मुख्य कंटेंट पर जाएं
Didit ने पहचान और धोखाधड़ी के लिए इंफ्रास्ट्रक्चर बनाने हेतु $7.5M जुटाए
Didit
PSD3 · स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन

दो SCA फैक्टर। एक टैप।

बायोमेट्रिक ऑथेंटिकेशन ($0.10) और डिवाइस व IP एनालिसिस ($0.03) एक ही प्रॉम्प्ट में दो PSD3-ग्रेड SCA फैक्टर प्रदान करते हैं। फ़िशिंग-रेज़िस्टेंट। SMS वन-टाइम-पासवर्ड के लिए ड्रॉप-इन रिप्लेसमेंट।

इनके द्वारा समर्थित
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

दुनिया भर में 2,000+ संगठनों द्वारा विश्वसनीय।

एक सिनेमाई डार्क एब्स्ट्रैक्ट कंप्लायंस इलस्ट्रेशन, एक शुद्ध काले कैनवास पर 3D परिप्रेक्ष्य में चार तैरते हुए पारभासी डार्क-ग्लास पैनल, एक चमकदार डिडिट ब्लू वर्टिकल लाइन से जुड़े हुए और चार चमकते स्कैनर ब्रैकेट से घिरे हुए। प्रत्येक पैनल पर एक छोटा पीला-सफेद एब्स्ट्रैक्ट मोटिफ (फिंगरप्रिंट आर्क, फेस ओवल, फोन सिलुएट, लॉक शेप) है जो बायोमेट्रिक स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन का प्रतिनिधित्व करता है।

SMS OTP क्यों बंद हो रहा है

SIM-स्वैप-प्रूफ। फ़िशिंग-प्रूफ। प्रति ऑथेंटिकेशन $0.13।

PSD3, SMS वन-टाइम-पासवर्ड को स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन फैक्टर के तौर पर हटा रहा है। Didit का डिवाइस-बाउंड बायोमेट्रिक SCA SIM-स्वैप, रियल-टाइम फ़िशिंग और SS7 इंटरसेप्शन को रोकता है, $0.13 प्रति ऑथेंटिकेशन पर, दो सेकंड से भी कम समय में परिणाम, डायनामिक-लिंकिंग के लिए तैयार। हर महीने 500 वेरिफिकेशन मुफ्त।

यह कैसे काम करता है

साइन-अप से लेकर वेरिफाइड यूज़र तक, चार स्टेप्स में।

  1. चरण 01

    वर्कफ़्लो बनाएँ

    अपनी ज़रूरत के चेक चुनें, ID, लाइवनैस, फ़ेस मैच, सैंक्शन, एड्रेस, उम्र, फ़ोन, ईमेल, कस्टम सवाल। उन्हें डैशबोर्ड में एक फ़्लो में ड्रैग करें, या उसी फ़्लो को हमारे API पर पोस्ट करें। शर्तों के आधार पर ब्रांच करें, A/B टेस्ट चलाएँ, किसी कोड की ज़रूरत नहीं।

  2. चरण 02

    इंटीग्रेट करें

    हमारे वेब, iOS, Android, React Native, या Flutter SDK के साथ नेटिवली एम्बेड करें। होस्ट किए गए पेज पर रीडायरेक्ट करें। या बस अपने यूज़र को एक लिंक भेजें, ईमेल, SMS, WhatsApp, कहीं भी। जो आपके स्टैक के लिए सही हो, उसे चुनें।

  3. चरण 03

    यूज़र फ़्लो से गुज़रता है

    Didit कैमरा, लाइटिंग क्यू, मोबाइल हैंड-ऑफ़ और एक्सेसिबिलिटी को होस्ट करता है। जब यूज़र फ़्लो में होता है, तो हम रियल टाइम में 200+ फ़्रॉड सिग्नल स्कोर करते हैं और हर फ़ील्ड को आधिकारिक डेटा स्रोतों के ख़िलाफ़ वेरिफाई करते हैं। दो सेकंड से भी कम समय में परिणाम।

  4. चरण 04

    आपको परिणाम मिलते हैं

    रियल-टाइम साइंड वेबहुक आपके डेटाबेस को सिंक में रखते हैं, जैसे ही कोई यूज़र अप्रूव होता है, डिक्लाइन होता है, या रिव्यू के लिए भेजा जाता है। ज़रूरत पड़ने पर API को पोल करें। या हर सेशन, हर सिग्नल की जाँच करने और अपने तरीके से मामलों को मैनेज करने के लिए कंसोल खोलें।

SCA के लिए बना · इंफ्रास्ट्रक्चर जैसी कीमत

दो फ़ैक्टर। एक प्रॉम्प्ट। $0.13 प्रति ऑथेंटिकेशन।

रियल स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन सिर्फ़ एक चेक नहीं है, यह एक रेसिपी है। हर वर्कफ़्लो के लिए छूट टॉगल करें। जोखिम संकेतों पर हार्डवेयर कुंजी पर अपग्रेड करें। कोई रीडिप्लॉय नहीं।
01 · SCA फ़ैक्टर

दो फ़ैक्टर। अलग-अलग कैटेगरी।

इन्हेरेंस (पैसिव लाइवनैस + फ़ेस मैच 1:1) और पज़ेशन (यूज़र का बाउंड डिवाइस)। डिफ़ॉल्ट रूप से PSD3-ग्रेड। नॉलेज फ़ैक्टर (पिन, पासवर्ड) वैकल्पिक और प्रति वर्कफ़्लो कॉन्फ़िगर करने योग्य।
बायोमेट्रिक ऑथेंटिकेशन मॉड्यूल
02 · डायनामिक लिंकिंग

एक अप्रूवल। राशि + प्राप्तकर्ता से जुड़ा हुआ।

भुगतानों के लिए, ऑथेंटिकेशन चैलेंज में सटीक राशि और प्राप्तकर्ता एम्बेड होते हैं। यूज़र उन्हें बायोमेट्रिक प्रॉम्प्ट पर ही देखता है। कोई भी छेड़छाड़ अप्रूवल को अमान्य कर देती है, PSR में बिल्ट-इन।
सेशन API संदर्भ
03 · SMS OTP क्यों बंद हो रहा है

डिज़ाइन से ही फ़िशिंग-प्रतिरोधी।

SIM-स्वैप फ़्रॉड, रियल-टाइम फ़िशिंग किट, SS7 इंटरसेप्शन, ये सभी SMS वन-टाइम-पासवर्ड को हरा देते हैं। ओरिजिन बाइंडिंग के साथ डिवाइस-बाउंड बायोमेट्रिक्स हर सामान्य हमले को रोकते हैं जिसे यूरोपीय बैंकिंग अथॉरिटी ने अपनी 2024 SCA राय में बताया था।
अकाउंट टेकओवर रोकथाम
04 · छूट इंजन

वर्कफ़्लो के हिसाब से कैलिब्रेटेड छूट।

EUR 30 से कम का कम-मूल्य वाला रिमोट, EUR 50 से कम का कॉन्टैक्टलेस पॉइंट-ऑफ़-सेल, बार-बार होने वाला समान, विश्वसनीय लाभार्थी, ट्रांज़ैक्शन रिस्क एनालिसिस टियर। सभी नो-कोड वर्कफ़्लो बिल्डर में एडिट करने योग्य।
वर्कफ़्लो ऑर्केस्ट्रेटर
05 · प्रति ऑथेंटिकेशन 200+ सिग्नल

हर ऑथ पर 200+ सिग्नल।

डिवाइस फ़िंगरप्रिंट, IP जियोलोकेशन, VPN / प्रॉक्सी / डेटासेंटर डिटेक्शन, नया-डिवाइस फ़्लैग, बिहेवियरल ड्रिफ्ट। जब जोखिम आपकी सीमा को पार कर जाए तो स्वचालित रूप से हार्डवेयर कुंजी पर अपग्रेड करें।
डिवाइस और IP एनालिसिस मॉड्यूल
06 · इकोनॉमिक्स

$0.13 per auth, not $0.04 plus SIM-swap loss.

$0.10 बायोमेट्रिक ऑथेंटिकेशन + $0.03 डिवाइस और IP एनालिसिस = $0.13 प्रति स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन। SMS वन-टाइम-पासवर्ड $0.04-$0.07 के साथ-साथ डिलीवरी विफलताओं, रिट्राई और SIM-स्वैप लॉस एक्सपोज़र के लिए आता है जिसे रेगुलेटर PSD3 में कीमत दे रहे हैं।
कीमत
इंटीग्रेट करें

एक सेशन। एक टैप। एक वेबहुक।

राशि + प्राप्तकर्ता के साथ सेशन खोलें। यूज़र अपने फ़ोन पर अप्रूव करता है। साइंड वेबहुक बाइंडिंग की पुष्टि करता है।
POST /v3/session/लॉगिन
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "purpose": "login" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201बनाया गयास्टेटस अप्रूव्ड · डिक्लाइंड · इन रिव्यू
KYC एनरोलमेंट सेल्फी को portrait_image के रूप में पास करें। कोई री-एनरोलमेंट नहीं।डॉक्स →
POST /v3/session/भुगतान
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "amount": "247.50", "payee_account": "ES91…1332" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201बनाया गयावेबहुक सत्यापन के लिए राशि + प्राप्तकर्ता को दोहराता है
यूज़र बायोमेट्रिक प्रॉम्प्ट पर ही राशि + प्राप्तकर्ता देखता है। डायनामिक लिंकिंग।डॉक्स →
एजेंट-रेडी इंटीग्रेशन

एक प्रॉम्प्ट में PSD3 SCA फ़्लो शिप करें।

Claude Code, Cursor, Codex, Devin, Aider, या Replit Agent में पेस्ट करें। अपना स्टैक भरें। एजेंट वर्कफ़्लो बनाता है, डायनामिक लिंकिंग को वायर करता है, SDK माउंट करता है, और पाँच मिनट में एक वर्किंग स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन शिप करता है।
didit-integration-prompt.md
You are integrating Didit's Strong Customer Authentication into a payment service provider, bank, EMI, or wallet to satisfy PSD3 / the Payment Services Regulation (PSR). Two factors in one prompt:

  1. Inherence — Biometric Authentication: Passive Liveness + Face Match 1:1 against the user's previously-enrolled KYC selfie.
  2. Possession — Device & IP Analysis: 200+ real-time fraud signals binding the auth to the user's known device.

Pricing (verified live 2026-05-16):
  - Biometric Authentication: $0.10 per auth
  - Device & IP Analysis: $0.03 per auth
  - Total: $0.13 per Strong Customer Authentication
  - First 500 verifications free every month, forever
  - Re-uses the enrolled selfie from the original KYC — no re-enrolment

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - Webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header.
  - A workflow_id from the no-code Workflow Builder configured as a Biometric Authentication workflow (Passive Liveness + Face Match 1:1 + Device & IP Analysis).
  - The user has previously completed a Didit KYC (the same enrolled selfie backs every subsequent auth).

STEP 1 — Open an authentication session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body (for login auth):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/auth/callback",
      "metadata": {
        "purpose": "login",
        "session_id": "<your front-end session id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor; OMIT only if the workflow is liveness-only>"
    }

  Body (for payment with dynamic linking):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/payment/callback",
      "metadata": {
        "purpose": "payment",
        "amount": "247.50",
        "currency": "EUR",
        "payee_account": "ES9121000418450200051332",
        "payee_name": "<merchant or recipient>",
        "transaction_reference": "<your internal transaction id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor>"
    }

  Response: 201 Created with the hosted session URL. Push the URL to the user via deep-link / push notification / in-app sheet.

STEP 2 — User completes the biometric auth

  The user sees one prompt on their phone (or via the Didit SDK in your native app). Three things happen on the same screen:

  1. The amount + payee are displayed (dynamic linking — the user explicitly approves THIS amount to THIS payee for payments).
  2. Passive Liveness defeats screen replay, printed photo, mask, deepfake.
  3. Face Match 1:1 matches the new selfie against the enrolled KYC selfie.

  Device & IP Analysis runs server-side on the session. Sub-2-second median verdict.

STEP 3 — Read the signed webhook on the auth verdict

  Didit POSTs to your callback. Session statuses (Title Case With Spaces):

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "vpn_detected": false, "datacenter_ip": false },
      "metadata_echo": {
        "amount": "247.50",
        "payee_account": "ES9121000418450200051332"
      }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  For payments, verify that metadata_echo.amount and metadata_echo.payee_account match the values you passed in. If they do not, REJECT the payment — it's a dynamic-linking violation.

STEP 4 — Branch on verdict

  Approved   → unlock the action (login, payment, account change).
  In Review  → hold the action, route to manual review queue.
  Declined   → block, log the attempt, surface a friendly "try again" to the user.
  Resubmitted → the user re-submitted after a soft fail (poor lighting, occlusion); proceed if the latest status is Approved.

STEP 5 — Retrieve the full decision later

  GET https://verification.didit.me/v3/session/{sessionId}/decision/
  Headers:
    x-api-key: <your api key>

  Returns the full payload: liveness verdict (iBeta Level 1 anti-spoof certified), Face Match similarity score, device fingerprint, IP geolocation, VPN / proxy / datacenter flags, 200+ fraud-signal score, dynamic-linking echo, HMAC signature.

  Use this for the audit-trail surface a regulator examines on Strong Customer Authentication coverage.

STEP 6 — Step up on risk

  When Device & IP Analysis surfaces a high-risk signal (new device + high-value payment, VPN/proxy on a login, geolocation jump), your workflow can step up to:

  - A separate hardware-key challenge (FIDO2 / WebAuthn)
  - A trusted-beneficiary whitelist confirmation
  - A manual-review hold

  Encode the step-up policy in the no-code Workflow Builder — no redeploy required.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE on a session.
  - Dynamic linking is REQUIRED for payments — pass amount + payee in metadata, verify the echo on the webhook.
  - The enrolled selfie that backs every SCA is the one captured during the user's original KYC — no separate enrolment step.
  - PSD3 / PSR exemptions (low-value remote < EUR 30, contactless point-of-sale < EUR 50, recurring identical, trusted beneficiary, Transaction Risk Analysis tiers) are configured per workflow in the Business Console.
  - Default record retention is 5 years per the EU AML and payments rules.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/sessions-api/retrieve-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
और जानकारी चाहिए? पूरे मॉड्यूल डॉक्स देखें।docs.didit.me →
डिज़ाइन द्वारा कंप्लायंट

एक क्लिक में एक नया देश खोलें। हम मुश्किल काम करते हैं।

हम स्थानीय सहायक कंपनियाँ खोलते हैं, लाइसेंस सुरक्षित करते हैं, पेनेट्रेशन टेस्ट चलाते हैं, सर्टिफिकेशन हासिल करते हैं, और हर नए रेगुलेशन के साथ अलाइन करते हैं। एक नए देश में वेरिफिकेशन शिप करने के लिए, बस एक टॉगल फ्लिप करें। 220+ देश लाइव, हर तिमाही ऑडिट और पेन-टेस्टेड, एकमात्र आइडेंटिटी प्रोवाइडर जिसे EU सदस्य-राज्य सरकार ने औपचारिक रूप से इन-पर्सन वेरिफिकेशन से ज़्यादा सुरक्षित बताया है।
सुरक्षा और कंप्लायंस डोजियर पढ़ें
EU फाइनेंशियल सैंडबॉक्स
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
सूचना सुरक्षा · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
डिज़ाइन द्वारा EU-अलाइन

प्रूफ नंबर्स

प्रूफ नंबर्स
  • $0.00
    प्रति स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन, बायोमेट्रिक ऑथेंटिकेशन + डिवाइस और IP एनालिसिस।
  • <0s
    एंट्री-लेवल Android पर प्रति सेशन एंड-टू-एंड ऑथेंटिकेशन का नतीजा।
  • 0+
    हर ऑथेंटिकेशन पर रियल-टाइम फ्रॉड सिग्नल का मूल्यांकन, VPN, डेटासेंटर, जियोलोकेशन ड्रिफ्ट, डिवाइस ड्रिफ्ट।
  • 0
    हर महीने, हर अकाउंट पर मुफ्त वेरिफिकेशन।
तीन टियर, एक मूल्य सूची

मुफ़्त में शुरू करें। उपयोग के अनुसार भुगतान करें। एंटरप्राइज़ तक स्केल करें।

हर महीने 500 मुफ़्त वेरिफिकेशन, हमेशा के लिए। प्रोडक्शन के लिए पे-एज़-यू-गो। एंटरप्राइज़ पर कस्टम कॉन्ट्रैक्ट, डेटा रेज़िडेंसी, और SLA (सर्विस लेवल एग्रीमेंट)।
मुफ़्त

मुफ़्त

$0 / महीना। क्रेडिट कार्ड की ज़रूरत नहीं।

  • मुफ़्त KYC बंडल (ID वेरिफिकेशन + पैसिव लाइवनेस + फेस मैच + डिवाइस और IP एनालिसिस), 500 / महीना, हर महीने
  • ब्लॉकलिस्टेड यूज़र्स
  • डुप्लीकेट डिटेक्शन
  • हर सेशन पर 200+ फ्रॉड सिग्नल
  • Didit नेटवर्क पर दोबारा इस्तेमाल करने योग्य KYC
  • केस मैनेजमेंट प्लेटफ़ॉर्म
  • वर्कफ़्लो बिल्डर
  • पब्लिक डॉक्स, सैंडबॉक्स, SDKs, MCP (मॉडल कॉन्टेक्स्ट प्रोटोकॉल) सर्वर
  • कम्युनिटी सपोर्ट
सबसे लोकप्रिय
उपयोग के अनुसार भुगतान करें

उपयोग आधारित

आप जितना उपयोग करते हैं, केवल उसी का भुगतान करें। 25+ मॉड्यूल। प्रति-मॉड्यूल सार्वजनिक मूल्य निर्धारण, कोई मासिक न्यूनतम शुल्क नहीं।

  • $0.33 में पूरा KYC (ID + बायोमेट्रिक + IP / डिवाइस)
  • 10,000+ AML डेटासेट, प्रतिबंध, PEPs, प्रतिकूल मीडिया
  • डेटाबेस सत्यापन के लिए 1,000+ सरकारी डेटा स्रोत
  • प्रति लेनदेन $0.02 पर लेनदेन निगरानी
  • प्रति व्यवसाय $2.00 पर लाइव KYB
  • प्रति जांच $0.15 पर वॉलेट स्क्रीनिंग
  • व्हाइटलेबल वेरिफिकेशन फ्लो, आपका ब्रांड, हमारा इंफ्रास्ट्रक्चर
एंटरप्राइज

एंटरप्राइज

कस्टम MSA और SLA। बड़ी मात्रा और विनियमित कार्यक्रमों के लिए।

  • वार्षिक अनुबंध
  • कस्टम MSA, DPA, और SLA
  • समर्पित स्लैक और व्हाट्सएप चैनल
  • मांग पर मैन्युअल समीक्षक
  • पुनर्विक्रेता और व्हाइट-लेबल शर्तें
  • विशेष सुविधाएँ और पार्टनर इंटीग्रेशन
  • नामित CSM, सुरक्षा समीक्षा, कंप्लायंस सपोर्ट

मुफ़्त में शुरू करें → केवल चेक चलने पर भुगतान करें → कस्टम कॉन्ट्रैक्ट, SLA, या डेटा रेज़िडेंसी के लिए एंटरप्राइज़ अनलॉक करें।

FAQ

अक्सर पूछे जाने वाले सवाल

Didit क्या है?

Didit आइडेंटिटी और फ्रॉड के लिए इंफ्रास्ट्रक्चर है, वह प्लेटफ़ॉर्म जिसकी हमने खुद प्रोडक्ट बनाते समय कामना की थी: ओपन, फ्लेक्सिबल और डेवलपर-फ्रेंडली, ताकि यह आपके स्टैक के एक वास्तविक हिस्से के रूप में काम करे, कि एक ब्लैक बॉक्स के रूप में जिसे आप इंटीग्रेट करते हैं।

एक API लोगों को वेरीफाई करने (KYC, अपने ग्राहक को जानें), बिज़नेस को वेरीफाई करने (KYB, अपने बिज़नेस को जानें), क्रिप्टो वॉलेट को स्क्रीन करने (KYT, अपने ट्रांज़ैक्शन को जानें), और वास्तविक समय में ट्रांज़ैक्शन की निगरानी करने को कवर करता है, एक ऐसे स्टैक पर बनाया गया है जो:

  • तेज़, हर सेशन पर सब-2-सेकंड p99
  • विश्वसनीय, 220+ देशों में 1,500+ कंपनियों के साथ प्रोडक्शन में
  • सुरक्षित, SOC 2 Type 1, ISO 27001, GDPR-नेटिव, और स्पेन के फाइनेंशियल रेगुलेटर द्वारा औपचारिक रूप से प्रमाणित किया गया है कि यह किसी व्यक्ति को व्यक्तिगत रूप से वेरीफाई करने से ज़्यादा सुरक्षित है

इसके नीचे का फ़ुटप्रिंट: 48+ भाषाओं में 14,000+ दस्तावेज़ प्रकार, 1,000+ डेटा स्रोत, और हर सेशन पर 200+ फ्रॉड सिग्नल Didit इंफ्रास्ट्रक्चर हर सेशन से गतिशील रूप से सीखता है और हर दिन बेहतर होता जाता है।

स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन, आसान शब्दों में क्या है?

स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन (SCA) EU के पेमेंट-सर्विसेज रेगुलेशन का एक नियम है जो कहता है: जब कोई ग्राहक अपने अकाउंट में लॉग इन करता है या पेमेंट शुरू करता है, तो आपको उन्हें तीन स्वतंत्र फैक्टर कैटेगरी में से कम से कम दो का उपयोग करके वेरीफाई करना होगा।

तीन कैटेगरी:

  • नॉलेज, कुछ ऐसा जो केवल यूज़र जानता है (पासवर्ड, पिन, सीक्रेट आंसर)
  • पज़ेशन, कुछ ऐसा जो केवल यूज़र के पास है (फ़ोन, हार्डवेयर की, सिम-बाउंड डिवाइस)
  • इन्हेरेंस, कुछ ऐसा जो केवल यूज़र है (फ़िंगरप्रिंट, चेहरा, व्यवहार पैटर्न)

दो फैक्टर अलग-अलग कैटेगरी से आने चाहिए, एक पासवर्ड प्लस एक सिक्योरिटी प्रश्न SCA नहीं है, क्योंकि दोनों नॉलेज हैं। एक पासवर्ड प्लस एक फ़िंगरप्रिंट है, क्योंकि वे कैटेगरी को पार करते हैं।

एक तीसरी आवश्यकता, डायनामिक लिंकिंग, कहती है कि पेमेंट के लिए दूसरा फैक्टर ट्रांज़ैक्शन राशि और प्राप्तकर्ता से विशिष्ट रूप से जुड़ा होना चाहिए, ताकि एक चोरी किए गए कोड को किसी अलग ट्रांज़ैक्शन के खिलाफ फिर से नहीं चलाया जा सके।

PSD3 क्या है, और यह PSD2 से कैसे अलग है?

PSD3, पेमेंट सर्विसेज डायरेक्टिव 3 का संक्षिप्त रूप, EU का 2026 का रूलबुक का फिर से लिखना है जिसे PSD2 ने 2018 में पेश किया था। इसके साथ पेमेंट सर्विसेज रेगुलेशन (PSR) भी है जो राष्ट्रीय ट्रांसपोज़िशन के बिना सदस्य राज्यों में सीधे लागू होता है।

PSD2 पर मुख्य परिवर्तन:

  • कम छूट, कॉर्पोरेट-पेमेंट और विश्वसनीय-लाभार्थी छूटों को कड़ा किया गया है
  • फ़िशिंग-प्रतिरोधी SCA अनिवार्य, SMS वन-टाइम-पासवर्ड को एकमात्र दूसरे फैक्टर के रूप में चरणबद्ध तरीके से समाप्त किया जा रहा है; FIDO2, डिवाइस-बाउंड बायोमेटिक्स, या ऐप-आधारित पुश नया डिफ़ॉल्ट बन जाते हैं
  • ओपन-बैंकिंग एक्सेस मजबूत किया गया, बैंकों को एक साफ, एकीकृत API प्रदान करना होगा; अनुमति प्राप्त थर्ड-पार्टी प्रोवाइडर को बेहतर तकनीकी शर्तें मिलती हैं
  • फ्रॉड-लायबिलिटी स्पष्ट की गई, पेमेंट सर्विस प्रोवाइडर (PSPs) फ्रॉड के नुकसान का ज़्यादा हिस्सा वहन करते हैं जब उनका SCA कमजोर था
  • व्यापक दायरा, वॉलेट प्रोवाइडर, इलेक्ट्रॉनिक-मनी इंस्टीट्यूशन (EMIs), और कुछ क्रिप्टो प्रोवाइडर इस व्यवस्था में आते हैं

ट्रांज़िशन रोलिंग है, अधिकांश SCA परिवर्तनों के अंतिम अपनाने के 18 से 24 महीने बाद प्रभावी होने की उम्मीद है।

मेरे एंड यूज़र के लिए वेरिफिकेशन कितनी तेज़ है?

पूरा फ्लो आमतौर पर एंड-टू-एंड 30 सेकंड से कम समय लेता है, ID उठाएं, दस्तावेज़ की तस्वीर लें, सेल्फी लें, हो गया। यह बाज़ार में सबसे तेज़ है लेगेसी KYC प्रोवाइडर आमतौर पर उसी फ्लो के लिए 90 सेकंड से ज़्यादा लेते हैं।

बैक एंड पर, Didit p99 पर दो सेकंड से कम में परिणाम देता है, यूज़र के सेल्फी खत्म करने के क्षण से लेकर आपके वेबहुक के फायर होने के क्षण तक मापा जाता है। मोबाइल कैप्चर धीमे फ़ोन और धीमे नेटवर्क के लिए ट्यून किया गया है: प्रोग्रेसिव इमेज कम्प्रेशन, लेज़ी सॉफ्टवेयर डेवलपमेंट किट लोड, और अगर यूज़र वेब पर शुरू करता है तो QR कोड के माध्यम से डेस्कटॉप से फ़ोन पर एक-टैप हैंड-ऑफ।

किन ट्रांज़ैक्शन को SCA की आवश्यकता होती है, और कौन से छूट प्राप्त हैं?

डिफ़ॉल्ट रूप से SCA की आवश्यकता है:

  • पेमेंट अकाउंट में ग्राहक लॉगिन
  • इलेक्ट्रॉनिक पेमेंट शुरू करना
  • कोई भी कार्रवाई जिसका उपयोग पेमेंट फ्रॉड करने के लिए किया जा सकता है

छूट प्राप्त (PSD3 अधिकांश PSD2 छूटों को रखता है लेकिन थ्रेशोल्ड को कड़ा करता है):

  • कम-मूल्य वाले रिमोट ट्रांज़ैक्शन, €30 सिंगल से कम, प्रति ग्राहक संचयी कैप के साथ
  • कॉन्टैक्टलेस पॉइंट-ऑफ-सेल पेमेंट, €50 सिंगल से कम, संचयी कैप के साथ
  • समान राशि और प्राप्तकर्ता के आवर्ती ट्रांज़ैक्शन, पहले पर SCA, बाद में छूट प्राप्त
  • विश्वसनीय लाभार्थी, यूज़र स्पष्ट रूप से व्हाइटलिस्ट करता है, लेकिन PSD3 अप्रूवल फ्लो को कड़ा करता है
  • ट्रांज़ैक्शन रिस्क एनालिसिस (TRA), आपके समग्र फ्रॉड दर (1, 5, 10, 25 आधार अंक) से जुड़े थ्रेशोल्ड के तहत
  • कॉर्पोरेट डेडिकेटेड चैनल, जब दोनों छोर एक बंद सिस्टम पर कॉर्पोरेट यूज़र होते हैं

छूट के गणित को सही करना अधिकांश टीमों द्वारा किया जाने वाला सबसे ज़्यादा-लीवरेज SCA ऑप्टिमाइज़ेशन कार्य है, अच्छी तरह से लागू होने पर यह फ्रॉड को बढ़ाए बिना ऑथेंटिकेशन घर्षण को कम करता है।

अगर कोई यूज़र फेल हो जाता है, छोड़ देता है या उसकी समय-सीमा खत्म हो जाती है, तो क्या होगा?

हर सेशन सात स्पष्ट स्टेटस में से एक पर आता है, ताकि आपके कोड को हमेशा पता रहे कि क्या करना है:

  • Approved, सभी चेक पास हो गए। यूज़र को आगे बढ़ाएं।
  • Declined, एक या एक से ज़्यादा चेक फेल हो गए। आप यूज़र को पूरे फ्लो को फिर से चलाए बिना विशिष्ट फेल हुए स्टेप को फिर से सबमिट करने की अनुमति दे सकते हैं (उदाहरण के लिए, सेल्फी फिर से लें)।
  • In Review, कंप्लायंस रिव्यू के लिए फ़्लैग किया गया। कंसोल में केस खोलें, हर सिग्नल देखें, अप्रूव या डिक्लाइन करने का निर्णय लें।
  • In Progress, यूज़र फ्लो के बीच में है।
  • Not Started, लिंक भेजा गया, यूज़र ने अभी तक इसे नहीं खोला है। अगर यह बहुत देर तक रहता है तो एक रिमाइंडर भेजें।
  • Abandoned, यूज़र ने लिंक खोला लेकिन समय पर पूरा नहीं किया। फिर से एंगेज करें या एक्सपायर करें।
  • Expired, सेशन लिंक की समय-सीमा खत्म हो गई। एक नया सेशन बनाएं।

हर स्टेटस चेंज पर एक साइंड वेबहुक फायर होता है, ताकि आपका डेटाबेस हमेशा सिंक में रहे। अबैंडन्ड और डिक्लाइन किए गए सेशन मुफ़्त हैं।

मेरा ग्राहक डेटा कहाँ रहता है और इसे कैसे सुरक्षित रखा जाता है?

प्रोडक्शन डेटा को डिफ़ॉल्ट रूप से यूरोपीय संघ में प्रोसेस और स्टोर किया जाता है, Amazon Web Services पर। एंटरप्राइज़ कॉन्ट्रैक्ट उन अधिकार क्षेत्रों के लिए वैकल्पिक क्षेत्रों का अनुरोध कर सकते हैं जिनके रेगुलेटर को इसकी आवश्यकता होती है।

हर जगह एन्क्रिप्शन। हर डेटाबेस, ऑब्जेक्ट स्टोर और बैकअप में AES-256 रेस्ट पर। हर API कॉल, वेबहुक और बिज़नेस कंसोल सेशन पर ट्रांज़िट में ट्रांसपोर्ट लेयर सिक्योरिटी 1.3। बायोमेट्रिक डेटा को एक अलग कस्टमर मास्टर की के तहत एन्क्रिप्ट किया जाता है।

रिटेंशन आपके कंट्रोल में है। डिफ़ॉल्ट रिटेंशन अनिश्चित (असीमित) है जब तक कि आप कम कॉन्फ़िगर नहीं करते, प्रति एप्लिकेशन 30 दिन और 10 साल के बीच, और आप डैशबोर्ड या API से किसी भी समय किसी भी व्यक्तिगत सेशन को हटा सकते हैं।

सर्टिफिकेशन: SOC 2 Type 1 (Type 2 ऑडिट प्रगति पर है), ISO/IEC 27001:2022, iBeta Level 1 PAD, और स्पेन के टेसोरो / SEPBLAC / CNMV से एक सार्वजनिक अटेस्टेशन कि Didit का रिमोट आइडेंटिटी वेरिफिकेशन किसी व्यक्ति को व्यक्तिगत रूप से वेरीफाई करने से ज़्यादा सुरक्षित है पूरी रिपोर्ट /security-compliance पर।

क्या Didit मेरे उद्योग के लिए कंप्लायंट है?

Didit डिफ़ॉल्ट रूप से उन रेगुलेटर के लिए कंप्लायंट शिप करता है जो आइडेंटिटी इंफ्रास्ट्रक्चर के लिए मायने रखते हैं:

  • GDPR + UK GDPR, कंट्रोलर / प्रोसेसर स्प्लिट, पूर्ण डेटा प्रोसेसिंग एग्रीमेंट प्रकाशित, लीड सुपरवाइजरी अथॉरिटी का नाम (स्पेन का AEPD)।
  • AMLD6 + EU AML सिंगल रूलबुक, 1,300+ प्रतिबंध, राजनीतिक रूप से उजागर व्यक्ति, और प्रतिकूल-मीडिया सूचियां वास्तविक समय में जांची गईं।
  • eIDAS 2.0, EU डिजिटल आइडेंटिटी वॉलेट अलाइन किया गया; रियूजेबल-आइडेंटिटी तैयार।
  • MiCA (मार्केट्स इन क्रिप्टो-एसेट्स), क्रिप्टो ऑन-रैंप, एक्सचेंज और कस्टोडियन के लिए तैयार।
  • DORA, डिजिटल ऑपरेशनल रेज़िलिएंस एक्ट, EU फाइनेंशियल-सर्विसेज ऑपरेशनल रेज़िलिएंस।
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, US बायोमेट्रिक प्राइवेसी (इलिनोइस, टेक्सास, वाशिंगटन) और कैलिफ़ोर्निया उपभोक्ता प्राइवेसी।
  • UK ऑनलाइन सेफ्टी एक्ट, आयु-गेटिंग और बाल-सुरक्षा दायित्व।
  • FATF ट्रैवल रूल, क्रिप्टो ट्रांसफर पर ओरिजिनेटर और लाभार्थी डेटा, IVMS-101 इंटरऑपरेबल।

विस्तृत मेमो, हर सर्टिफिकेट, हर रेगुलेटर लेटर: /security-compliance

मैं कितनी जल्दी इंटीग्रेट करके यूज़र्स को वेरिफाई करना शुरू कर सकता हूँ?
  • business.didit.me पर सैंडबॉक्स अकाउंट के लिए 60 सेकंड, कोई क्रेडिट कार्ड नहीं।
  • Claude Code, Cursor, या किसी भी कोडिंग एजेंट के ज़रिए हमारे मॉडल कॉन्टेक्स्ट प्रोटोकॉल (MCP) सर्वर के माध्यम से काम करने वाले वेरिफिकेशन के लिए 5 मिनट
  • साइन्ड-वेबहुक वेरिफिकेशन, रिट्राई और जब कोई यूज़र डिक्लाइन हो जाए तो रीमेडिएशन फ़्लो के साथ प्रोडक्शन-रेडी इंटीग्रेशन के लिए एक वीकेंड

तीन इंटीग्रेशन पाथ, जो भी आपके स्टैक में फिट बैठता है उसे चुनें:

  • हमारे वेब, iOS, Android, React Native, या Flutter SDK के साथ नेटिवली एम्बेड करें
  • यूज़र को होस्टेड वेरिफिकेशन पेज पर रीडायरेक्ट करें, ज़ीरो SDK।
  • ईमेल, SMS, WhatsApp, या किसी भी चैनल के ज़रिए एक लिंक भेजें, ज़ीरो फ्रंट-एंड वर्क।

तीनों के लिए एक ही डैशबोर्ड, एक ही बिलिंग, एक ही पे-पर-सक्सेस प्राइस। स्टेप-बाय-स्टेप गाइड docs.didit.me/integration/integration-prompt पर।

यह iOS, Android और वेब पर कैसे काम करता है?

हर प्लेटफॉर्म पर एक ही POST /v3/session/ API, यूज़र-फेसिंग कैप्चर अलग होता है:

  • वेब (डेस्कटॉप ब्राउज़र), Didit एक पॉपअप में ऑथ फ़्लो लॉन्च करता है; यूज़र के फ़ोन को एक पुश नोटिफिकेशन मिलता है, फ़ोन पर बायोमेट्रिक पूरा करता है, और पॉपअप अप्रूव्ड वर्डिक्ट के साथ बंद हो जाता है। अगर यूज़र मोबाइल वेब पर है तो यूनिवर्सल-लिंक हैंडऑफ़।
  • नेटिव iOS / Android, Didit iOS या Android SDK में ड्रॉप करें, ऑथ मेथड को कॉल करें, OS-नेटिव बायोमेट्रिक प्रॉम्प्ट (Face ID, Touch ID, फ़िंगरप्रिंट) सुरक्षित एन्क्लेव द्वारा समर्थित दिखाई देता है
  • React Native / Flutter / Cordova, आधिकारिक SDKs नेटिव मॉड्यूल्स को रैप करते हैं; समान API सरफेस
  • MCP सर्वर, अगर ऑथ एक AI एजेंट के पीछे रहता है, तो एजेंट ऑथ टूल को कॉल करता है, यूज़र को उनके फ़ोन पर एक पुश मिलता है, अप्रूव करता है, और वर्डिक्ट वापस आता है

वही बायोमेट्रिक टेम्पलेट जिसे यूज़र ने KYC के समय एनरोल किया था, हर ऑथ को सपोर्ट करता है, कोई री-एनरोलमेंट नहीं, कोई अलग फ़्लो नहीं।

क्या यह PSD3 / EU के बाहर भी काम करता है?

हाँ, वही ऑथ बंडल अधिकांश समान वैश्विक नियमों को पूरा करता है:

  • यूनाइटेड किंगडम, FCA के स्ट्रॉन्ग कस्टमर ऑथेंटिकेशन नियम PSD2/PSD3 के समान हैं; Didit का ऑथ बंडल योग्य है
  • संयुक्त राज्य अमेरिका, कोई राष्ट्रव्यापी SCA मैंडेट नहीं है, लेकिन बैंक रेगुलेटर (OCC, फेडरल रिज़र्व) और फेडरल फाइनेंशियल इंस्टीट्यूशंस एग्जामिनेशन काउंसिल (FFIEC) उच्च-मूल्य वाले ट्रांज़ैक्शन के लिए मल्टी-फैक्टर ऑथेंटिकेशन की सलाह देते हैं; Didit इसमें फिट बैठता है
  • सिंगापुर, मॉनेटरी अथॉरिटी ऑफ़ सिंगापुर (MAS) नोटिस 644 इंटरनेट बैंकिंग पर SCA को अनिवार्य करता है
  • भारत, रिज़र्व बैंक ऑफ़ इंडिया का दो-फैक्टर ऑथेंटिकेशन हर घरेलू कार्ड ट्रांज़ैक्शन पर अनिवार्य है
  • ब्राज़ील, बैंको सेंट्रल के नियम इंस्टेंट पेमेंट पर PSD2-स्टाइल SCA के साथ संरेखित हैं
  • ऑस्ट्रेलिया, जापान, दक्षिण कोरिया, बैंकिंग और उच्च-मूल्य वाले ई-कॉमर्स के लिए समान मल्टी-फैक्टर ऑथेंटिकेशन आवश्यकताएँ

एक API, एक ऑथ बंडल, हर ज्यूरिसडिक्शन। छूट का गणित बदलता है; तकनीकी कॉन्ट्रैक्ट नहीं बदलता।

एक परीक्षक के लिए ऑथ इवेंट का सबूत कैसा दिखता है?

हर ऑथेंटिकेशन एक साइन्ड एविडेंस रिकॉर्ड बनाता है जिसे बिज़नेस कंसोल से एक्सपोर्ट किया जा सकता है:

  • ऑथ चैलेंज, टाइमस्टैम्प, सेशन ID, अनुरोधित फ़ैक्टर्स
  • बायोमेट्रिक वर्डिक्ट, पैसिव लाइवनैस पास/फेल, फेस मैच सिमिलैरिटी स्कोर (यूज़र की KYC रेफरेंस सेल्फ़ी से जुड़ा), iBeta लेवल 1 एंटी-स्पूफ क्लेम
  • डिवाइस वर्डिक्ट, डिवाइस फ़िंगरप्रिंट, IP जियोलोकेशन, VPN/प्रॉक्सी/डेटासेंटर फ़्लैग्स, 200+ फ़्रॉड-सिग्नल स्कोर
  • डायनामिक-लिंकिंग पेलोड, राशि, प्राप्तकर्ता, टाइमस्टैम्प, एंड-टू-एंड साइन्ड
  • पूरा ऑडिट ट्रेल, Pending से Approved या Declined तक हर स्टेप स्टेट-मशीन किया गया, अगर एस्केलेट किया गया तो समीक्षक के नोट्स के साथ
  • पेलोड पर HMAC SHA-256 सिग्नेचर ताकि चेन-ऑफ़-कस्टडी साबित हो सके

सभी रिकॉर्ड यूरोपीय संघ (EU डेटा सेंटर) में संग्रहीत हैं, जब तक आपकी सदस्यता सक्रिय है तब तक अनिश्चित काल तक रखे जाते हैं। डिफ़ॉल्ट रिकॉर्ड रिटेंशन EU AML और पेमेंट नियमों के अनुसार 5 साल है, जो आपके सुपरवाइज़र के मार्गदर्शन के अनुसार बढ़ाया जा सकता है।

पहचान और धोखाधड़ी के लिए इंफ्रास्ट्रक्चर।

KYC, KYB, ट्रांज़ैक्शन मॉनिटरिंग और वॉलेट स्क्रीनिंग के लिए एक API। 5 मिनट में इंटीग्रेट करें।

इस पेज को समराइज़ करने के लिए AI से पूछें