
Didit이 규제 준수를 책임집니다. 단 한 번의 클릭
Didit이 라이선스, 자회사, 감사 업무를 처리하여 고객사의 규제 준수 및 리스크 관리팀이 더 빠르게 움직일 수 있도록 돕습니다. 스위치를 켜듯 간편하게 모든 국가에서 규제 준수 요건을 충족하며 서비스를 시작하세요. SOC 2 Type 1, ISO/IEC 27001, Tesoro EU 정부 인증이 포함됩니다.
수치로 보는 Didit
- 0%지난 12개월간 실제 가동 시간. 99.99% SLO(서비스 수준 목표) 대비 status.didit.me에서 실시간으로 기록됩니다.
- 0Didit 출시 이후 중대한 보안 침해 사고는 없었습니다. 2023년부터 프로덕션 환경에서 검증되었습니다.
- 수백만 건매월 프로덕션 환경에서 인증되는 사용자 수.
- 인증 완료Didit이 운영되는 모든 곳에서 규제 준수 인증 완료, SOC 2 Type 1, ISO/IEC 27001, iBeta Level 1 PAD, 스페인 규제 기관 인증.
규제 기관은 Didit이 대면 인증보다 안전하다고 평가합니다.
“Didit의 NFC + 능동형 라이브니스 인증은 대면 인증과 동등하거나 그 이상의 보안 수준을 제공합니다.”
2024년 11월, 2025년 7월 · Sandbox financiero (Ley 7/2020), 4차 코호트 · Tesoro Público, Banco de España, SEPBLAC, CNMV 감독.
전담 사기 방지 팀. 모델, 모니터링, 예방.
자체 구축 및 재학습 모델
라이브니스, 딥페이크 감지, 문서 분류기, 얼굴 매칭, 인젝션 공격 감지, 행동 위험 등 모든 모델은 Didit의 자체 학습 및 서비스 파이프라인에서 운영됩니다.
모니터링, 매 시간, 모든 세션
실시간 트래픽은 실시간 검토 큐에 공급됩니다. 드리프트, 오탐율, 공격 패턴 변화 및 국가별 신호 품질을 지속적으로 모니터링하며, 고객 코드 변경 없이 임계값을 재조정합니다.
예방, 인라인, 사용자에게는 보이지 않게
모든 모델은 세션에 인라인으로 통합됩니다. 2초 미만의 p99 추론, 추가 왕복 없음, 추가 탭 없음. 정상적인 사용자는 동일한 흐름에서 인증을 완료하며, 공격자만 다른 경로를 거칩니다.
모든 주장은 문서로 뒷받침됩니다.


ISO/IEC 27001:2022
Didit 검증의 엔드 투 엔드 정보 보안 관리를 인증합니다. Bureau Veritas 발행, 2027년 6월까지 유효합니다.

iBeta Level 1 PAD
생체 인식 위조 방지 테스트, 6가지 공격 카테고리에 걸쳐 360번의 시도에도 불구하고 뚫리지 않았습니다. NIST 공인 NVLAP 연구소 200962에서 수행되었습니다.
Tesoro 샌드박스 증명
스페인 4개 금융 규제 기관의 1년간 샌드박스 결과, Didit의 원격 검증이 대면 신분증 확인만큼 안전하다는 결론이 나왔습니다. 다른 어떤 신원 확인 공급업체도 이 인증을 보유하고 있지 않습니다.

GDPR 제32조
데이터 처리자로서 일반 데이터 보호 규정(GDPR)을 완벽하게 준수합니다. 데이터 처리 계약 및 기술적, 조직적 조치는 요청 시 제공됩니다.

EBA / MiCA 규정 준수
독립적인 법률 자문: Didit의 원격 온보딩은 원격 고객 온보딩에 대한 유럽 은행 당국 지침(EBA/GL/2022/15)을 충족하며, 곧 시행될 EU 자금세탁방지(AML) 단일 규정집 및 암호자산 시장(MiCA) 규정과 호환됩니다.

EBA / MiCA 규정 준수
독립 법률 의견: Didit의 원격 온보딩은 유럽 은행 감독청의 원격 고객 온보딩 가이드라인(EBA/GL/2022/15)을 충족하며, 곧 시행될 EU 자금세탁방지(AML) 단일 규정집 및 암호자산 시장(MiCA) 규정과 호환됩니다.
무엇을, 어디에, 얼마나 오래 보관하는가.
저장 데이터 암호화 — AES-256.
모든 세션은 256비트 AES(Advanced Encryption Standard) 키로 저장 시 암호화됩니다. 키는 애플리케이션 코드에 직접 닿지 않으며, AWS KMS(Key Management Service)에 저장되며 샌드박스 및 프로덕션용으로 별도의 키를 사용합니다.
전송 데이터 암호화 — TLS 1.3.
모든 API 호출, 웹훅 및 비즈니스 콘솔 세션은 엄격한 암호 규칙을 가진 TLS(Transport Layer Security) 1.3을 통해 암호화됩니다. 이전 프로토콜은 대체될 수 없으며, HSTS(HTTP Strict Transport Security)가 사이트 전체에 적용됩니다.
데이터 상주 — 기본값은 EU.
세션은 기본적으로 AWS의 유럽 연합에서 처리 및 저장됩니다. 엔터프라이즈 고객은 가용성에 따라 국내 상주를 활성화할 수 있으므로, 모든 시장의 팀이 Didit을 규정 준수하게 운영할 수 있습니다.
데이터 보존 — 1개월에서 10년까지.
비즈니스 콘솔에서 앱별로 Didit이 각 세션을 보관할 기간(1개월에서 10년까지)을 선택하세요. 최소한의 설치 공간을 사용하는 배포는 웹훅이 도착하는 즉시 세션을 삭제할 수 있습니다.
생체 데이터 처리 — 데이터 최소화.
Didit이 수집할 데이터를 정확히 선택할 수 있으며, 그 외의 모든 데이터는 삭제됩니다. 기본적으로 생체 템플릿과 메타데이터만 보관되며, 원본 셀카 및 라이브니스 비디오는 세션이 종료되는 즉시 삭제됩니다.
데이터 주체 권리 — 하나의 엔드포인트로 데이터 삭제.
공개 API를 통해 DSAR(데이터 주체 접근 요청) 및 삭제 권리를 온디맨드로 제공합니다. 최종 사용자는 Didit Identity 앱에서 DSAR을 전송하고, 팀은 세션 엔드포인트에 대한 DELETE 호출 하나로 이를 트리거합니다. 모든 복제본에 적용되며, 소프트 삭제나 아카이브 버킷은 없습니다.
보안 관련 질문에 답변해 드립니다.
Didit은 얼마나 안전한가요?
2023년 Didit 출시 이후 데이터 유출 0건. 보안은 플랫폼의 모든 계층에 내장되어 있습니다.
- 수백만 건의 인증과 1,500개 이상의 유료 고객을 대상으로 유출 0건을 기록했습니다.
- 모든 데이터는 암호화됩니다. 데이터 저장 시와 시스템 간 이동 시 모두 암호화됩니다. 암호화 키는 Amazon Web Services (AWS)에 보관되며, 샌드박스가 프로덕션 데이터를 읽을 수 없도록 분리되어 있습니다.
- 모든 요청은 확인됩니다. 모든 작업은 기록됩니다. 고객 간 공유되는 비밀은 없습니다.
- 독립적인 감사 완료, SOC 2 Type 1 (Type 2 진행 중), ISO/IEC 27001:2022, iBeta Level 1 Presentation Attack Detection (PAD)에서 360회 시도 중 공격 성공률 0%를 기록했습니다.
status.didit.me에서 실시간 공개 상태 페이지를 운영합니다. 모든 사고, 모든 사후 분석을 로그인 없이 확인할 수 있습니다. 지난 6개월간 100% 가동 시간을 유지했습니다.- 문제가 발생하면 몇 시간 내에 알려드립니다. General Data Protection Regulation (GDPR) Article 33 보고 기간 내에 충분히 대응합니다. 엔터프라이즈 고객에게는 24시간 연중무휴 전담 엔지니어가 배정되며, 전용 Slack 및 WhatsApp 채널이 제공됩니다.
이 페이지에서 신뢰 팩(SOC 2 보고서, ISO 인증서, iBeta 보고서, Tesoro 증명, Data Processing Agreement (DPA), 하위 처리자 목록)을 요청하시면, 서명된 Non-Disclosure Agreement (NDA)와 함께 영업일 기준 당일 발송됩니다.
인증 건수가 많습니다. Didit이 제 볼륨을 지원할 수 있을까요?
네. 인프라는 실시간으로 자체 확장되며, 하루 수백만 건의 인증을 지원합니다.
- 자동으로 확장됩니다. 트래픽이 밤새 두 배로 늘어나도 플랫폼은 스스로 확장됩니다. 영업 전화, 용량 계획 재작성, 사전 경고가 필요 없습니다.
- 모든 검사는 피크 로드에서도 2초 이내에 완료됩니다. 인프라는 엔드 투 엔드 빠른 추론에 최적화되어 있습니다.
- 지난 6개월간 100% 가동 시간을 유지했습니다.
status.didit.me에서 로그인 없이 실시간으로 확인할 수 있습니다. - 프로덕션 환경에서 검증 완료, 2023년부터 220개 이상의 국가에서 1,500개 이상의 유료 고객이 프로덕션 환경에서 사용 중입니다.
- 급증 이벤트에 대비하여 구축되었습니다. 스포츠 베팅 시작, 마켓플레이스 출시, 연령 확인 도입 등 급증하는 트래픽을 Didit 팀의 개입 없이 플랫폼이 처리합니다.
- 엔터프라이즈 계약에는 서면 보증이 포함됩니다. 속도, 가동 시간, 용량에 대한 Service Level Agreement (SLA)가 제공되며, 미달 시 청구 크레딧이 지급됩니다.
가격 페이지의 볼륨 티어는 성장에 따라 자동으로 적용됩니다. 계약 변경이나 수동 재협상이 필요 없습니다.
Didit은 어떤 데이터를 저장하며, 제가 얼마나 제어할 수 있나요?
워크플로우별로 선택할 수 있습니다. Didit은 고정된 보관 목록을 가지고 있지 않습니다. 귀사의 컴플라이언스 팀이 Business Console에서 각 앱을 구성하며, 워크플로우는 귀하가 지시한 데이터만 수집하고 저장합니다.
Returned-data 탭에서 모든 범주에 대한 토글을 제공합니다:
- 신분증 (ID) 문서 이미지 및 Machine-Readable Zone (MRZ) 필드
- Near-Field Communication (NFC) 칩 데이터
- 추출된 신원 필드 (이름, 생년월일, 문서 번호, 만료일, 주소)
- 생체 인식 템플릿
- 원시 셀카 및 전체 라이브니스 비디오
- 기기 지문, 브라우저, 운영 체제, 플랫폼
- Internet Protocol (IP) 지리적 위치, Virtual Private Network (VPN) / Tor 신호
- 문서 위치 일치 좌표
- Anti-Money Laundering (AML) 스크리닝 결과 (제재, Politically Exposed Person (PEP), 부정적 미디어 일치 세부 정보 포함)
- Webhook 페이로드, 감사 로그 및 세션별 메타데이터
정확한 토글 목록은 워크플로우의 모듈에 따라 달라집니다. Business Console의 Returned-data에서 워크플로우를 설정할 때 확인하십시오.
데이터 컨트롤러와 데이터 처리자는 누구인가요?
귀하가 데이터 컨트롤러이며, Didit은 데이터 처리자입니다. 이는 대부분의 규제 대상 구매자가 기대하는 General Data Protection Regulation (GDPR) Article 28 설정입니다.
- 귀하가 결정합니다. 데이터가 왜 수집되는지, 어떤 필드가 보관되는지, 얼마나 오랫동안 보관되는지, 그리고 귀하의 팀 내에서 누가 해당 데이터에 대해 조치할 수 있는지 결정합니다. 이 페이지의 Data Processing Agreement (DPA)는 Didit이 이러한 지침을 따르도록 구속하는 계약입니다.
- Didit은 귀하를 대신하여 데이터를 처리합니다. 귀하의 DPA 및 Didit 자체의 SOC 2, ISO/IEC 27001, General Data Protection Regulation (GDPR) Article 32 통제 하에 인증, 스크리닝, 생체 인식 검사, 문서 분류, 웹훅을 실행합니다.
Didit이 귀하를 대신하여 데이터를 저장하고 액세스하도록 권장합니다. 대부분의 고객이 그렇게 합니다. 인터넷 규모에서 신원 데이터를 보호하는 것은 풀타임 작업입니다. 강화된 암호화, 키 로테이션, 침입 탐지, 취약점 관리, 인증 갱신, 지역별 데이터 상주, 데이터 주체 권리 도구, 유출 통지 등 Didit의 보안 및 플랫폼 팀은 매일 이에 집중하므로 귀사의 컴플라이언스 및 엔지니어링 팀은 그럴 필요가 없습니다. Business Console을 통해 모든 보존 규칙, 모든 Data Subject Access Request (DSAR), 모든 삭제를 트리거할 수 있는 완전한 제어권을 유지합니다.
귀사의 정책이 데이터를 전적으로 귀사 환경(귀사 클라우드 계정, 온프레미스 데이터베이스)에 보관하도록 요구하는 경우에도 지원합니다. Didit은 fetch-and-forget 방식으로 처리자 역할을 하며, 귀사 팀이 엔드 투 엔드 보존을 소유합니다.
데이터는 어디에 저장되며, 지역을 선택할 수 있나요?
기본적으로 유럽 연합에 저장됩니다. 특정 지역 또는 국내 저장은 엔터프라이즈에서 가능합니다.
기본 배포는 EU의 Amazon Web Services (AWS)에서 실행됩니다. 데이터는 저장 중 및 전송 중 암호화되며, 암호화 키는 AWS에서 보관되고 환경별로 분리됩니다.
- 유럽 연합 (기본), 모든 계정. General Data Protection Regulation (GDPR), Schrems II / European Union, United States Data Privacy Framework, eIDAS 2.0을 포함합니다.
- 특정 지역 (미국 동부, 아시아 태평양 등), 규제 기관이 요구하는 경우 엔터프라이즈 계약에서 제공됩니다.
- 국내 상주 (브라질, 인도 등), 브라질의 Lei Geral de Proteção de Dados (LGPD) 및 인도의 Digital Personal Data Protection Act (DPDPA)와 같은 현지 법률에 따라 엔터프라이즈에서 가용성에 따라 제공됩니다.
데이터가 국경을 넘을 때, 유럽 위원회의 2021 Standard Contractual Clauses (SCCs)에 의해 보호됩니다. 일치하는 Transfer Impact Assessment (TIA)는 이 페이지의 신뢰 팩과 함께 제공됩니다.
데이터를 얼마나 오래 보관하며, 보존 기간은 어떻게 설정하나요?
앱별로 1개월에서 10년까지 보존 기간을 설정할 수 있습니다. 자동 적용됩니다.
Business Console에서 다음을 설정합니다:
- 글로벌 보존 기간, 1개월(웹훅 실행 후 Didit이 아무것도 보관하지 않도록 할 때)부터 10년(Anti-Money Laundering Directive 6 (AMLD6) 상한선)까지.
- 데이터 범주별 보존, 생체 인식 템플릿은 원시 이미지보다 오래 보관될 수 있고, 스크리닝 결과는 신원 데이터보다 오래 보관될 수 있으며, 문서 위치 일치는 완전히 삭제될 수 있습니다.
- 자동 적용, 매일 밤, 플랫폼은 모든 복사본에서 보존 기간이 지난 모든 데이터를 삭제합니다. 모든 삭제는 감사 로그에 기록됩니다.
평결 후 Didit이 아무것도 보관하지 않도록 하려면, 웹훅 핸들러에서 POST /v3/sessions/:session_id/delete/를 호출하십시오. 그러면 시스템이 결과의 자체 복사본을 기록하는 순간 세션이 삭제됩니다. Didit은 호출 이후 데이터를 보관하지 않습니다. 전체 참조는 docs.didit.me/sessions-api/delete-session에서 확인할 수 있습니다.
Data Subject Access Requests (DSARs), 삭제 및 이식성은 어떻게 처리하나요?
권리당 하나의 엔드포인트.
- 접근권 (Article 15) 및 데이터 이식권 (Article 20),
GET /v3/sessions/:session_id/decision/에서 전체 세션 페이로드를 가져올 수 있습니다. 참조는docs.didit.me/sessions-api/retrieve-session에서 확인할 수 있습니다. - 삭제권 (Article 17),
POST /v3/sessions/:session_id/delete/는 세션과 연결된 모든 아티팩트를 제거합니다. 참조는docs.didit.me/sessions-api/delete-session에서 확인할 수 있습니다.
어떤 인증 및 증명을 보유하고 있나요?
5가지 외부 증명서가 파일에 있습니다. 모두 신뢰 팩에 포함되어 있습니다.
- SOC 2 Type 1, 보안, 가용성, 기밀성, American Institute of Certified Public Accountants (AICPA) Trust Services Criteria에 따라 ATOM에서 2026년 4월에 발행되었습니다. SOC 2 Type 2 심사가 진행 중입니다.
- ISO/IEC 27001:2022, 정보 보안 관리 시스템, Bureau Veritas에서 인증 (인증서
ES144068, 2027년 6월 3일까지 유효). - iBeta Level 1 Presentation Attack Detection (PAD), 독립적인 생체 인식 스푸핑 방지 테스트, National Institute of Standards and Technology (NIST) 공인 연구소에서 ISO/IEC 30107-3에 따라 수행되었습니다. 360회 시도 중 공격 성공률 0%를 기록했습니다.
- GDPR Article 32, Data Processing Agreement (DPA), 하위 처리자 목록, Technical and Organisational Measures (TOMs)는 모두 공개되어 있습니다.
- European Banking Authority (EBA) / Markets in Crypto-Assets (MiCA) 메모, Didit이 EBA Guidelines on remote customer onboarding (
EBA/GL/2022/15) 및 MiCA 규정을 충족한다는 독립적인 법률 의견.
이 페이지에서 신뢰 팩을 요청하시면, 모든 보고서, 인증서, 메모를 서명된 Non-Disclosure Agreement (NDA)와 함께 영업일 기준 당일 발송됩니다.
스페인 규제 기관의 증명이 저에게 실제로 어떤 의미가 있나요?
유럽 연합 (EU) 전반의 상호 인정, 그리고 규제 기관 방어 가능한 감사 추적.
스페인의 Tesoro Público, Banco de España, SEPBLAC, CNMV는 Didit의 Near-Field Communication (NFC) 칩 판독 및 활성 라이브니스 온보딩 흐름에 대해 1년간의 금융 샌드박스(2024년 11월 ~ 2025년 7월)를 운영했습니다. tesoro.es에 게시된 공식 결론 보고서는 Didit의 원격 인증이 Anti-Money Laundering Directive (AMLD)에 따라 대면 신원 확인의 보안 수준을 충족하거나 초과한다고 밝혔습니다.
귀사의 컴플라이언스 팀에게 이는 다음을 의미합니다:
- AMLD6 상호 인정, 이 증명은 재인증 없이 다른 모든 EU 회원국에서 유효합니다.
- eIDAS 2.0 정렬, Didit의 NFC + 라이브니스 흐름은 Qualified Electronic Signature (QES) 온보딩에 적합하다고 공식 기록되어 있습니다.
- 방어 가능한 감사 추적, 귀사의 현지 Financial Intelligence Unit (FIU)이 온보딩을 검토할 때, 귀하는 EU 동료 규제 기관이 승인한 동일한 보고서를 제시할 수 있습니다.
Didit은 이 증명을 공식 기록으로 보유한 유일한 신원 확인 공급업체입니다.
Didit에 특정 라이선스 또는 인증을 취득하도록 요청할 수 있나요?
네, 그리고 저희는 아마 이미 작업 중일 것입니다. Didit은 항상 10개 이상의 인증, 라이선스 및 규제 기관 승인을 시장 및 산업 전반에 걸쳐 적극적으로 추진하고 있습니다. 결제 승인, 암호화 및 Markets in Crypto-Assets (MiCA) 등록, Anti-Money Laundering (AML) 감독 기관 승인, eIDAS 2.0 Qualified Trust Service Provider (QTSP) 상태, 지역 Financial Intelligence Unit (FIU) 보고, 산업별 승인(iGaming, 헬스케어, 은행) 등이 포함됩니다.
귀사의 컴플라이언스 팀이 Didit이 보유해야 한다고 생각하는 라이선스 또는 인증이 있다면, `security@didit.me`로 이메일을 보내주십시오. 아마 이미 저희 대기열에 있을 것입니다. 만약 그렇지 않다면, 귀하의 요청으로 우선순위가 높아질 것입니다. 저희는 다음 정보를 가지고 회신해 드립니다:
- 해당 인증이 저희 로드맵에서 어떤 위치에 있는지.
- 예상 완료 시점.
- 범위 (전체 적용, 특정 지역, 특정 모듈).