
コンプライアンスはお任せください。本人確認を ワンクリック
ライセンス取得、子会社設立、監査対応はすべて弊社が担当します。これにより、お客様のコンプライアンスおよびリスク管理チームは、より迅速に業務を進めることができます。スイッチ一つで、SOC 2 Type 1、ISO/IEC 27001、Tesoro EU政府認証を含む、あらゆる国でコンプライアンスに準拠したサービスを開始できます。
数字で見るDidit
- 0%過去12ヶ月間の実稼働時間。99.99%のSLO(サービスレベル目標)に対し、status.didit.meでライブログを公開しています。
- 0Diditのサービス開始以来、重大な情報漏洩はゼロ。2023年以来、本番環境で実証済みです。
- 数百万件毎月、本番環境で検証される本人確認数。
- 認証済みDiditが事業を展開するすべての地域でコンプライアンス認証済み, SOC 2 Type 1、ISO/IEC 27001、iBeta Level 1 PAD、およびスペイン規制当局の認証を取得しています。
規制当局は、Diditが対面での本人確認よりも安全だと評価しています。
“DiditのNFC + アクティブ生体認証は、対面での本人確認と同等かそれ以上のセキュリティを提供します。”
2024年11月~2025年7月 · Sandbox financiero (Ley 7/2020)、第4コホート · Tesoro Público、スペイン銀行、SEPBLAC、CNMVの監督下。
専任の不正対策チーム。 モデル、監視、防止。
自社開発・再学習を繰り返すモデル
ライブネス、ディープフェイク検知、ドキュメント分類、顔照合、インジェクション攻撃検知、行動リスクなど、すべてのモデルはDidit独自のトレーニングおよびサービス提供パイプラインで運用されています。
24時間体制のモニタリング
本番環境のトラフィックはリアルタイムのレビューキューに送られます。ドリフト、誤検知率、攻撃パターンの変化、国ごとのシグナル品質を継続的に監視し、お客様のコード変更なしに閾値を再調整します。
ユーザーには見えないインラインでの不正防止
すべてのモデルはセッションにインラインで統合されます。p99推論は2秒未満で、余分なラウンドトリップや追加の操作は不要です。正規ユーザーは同じフローで認証を完了し、攻撃者のみが異なるパスをたどります。
すべての主張には、裏付けとなる文書があります。


ISO/IEC 27001:2022
Diditの検証プロセス全体をカバーする情報セキュリティ管理システムが認証されています。ビューローベリタスが発行、2027年6月まで有効です。

iBeta Level 1 PAD
生体認証アンチスプーフィングテスト, 6つの攻撃カテゴリで360回の試行が行われ、突破されたものはありませんでした。NIST認定NVLAPラボ200962で実施されました。
Tesoroサンドボックス認証
スペインの4つの金融規制当局による1年間のサンドボックスで、Diditのリモート検証が対面での本人確認と同等以上に安全であることが結論付けられました。この認証を持つ本人確認ベンダーは他にありません。

GDPR第32条
データ処理者として、一般データ保護規則(GDPR)に完全に準拠しています。データ処理契約および技術的・組織的措置はご要望に応じて提供可能です。

EBA / MiCA準拠
独立した法的意見:Diditのリモートオンボーディングは、欧州銀行監督機構のリモート顧客オンボーディングに関するガイドライン(EBA/GL/2022/15)を満たしており、今後施行されるEUのマネーロンダリング対策(AML)単一規則集および暗号資産市場(MiCA)規制と互換性があります。

EBA / MiCA準拠
独立した法的意見:Diditのリモートオンボーディングは、欧州銀行監督機構のリモート顧客オンボーディングに関するガイドライン(EBA/GL/2022/15)に適合しており、今後施行されるEUのマネーロンダリング対策(AML)単一規則集および暗号資産市場(MiCA)規制にも対応しています。
何を、どこに、どれくらいの期間保存するか。
保存時の暗号化 — AES-256.
すべてのセッションは、256ビットAES(Advanced Encryption Standard)キーで保存時に暗号化されます。キーはアプリケーションコードに触れることはなく、AWS KMS(Key Management Service)に保存され、サンドボックスと本番環境で別々のキーを使用します。
転送時の暗号化 — TLS 1.3.
すべてのAPIコール、Webhook、ビジネスコンソールセッションは、厳格な暗号ルールを持つTLS(Transport Layer Security)1.3で暗号化されます。古いプロトコルへのフォールバックはできず、HSTS(HTTP Strict Transport Security)がサイト全体で強制されます。
データレジデンシー — デフォルトはEU.
セッションはデフォルトでAWS上の欧州連合で処理・保存されます。エンタープライズのお客様は、利用可能な国でのデータレジデンシーを有効にできます。これにより、あらゆる市場のチームがDiditをコンプライアンスに準拠して運用できます。
データ保持 — 1ヶ月から10年まで.
ビジネスコンソールで、アプリごとにDiditが各セッションを保持する期間を1ヶ月から10年まで選択できます。最小限のフットプリントでデプロイする場合、Webhookが着信するとすぐにセッションを削除できます。
生体認証データの取り扱い — データ最小化.
Diditが収集するデータを正確に選択でき、それ以外のデータはすべて破棄されます。デフォルトでは生体認証テンプレートとメタデータのみが保持され、生セルフィーとライブネスビデオはセッションが閉じられた瞬間に削除されます。
データ主体の権利 — 1つのエンドポイントでデータを削除.
公開APIを介して、DSAR(データ主体アクセス要求)および消去権をオンデマンドで完全に実行できます。エンドユーザーはDidit IdentityアプリからDSARを送信し、お客様のチームはセッションエンドポイントで1回のDELETEコールでそれらをトリガーします。すべてのレプリカで強制され、ソフトデリートやアーカイブバケットはありません。
セキュリティに関する質問にお答えします。
Diditのセキュリティはどのくらい強固ですか?
Diditの2023年のサービス開始以来、データ侵害はゼロです。 セキュリティはプラットフォームのあらゆる層に組み込まれています。
- 数百万件の認証と1,500社以上の有料顧客において、侵害はゼロです。
- データが保存されている時もシステム間で移動する時も、すべて暗号化されています。暗号化キーはAmazon Web Services (AWS) に保管され、サンドボックスが本番環境のデータを読み取れないように分離されています。
- すべてのリクエストがチェックされ、すべてのアクションがログに記録されます。 顧客間で共有されるシークレットはありません。
- 独立した監査を受けています, SOC 2 Type 1(Type 2は進行中)、ISO/IEC 27001:2022、およびiBeta Level 1 Presentation Attack Detection (PAD) で、360回の試行で攻撃成功率は0%です。
status.didit.meでライブの公開ステータスページを提供しています, すべてのインシデント、すべての事後分析がログイン不要で確認できます。過去6か月間、稼働率は100%です。- 万が一何かあった場合でも、数時間以内にお知らせします, 一般データ保護規則 (GDPR) 第33条の報告期間内に対応します。エンタープライズのお客様には、24時間年中無休の担当エンジニアが付き、専用のSlackおよびWhatsAppチャンネルをご利用いただけます。
このページのトラストパック(SOC 2レポート、ISO証明書、iBetaレポート、Tesoro証明書、データ処理契約 (DPA)、サブプロセッサーリスト)をご請求いただければ、署名済みの秘密保持契約 (NDA) の下、同営業日中に送付いたします。
大量の認証を処理しています。Diditは私のボリュームに対応できますか?
はい。インフラはリアルタイムで自動的にスケーリングし、1日あたり数百万件の認証をサポートします。
- 自動スケーリング。 トラフィックが夜間に倍増しても、プラットフォームは自動的に拡張します。営業担当者とのやり取りやキャパシティプランの再作成、事前の警告は不要です。
- ピーク時でもすべてのチェックは2秒未満で完了します。 インフラはエンドツーエンドで高速な推論に最適化されています。
- 過去6か月間、稼働率は100%です。
status.didit.meでライブで追跡できます, ログインは不要です。 - 本番環境で実証済み, 2023年のサービス開始以来、220以上の国で1,500社以上の有料顧客に利用されています。
- 急増するイベントに対応, スポーツベッティングの開始、マーケットプレイスのローンチ、年齢認証の展開など。Diditの誰も手を煩わせることなく、プラットフォームが急増に対応します。
- エンタープライズ契約には書面による保証が含まれます, 速度、稼働率、キャパシティに関するサービスレベル契約 (SLA) があり、達成できなかった場合は請求額のクレジットが付与されます。
料金ページのボリュームティアは、お客様の成長に合わせて自動的に適用されます, 契約変更や手動での再交渉は不要です。
Diditはどのようなデータを保存し、どの程度制御できますか?
ワークフローごとに選択できます。 Diditが保持するデータの固定リストはありません。お客様のコンプライアンスチームがビジネスコンソールで各アプリを設定し、ワークフローは指示されたデータのみを収集・保存します。
Returned-dataタブでは、すべてのカテゴリのトグルを設定できます。
- 身分証明書 (ID) の画像と機械読取可能ゾーン (MRZ) フィールド
- 近距離無線通信 (NFC) チップデータ
- 抽出された身元情報フィールド(氏名、生年月日、書類番号、有効期限、住所)
- 生体認証テンプレート
- 生セルフィーと完全なライブネスビデオ
- デバイスフィンガープリント、ブラウザ、オペレーティングシステム、プラットフォーム
- インターネットプロトコル (IP) 地理位置情報、仮想プライベートネットワーク (VPN) / Torシグナル
- ドキュメント位置照合座標
- 制裁、政治的要人 (PEP)、ネガティブメディア照合の詳細を含むアンチマネーロンダリング (AML) スクリーニングヒット
- Webhookペイロード、監査ログ、セッションごとのメタデータ
トグルの正確なリストはワークフローのモジュールによって異なります。ビジネスコンソールのReturned-dataでワークフローを設定する際に確認してください。
データ管理者とデータ処理者は誰ですか?
お客様がデータ管理者です。Diditはデータ処理者です。 これは、ほとんどの規制対象の購入者が期待する一般データ保護規則 (GDPR) 第28条の構成です。
- お客様が決定します, データが収集される理由、保持されるフィールド、保持期間、チーム内で誰がそれらのデータにアクセスできるか。このページのデータ処理契約 (DPA) は、Diditがこれらの指示に従うことを義務付ける契約です。
- Diditはお客様に代わってデータを処理します, 認証、スクリーニング、生体認証チェック、ドキュメント分類、Webhookなどを、お客様のDPAおよびDidit自身のSOC 2、ISO/IEC 27001、一般データ保護規則 (GDPR) 第32条の管理下で実行します。
Diditがお客様に代わってデータを保存およびアクセスすることをお勧めします。 ほとんどのお客様がそうしています。インターネット規模で身元データを保護することは、フルタイムの仕事です。強固な暗号化、キーローテーション、侵入検知、脆弱性管理、認証更新、地域レジデンシー、データ主体権ツール、侵害通知など、Diditのセキュリティおよびプラットフォームチームは毎日これに注力しており、お客様のコンプライアンスおよびエンジニアリングチームがその必要はありません。お客様はビジネスコンソールを通じて完全な制御を維持します, すべての保持ルール、すべてのデータ主体アクセス要求 (DSAR)、すべての削除は、お客様がトリガーできます。
お客様のポリシーでデータが完全に独自の環境(お客様のクラウドアカウント、オンプレミスデータベース)に存在する必要がある場合でも、Diditはフェッチアンドフォーゲット方式の処理者として動作し、お客様のチームがエンドツーエンドで保持を管理します。
データはどこに保存され、地域を選択できますか?
デフォルトは欧州連合です。特定の地域または国内はエンタープライズプランで利用可能です。
デフォルトのデプロイメントは、欧州連合 (EU) のAmazon Web Services (AWS) で実行されます。データは保存時および転送時に暗号化され、暗号化キーはAWSによって保持され、環境ごとに分離されています。
- 欧州連合(デフォルト), すべてのアカウント。一般データ保護規則 (GDPR)、Schrems II / 欧州連合, 米国データプライバシーフレームワーク、eIDAS 2.0をカバーします。
- 特定の地域(米国東部、アジア太平洋など), お客様の規制当局が要求する場合のエンタープライズ契約。
- 国内レジデンシー(ブラジル、インドなど), ブラジルのLei Geral de Proteção de Dados (LGPD) やインドのDigital Personal Data Protection Act (DPDPA) などの国内法に対応するため、利用可能な場合のエンタープライズプラン。
データが国境を越える場合、欧州委員会2021年の標準契約条項 (SCCs) によって保護されます。対応する転送影響評価 (TIA) は、このページのトラストパックに含まれています。
データの保持期間はどのくらいで、どのように設定できますか?
保持期間はアプリごとに1か月から10年まで設定できます。 適用は自動です。
ビジネスコンソールで以下を設定します。
- グローバル保持期間, 1か月(Webhookがトリガーされた後にDiditが何も保持しないようにする場合)から10年(アンチマネーロンダリング指令6 (AMLD6) の上限)まで。
- データカテゴリごとの保持, 生体認証テンプレートは生画像よりも長く保持できます。スクリーニングヒットは身元データよりも長く保持できます。ドキュメント位置照合は完全に削除できます。
- 自動適用, 毎晩、プラットフォームは保持期間を過ぎたすべてのコピーを削除します。すべての削除は監査ログに記録されます。
判定後にDiditに何も保持させたくない場合は、Webhookハンドラから POST /v3/sessions/:session_id/delete/ を呼び出すと、お客様のシステムが結果のコピーを記録した瞬間にセッションは削除されます, Diditは呼び出し後、データを保持しません。完全なリファレンスは docs.didit.me/sessions-api/delete-session を参照してください。
データ主体アクセス要求 (DSAR)、削除、ポータビリティはどのように処理されますか?
権利ごとに1つのエンドポイント。
- アクセス権 (第15条) およびデータポータビリティ権 (第20条),
GET /v3/sessions/:session_id/decision/で完全なセッションペイロードを取得します。リファレンスはdocs.didit.me/sessions-api/retrieve-sessionを参照してください。 - 消去権 (第17条),
POST /v3/sessions/:session_id/delete/でセッションとすべての関連アーティファクトを削除します。リファレンスはdocs.didit.me/sessions-api/delete-sessionを参照してください。
どのような認証と証明書を保有していますか?
5つの外部証明書を保有しています。すべてトラストパックに同梱されています。
- SOC 2 Type 1, セキュリティ、可用性、機密性に関するもので、米国公認会計士協会 (AICPA) のトラストサービス基準に基づき、ATOMによって2026年4月に発行されました。SOC 2 Type 2の審査は進行中です。
- ISO/IEC 27001:2022, 情報セキュリティマネジメントシステムに関するもので、ビューローベリタスによって認証されています(証明書
ES144068、2027年6月3日まで有効)。 - iBeta Level 1 Presentation Attack Detection (PAD), 独立した生体認証アンチスプーフィングテストで、米国国立標準技術研究所 (NIST) 認定ラボでISO/IEC 30107-3に基づき実施されました。360回の試行で攻撃成功は0件です。
- GDPR 第32条, データ処理契約 (DPA)、サブプロセッサーリスト、技術的および組織的措置 (TOMs) はすべて公開されています。
- 欧州銀行監督機構 (EBA) / 暗号資産市場 (MiCA) メモ, DiditがEBAのリモート顧客オンボーディングに関するガイドライン (
EBA/GL/2022/15) およびMiCA規制を満たしているという独立した法的意見。
このページのトラストパックをご請求いただければ、署名済みの秘密保持契約 (NDA) の下、すべてのレポート、証明書、メモを同営業日中に送付いたします。
スペインの規制当局の証明書は私にとって具体的に何を意味しますか?
欧州連合 (EU) 全体での相互承認, そして規制当局に説明可能な監査証跡。
スペインのTesoro Público、Banco de España、SEPBLAC、CNMVは、Diditの近距離無線通信 (NFC) チップ読み取りとアクティブライブネスオンボーディングフローについて、1年間の金融サンドボックス(2024年11月~2025年7月)を実施しました。tesoro.es で公開された公式結論レポートでは、Diditのリモート認証がアンチマネーロンダリング指令 (AMLD) の下で対面での身元確認のセキュリティレベルを満たすか、それを上回ると結論付けています。
お客様のコンプライアンスチームにとって、これは以下のことを意味します。
- AMLD6の相互承認, この証明書は、再認証なしに他のすべてのEU加盟国で利用可能です。
- eIDAS 2.0への準拠, DiditのNFC + ライブネスフローは、適格電子署名 (QES) のオンボーディングに適していると公的に記録されています。
- 説明可能な監査証跡, お客様の地域の金融情報機関 (FIU) がオンボーディングをレビューする際、EUの同僚規制当局が承認したのと同じレポートを提示できます。
Diditは、この証明書を公的に記録している唯一の身元確認ベンダーです。
Diditに特定のライセンスや認証の取得を依頼できますか?
はい, そして、おそらくすでに取り組んでいます。 Diditは常に、市場や業種を横断して10以上の認証、ライセンス、規制当局の承認(支払い承認、暗号資産および暗号資産市場 (MiCA) 登録、アンチマネーロンダリング (AML) 監督当局の承認、eIDAS 2.0適格トラストサービスプロバイダー (QTSP) ステータス、地域の金融情報機関 (FIU) 報告、業種固有の承認(iGaming、ヘルスケア、銀行)など)を積極的に追求しています。
お客様のコンプライアンスチームがDiditに保有してほしいライセンスや認証がある場合は、`security@didit.me` までメールでご連絡ください。おそらくすでに私たちのキューに入っています, もし入っていなければ、お客様のリクエストによってリストの優先順位が上がります。以下の情報をお伝えします。
- ロードマップにおける認証の位置付け。
- 予想されるタイムライン。
- 範囲(完全なカバー範囲、特定の地域、特定のモジュール)。