Skip to main content
Didit, 신원·사기 방지 인프라 구축 위해 750만 달러 투자 유치
Didit
PSD3 · 강력한 고객 인증

두 가지 SCA 요소. 원 탭.

생체 인증($0.10)과 기기 및 IP 분석($0.03)을 통해 단일 프롬프트에서 두 가지 PSD3 등급의 SCA 요소를 제공합니다. 피싱 방지. SMS 일회성 비밀번호를 대체하는 드롭인 솔루션입니다.

무료로 시작하기문서 읽기
지원
Y CombinatorRobinhood Ventures
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

전 세계 2,000개 이상의 기관에서 신뢰합니다.

영화 같은 어둡고 추상적인 규정 준수 일러스트레이션, 순수한 검은색 캔버스 위에 3D 원근법으로 떠 있는 4개의 반투명한 어두운 유리 패널이 빛나는 Didit Blue 수직선으로 연결되어 있고 4개의 빛나는 스캐너 브래킷으로 둘러싸여 있습니다. 각 패널에는 생체 인식 강력한 고객 인증을 나타내는 작은 옅은 흰색 추상 모티프(지문 아크, 얼굴 타원, 전화 실루엣, 잠금 모양)가 있습니다.

SMS OTP가 사라지는 이유

SIM 스왑 방지. 피싱 방지. 인증당 $0.13.

PSD3는 SMS 일회용 비밀번호(OTP)를 강력한 고객 인증(SCA) 요소에서 단계적으로 제외하고 있습니다. Didit의 기기 기반 생체 인식 SCA는 SIM 스왑, 실시간 피싱, SS7 가로채기를 차단하며, 건당 $0.13의 비용으로 2초 미만의 결과를 제공하고 동적 연결(dynamic-linking)을 지원합니다. 매월 500건의 인증을 무료로 이용할 수 있습니다.

작동 방식

가입부터 인증된 사용자까지, 4단계로 완료하세요.

  1. 단계 01

    워크플로우 생성

    ID, 본인 확인, 얼굴 매칭, 제재 목록, 주소, 연령, 전화번호, 이메일, 맞춤 질문 등 필요한 검사를 선택하세요. 대시보드에서 드래그하여 플로우를 만들거나, API를 통해 동일한 플로우를 게시할 수 있습니다. 조건에 따라 분기하고 A/B 테스트를 실행할 수 있으며, 코드가 필요 없습니다.

  2. 단계 02

    연동

    Didit의 Web, iOS, Android, React Native, Flutter SDK를 사용하여 네이티브로 임베드하세요. 호스팅된 페이지로 리디렉션하거나, 이메일, SMS, WhatsApp 등 어디든 사용자에게 링크를 보내기만 하면 됩니다. 스택에 맞는 방식을 선택하세요.

  3. 단계 03

    사용자 플로우 진행

    Didit은 카메라, 조명 안내, 모바일 핸드오프, 접근성을 호스팅합니다. 사용자가 플로우를 진행하는 동안, Didit은 200개 이상의 사기 신호를 실시간으로 분석하고 모든 필드를 신뢰할 수 있는 데이터 소스와 대조하여 확인합니다. 2초 이내에 결과를 제공합니다.

  4. 단계 04

    결과 확인

    실시간 서명된 웹훅은 사용자가 승인, 거부 또는 검토 대상으로 분류되는 즉시 데이터베이스를 동기화합니다. 필요에 따라 API를 폴링하거나, 콘솔을 열어 모든 세션, 모든 신호를 검사하고 케이스를 직접 관리할 수 있습니다.

SCA를 위해 구축된 · 인프라와 같은 가격

두 가지 요소. 하나의 프롬프트. 인증당 $0.13.

진정한 강력한 고객 인증(SCA)은 단일 검사가 아니라 여러 요소의 조합입니다. 워크플로우별로 예외를 설정하고, 위험 신호에 따라 하드웨어 키로 상향 인증할 수 있습니다. 재배포가 필요 없습니다.
문서 읽기API 키 받기
01 · SCA 요소

두 가지 요소. 다른 카테고리.

고유성(수동적 본인 확인 + 얼굴 매칭 1:1)과 소유성(사용자의 바인딩된 기기)을 결합합니다. 기본적으로 PSD3 등급을 충족합니다. 지식 요소(PIN, 비밀번호)는 선택 사항이며 워크플로우별로 구성 가능합니다.
생체 인식 인증 모듈
02 · 동적 연결

하나의 승인. 금액 + 수취인에게 바인딩됩니다.

결제의 경우, 인증 챌린지는 정확한 금액과 수취인을 포함합니다. 사용자는 생체 인식 프롬프트 자체에서 이를 확인합니다. 어떤 조작이든 승인을 무효화하며, 이는 PSR에 내장되어 있습니다.
세션 API 레퍼런스
03 · SMS OTP가 사라지는 이유

피싱 방지 설계.

SIM 스왑 사기, 실시간 피싱 키트, SS7 가로채기, 이 모든 것이 SMS 일회용 비밀번호를 무력화합니다. 기기 기반 생체 인식과 원본 바인딩은 유럽 은행 감독청(European Banking Authority)이 2024년 SCA 의견서에서 지적한 모든 일반적인 공격을 차단합니다.
계정 탈취 방지
04 · 면제 엔진

워크플로우별 맞춤 면제.

30유로 미만의 소액 원격 거래, 50유로 미만의 비접촉식 POS 거래, 반복적인 동일 거래, 신뢰할 수 있는 수취인, 거래 위험 분석(TRA) 등급. 이 모든 것을 코드 없는 워크플로우 빌더에서 편집할 수 있습니다.
워크플로우 오케스트레이터
05 · 인증당 200개 이상의 신호

모든 인증에 200개 이상의 신호 활용.

기기 지문, IP 지리적 위치, VPN/프록시/데이터센터 감지, 새 기기 플래그, 행동 변화. 위험이 설정한 임계값을 넘으면 자동으로 하드웨어 키로 상향 인증합니다.
기기 및 IP 분석 모듈
06 · 경제성

$0.13 per auth, not $0.04 plus SIM-swap loss.

$0.10 생체 인식 인증 + $0.03 기기 및 IP 분석 = 강력한 고객 인증(SCA)당 $0.13. SMS 일회용 비밀번호는 $0.04~$0.07에 배달 실패, 재시도, 그리고 PSD3에서 규제 기관이 가격에 반영하는 SIM 스왑 손실 노출 비용이 추가됩니다.
가격
연동

하나의 세션. 한 번의 탭. 하나의 웹훅.

금액과 수취인 정보로 세션을 시작하세요. 사용자는 휴대폰에서 승인하고, 서명된 웹훅이 바인딩을 확인합니다.
POST /v3/session/로그인
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "purpose": "login" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201생성됨상태 승인됨 · 거부됨 · 검토 중
KYC 등록 셀카를 portrait_image로 통과하세요. 재등록이 필요 없습니다.문서 →
POST /v3/session/결제
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "amount": "247.50", "payee_account": "ES91…1332" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201생성됨웹훅이 확인을 위해 금액 + 수취인을 반환합니다.
사용자는 생체 인식 프롬프트 자체에서 금액 + 수취인을 확인합니다. 동적 연결.문서 →
에이전트 연동 준비 완료

단 한 번의 프롬프트로 PSD3 SCA 플로우를 배포하세요.

Claude Code, Cursor, Codex, Devin, Aider 또는 Replit Agent에 붙여넣으세요. 스택을 입력하면 에이전트가 워크플로우를 구축하고, 동적 연결을 설정하며, SDK를 마운트하여 5분 안에 작동하는 강력한 고객 인증(Strong Customer Authentication)을 배포합니다.
didit-integration-prompt.md
You are integrating Didit's Strong Customer Authentication into a payment service provider, bank, EMI, or wallet to satisfy PSD3 / the Payment Services Regulation (PSR). Two factors in one prompt:

  1. Inherence — Biometric Authentication: Passive Liveness + Face Match 1:1 against the user's previously-enrolled KYC selfie.
  2. Possession — Device & IP Analysis: 200+ real-time fraud signals binding the auth to the user's known device.

Pricing (verified live 2026-05-16):
  - Biometric Authentication: $0.10 per auth
  - Device & IP Analysis: $0.03 per auth
  - Total: $0.13 per Strong Customer Authentication
  - First 500 verifications free every month, forever
  - Re-uses the enrolled selfie from the original KYC — no re-enrolment

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - Webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header.
  - A workflow_id from the no-code Workflow Builder configured as a Biometric Authentication workflow (Passive Liveness + Face Match 1:1 + Device & IP Analysis).
  - The user has previously completed a Didit KYC (the same enrolled selfie backs every subsequent auth).

STEP 1 — Open an authentication session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body (for login auth):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/auth/callback",
      "metadata": {
        "purpose": "login",
        "session_id": "<your front-end session id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor; OMIT only if the workflow is liveness-only>"
    }

  Body (for payment with dynamic linking):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/payment/callback",
      "metadata": {
        "purpose": "payment",
        "amount": "247.50",
        "currency": "EUR",
        "payee_account": "ES9121000418450200051332",
        "payee_name": "<merchant or recipient>",
        "transaction_reference": "<your internal transaction id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor>"
    }

  Response: 201 Created with the hosted session URL. Push the URL to the user via deep-link / push notification / in-app sheet.

STEP 2 — User completes the biometric auth

  The user sees one prompt on their phone (or via the Didit SDK in your native app). Three things happen on the same screen:

  1. The amount + payee are displayed (dynamic linking — the user explicitly approves THIS amount to THIS payee for payments).
  2. Passive Liveness defeats screen replay, printed photo, mask, deepfake.
  3. Face Match 1:1 matches the new selfie against the enrolled KYC selfie.

  Device & IP Analysis runs server-side on the session. Sub-2-second median verdict.

STEP 3 — Read the signed webhook on the auth verdict

  Didit POSTs to your callback. Session statuses (Title Case With Spaces):

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "vpn_detected": false, "datacenter_ip": false },
      "metadata_echo": {
        "amount": "247.50",
        "payee_account": "ES9121000418450200051332"
      }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  For payments, verify that metadata_echo.amount and metadata_echo.payee_account match the values you passed in. If they do not, REJECT the payment — it's a dynamic-linking violation.

STEP 4 — Branch on verdict

  Approved   → unlock the action (login, payment, account change).
  In Review  → hold the action, route to manual review queue.
  Declined   → block, log the attempt, surface a friendly "try again" to the user.
  Resubmitted → the user re-submitted after a soft fail (poor lighting, occlusion); proceed if the latest status is Approved.

STEP 5 — Retrieve the full decision later

  GET https://verification.didit.me/v3/session/{sessionId}/decision/
  Headers:
    x-api-key: <your api key>

  Returns the full payload: liveness verdict (iBeta Level 1 anti-spoof certified), Face Match similarity score, device fingerprint, IP geolocation, VPN / proxy / datacenter flags, 200+ fraud-signal score, dynamic-linking echo, HMAC signature.

  Use this for the audit-trail surface a regulator examines on Strong Customer Authentication coverage.

STEP 6 — Step up on risk

  When Device & IP Analysis surfaces a high-risk signal (new device + high-value payment, VPN/proxy on a login, geolocation jump), your workflow can step up to:

  - A separate hardware-key challenge (FIDO2 / WebAuthn)
  - A trusted-beneficiary whitelist confirmation
  - A manual-review hold

  Encode the step-up policy in the no-code Workflow Builder — no redeploy required.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE on a session.
  - Dynamic linking is REQUIRED for payments — pass amount + payee in metadata, verify the echo on the webhook.
  - The enrolled selfie that backs every SCA is the one captured during the user's original KYC — no separate enrolment step.
  - PSD3 / PSR exemptions (low-value remote < EUR 30, contactless point-of-sale < EUR 50, recurring identical, trusted beneficiary, Transaction Risk Analysis tiers) are configured per workflow in the Business Console.
  - Default record retention is 5 years per the EU AML and payments rules.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/sessions-api/retrieve-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
더 많은 정보가 필요하신가요? 전체 모듈 문서를 확인해 보세요.docs.didit.me →
설계부터 규정 준수

클릭 한 번으로 새로운 국가에 진출하세요. 어려운 일은 저희가 처리합니다.

저희는 현지 자회사를 설립하고, 라이선스를 확보하며, 침투 테스트를 실행하고, 인증을 획득하며, 모든 새로운 규정을 준수합니다. 새로운 국가에서 인증을 배포하려면 토글만 켜면 됩니다. 220개 이상의 국가에서 서비스 중이며, 매 분기마다 감사 및 침투 테스트를 거칩니다. EU 회원국 정부가 대면 인증보다 더 안전하다고 공식적으로 인정한 유일한 신원 확인 제공업체입니다.
보안 및 규정 준수 문서 읽기
EU 금융 샌드박스
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
정보 보안 · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
설계부터 EU 규정 준수

검증된 수치

검증된 수치
  • $0.00
    강력한 고객 인증(Strong Customer Authentication)당 비용, 생체 인증 + 기기 및 IP 분석.
  • <0s
    엔트리 레벨 Android 기기에서 세션당 엔드투엔드 인증 결과.
  • 0+
    모든 인증에서 실시간 사기 신호 평가, VPN, 데이터센터, 지리적 위치 편차, 기기 편차.
  • 0
    매월 모든 계정에서 무료 인증 제공.
세 가지 티어, 하나의 가격표

무료로 시작하고, 사용량에 따라 지불하며, 엔터프라이즈로 확장하세요.

매월 500건의 무료 본인 확인을 영구적으로 제공합니다. 프로덕션 환경에서는 사용한 만큼만 지불하세요. 엔터프라이즈 고객에게는 맞춤형 계약, 데이터 상주 및 SLA(서비스 수준 협약)를 제공합니다.
무료

무료

월 $0. 신용카드 정보가 필요 없습니다.

  • 무료 KYC 번들 (신분증 확인 + 패시브 라이브니스 + 얼굴 매칭 + 기기 및 IP 분석), 매월 500건 제공
  • 차단된 사용자
  • 중복 감지
  • 모든 세션에서 200개 이상의 사기 신호 감지
  • Didit 네트워크 전반에 걸쳐 재사용 가능한 KYC
  • 사례 관리 플랫폼
  • 워크플로 빌더
  • 공개 문서, 샌드박스, SDK, MCP(Model Context Protocol) 서버
  • 커뮤니티 지원
무료로 시작하기
가장 인기
사용한 만큼 지불

사용량 기반 요금제

사용한 만큼만 지불하세요. 25개 이상의 모듈. 모듈별 공개 가격, 월 최소 요금 없음.

  • 전체 KYC $0.33 (신분증 + 생체 인식 + IP / 기기)
  • 10,000개 이상의 AML 데이터셋, 제재, PEP, 부정적 미디어
  • 데이터베이스 검증을 위한 1,000개 이상의 정부 데이터 소스
  • 거래당 $0.02의 거래 모니터링
  • 기업당 $2.00의 실시간 KYB
  • 검사당 $0.15의 지갑 스크리닝
  • 화이트 라벨 검증 플로우, 귀사의 브랜드, Didit의 인프라
전체 가격 목록 보기무료로 시작하기
엔터프라이즈

엔터프라이즈

맞춤형 MSA 및 SLA. 대규모 볼륨 및 규제 프로그램에 적합합니다.

  • 연간 계약
  • 맞춤형 MSA, DPA, SLA
  • 전용 Slack 및 WhatsApp 채널
  • 주문형 수동 검토자
  • 리셀러 및 화이트 라벨 조건
  • 독점 기능 및 파트너 통합
  • 전담 CSM, 보안 검토, 규정 준수 지원
문의하기

무료로 시작 → 확인 실행 시에만 지불 → 맞춤형 계약, SLA 또는 데이터 상주를 위해 엔터프라이즈 잠금 해제.

FAQ

자주 묻는 질문

What is Didit?

Didit is infrastructure for identity and fraud, the platform we wished existed when we were building products ourselves: open, flexible, and developer-friendly, so it works as a real part of your stack instead of a black box you integrate around.

One API covers verifying people (KYC, know your customer), verifying businesses (KYB, know your business), screening crypto wallets (KYT, know your transaction), and monitoring transactions in real time, on a stack built to be:

  • Fast, sub-2-second p99 on every session
  • Reliable, in production with 1,500+ companies across 220+ countries
  • Secure, SOC 2 Type 1, ISO 27001, GDPR-native, and formally attested by Spain's financial regulator as safer than verifying someone in person

The footprint underneath: 14,000+ document types in 48+ languages, 1,000+ data sources, and 200+ fraud signals on every session. The Didit infrastructure dynamically learns from every session and gets better every day.

What is Strong Customer Authentication, in plain English?

Strong Customer Authentication (SCA) is a rule from the EU's payment-services regulation that says: when a customer logs in to their account or initiates a payment, you must verify them using at least two of three independent factor categories.

The three categories:

  • Knowledge, something only the user knows (password, PIN, secret answer)
  • Possession, something only the user has (phone, hardware key, SIM-bound device)
  • Inherence, something only the user is (fingerprint, face, behavioural pattern)

The two factors must come from different categories, a password plus a security question is not SCA, because both are knowledge. A password plus a fingerprint is, because they cross categories.

A third requirement, dynamic linking, says the second factor for a payment must be tied uniquely to the transaction amount and payee, so a stolen code cannot be replayed against a different transaction.

What is PSD3, and how is it different from PSD2?

PSD3, short for Payment Services Directive 3, is the EU's 2026 rewrite of the rulebook PSD2 introduced in 2018. Alongside it sits the Payment Services Regulation (PSR) which is directly applicable across member states without national transposition.

Key changes over PSD2:

  • Fewer exemptions, the corporate-payments and trusted-beneficiary exemptions are tightened
  • Phishing-resistant SCA mandated, SMS one-time-password is being phased out as the sole second factor; FIDO2, device-bound biometrics, or app-based push become the new default
  • Open-banking access strengthened, banks must offer a clean, unified API; permissioned third-party providers get better technical terms
  • Fraud-liability clarified, payment service providers (PSPs) carry more of the fraud loss when their SCA was weak
  • Wider scope, wallet providers, electronic-money institutions (EMIs), and some crypto providers come into the regime

Transition is rolling, most SCA changes are expected to take effect 18 to 24 months after final adoption.

How fast is the verification for my end user?

The full flow normally takes under 30 seconds end-to-end, pick up the ID, snap the document, snap the selfie, done. That is the fastest in the market. Legacy KYC providers usually take more than 90 seconds for the same flow.

On the back end, Didit returns the result in under two seconds at p99, measured from the moment the user finishes the selfie to the moment your webhook fires. Mobile capture is tuned for slow phones and slow networks: progressive image compression, lazy software development kit load, and a one-tap hand-off from desktop to phone via QR code if the user starts on web.

Which transactions need SCA, and which are exempt?

Need SCA by default:

  • Customer login to a payment account
  • Initiating an electronic payment
  • Any action that could be exploited to commit payment fraud

Exempt (PSD3 keeps most PSD2 exemptions but tightens the thresholds):

  • Low-value remote transactions, under €30 single, with cumulative caps per customer
  • Contactless point-of-sale payments, under €50 single, with cumulative caps
  • Recurring transactions of identical amount and payee, SCA on first, exempt after
  • Trusted beneficiaries, user explicitly whitelists, but PSD3 tightens approval flow
  • Transaction Risk Analysis (TRA), under thresholds linked to your overall fraud rate (1, 5, 10, 25 basis points)
  • Corporate dedicated channels, when both ends are corporate users on a closed system

Getting the exemption math right is the highest-leverage SCA optimisation work most teams do, applied well it drops auth friction without raising fraud.

What happens if a user fails, abandons, or expires?

Every session lands on one of seven clear statuses, so your code always knows what to do:

  • Approved, every check passed. Move the user forward.
  • Declined, one or more checks failed. You can allow the user to resubmit the specific failed step (for example, re-take the selfie) without re-running the whole flow.
  • In Review, flagged for compliance review. Open the case in the console, see every signal, decide approve or decline.
  • In Progress, user is mid-flow.
  • Not Started, link sent, user has not opened it yet. Send a reminder if it sits too long.
  • Abandoned, user opened the link but did not finish in time. Re-engage or expire.
  • Expired, the session link aged out. Create a new session.

A signed webhook fires on every status change, so your database always stays in sync. Abandoned and declined sessions are free.

Where does my customer data live and how is it protected?

Production data is processed and stored in the European Union by default, on Amazon Web Services. Enterprise contracts can request alternative regions for jurisdictions whose regulators require it.

Encryption everywhere. AES-256 at rest across every database, object store, and backup. Transport Layer Security 1.3 in transit on every API call, webhook, and Business Console session. Biometric data is encrypted under a separate Customer Master Key.

Retention is yours to control. Default retention is indefinite (unlimited) unless you configure shorter, between 30 days and 10 years per application, and you can delete any individual session at any time from the dashboard or the API.

Certifications: SOC 2 Type 1 (Type 2 audit in progress), ISO/IEC 27001:2022, iBeta Level 1 PAD, and a public attestation from Spain''s Tesoro / SEPBLAC / CNMV that Didit''s remote identity verification is safer than verifying someone in person. Full report at /security-compliance.

Is Didit compliant for my industry?

Didit ships compliant by default for the regulators that matter to identity infrastructure:

  • GDPR + UK GDPR, controller / processor split, full Data Processing Agreement published, lead supervisory authority named (Spain''s AEPD).
  • AMLD6 + EU AML Single Rulebook, 1,300+ sanctions, politically exposed person, and adverse-media lists screened in real time.
  • eIDAS 2.0, EU Digital Identity Wallet aligned; reusable-identity ready.
  • MiCA (Markets in Crypto-Assets), ready for crypto on-ramps, exchanges, and custodians.
  • DORA, Digital Operational Resilience Act, EU financial-services operational resilience.
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, US biometric privacy (Illinois, Texas, Washington) and California consumer privacy.
  • UK Online Safety Act, age-gating and child-safety obligations.
  • FATF Travel Rule, originator and beneficiary data on crypto transfers, IVMS-101 interoperable.

Detailed memo, every certificate, every regulator letter: /security-compliance.

How fast can I integrate and start verifying users?
  • 60 seconds to a sandbox account at business.didit.me, no credit card.
  • 5 minutes to a working verification through Claude Code, Cursor, or any coding agent via our Model Context Protocol (MCP) server.
  • A weekend to a production-ready integration with signed-webhook verification, retries, and a remediation flow when a user is declined.

Three integration paths, pick whichever fits your stack:

  • Embed natively with our Web, iOS, Android, React Native, or Flutter SDK.
  • Redirect the user to the hosted verification page, zero SDK.
  • Send a link by email, SMS, WhatsApp, or any channel, zero front-end work.

Same dashboard, same billing, same pay-per-success price for all three. Step-by-step guide at docs.didit.me/integration/integration-prompt.

How does this work on iOS, Android, and the web?

Same POST /v3/session/ API on every surface, the user-facing capture differs:

  • Web (desktop browser), Didit launches the auth flow in a popup; the user's phone receives a push notification, completes the biometric on the phone, and the popup closes with the approved verdict. Universal-link handoff if the user is on mobile web.
  • Native iOS / Android, drop in the Didit iOS or Android SDK, call the auth method, the OS-native biometric prompt appears (Face ID, Touch ID, fingerprint) backed by the secure enclave
  • React Native / Flutter / Cordova, official SDKs wrap the native modules; identical API surface
  • MCP server, if the auth lives behind an AI agent, the agent calls the auth tool, the user receives a push on their phone, approves, and the verdict returns

The same biometric template the user enrolled at KYC time backs every auth, no re-enrolment, no separate flow.

Does this work outside PSD3 / the EU?

Yes, the same auth bundle satisfies most equivalent global rules:

  • United Kingdom, the FCA's Strong Customer Authentication rules mirror PSD2/PSD3 in substance; Didit's auth bundle qualifies
  • United States, no nationwide SCA mandate, but bank regulators (OCC, Federal Reserve) and the Federal Financial Institutions Examination Council (FFIEC) recommend multi-factor authentication for high-value transactions; Didit drops in
  • Singapore, Monetary Authority of Singapore (MAS) Notice 644 mandates SCA on Internet banking
  • India, Reserve Bank of India two-factor authentication is mandatory on every domestic card transaction
  • Brazil, Banco Central rules align with PSD2-style SCA on instant payments
  • Australia, Japan, South Korea, equivalent multi-factor authentication requirements for banking and high-value e-commerce

One API, one auth bundle, every jurisdiction. The exemption math changes; the technical contract does not.

What does the auth event evidence look like for an examiner?

Every authentication produces a signed evidence record exportable from the Business Console:

  • The auth challenge, timestamp, session ID, requested factors
  • The biometric verdict, Passive Liveness pass/fail, Face Match similarity score (linked to the user's KYC reference selfie), iBeta Level 1 anti-spoof claim
  • The device verdict, device fingerprint, IP geolocation, VPN/proxy/datacenter flags, 200+ fraud-signal score
  • The dynamic-linking payload, amount, payee, timestamp, signed end-to-end
  • The full audit trail, every step state-machined from Pending to Approved or Declined, with reviewer notes if escalated
  • HMAC SHA-256 signature on the payload so chain-of-custody is provable

All records stored in the European Union (EU data centres), retained indefinitely while your subscription is active. Default record retention is 5 years per the EU AML and payments rules, extensible per your supervisor's guidance.

Related

관련 모듈 + 워크플로우

신원 및 사기 방지 인프라.

KYC, KYB, 거래 모니터링, 지갑 심사를 위한 단일 API. 5분 만에 통합하세요.

무료로 시작하기문의하기
AI에게 이 페이지 요약 요청