Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 21 de maio de 2026

Conformidade Comprovada: O Pacote Completo de Atestados Didit (PT-BR)

Cinco atestados independentes — SOC 2 Tipo 1, ISO/IEC 27001:2022, iBeta Nível 1 PAD, a conclusão da sandbox Tesoro/SEPBLAC/CNMV e o parecer finReg360 EBA — tornam a postura de conformidade da Didit comprovável, não apenas.

Por DiditAtualizado
didit-compliance-attestations-overview.png

Qualquer um pode dizer que sua plataforma de identidade é segura e em conformidade. Mas poucos podem apresentar relatórios independentes que comprovem isso. A postura de conformidade da Didit é um ativo comprovável: cinco atestados externos — cobrindo segurança da informação, anti-spoofing biométrico e a adequação legal do onboarding remoto — incluindo o único atestado governamental de um Estado-membro da UE que comprova que uma ferramenta de verificação de identidade remota atende e excede os padrões de identificação presencial.

Este post é o local para entender o pacote completo: o que cada atestado é, quem o emitiu, exatamente o que ele cobre e como você pode usá-lo em due diligence, RFPs e processos de aquisição. Sem exageros — os níveis e as datas são declarados precisamente, porque em conformidade, a precisão é o valor.

Principais pontos

  • SOC 2 Tipo 1 — atestado de controle de organização de serviço (Segurança, Disponibilidade, Confidencialidade) pela ATOM, em 09/04/2026. Exame Tipo 2 planejado. Uso restrito (NDA).
  • ISO/IEC 27001:2022 — sistema de gestão de segurança da informação, certificado pelo Bureau Veritas, cert nº ES144068, válido até 03/06/2027. Distribuível.
  • iBeta Nível 1 PAD — Detecção de Ataque de Apresentação biométrica sob ISO/IEC 30107-3, 0% de sucesso de ataque / 0% IAPAR em 360 tentativas. Distribuível.
  • Tesoro / SEPBLAC / CNMV — Conclusão da sandbox financeira espanhola de que a verificação remota da Didit atende e excede a identificação presencial. Publicado publicamente, permanente. O principal diferencial da UE.
  • finReg360 — memorando EBA/GL/2022/15 — parecer jurídico independente (28/04/2026) de que o onboarding remoto da Didit é adequado sob as diretrizes de onboarding remoto da EBA e o Manual Único AML da UE. Distribuível.
  • Juntos, eles cobrem as três perguntas que todo comprador faz: sua segurança é sólida, seu biométrico é resistente a fraudes e seu onboarding é legalmente adequado?

O que a “conformidade por design” exige

Um comprador que avalia um fornecedor de verificação de identidade está, na verdade, realizando três auditorias ao mesmo tempo:

  1. Segurança da informação — a plataforma em si é segura? Os dados do cliente estão protegidos? Os controles são projetados e gerenciados de acordo com um padrão reconhecido?
  2. Integridade biométrica — a prova de vida e a correspondência facial podem ser enganadas por fotos, replays, máscaras ou deepfakes?
  3. Adequação regulatória — o uso desta ferramenta realmente satisfaz a lei à qual o comprador está sujeito, especialmente para onboarding remoto?

Um fornecedor que responde a todas as três com evidências independentes de terceiros — em vez de autoavaliação — resume um ciclo de due diligence de várias semanas em uma pasta de documentos. Isso é o que “conformidade por design” significa na prática: a prova existe antes que o comprador peça.

Por que isso importa

A evidência de conformidade não é mais um “bom ter” no final do ciclo de vendas — é uma barreira. Equipes de aquisição de bancos e EMIs, MLROs de VASP de cripto e revisores de segurança empresarial não assinarão sem ela. O questionário chega cedo, e o acordo é interrompido até que os artefatos cheguem.

O fornecedor que pode produzir imediatamente um relatório SOC 2, um certificado ISO 27001, um resultado iBeta, uma conclusão de sandbox governamental e um parecer jurídico independente não apenas passa pela barreira — ele encurta o ciclo e reduz o risco da decisão para a equipe de conformidade do comprador. Cada atestado remove um motivo para dizer não.

Como a Didit ajuda: os cinco atestados

1. SOC 2 Tipo 1 (ATOM)

Um atestado de controle de organização de serviço contra os Critérios de Serviços de Confiança do AICPA para Segurança, Disponibilidade e Confidencialidade, emitido pela ATOM. Ele relata o design dos controles da Didit em 09/04/2026. Um exame Tipo 2 — eficácia operacional ao longo de um período — é o próximo passo planejado. O relatório completo é de uso restrito sob as regras do AICPA e compartilhado com prospects e clientes que têm uma necessidade legítima e um NDA em vigor. Use-o para questionários de segurança empresarial dos EUA e aquisição de fintech.

2. ISO/IEC 27001:2022 (Bureau Veritas, cert nº ES144068)

Certificação do sistema de gestão de segurança da informação, cibersegurança e privacidade da Didit, emitido pelo Bureau Veritas Certification (credenciado pela ENAC). Número do certificado ES144068, originalmente certificado em 07/04/2026, válido até 03/06/2027. Ele comprova um sistema de segurança da informação gerenciado e auditado — a linha de base que as aquisições da UE e os clientes financeiros regulamentados esperam. Distribuível mediante solicitação.

3. iBeta Nível 1 PAD (ISO/IEC 30107-3)

Uma avaliação independente de Detecção de Ataque de Apresentação biométrica pela iBeta Quality Assurance (um laboratório credenciado pelo NIST/NVLAP) contra ISO/IEC 30107-3, Nível 1. O teste realizou 6 tipos de ataques de apresentação em sujeitos inscritos para 360 tentativas de ataque — e registrou uma taxa de sucesso de ataque de 0% / 0% IAPAR. Esta é a evidência auditada por trás das alegações anti-spoofing da Didit. Distribuível mediante solicitação. (É Nível 1, não Nível 2 — declarado precisamente.)

4. Conclusão da sandbox Tesoro / SEPBLAC / CNMV

O principal diferencial. Dentro da sandbox financeira espanhola, a CNMV da Espanha — revisando em coordenação com o SEPBLAC (a Unidade de Inteligência Financeira Espanhola) — concluiu que a verificação de identidade remota da Didit (leitura criptográfica de chip NFC mais biometria facial com prova de vida ativa) atende e excede os padrões de identificação presencial. Os testes foram realizados de novembro de 2024 a julho de 2025, com conclusões publicadas em fevereiro de 2026 no site do Tesouro espanhol. Este é o único atestado governamental de um Estado-membro da UE desse tipo, é publicado publicamente e é permanente. Distribuível.

5. finReg360 — memorando de adequação EBA/GL/2022/15

Um parecer jurídico independente da finReg360 (Madri), datado de 28/04/2026, concluindo que a ferramenta de onboarding de clientes remoto da Didit atende às Diretrizes da EBA sobre onboarding de clientes remoto (EBA/GL/2022/15) e é compatível com o próximo Manual Único AML da UE — e que o processo de vídeo-identificação não requer revisão humana manual quando os controles automatizados da Didit estão em vigor. O documento que um MLRO pode apresentar a um conselho ou supervisor. Distribuível mediante solicitação.

Aprofundamento: qual atestado responde a qual pergunta

Diferentes compradores têm diferentes preocupações. Veja como usar o documento certo:

  • “Sua plataforma é segura / como você protege nossos dados?” → SOC 2 Tipo 1 (sob NDA) e ISO/IEC 27001:2022 (cert ES144068).
  • “Sua prova de vida pode ser falsificada?” → iBeta Nível 1 PAD: 0% de sucesso de ataque em 360 tentativas.
  • “O uso de vocês realmente satisfaz nossas obrigações de onboarding remoto?” → o memorando finReg360 EBA/GL/2022/15, apoiado pela conclusão governamental Tesoro/SEPBLAC/CNMV.
  • “Por que devemos confiar no remoto em vez do presencial?” → a conclusão Tesoro/SEPBLAC/CNMV de que a Didit atende e excede a identificação presencial.

Uma nota sobre o compartilhamento: ISO 27001, iBeta, o relatório Tesoro/SEPBLAC/CNMV e o memorando finReg360 são distribuíveis mediante solicitação; o relatório SOC 2 é de uso restrito e compartilhado apenas sob NDA. Os atestados são referenciados em materiais — o relatório restrito em si não é publicado.

Casos de uso

  • Aquisição empresarial e bancária que exige SOC 2 e ISO 27001 antes de assinar.
  • MLROs de VASP de cripto que precisam de evidências de adequação legal para onboarding remoto sob as regras da UE.
  • Equipes de segurança avaliando anti-spoofing biométrico com um resultado de laboratório independente.
  • Vendas na UE onde a conclusão da sandbox governamental é o diferencial decisivo em relação aos concorrentes.

Perguntas frequentes

O SOC 2 da Didit é Tipo 1 ou Tipo 2?

É um atestado Tipo 1, relatando o design dos controles em 09/04/2026. Um exame Tipo 2 está planejado. O relatório é de uso restrito e compartilhado sob NDA.

Qual é o nível do resultado iBeta PAD?

Nível 1 sob ISO/IEC 30107-3, com 0% de sucesso de ataque / 0% IAPAR em 360 tentativas de ataque.

O que torna a conclusão Tesoro/SEPBLAC/CNMV única?

É o único atestado governamental de um Estado-membro da UE que comprova que uma ferramenta de verificação de identidade remota atende e excede a identificação presencial — e é publicada publicamente e permanente.

Quais documentos posso receber sem um NDA?

ISO/IEC 27001:2022, a carta iBeta Nível 1 PAD, a conclusão Tesoro/SEPBLAC/CNMV e o memorando finReg360 são distribuíveis mediante solicitação. O relatório SOC 2 Tipo 1 exige um NDA.

A Didit é um Provedor de Serviços de Confiança Qualificado certificado pelo eIDAS?

Não. A Didit está alinhada e suporta estruturas relevantes da UE, mas não é um QTSP certificado; esses cinco atestados são o que ela possui hoje.

Pronto para começar?

Veja todos os atestados da Didit no hub de confiança, explore o produto de Verificação de ID e revise os preços transparentes na página de preços. Quando estiver pronto, comece gratuitamente — 500 verificações KYC gratuitas todos os meses, com um fluxo de verificação principal a partir de US$ 0,33.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
Atestados Didit: Conformidade Total | Didit.