メインコンテンツにスキップ
Diditが200万ドルを調達し、Y Combinator (W26)に参加
Didit
PSD3 · 強力な顧客認証

2つのSCA要素。ワンタップ。

生体認証 ($0.10) とデバイスおよびIP分析 ($0.03) により、単一のプロンプトで2つのPSD3準拠のSCA要素を提供します。フィッシング耐性があります。SMSワンタイムパスワードのドロップイン代替品です。

無料で始めるドキュメントを読む
支援元
Y Combinator
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

世界中の2,000以上の組織から信頼されています。

映画のような暗い抽象的なコンプライアンスのイラスト — 純粋な黒のキャンバスに3Dパースペクティブで4つの浮遊する半透明のダークガラスパネルがあり、光るDidit Blueの垂直線で結ばれ、4つの光るスキャナーブラケットで囲まれています。各パネルには、生体認証による強力な顧客認証を表す小さな淡い白色の抽象的なモチーフ(指紋の弧、顔の楕円、電話のシルエット、鍵の形)が描かれています。

SMS OTPが廃止される理由

SIMスワップ防止。フィッシング防止。認証ごとに$0.13。

PSD3は、強力な顧客認証要素としてのSMSワンタイムパスワードを段階的に廃止しています。 Diditのデバイスに紐付けられた生体認証SCAは、SIMスワップ、リアルタイムフィッシング、SS7傍受をブロックします。 認証あたり$0.13で、2秒未満の判定、動的リンク対応です。 毎月500回の検証が無料です。

仕組み

サインアップから認証済みユーザーまで、4つのステップで。

  1. ステップ 01

    ワークフローを作成する

    ID、生体認証、顔認証、制裁、住所、年齢、電話番号、メールアドレス、カスタム質問など、必要なチェックを選択します。ダッシュボードでフローにドラッグするか、同じフローをAPIに投稿します。条件に基づいて分岐させたり、A/Bテストを実行したりできます。コードは不要です。

  2. ステップ 02

    統合する

    当社のWeb、iOS、Android、React Native、またはFlutter SDKを使用してネイティブに埋め込みます。ホストされたページにリダイレクトします。または、メール、SMS、WhatsAppなど、どこでもユーザーにリンクを送信するだけです。お使いのスタックに合ったものをお選びください。

  3. ステップ 03

    ユーザーがフローを完了する

    Diditは、カメラ、照明キュー、モバイルハンドオフ、アクセシビリティをホストします。ユーザーがフロー中に、200以上の不正信号をリアルタイムでスコアリングし、すべてのフィールドを信頼できるデータソースと照合して検証します。2秒未満で結果が出ます。

  4. ステップ 04

    結果を受け取る

    リアルタイムの署名付きウェブフックにより、ユーザーが承認、拒否、またはレビューに送られた瞬間にデータベースを同期させます。必要に応じてAPIをポーリングします。または、コンソールを開いてすべてのセッション、すべての信号を検査し、ケースを独自の方法で管理します。

SCA向けに構築 · インフラストラクチャのような価格設定

2つの要素。1つのプロンプト。認証ごとに$0.13。

真の強力な顧客認証は単一のチェックではなく、レシピです。ワークフローごとに免除を切り替えます。リスク信号に応じてハードウェアキーにステップアップします。再デプロイは不要です。
ドキュメントを読むAPIキーを取得する
01 · SCA要素

2つの要素。異なるカテゴリ。

固有性(パッシブ・ライブネス + 顔照合1:1)と占有(ユーザーの紐付けられたデバイス)。デフォルトでPSD3グレード。知識要素(PIN、パスワード)はオプションで、ワークフローごとに設定可能。
生体認証モジュール
02 · 動的リンク

1回の承認。金額と受取人に紐付けられます。

支払いの場合、認証チャレンジには正確な金額と受取人が埋め込まれます。ユーザーは生体認証プロンプト自体でそれらを確認します。改ざんは承認を無効にします — PSRに組み込まれています。
セッションAPIリファレンス
03 · SMS OTPが廃止される理由

設計上フィッシング耐性があります。

SIMスワップ詐欺、リアルタイムフィッシングキット、SS7傍受 — これらすべてがSMSワンタイムパスワードを無効にします。オリジンバインディングを備えたデバイスバウンド生体認証は、欧州銀行監督機構が2024年のSCA意見書で指摘したすべての一般的な攻撃を阻止します。
アカウント乗っ取り防止
04 · 免除エンジン

免除はワークフローごとに調整されます。

30ユーロ未満の低額リモート、50ユーロ未満の非接触型POS、繰り返し同一、信頼できる受取人、取引リスク分析ティア。すべてノーコードのワークフロービルダーで編集可能。
ワークフローオーケストレーター
05 · 認証ごとに200以上のシグナル

すべての認証で200以上のシグナル。

デバイスフィンガープリント、IPジオロケーション、VPN / プロキシ / データセンター検出、新規デバイスフラグ、行動ドリフト。リスクがしきい値を超えると、自動的にハードウェアキーにステップアップします。
デバイス&IP分析モジュール
06 · 経済性

$0.13 per auth, not $0.04 plus SIM-swap loss.

生体認証 $0.10 + デバイスおよびIP分析 $0.03 = 強力な顧客認証あたり $0.13。SMSワンタイムパスワードは $0.04~$0.07 に加え、配信失敗、再試行、SIMスワップによる損失リスクがPSD3で規制当局によって考慮されています。
価格
統合する

ワンセッション。ワンタップ。ワンウェブフック。

金額と受取人を指定してセッションを開始します。ユーザーは自分の電話で承認します。署名付きウェブフックがバインディングを確認します。
POST /v3/session/ログイン
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "purpose": "login" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201作成済みステータス 承認済み · 拒否済み · レビュー中
KYC登録セルフィーをportrait_imageとして渡します。再登録は不要です。ドキュメント →
POST /v3/session/支払い
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "amount": "247.50", "payee_account": "ES91…1332" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201作成済み検証のために金額と受取人をエコーするWebhook
ユーザーは生体認証プロンプト自体で金額と受取人を確認します。動的リンク。ドキュメント →
エージェント対応統合

1つのプロンプトでPSD3 SCAフローを実装。

Claude Code、Cursor、Codex、Devin、Aider、またはReplit Agentに貼り付けます。スタックを入力してください。エージェントがワークフローを構築し、動的リンクを接続し、SDKをマウントし、5分で機能する強力な顧客認証を実装します。
didit-integration-prompt.md
You are integrating Didit's Strong Customer Authentication into a payment service provider, bank, EMI, or wallet to satisfy PSD3 / the Payment Services Regulation (PSR). Two factors in one prompt:

  1. Inherence — Biometric Authentication: Passive Liveness + Face Match 1:1 against the user's previously-enrolled KYC selfie.
  2. Possession — Device & IP Analysis: 200+ real-time fraud signals binding the auth to the user's known device.

Pricing (verified live 2026-05-16):
  - Biometric Authentication: $0.10 per auth
  - Device & IP Analysis: $0.03 per auth
  - Total: $0.13 per Strong Customer Authentication
  - First 500 verifications free every month, forever
  - Re-uses the enrolled selfie from the original KYC — no re-enrolment

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - Webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header.
  - A workflow_id from the no-code Workflow Builder configured as a Biometric Authentication workflow (Passive Liveness + Face Match 1:1 + Device & IP Analysis).
  - The user has previously completed a Didit KYC (the same enrolled selfie backs every subsequent auth).

STEP 1 — Open an authentication session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body (for login auth):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/auth/callback",
      "metadata": {
        "purpose": "login",
        "session_id": "<your front-end session id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor; OMIT only if the workflow is liveness-only>"
    }

  Body (for payment with dynamic linking):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/payment/callback",
      "metadata": {
        "purpose": "payment",
        "amount": "247.50",
        "currency": "EUR",
        "payee_account": "ES9121000418450200051332",
        "payee_name": "<merchant or recipient>",
        "transaction_reference": "<your internal transaction id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor>"
    }

  Response: 201 Created with the hosted session URL. Push the URL to the user via deep-link / push notification / in-app sheet.

STEP 2 — User completes the biometric auth

  The user sees one prompt on their phone (or via the Didit SDK in your native app). Three things happen on the same screen:

  1. The amount + payee are displayed (dynamic linking — the user explicitly approves THIS amount to THIS payee for payments).
  2. Passive Liveness defeats screen replay, printed photo, mask, deepfake.
  3. Face Match 1:1 matches the new selfie against the enrolled KYC selfie.

  Device & IP Analysis runs server-side on the session. Sub-2-second median verdict.

STEP 3 — Read the signed webhook on the auth verdict

  Didit POSTs to your callback. Session statuses (Title Case With Spaces):

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "vpn_detected": false, "datacenter_ip": false },
      "metadata_echo": {
        "amount": "247.50",
        "payee_account": "ES9121000418450200051332"
      }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  For payments, verify that metadata_echo.amount and metadata_echo.payee_account match the values you passed in. If they do not, REJECT the payment — it's a dynamic-linking violation.

STEP 4 — Branch on verdict

  Approved   → unlock the action (login, payment, account change).
  In Review  → hold the action, route to manual review queue.
  Declined   → block, log the attempt, surface a friendly "try again" to the user.
  Resubmitted → the user re-submitted after a soft fail (poor lighting, occlusion); proceed if the latest status is Approved.

STEP 5 — Retrieve the full decision later

  GET https://verification.didit.me/v3/session/{sessionId}/decision/
  Headers:
    x-api-key: <your api key>

  Returns the full payload: liveness verdict (iBeta Level 1 anti-spoof certified), Face Match similarity score, device fingerprint, IP geolocation, VPN / proxy / datacenter flags, 200+ fraud-signal score, dynamic-linking echo, HMAC signature.

  Use this for the audit-trail surface a regulator examines on Strong Customer Authentication coverage.

STEP 6 — Step up on risk

  When Device & IP Analysis surfaces a high-risk signal (new device + high-value payment, VPN/proxy on a login, geolocation jump), your workflow can step up to:

  - A separate hardware-key challenge (FIDO2 / WebAuthn)
  - A trusted-beneficiary whitelist confirmation
  - A manual-review hold

  Encode the step-up policy in the no-code Workflow Builder — no redeploy required.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE on a session.
  - Dynamic linking is REQUIRED for payments — pass amount + payee in metadata, verify the echo on the webhook.
  - The enrolled selfie that backs every SCA is the one captured during the user's original KYC — no separate enrolment step.
  - PSD3 / PSR exemptions (low-value remote < EUR 30, contactless point-of-sale < EUR 50, recurring identical, trusted beneficiary, Transaction Risk Analysis tiers) are configured per workflow in the Business Console.
  - Default record retention is 5 years per the EU AML and payments rules.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/sessions-api/retrieve-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
さらに詳しい情報が必要ですか?モジュールの全ドキュメントをご覧ください。docs.didit.me →
設計によるコンプライアンス

ワンクリックで新しい国を開拓。 私たちは大変な作業を行います。

私たちは現地の子会社を開設し、ライセンスを確保し、侵入テストを実施し、認証を取得し、すべての新しい規制に準拠します。新しい国で検証を出荷するには、トグルを切り替えるだけです。220以上の国が稼働しており、四半期ごとに監査と侵入テストが行われています — EU加盟国の政府が対面検証よりも安全だと正式に認めた唯一のIDプロバイダーです。
セキュリティ&コンプライアンスの書類を読む
EU金融サンドボックス
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
情報セキュリティ · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
設計によりEUに準拠

証明番号

証明番号
  • $0.00
    強力な顧客認証あたり — 生体認証 + デバイスおよびIP分析。
  • <0s
    エントリーレベルのAndroidでのセッションごとのエンドツーエンド認証判定。
  • 0+
    すべての認証で評価されるリアルタイムの不正信号 — VPN、データセンター、地理位置情報のずれ、デバイスのずれ。
  • 0
    すべてのアカウントで毎月無料の検証。
3つのティア、1つの価格表

無料で開始。従量課金。エンタープライズへ拡張。

毎月500回の無料検証、永久に。本番環境では従量課金。エンタープライズではカスタム契約、データレジデンシー、SLA(サービスレベル契約)。
無料

無料

月額$0。クレジットカード不要。

  • 無料KYCバンドル(ID検証 + パッシブ生体検知 + 顔照合 + デバイス&IP分析) — 毎月500回
  • ブロックリスト登録ユーザー
  • 重複検出
  • すべてのセッションで200以上の不正信号
  • Diditネットワーク全体でのKYCの再利用
  • ケース管理プラットフォーム
  • ワークフロービルダー
  • 公開ドキュメント、サンドボックス、SDK、MCP(Model Context Protocol)サーバー
  • コミュニティサポート
無料で開始
最も人気
従量課金

従量課金制

使用した分だけお支払いください。25以上のモジュール。モジュールごとの公開価格、月額最低料金なし。

  • $0.33で完全なKYC(ID + 生体認証 + IP / デバイス)
  • 10,000以上のAMLデータセット — 制裁、PEPs、ネガティブメディア
  • データベース検証のための1,000以上の政府データソース
  • トランザクションあたり$0.02でトランザクション監視
  • 企業あたり$2.00でライブKYB
  • チェックあたり$0.15でウォレットスクリーニング
  • ホワイトラベル検証フロー — あなたのブランド、私たちのインフラ
全価格リストを見る無料で始める
エンタープライズ

エンタープライズ

カスタムMSA & SLA。大量の取引と規制プログラム向け。

  • 年間契約
  • カスタムMSA、DPA、SLA
  • 専用のSlackおよびWhatsAppチャネル
  • オンデマンドの手動レビュー担当者
  • 再販業者およびホワイトラベルの条件
  • 独占的な機能とパートナー統合
  • 指名されたCSM、セキュリティレビュー、コンプライアンスサポート
お問い合わせください

無料で開始 → チェック実行時のみ支払い → カスタム契約、SLA、またはデータレジデンシーのためにエンタープライズをアンロック。

FAQ

よくある質問

関連

関連モジュール + ワークフロー

本人確認と不正対策のためのインフラ。

KYC、KYB、取引モニタリング、ウォレットスクリーニングのための単一API。5分で統合。

無料で始めるお問い合わせ
AIにこのページの要約を依頼する