérence (vivacité passive + correspondance faciale 1:1) plus possession (l'appareil lié de l'utilisateur). Conforme PSD3 par défaut. Facteur de connaissance (PIN, mot de passe) facultatif et configurable par flux de travail.
Module d'authentification biométrique
02 · Liaison dynamique

Une approbation. Liée au montant + bénéficiaire.

Pour les paiements, le défi d'authentification intègre le montant exact et le bénéficiaire. L'utilisateur les voit sur l'invite biométrique elle-même. Toute altération invalide l'approbation — intégrée au PSR.
Référence de l'API Sessions
03 · Pourquoi le SMS OTP est abandonné

Résistant au phishing par conception.

Fraude par échange de carte SIM, kits de phishing en temps réel, interception SS7 — tous ces éléments déjouent le mot de passe à usage unique par SMS. La biométrie liée à l'appareil avec liaison d'origine bloque toutes les attaques courantes que l'Autorité bancaire européenne a signalées dans son avis SCA de 2024.
Prévention du piratage de compte
04 · Moteur d'exemption

Exemptions, calibrées par flux de travail.

Faible valeur à distance inférieure à 30 EUR, point de vente sans contact inférieur à 50 EUR, transactions récurrentes identiques, bénéficiaire de confiance, niveaux d'analyse des risques de transaction. Tous modifiables dans le Workflow Builder sans code.
Orchestrateur de flux de travail
05 · Plus de 200 signaux par authentification

Plus de 200 signaux à chaque authentification.

Empreinte digitale de l'appareil, géolocalisation IP, détection VPN / proxy / centre de données, indicateur de nouvel appareil, dérive comportementale. Passez automatiquement à une clé matérielle lorsque le risque dépasse votre seuil.
Module d'analyse des appareils et IP
06 · Économie

$0.13 per auth, not $0.04 plus SIM-swap loss.

Authentification biométrique à 0,10 $ + analyse de l'appareil et de l'adresse IP à 0,03 $ = 0,13 $ par authentification forte du client. Le mot de passe à usage unique par SMS coûte entre 0,04 $ et 0,07 $, plus les échecs de livraison, les tentatives de réessai et l'exposition aux pertes dues aux échanges de carte SIM que les régulateurs intègrent dans PSD3.
Tarification
Intégrer

Une session. Un clic. Un webhook.

Ouvrez la session avec le montant + le bénéficiaire. L'utilisateur approuve sur son téléphone. Le webhook signé confirme la liaison.
POST /v3/session/Connexion
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "purpose": "login" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Crééstatut Approuvé · Refusé · En cours d'examen
Transmettez le selfie d'inscription KYC comme portrait_image. Pas de réinscription.docs →
POST /v3/session/Paiement
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "amount": "247.50", "payee_account": "ES91…1332" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Crééle webhook renvoie le montant + le bénéficiaire pour vérification
L'utilisateur voit le montant + le bénéficiaire sur l'invite biométrique elle-même. Liaison dynamique.docs →
Intégration prête pour l'agent

Déployez un flux SCA PSD3 en une seule invite.

Collez dans Claude Code, Cursor, Codex, Devin, Aider ou Replit Agent. Remplissez votre stack. L'agent construit le workflow, câble la liaison dynamique, monte le SDK et déploie une authentification forte du client fonctionnelle en cinq minutes.
didit-integration-prompt.md
You are integrating Didit's Strong Customer Authentication into a payment service provider, bank, EMI, or wallet to satisfy PSD3 / the Payment Services Regulation (PSR). Two factors in one prompt:

  1. Inherence — Biometric Authentication: Passive Liveness + Face Match 1:1 against the user's previously-enrolled KYC selfie.
  2. Possession — Device & IP Analysis: 200+ real-time fraud signals binding the auth to the user's known device.

Pricing (verified live 2026-05-16):
  - Biometric Authentication: $0.10 per auth
  - Device & IP Analysis: $0.03 per auth
  - Total: $0.13 per Strong Customer Authentication
  - First 500 verifications free every month, forever
  - Re-uses the enrolled selfie from the original KYC — no re-enrolment

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - Webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header.
  - A workflow_id from the no-code Workflow Builder configured as a Biometric Authentication workflow (Passive Liveness + Face Match 1:1 + Device & IP Analysis).
  - The user has previously completed a Didit KYC (the same enrolled selfie backs every subsequent auth).

STEP 1 — Open an authentication session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body (for login auth):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/auth/callback",
      "metadata": {
        "purpose": "login",
        "session_id": "<your front-end session id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor; OMIT only if the workflow is liveness-only>"
    }

  Body (for payment with dynamic linking):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/payment/callback",
      "metadata": {
        "purpose": "payment",
        "amount": "247.50",
        "currency": "EUR",
        "payee_account": "ES9121000418450200051332",
        "payee_name": "<merchant or recipient>",
        "transaction_reference": "<your internal transaction id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor>"
    }

  Response: 201 Created with the hosted session URL. Push the URL to the user via deep-link / push notification / in-app sheet.

STEP 2 — User completes the biometric auth

  The user sees one prompt on their phone (or via the Didit SDK in your native app). Three things happen on the same screen:

  1. The amount + payee are displayed (dynamic linking — the user explicitly approves THIS amount to THIS payee for payments).
  2. Passive Liveness defeats screen replay, printed photo, mask, deepfake.
  3. Face Match 1:1 matches the new selfie against the enrolled KYC selfie.

  Device & IP Analysis runs server-side on the session. Sub-2-second median verdict.

STEP 3 — Read the signed webhook on the auth verdict

  Didit POSTs to your callback. Session statuses (Title Case With Spaces):

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "vpn_detected": false, "datacenter_ip": false },
      "metadata_echo": {
        "amount": "247.50",
        "payee_account": "ES9121000418450200051332"
      }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  For payments, verify that metadata_echo.amount and metadata_echo.payee_account match the values you passed in. If they do not, REJECT the payment — it's a dynamic-linking violation.

STEP 4 — Branch on verdict

  Approved   → unlock the action (login, payment, account change).
  In Review  → hold the action, route to manual review queue.
  Declined   → block, log the attempt, surface a friendly "try again" to the user.
  Resubmitted → the user re-submitted after a soft fail (poor lighting, occlusion); proceed if the latest status is Approved.

STEP 5 — Retrieve the full decision later

  GET https://verification.didit.me/v3/session/{sessionId}/decision/
  Headers:
    x-api-key: <your api key>

  Returns the full payload: liveness verdict (iBeta Level 1 anti-spoof certified), Face Match similarity score, device fingerprint, IP geolocation, VPN / proxy / datacenter flags, 200+ fraud-signal score, dynamic-linking echo, HMAC signature.

  Use this for the audit-trail surface a regulator examines on Strong Customer Authentication coverage.

STEP 6 — Step up on risk

  When Device & IP Analysis surfaces a high-risk signal (new device + high-value payment, VPN/proxy on a login, geolocation jump), your workflow can step up to:

  - A separate hardware-key challenge (FIDO2 / WebAuthn)
  - A trusted-beneficiary whitelist confirmation
  - A manual-review hold

  Encode the step-up policy in the no-code Workflow Builder — no redeploy required.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE on a session.
  - Dynamic linking is REQUIRED for payments — pass amount + payee in metadata, verify the echo on the webhook.
  - The enrolled selfie that backs every SCA is the one captured during the user's original KYC — no separate enrolment step.
  - PSD3 / PSR exemptions (low-value remote < EUR 30, contactless point-of-sale < EUR 50, recurring identical, trusted beneficiary, Transaction Risk Analysis tiers) are configured per workflow in the Business Console.
  - Default record retention is 5 years per the EU AML and payments rules.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/sessions-api/retrieve-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
Besoin de plus de contexte ? Consultez la documentation complète du module.docs.didit.me →
Conforme par conception

Ouvrez un nouveau pays en un clic. Nous faisons le gros du travail.

Nous ouvrons les filiales locales, obtenons les licences, effectuons les tests d'intrusion, obtenons les certifications et nous alignons sur chaque nouvelle réglementation. Pour effectuer des vérifications dans un nouveau pays, il suffit d'activer un interrupteur. Plus de 220 pays en direct, audités et testés par pénétration chaque trimestre — le seul fournisseur d'identité qu'un gouvernement d'un État membre de l'UE a formellement qualifié de plus sûr que la vérification en personne.
Lire le dossier sécurité et conformité
Bac à sable financier de l'UE
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
Sécurité de l'information · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Conçu pour être conforme aux normes de l'UE

Chiffres de preuve

Chiffres de preuve
  • $0.00
    Par authentification forte du client — Authentification biométrique + Analyse de l'appareil et de l'IP.
  • <0s
    Verdict d'authentification de bout en bout par session, sur Android d'entrée de gamme.
  • 0+
    Signaux de fraude en temps réel évalués à chaque authentification — VPN, centre de données, dérive de géolocalisation, dérive d'appareil.
  • 0
    Vérifications gratuites chaque mois, sur chaque compte.
Trois niveaux, une seule liste de prix

Commencez gratuitement. Payez à l'usage. Passez à l'Entreprise.

500 vérifications gratuites chaque mois, pour toujours. Paiement à l'utilisation pour la production. Contrats personnalisés, résidence des données et SLA (Service Level Agreements) pour l'Entreprise.
Gratuit

Gratuit

0 $ / mois. Aucune carte de crédit requise.

  • Forfait KYC gratuit (Vérification d'identité + Vivacité passive + Correspondance faciale + Analyse d'appareil et IP) — 500 / mois, chaque mois
  • Utilisateurs bloqués
  • Détection des doublons
  • Plus de 200 signaux de fraude sur chaque session
  • KYC réutilisable sur le réseau Didit
  • Plateforme de gestion des cas
  • Constructeur de flux de travail
  • Documentation publique, sandbox, SDK, serveur MCP (Model Context Protocol)
  • Support communautaire
Commencez gratuitement
Le plus populaire
Payez à l'usage

Basé sur l'utilisation

Payez uniquement pour ce que vous utilisez. Plus de 25 modules. Tarification publique par module, pas de frais mensuels minimums.

  • KYC complet à 0,33 $ (ID + Biométrie + IP / Appareil)
  • Plus de 10 000 ensembles de données AML — sanctions, PEP, médias défavorables
  • Plus de 1 000 sources de données gouvernementales pour la validation de base de données
  • Surveillance des transactions à 0,02 $ par transaction
  • KYB en direct à 2,00 $ par entreprise
  • Filtrage de portefeuille à 0,15 $ par vérification
  • Flux de vérification en marque blanche — votre marque, notre infrastructure
Voir la liste complète des prixCommencer gratuitement
Entreprise

Entreprise

MSA et SLA personnalisés. Pour les grands volumes et les programmes réglementés.

  • Contrats annuels
  • MSA, DPA et SLA personnalisés
  • Canal Slack et WhatsApp dédié
  • Examinateurs manuels sur demande
  • Conditions de revendeur et de marque blanche
  • Fonctionnalités exclusives et intégrations partenaires
  • CSM désigné, examen de sécurité, support de conformité
Parlez-nous

Commencez gratuitement → payez uniquement lorsqu'une vérification est effectuée → débloquez l'Entreprise pour un contrat personnalisé, un SLA ou une résidence des données.

FAQ

Questions fréquentes

Connexe

Modules et workflows associés

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le filtrage des portefeuilles. Intégration en 5 minutes.

Démarrer gratuitementNous contacter
Demandez à une IA de résumer cette page