無料
月額$0。クレジットカード不要。
- 無料KYCバンドル(本人確認 + パッシブ・ライブネス + 顔照合 + デバイス&IP分析), 毎月500回まで
- ブロックリストユーザー
- 重複検出
- すべてのセッションで200以上の不正シグナル
- Diditネットワーク全体でのKYC再利用
- ケース管理プラットフォーム
- ワークフロービルダー
- 公開ドキュメント、サンドボックス、SDK、MCP (Model Context Protocol) サーバー
- コミュニティサポート

ICAO 9303
パスポートをかざすと、チップから写真と同じデータが返されます。ただし、 今回は発行国によって署名されています。$0.15、2秒未満で完了します。
本人確認、Liveness、顔認証、制裁リスト、住所、年齢、電話番号、メールアドレス、カスタム質問など、必要なチェックを選択します。ダッシュボードでフローにドラッグ&ドロップするか、同じフローをAPIにPOSTします。条件分岐やA/Bテストもコード不要で実行できます。
Web、iOS、Android、React Native、Flutter SDKでネイティブに組み込むことができます。ホストされたページにリダイレクトすることも、メール、SMS、WhatsAppなど、どこからでもユーザーにリンクを送信するだけでも可能です。お使いのスタックに合った方法をお選びください。
Diditはカメラ、照明の指示、モバイル連携、アクセシビリティをホストします。ユーザーがフローを実行している間、200以上の不正信号をリアルタイムでスコアリングし、すべてのフィールドを信頼できるデータソースと照合して検証します。結果は2秒未満で得られます。
リアルタイムの署名付きWebhookにより、ユーザーが承認、拒否、またはレビューに送られた瞬間にデータベースを同期します。必要に応じてAPIをポーリングすることも可能です。または、コンソールを開いてすべてのセッション、すべての信号を検査し、ケースを独自の方法で管理することもできます。
NFC · ICAO 9303
SOD · DG1 · DG2 · DG7 · DG11–14
DSC → CSCA → ICAO PKD
nfc.chip_data + 真正性
{
"nfc": {
"status": "承認済み",
"chip_data": {
"document_number": "SAMPLE12345",
"issuing_country": "ESP",
"first_name": "OLIVIA",
"last_name": "DOE"
},
"authenticity": {
"sod_integrity": true,
"dg_integrity": true
},
"warnings": []
}
}ネイティブSDK · 自動フォールバック
自動更新
パスポート発行以来
各国e-ID
9303標準
自動更新
$ curl -X POST https://verification.didit.me/v3/session/ \
-H "x-api-key: $DIDIT_API_KEY" \
-H "Content-Type: application/json" \
-d '{
"workflow_id": "wf_id_nfc",
"vendor_data": "user-42"
}'{ "session_url": "verify.didit.me/..." }// iOS · Swift
import DiditSdk
let result = try await DiditSdk.shared.startVerification(
with: sessionId,
configuration: config
){ "status": "Approved" }# Didit NFC Verification — integrate in 5 minutes
You are integrating Didit's NFC Verification (cryptographic e-passport
and e-ID chip reading) module into <my_stack>. Follow these steps exactly.
Every URL, header, and enum value below is canonical — do not paraphrase
or "improve" them.
## 1. Provision an account
- Sign up: https://business.didit.me (no credit card required).
- Or provision programmatically: POST https://apx.didit.me/auth/v2/programmatic/register/
(returns an API key bound to the workspace + application).
## 2. What NFC Verification actually does
NFC Verification reads the secure contact-less chip embedded in modern
e-passports and e-IDs (the small chip-and-antenna sticker symbol on the
cover) and runs four cryptographic checks against the data it extracts:
1. Passive Authentication — every Data Group (DG1 personal data, DG2
facial image, etc.) is hashed and compared against the signed hash
stored in the Document Security Object (SOD). Catches any single-bit
tampering of the chip contents.
2. Certificate chain validation — Document Signer Certificate (DSC) →
Country Signing Certificate Authority (CSCA) → ICAO Public Key
Directory (PKD) root. Proves the chip was signed by the issuing
government, not a clone.
3. Certificate Revocation List (CRL) check — DSCs revoked by the issuing
country are caught and flagged.
4. Chip Authentication — where the document supports it, prevents chip
cloning by challenging the chip with a key-pair handshake.
PACE (Password Authenticated Connection Establishment) or BAC (Basic
Access Control) is used to derive the session key from the Machine-Readable Zone (MRZ); Didit
handles that automatically. All of this is ICAO 9303 standard.
## 3. Two integration paths — pick one
### Path A — Workflow Builder (hosted UI, REQUIRED for NFC)
NFC Verification has no server-to-server standalone endpoint. The chip
has to be read by a device with NFC hardware, so you always integrate
through the Workflow + native SDK (or hosted mobile web that falls back).
1. Create a workflow that contains the NFC feature:
POST https://verification.didit.me/v3/workflows/
Authorization header: x-api-key: <your-api-key>
Body: workflow_label, features array with the entries
{ feature: "ID_VERIFICATION" }
{ feature: "NFC" }
(UPPERCASE — strict enum)
You should always pair NFC with ID_VERIFICATION so the MRZ is captured
for the chip handshake AND so an OCR cross-validation is available.
2. Create a verification session for an end user:
POST https://verification.didit.me/v3/session/
Body: workflow_id (from step 1), vendor_data (your own user id).
Response: session_url — redirect the user to it (or open it in the
native SDK with shared.startVerification(with: sessionId)).
3. Listen for webhook callbacks (see "Webhooks" below).
### Path B — Native SDKs (drop-in, recommended for mobile apps)
Same workflow + session above, but launch the verification flow in your
own iOS or Android app via the Didit SDK. The SDK wires the NFC reader,
the entitlements, and the chip-reading UI for you.
- iOS: DiditSdk.shared.startVerification(with: sessionId, configuration:)
Required entitlements (handled by the SDK):
- com.apple.developer.nfc.readersession.formats = ["TAG"]
- ISO7816 application identifiers for ePassports
- Android: DiditSdk.startVerification(sessionId, config) — uses
IsoDep (android.nfc.tech.IsoDep) under the hood.
- React Native / Flutter: the same SDK, exposed through the cross-
platform module — see docs.didit.me/integration/native-sdks/.
### Web browsers — NFC is unavailable
Web NFC API is not generally available. Chrome on Android has an
experimental Web NFC that is unstable and requires explicit permissions;
Safari on iOS has no support. For web integrations, NFC is automatically
skipped and the user proceeds with standard ID + selfie. If you require
NFC, deep-link the user into the Didit App or your own native app.
## 4. Webhooks
- Register a webhook destination once via
POST https://verification.didit.me/v3/webhook/destinations/
Body: url, subscribed_events: ["session.verified", "session.review_started",
"session.declined"]
- Response includes secret_shared_key — store it.
- Every webhook delivery carries an X-Signature-V2 header you MUST verify
before trusting the payload. HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature.Algorithm:
1. sortKeys(payload) recursively
2. shortenFloats (truncate trailing zeros after the decimal point)
3. JSON.stringify the result
4. HMAC-SHA256 with the secret_shared_key
5. Hex-encode, compare to the X-Signature-V2 header.
## 5. Reading the report
The session report includes an nfc object alongside the id_verification
object. Top-level fields on nfc:
- status: "Approved" | "Declined" | "In Review" | "Not Finished"
- portrait_image: signed URL to the chip-extracted DG2 facial image
- signature_image: signed URL to the chip-extracted DG7 signature
- chip_data:
document_type, issuing_country (ISO 3166-1 alpha-3),
document_number, expiration_date (YYYY-MM-DD),
first_name, last_name, birth_date, gender ("M" | "F" | "U"),
nationality (ISO 3166-1 alpha-3), address, place_of_birth.
- authenticity:
sod_integrity (boolean — every Data Group hash matched the SOD)
dg_integrity (boolean — Data Group binary integrity check passed)
- certificate_summary:
issuer (CSCA Common Name + serial + organization + country)
subject (DSC Common Name)
serial_number
not_valid_after (YYYY-MM-DD HH:MM:SS)
not_valid_before (YYYY-MM-DD HH:MM:SS)
- warnings: Array of { risk, additional_data, log_type,
short_description, long_description }
### Auto-decline (always enforced, never configurable)
- NFC_AND_OCR_DATA_NOT_SAME — Optical Character Recognition (OCR) data
and chip data differ. Indicates document tampering or fake chip.
### Configurable warnings (per-workflow action: Decline / Review / Approve)
- SKIPPED_NFC_VALIDATION — chip not read (no NFC hardware, no
permissions, document has no chip)
- NFC_CHIP_NOT_VERIFIED — chip read but signature could not be
verified (missing CSCA, older document)
- DSC_CERTIFICATE_REVOKED — Document Signer Certificate listed on
the issuing country's CRL
- DSC_CERTIFICATE_EXPIRED — Document Signer Certificate past its
validity period
## 6. Hard rules — do not change
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: NFC, ID_VERIFICATION, LIVENESS, FACE_MATCH.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Always verify webhook signatures before trusting payload data.
- Always pair NFC with ID_VERIFICATION in the workflow — NFC alone
cannot derive the chip key without the MRZ from the document photo.
- Status casing matches exactly: "Approved", "Declined", "In Review",
"Not Finished" (title-cased, space-separated).
- Treat NFC as an additive confidence boost, not a hard gate, unless
your risk policy explicitly requires it (regulated remote
onboarding under PSD3, AMLD6 high-risk customer flows, etc.).
## 7. Pricing reference (public)
- NFC Verification: $0.15 per chip read (standalone module).
- Bundled inside a full Know Your Customer (KYC) workflow (ID + Liveness + Face Match + NFC):
priced as the underlying KYC bundle ($0.33) + $0.15 NFC if enabled.
- 500 free checks every month, forever, on every account.
## 8. Verify your integration
- Sandbox starts on signup at https://business.didit.me — no separate flag.
- Test documents: use the Didit App on a real iOS or Android device with
any ICAO 9303 e-passport issued after 2006 (most modern passports).
- Sandbox webhook events fire the same shape as production; verify the
X-Signature-V2 header in dev too.
- Switch to live: flip the application's environment toggle in console.
When in doubt: https://docs.didit.me/core-technology/nfc-verification/overview
月額$0。クレジットカード不要。
使った分だけお支払い。25以上のモジュール。モジュールごとの公開価格、月額最低料金なし。
カスタムMSA & SLA。大量利用や規制対象プログラム向け。
無料で開始 → チェック実行時のみ支払い → カスタム契約、SLA、データレジデンシーが必要な場合はエンタープライズプランへ。
Diditは、本人確認と不正対策のためのインフラです。私たちが自社製品を開発していたときに「こんなプラットフォームがあれば」と願ったものを実現しました。オープンで柔軟、そして開発者に優しいため、ブラックボックスとしてではなく、お客様のスタックの一部として機能します。
単一のAPIで、個人の本人確認(KYC、顧客確認)、企業の本人確認(KYB、企業確認)、暗号資産ウォレットのスクリーニング(KYT、取引確認)、およびリアルタイムの取引監視をカバーします。このスタックは以下の特徴を備えています。
基盤となるフットプリント:14,000以上のドキュメントタイプ、48以上の言語、1,000以上のデータソース、そして全セッションで200以上の不正シグナル。Diditのインフラは、すべてのセッションから動的に学習し、日々改善されています。
docs.didit.me/core-technology/nfc-verification/supported-documents-nfc-verificationをご覧ください。チップの読み取りにはPACE(Password Authenticated Connection Establishment)またはBAC(Basic Access Control)を使用します。Diditは機械読取可能ゾーン(MRZ)からセッションキーを自動的に導出するため、ユーザーはドキュメントをスマートフォンにかざすだけで済みます。id_verificationオブジェクトに加えて、単一のnfc JSONオブジェクトが返されます。トップレベルのstatusはApproved、Declined、In Review、またはNot Finishedのいずれかです。このオブジェクトには、chip_dataブロック(document_type、発行国(ISO 3166-1 alpha-3)、document_number、expiration_date、first_name、last_name、birth_date、gender、nationality、address、place_of_birth)、authenticityブロック(sod_integrity、dg_integrity)、certificate_summary(issuer、subject、serial_number、not_valid_after、not_valid_before)、portrait_image(チップから抽出されたDG2顔画像)およびsignature_image(チップから抽出されたDG7署名画像)の署名付きURL、そしてwarnings配列が含まれます。完全なリファレンスはdocs.didit.me/core-technology/nfc-verification/report-nfc-verificationをご覧ください。エンドツーエンドの全フローは通常30秒未満で完了します。IDを手に取り、ドキュメントを撮影し、セルフィーを撮影すれば完了です。これは市場で最速です。従来のKYCプロバイダーでは、同じフローに90秒以上かかることがよくあります。
バックエンドでは、Diditはユーザーがセルフィーを完了した瞬間からWebhookが発火するまでの時間を測定し、p99で2秒未満で結果を返します。モバイルキャプチャは、低速なスマートフォンやネットワーク向けに最適化されています。プログレッシブ画像圧縮、遅延ソフトウェア開発キットのロード、そしてユーザーがウェブから開始した場合のQRコードによるデスクトップからスマートフォンへのワンタップ連携などです。
すべてのセッションは7つの明確なステータスのいずれかに分類されるため、お客様のコードは常に適切な処理を判断できます。
Approved, すべてのチェックに合格しました。ユーザーを次のステップに進めます。Declined, 1つ以上のチェックに失敗しました。ユーザーに特定の失敗したステップ(例:セルフィーの再撮影)を再提出させることができ、フロー全体を再実行する必要はありません。In Review, コンプライアンス審査のためにフラグが立てられました。コンソールでケースを開き、すべてのシグナルを確認し、承認または拒否を決定します。In Progress, ユーザーはフローの途中にいます。Not Started, リンクは送信されましたが、ユーザーはまだ開いていません。長期間放置されている場合はリマインダーを送信します。Abandoned, ユーザーはリンクを開きましたが、時間内に完了しませんでした。再エンゲージするか、期限切れにします。Expired, セッションリンクの有効期限が切れました。新しいセッションを作成します。すべてのステータス変更時に署名付きWebhookが発火するため、お客様のデータベースは常に同期されます。中断および拒否されたセッションは無料です。
本番データは、デフォルトで欧州連合内のAmazon Web Servicesで処理および保存されます。規制当局が別の地域を要求する管轄区域については、エンタープライズ契約で代替地域をリクエストできます。
あらゆる場所で暗号化。すべてのデータベース、オブジェクトストレージ、バックアップでAES-256による保存時暗号化。すべてのAPIコール、Webhook、ビジネスコンソールセッションでTransport Layer Security 1.3による転送時暗号化。生体認証データは個別のカスタマーマスターキーで暗号化されます。
保持期間はお客様が管理できます。デフォルトの保持期間は無期限(無制限)ですが、アプリケーションごとに30日から10年の間で短縮設定することも可能です。また、ダッシュボードまたはAPIからいつでも個々のセッションを削除できます。
認証:SOC 2 Type 1(Type 2監査進行中)、ISO/IEC 27001:2022、iBeta Level 1 PAD、およびスペインのTesoro / SEPBLAC / CNMVからの公式認定により、Diditのリモート本人確認は対面確認よりも安全であるとされています。完全なレポートは/security-complianceをご覧ください。
Diditは、本人確認インフラにとって重要な規制にデフォルトで準拠しています。
詳細なメモ、すべての証明書、すべての規制当局からの書簡は/security-complianceをご覧ください。
3つの統合パス, お客様のスタックに合うものをお選びください。
同じダッシュボード、同じ請求、3つすべてで成功ごとの同じ料金。ステップバイステップガイドはdocs.didit.me/integration/integration-promptをご覧ください。