Skip to main content
Didit ने पहचान और धोखाधड़ी के लिए इंफ्रास्ट्रक्चर बनाने हेतु $7.5M जुटाए
Didit
Didit
सूचना सुरक्षा नीति
16 मई, 2026 को अपडेट किया गया · didit.me/terms/information-security
कानूनी

सूचना सुरक्षा नीति

अपडेट किया गया: 16 मई, 2026

इस पेज पर

यह सूचना सुरक्षा नीति उन प्रमाणनों का वर्णन करती है जो Didit के पास हैं, Didit द्वारा संचालित तकनीकी और संगठनात्मक नियंत्रण, और ग्राहकों, संभावित ग्राहकों, नियामकों और लेखा परीक्षकों के लिए उपलब्ध विश्वास कलाकृतियाँ। इसकी समीक्षा कम से कम हर छह महीने में की जाती है।

  • सुरक्षा संपर्क: security@didit.me
  • डेटा संरक्षण अधिकारी: dpo@didit.me
  • स्थिति पृष्ठ (वास्तविक समय): status.didit.me
  • ट्रस्ट पैक (NDA के तहत): security@didit.me पर ईमेल करें

1. प्रमाणन और सत्यापन

सत्यापनमानकजारीकर्तास्थिति
SOC 2 Type 1अमेरिकन इंस्टीट्यूट ऑफ सर्टिफाइड पब्लिक अकाउंटेंट्स (AICPA) ट्रस्ट सर्विसेज क्राइटेरिया, सुरक्षा, उपलब्धता, गोपनीयताATOM (स्वतंत्र सेवा लेखा परीक्षक)9 अप्रैल, 2026 को जारी किया गया। SOC 2 Type 2 परीक्षा प्रगति पर है और SOC 2 Type 1 लोगो-उपयोग विंडो बंद होने से पहले जारी होने की उम्मीद है।
ISO/IEC 27001:2022सूचना सुरक्षा, साइबर सुरक्षा, और गोपनीयता प्रबंधन प्रणालीब्यूरो वेरिटास सर्टिफिकेशन (ENAC-मान्यता प्राप्त), प्रमाणपत्र संख्या ES1440687 अप्रैल, 2026 को जारी किया गया। 3 जून, 2027 तक वैध।
iBeta Level 1 PADISO/IEC 30107-3, बायोमेट्रिक प्रेजेंटेशन अटैक डिटेक्शन, लेवल 1iBeta क्वालिटी एश्योरेंस (NIST / NVLAP लैब कोड 200962)परीक्षण अवधि 5 जनवरी, 4 फरवरी, 2026। 360 प्रयासों में 0% हमला-सफलता दर।
Tesoro / SEPBLAC / CNMV सैंडबॉक्स सत्यापनस्पेनिश वित्तीय सैंडबॉक्स (Ley 7/2020)CNMV (Comisión Nacional del Mercado de Valores), SEPBLAC (स्पेनिश वित्तीय खुफिया इकाई) द्वारा समीक्षा की गईपरीक्षण 1 नवंबर, 2024, 9 जुलाई, 2025। `tesoro.es` पर प्रकाशित सार्वजनिक निष्कर्ष रिपोर्ट (फरवरी 2026): Didit का रिमोट पहचान सत्यापन व्यक्तिगत पहचान जितना ही सुरक्षित है।
EBA / MiCA पर्याप्तता मेमोयूरोपीय बैंकिंग प्राधिकरण के रिमोट ग्राहक ऑनबोर्डिंग पर दिशानिर्देश (EBA/GL/2022/15) + EU AML सिंगल रूलबुक + क्रिप्टो-एसेट्स (MiCA) विनियमन में बाजारfinReg360 (स्वतंत्र कानूनी राय)28 अप्रैल, 2026 को जारी किया गया।
GDPR अनुच्छेद 32EU सामान्य डेटा संरक्षण विनियमन (विनियमन (EU) 2016/679)स्व-मूल्यांकित; ISO/IEC 27001 नियंत्रणों और `/terms/business` पर डेटा प्रोसेसिंग समझौते द्वारा समर्थितनिरंतर।

किसी भी अंतर्निहित रिपोर्ट या प्रमाणपत्र का अनुरोध करने के लिए, security@didit.me पर ईमेल करें। जारीकर्ता की शर्तों (उदाहरण के लिए, SOC 2 Type 1) के तहत प्रतिबंधित रिपोर्टें एक हस्ताक्षरित गैर-प्रकटीकरण समझौते (NDA) के बाद, उसी व्यावसायिक दिन साझा की जाती हैं।

2. दायरा

यह नीति सभी Didit कर्मियों (कर्मचारियों, ठेकेदारों और अधिकृत थर्ड-पार्टी), सभी Didit उत्पादन और कॉर्पोरेट सूचना प्रणालियों, और व्यवसाय नियम और शर्तें में वर्णित ग्राहक-सामना करने वाली सेवाओं को कवर करती है। यह प्रयोज्यता के विवरण द्वारा समर्थित है जो Didit की ISO/IEC 27001:2022 प्रबंधन प्रणाली को आधार बनाता है।

3. शासन

  • सूचना सुरक्षा और गोपनीयता प्रबंधन प्रणाली ISO/IEC 27001:2022 और ISO/IEC 27701 नियंत्रणों के साथ संरेखित, प्रयोज्यता के एक प्रलेखित विवरण के साथ।
  • मुख्य प्रौद्योगिकी अधिकारी नामित सूचना-सुरक्षा कार्यकारी प्रायोजक है; डेटा संरक्षण अधिकारी (dpo@didit.me) गोपनीयता कार्यक्रम शासन का मालिक है।
  • स्वतंत्र लेखा परीक्षकों द्वारा वार्षिक बाहरी सुरक्षा ऑडिट (ISO 27001 निगरानी और SOC 2 परीक्षाएं)।
  • जोखिम रजिस्टर की तिमाही समीक्षा और ताज़ा किया जाता है। महत्वपूर्ण जोखिमों को प्रबंधन समिति तक बढ़ाया जाता है।
  • निरंतर सुधार, हर घटना, ऑडिट निष्कर्ष, और जोखिम मूल्यांकन सुधारात्मक-कार्रवाई बैकलॉग और अगली नीति ताज़ा करने को बढ़ावा देता है।

4. एन्क्रिप्शन और कुंजी प्रबंधन

  • स्थिर अवस्था में: हर उत्पादन डेटाबेस, ऑब्जेक्ट स्टोर और बैकअप वॉल्यूम में AES-256।
  • ट्रांजिट में: हर बाहरी API कॉल, वेबहुक और बिजनेस कंसोल सत्र के लिए TLS 1.3। पुराने TLS संस्करण और कमजोर सिफर अक्षम हैं। HTTP स्ट्रिक्ट ट्रांसपोर्ट सिक्योरिटी (HSTS) साइट-व्यापी लागू है और प्रीलोड किया गया है।
  • कुंजी प्रबंधन: AWS कुंजी प्रबंधन सेवा (KMS) कुंजियों को रखती और घुमाती है। एप्लिकेशन कोड कभी भी कच्चे कुंजी सामग्री को नहीं छूता है। सैंडबॉक्स और उत्पादन कुंजियां पूरी तरह से अलग हैं।
  • हैशिंग: ग्राहक क्रेडेंशियल उद्योग-मानक अनुकूली कार्यों (bcrypt या समकक्ष) के साथ हैश किए जाते हैं। API कुंजियां वन-वे हैश के रूप में संग्रहीत होती हैं; कच्चा मान ऑपरेटर को केवल निर्माण के समय दिखाया जाता है।

5. पहचान, पहुंच और जीरो-ट्रस्ट आर्किटेक्चर

  • डिफ़ॉल्ट रूप से जीरो-ट्रस्ट, हर आंतरिक सिस्टम के लिए हर अनुरोध प्रमाणित और अधिकृत होता है। नेटवर्क स्थान के आधार पर कोई निहित विश्वास नहीं है।
  • न्यूनतम विशेषाधिकार के सिद्धांत के साथ भूमिका-आधारित पहुंच नियंत्रण (RBAC)। पहुंच समीक्षाएं तिमाही आधार पर चलाई जाती हैं।
  • मल्टी-फैक्टर प्रमाणीकरण (MFA) हर कर्मचारी, हर उत्पादन प्रणाली, हर क्लाउड कंसोल और हर कोड-होस्टिंग खाते के लिए अनिवार्य है।
  • विशेषाधिकार प्राप्त भूमिकाओं के लिए हार्डवेयर-टोकन MFA के साथ आंतरिक अनुप्रयोगों के लिए सिंगल साइन-ऑन (SSO)
  • उत्पादन के लिए जस्ट-इन-टाइम एक्सेस: स्थायी विशेषाधिकार प्राप्त पहुंच अपवाद है, नियम नहीं।
  • ऑडिट लॉगिंग, हर विशेषाधिकार प्राप्त कार्रवाई को एक छेड़छाड़-प्रूफ, एक बार लिखने वाली ऑडिट पाइपलाइन में लॉग किया जाता है जिसे कम से कम 12 महीने तक बनाए रखा जाता है।

6. डेटा निवास और अलगाव

  • डिफ़ॉल्ट रूप से यूरोपीय संघ। उत्पादन डेटा अमेज़न वेब सर्विसेज पर यूरोपीय संघ में प्रोसेस और स्टोर किया जाता है। विशिष्ट-क्षेत्र या देश-में निवास एंटरप्राइज़ अनुबंधों पर उपलब्ध है, उपलब्धता के अधीन, उन न्यायालयों के लिए जिनके नियामकों को इसकी आवश्यकता है।
  • पर्यावरण अलगाव। सैंडबॉक्स, स्टेजिंग और उत्पादन नेटवर्क, पहचान और कुंजी-प्रबंधन परतों पर अलग-थलग हैं। एक वातावरण में कोई भी मानव या सेवा दूसरे में डेटा नहीं पढ़ सकता है, बिना स्पष्ट, ऑडिटेड एक्सेस पाथ के।
  • किरायेदार अलगाव। मल्टी-किरायेदार डेटा को जहां लागू हो, प्रति-किरायेदार एन्क्रिप्शन कुंजियों के साथ तार्किक रूप से अलग किया जाता है। क्रॉस-किरायेदार क्वेरीज़ एप्लिकेशन और डेटाबेस परत पर अवरुद्ध हैं।

7. सुरक्षित विकास जीवनचक्र (SDLC)

  • हर उत्पादन परिवर्तन के लिए कोड समीक्षा आवश्यक है। कोई भी अकेला इंजीनियर बिना समीक्षा किए गए कोड को उत्पादन में मर्ज नहीं कर सकता है।
  • स्टेटिक एप्लीकेशन सिक्योरिटी टेस्टिंग (SAST), डिपेंडेंसी स्कैनिंग, और सॉफ्टवेयर कंपोजिशन एनालिसिस (SCA) हर पुल रिक्वेस्ट पर स्वचालित रूप से चलते हैं।
  • हर बिल्ड पर और तैनात छवियों के लिए आवर्ती शेड्यूल पर कंटेनर और इन्फ्रास्ट्रक्चर स्कैनिंग
  • उच्च-प्रभाव वाले परिवर्तनों (प्रमाणीकरण, कुंजी प्रबंधन, बायोमेट्रिक पाइपलाइन, भुगतान प्रवाह) के लिए प्री-प्रोडक्शन सुरक्षा परीक्षण
  • स्वतंत्र विशेषज्ञों द्वारा आंतरिक प्रवेश परीक्षण लगातार; बाहरी प्रवेश परीक्षण कम से कम एक बार प्रति वर्ष। महत्वपूर्ण निष्कर्षों को SLA-बाउंड शेड्यूल पर बंद करने के लिए ट्रैक किया जाता है।
  • बग-बाउंटी / जिम्मेदार-प्रकटीकरण चैनल, सुरक्षा मुद्दों की रिपोर्ट security@didit.me पर करें।

8. भेद्यता प्रबंधन

  • गंभीरता के अनुसार पैचिंग SLA, गंभीर (विक्रेता प्रकटीकरण के 72 घंटों के भीतर), उच्च (7 दिनों के भीतर), मध्यम (30 दिनों के भीतर), निम्न (90 दिनों के भीतर)।
  • उत्पादन इन्फ्रास्ट्रक्चर, कंटेनर और निर्भरताओं में निरंतर भेद्यता स्कैनिंग
  • नए उत्पाद सतहों, बायोमेट्रिक पाइपलाइनों और क्रॉस-पर्यावरण एकीकरण के लिए खतरा मॉडलिंग

9. निगरानी, ​​पहचान और घटना प्रतिक्रिया

  • उपलब्धता, त्रुटि और सुरक्षा संकेतों पर अलर्ट के साथ हर उत्पादन प्रणाली की 24x7 निगरानी
  • सुरक्षा सूचना और घटना प्रबंधन (SIEM) सुरक्षा घटनाओं को एकत्रित और सहसंबंधित करता है; असामान्य पैटर्न ऑन-कॉल सुरक्षा इंजीनियरों तक बढ़ते हैं।
  • नामित भूमिकाओं, संचार वृक्ष, गंभीरता मैट्रिक्स और घटना-पश्चात समीक्षा प्रक्रिया के साथ प्रलेखित घटना प्रतिक्रिया योजना। योजना का परीक्षण कम से कम सालाना टेबलटॉप अभ्यासों के माध्यम से किया जाता है।
  • व्यक्तिगत डेटा उल्लंघन अधिसूचना। Didit प्रभावित ग्राहकों को बिना किसी अनुचित देरी के और किसी भी मामले में ग्राहकों को सामान्य डेटा संरक्षण विनियमन (GDPR) अनुच्छेद 33 के तहत अपनी 72 घंटे की अधिसूचना दायित्व को पूरा करने की अनुमति देने के लिए समय पर सूचित करता है। एंटरप्राइज़ ग्राहकों को ऑन-कॉल एक नामित इंजीनियर और एक समर्पित संचार चैनल प्राप्त होता है।
  • status.didit.me पर सार्वजनिक स्थिति पृष्ठ, हर उत्पादन घटना, हर पोस्ट-मॉर्टम, कोई लॉगिन आवश्यक नहीं।

10. व्यवसाय निरंतरता और आपदा रिकवरी

  • हर उत्पादन क्षेत्र में मल्टी-AZ सक्रिय अतिरेक; स्टेटलेस सेवाओं के लिए स्वचालित फ़ेलओवर।
  • बैकअप एन्क्रिप्टेड होते हैं, चुने हुए निवास सीमा के भीतर भौगोलिक रूप से अलग होते हैं, और आवर्ती शेड्यूल पर परीक्षण किए जाते हैं।
  • कोर सत्यापन API और बिजनेस कंसोल के लिए रिकवरी पॉइंट ऑब्जेक्टिव (RPO) ≤ 1 घंटा और रिकवरी टाइम ऑब्जेक्टिव (RTO) ≤ 4 घंटे
  • आपदा रिकवरी (DR) परीक्षण कम से कम सालाना।

11. कार्मिक सुरक्षा

  • उत्पादन डेटा या व्यक्तिगत डेटा तक पहुंच रखने वाले हर कर्मचारी और हर ठेकेदार पर पृष्ठभूमि जांच, जहां लागू कानून द्वारा अनुमति है।
  • हर कर्मचारी और ठेकेदार के लिए काम पर गोपनीयता समझौते
  • हर कर्मचारी के लिए ऑनबोर्डिंग पर और कम से कम सालाना ताज़ा अनिवार्य सुरक्षा और गोपनीयता प्रशिक्षण। उन भूमिकाओं के लिए लक्षित प्रशिक्षण (सुरक्षित कोडिंग, बायोमेट्रिक डेटा हैंडलिंग, धोखाधड़ी-विरोधी, मनी-लॉन्ड्रिंग-विरोधी) जिन्हें इसकी आवश्यकता है।
  • आवर्ती शेड्यूल पर फ़िशिंग सिमुलेशन
  • जॉइनर / मूवर / लीवर प्रक्रिया भूमिका परिवर्तन या प्रस्थान के 24 घंटों के भीतर पहुंच को रद्द कर देती है।

12. विक्रेता और उप-प्रोसेसर प्रबंधन

  • हर उप-प्रोसेसर का ऑनबोर्डिंग से पहले जोखिम-मूल्यांकन किया जाता है और कम से कम सालाना पुनः समीक्षा की जाती है।
  • हर उप-प्रोसेसर एक डेटा प्रोसेसिंग समझौता (DPA) पर हस्ताक्षर करता है जो डेटा-संरक्षण दायित्वों को लागू करता है जो Didit अपने ग्राहकों के प्रति रखता है।
  • वर्तमान उप-प्रोसेसर सूची एक गैर-प्रकटीकरण समझौते (NDA) पर हस्ताक्षर करने के बाद ग्राहकों और संभावित ग्राहकों के साथ ईमेल के माध्यम से साझा की जाती है। इसका अनुरोध करने के लिए security@didit.me पर ईमेल करें। उप-प्रोसेसर परिवर्तन सूचनाओं की सदस्यता लेने वाले ग्राहकों को आपत्ति करने के लिए पर्याप्त अग्रिम सूचना के साथ ईमेल द्वारा सूचित किया जाता है।

13. डेटा विषय अधिकार और विलोपन

  • पहुंच और पोर्टेबिलिटी का अधिकार, `GET /v3/sessions/:session_id/decision/`।
  • मिटाने का अधिकार, `POST /v3/sessions/:session_id/delete/`। सत्र और हर लिंक किए गए कलाकृति को हर प्रतिकृति में हटा देता है।
  • प्रति-एप्लिकेशन प्रतिधारण बिजनेस कंसोल में 30 दिनों और 10 वर्षों के बीच कॉन्फ़िगर करने योग्य है; डिफ़ॉल्ट असीमित है जब तक कि ग्राहक एक छोटी अवधि कॉन्फ़िगर न करे। बायोमेट्रिक डेटा प्रतिधारण हर मामले में लागू बायोमेट्रिक-गोपनीयता कानूनों और विनियमों के अधीन और सीमित है, जिसमें EU सामान्य डेटा संरक्षण विनियमन (GDPR) अनुच्छेद 9, इलिनोइस बायोमेट्रिक सूचना गोपनीयता अधिनियम (BIPA), टेक्सास कैप्चर या बायोमेट्रिक पहचानकर्ता अधिनियम (CUBI) का उपयोग, वाशिंगटन H.B. 1493, और कोई अन्य लागू बायोमेट्रिक-गोपनीयता कानून शामिल है; जहां ऐसा कानून एक छोटी प्रतिधारण अवधि या पहले विनाश दायित्व को निर्धारित करता है, वह छोटी या सख्त नियम किसी भी डिफ़ॉल्ट या ग्राहक-कॉन्फ़िगर किए गए प्रतिधारण अवधि पर हावी होता है।
  • पूर्ण डेटा-विषय-अधिकार प्रक्रिया के लिए गोपनीयता नीति और सत्यापन गोपनीयता सूचना देखें।

14. सुरक्षा समस्या की रिपोर्ट करना

यदि आपको Didit के किसी भी उत्पाद या सेवा में कोई सुरक्षा भेद्यता मिली है, तो security@didit.me पर एक विवरण, पुनरुत्पादन चरण और आपके द्वारा देखे गए प्रभाव के साथ ईमेल करें। Didit 2 व्यावसायिक दिनों के भीतर सुरक्षा रिपोर्टों को स्वीकार करता है और जिम्मेदार-प्रकटीकरण प्रथाओं का पालन करने वाले रिपोर्टरों के साथ सद्भावना से काम करता है।

15. संपर्क

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/information-security

किसी खास दस्तावेज़ के बारे में सवाल हैं?

legal@didit.me, privacy@didit.me, या security@didit.me पर ईमेल करें, या हमें WhatsApp पर मैसेज करें। हम आपको सही संपर्क तक पहुंचाएंगे।

हमसे बात करें
इस पेज को समराइज़ करने के लिए AI से पूछें