Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Voltar para o blog
Blog · 21 de maio de 2026

Didit e DORA: Gerenciando Riscos de Terceiros em TIC para Identidade (PT-BR)

A DORA responsabiliza entidades financeiras por terceiros de TIC, incluindo provedores de identidade. Veja como a certificação ISO 27001 da Didit, a certificação SOC 2 Tipo 1 e o rastreamento de auditoria apoiam um arquivo de.

Por DiditAtualizado
didit-dora-compliance.png

O Digital Operational Resilience Act (DORA) mudou o significado da terceirização. A partir de janeiro de 2025, entidades financeiras em toda a UE serão diretamente responsáveis pela resiliência operacional dos terceiros de tecnologia da informação e comunicação (TIC) dos quais dependem — e um provedor de verificação de identidade que atua no fluxo de integração de um banco, uma instituição de dinheiro eletrônico ou um provedor de serviços de criptoativos é exatamente esse tipo de terceiro de TIC.

Isso levanta uma nova questão em cada chamada de aquisição: você pode provar que seu provedor é resiliente e pode documentar essa prova para seu regulador? Este guia explica o que a DORA exige de terceiros de TIC e mostra exatamente como as certificações, controles e trilha de auditoria da Didit suportam um arquivo de fornecedor pronto para a DORA.

Principais conclusões

  • A DORA torna a entidade financeira responsável pelos terceiros de TIC que utiliza — incluindo provedores de identidade e fraude. Você não pode terceirizar a responsabilidade, apenas o trabalho.
  • A Didit é certificada ISO/IEC 27001:2022 (Bureau Veritas, acreditada pela ENAC, certificado nº ES144068, válido até 03/06/2027) — um sistema de gestão de segurança da informação reconhecido internacionalmente que se alinha diretamente às expectativas de gestão de riscos de TIC da DORA.
  • A Didit possui uma certificação SOC 2 Tipo 1 (ATOM, a partir de 09/04/2026) abrangendo os critérios de confiança de Segurança, Disponibilidade e Confidencialidade, com uma avaliação Tipo 2 planejada.
  • Cada verificação deixa uma trilha de auditoria imutável — status, decisões e eventos de webhook que sua equipe pode reproduzir para relatórios de incidentes e o registro de TIC.
  • Todo o ciclo de vida de identidade e fraude funciona em uma única API unificada /v3/, de modo que a resiliência, o monitoramento e os relatórios são concentrados em um provedor responsável, em vez de espalhados por muitos.

O que a DORA exige

A DORA é o arcabouço da UE para a resiliência operacional digital no setor financeiro. Em vez de tratar a cibersegurança como uma preocupação secundária, ela constrói cinco pilares em uma única regulamentação:

  1. Gestão de riscos de TIC — um arcabouço documentado para identificar, proteger, detectar, responder e recuperar de incidentes relacionados à TIC.
  2. Relatórios de incidentes de TIC — classificar e relatar incidentes importantes às autoridades competentes dentro dos prazos estabelecidos.
  3. Testes de resiliência operacional digital — testes regulares de sistemas de TIC, até testes de penetração liderados por ameaças para entidades significativas.
  4. Gestão de riscos de terceiros de TIC — o pilar que alcança provedores como a Didit: due diligence, salvaguardas contratuais, um registro de informações sobre cada arranjo de TIC e a capacidade de monitorar e sair.
  5. Compartilhamento de informações — troca voluntária de inteligência de ameaças cibernéticas.

O quarto pilar é aquele que um fornecedor deve responder. A DORA espera que a entidade financeira mantenha um registro de informações descrevendo cada arranjo de terceiros de TIC, para realizar due diligence antes de contratar, para garantir direitos contratuais específicos (auditoria, acesso, transparência de subcontratação, saída) e para avaliar o risco de concentração. O trabalho do provedor é facilitar a evidência de tudo isso.

Por que isso importa

A verificação de identidade raramente é um sistema periférico. Ela está no caminho crítico da integração de clientes — e, cada vez mais, do monitoramento contínuo por meio da triagem de transações. Se essa função se degrada, a integração para e a receita para com ela. A DORA trata exatamente esse tipo de dependência como algo que o regulador pode questionar.

A consequência prática: quando uma entidade financeira adiciona um provedor de identidade ao seu registro de TIC, ela precisa de garantia documentada sobre os controles de segurança, compromissos de disponibilidade e postura de incidentes desse provedor. Um provedor que pode entregar certificações reconhecidas e uma trilha de auditoria limpa encurta a due diligence de meses para dias. Um provedor que não pode se torna uma constatação.

Como a Didit ajuda

A postura de conformidade da Didit é construída para se encaixar em um arquivo de fornecedor DORA com evidências, não promessas.

Certificação ISO/IEC 27001:2022. A Didit opera um Sistema de Gestão de Segurança da Informação (SGSI) certificado. O certificado — Bureau Veritas Certification, acreditado pela ENAC, cert nº ES144068, originalmente certificado em 07/04/2026 e válido até 03/06/2027, emitido para DIDIT IDENTITY SPAIN S.L. — cobre o desenvolvimento, operação e suporte técnico da solução de identidade digital Didit. A ISO 27001 é a linha de base internacional para a gestão de riscos de TIC: ela exige um arcabouço documentado, controles definidos, avaliação de riscos e melhoria contínua — as mesmas disciplinas que o primeiro pilar da DORA espera das entidades que dependem da Didit. O certificado é distribuível, então pode ir direto para o arquivo de registro.

Certificação SOC 2 Tipo 1. A Didit tem um relatório SOC 2 Tipo 1 da ATOM (um auditor de serviços independente sob o arcabouço AICPA SOC para Organizações de Serviço), atestando o design dos controles de Segurança, Disponibilidade e Confidencialidade a partir de 09/04/2026. A disponibilidade é o critério que a DORA mais se preocupa para uma dependência crítica de integração. Uma avaliação Tipo 2 — que testa a eficácia operacional ao longo de um período — está planejada. O relatório SOC 2 completo é de uso restrito sob as regras da AICPA e é compartilhado com clientes em potencial e clientes sob NDA; a Didit o referencia aqui em vez de publicar seu conteúdo.

Trilha de auditoria e evidências de incidentes. Cada verificação, cada decisão de monitoramento de transação e cada mudança de status são registradas e expostas por meio da API unificada /v3/ e webhooks (session.status.updated, transaction.status.updated e eventos relacionados). Isso fornece à entidade financeira um registro reproduzível e com carimbo de data/hora que ela pode incorporar em suas próprias obrigações de relatório de incidentes e testes de resiliência — e um fluxo de dados claro para documentar no registro.

Um provedor responsável. Como a identidade, verificação de negócios, triagem AML, monitoramento de transações e triagem de carteira funcionam na mesma API /v3/, uma entidade financeira concentra uma função crítica com um único terceiro de TIC certificado, em vez de conectar vários. Menos arranjos no registro, um relacionamento contratual para governar, um conjunto de certificações para manter.

Aprofundando: construindo a entrada do registro de TIC para a Didit

Uma entrada do registro de informações da DORA para um provedor de identidade geralmente precisa capturar a função fornecida, sua criticidade, as salvaguardas contratuais e a evidência de garantia. Com a Didit, isso se mapeia de forma limpa:

Elemento do registro DORAO que a Didit fornece
Descrição do serviço de TICVerificação de identidade (KYC), verificação de negócios (KYB), triagem AML, monitoramento de transações, triagem de carteira — API unificada /v3/
Criticidade / função suportadaIntegração de clientes e monitoramento contínuo — tipicamente uma função crítica ou importante
Garantia de segurançaCertificado ISO/IEC 27001:2022 nº ES144068 (distribuível)
Garantia operacionalSOC 2 Tipo 1 (Segurança, Disponibilidade, Confidencialidade), a partir de 09/04/2026 (sob NDA)
Localização / processamento de dadosDocumentado no contrato de processamento de dados; entidade da UE DIDIT IDENTITY SPAIN S.L.
Direitos de auditoria / acessoDireitos de auditoria contratuais; trilha de auditoria de API completa e log de eventos de webhook
Saída / portabilidadeExportação padrão de API de registros de sessão e transação

As certificações fazem o trabalho pesado nas linhas de garantia. O centro de documentação e segurança da Didit em didit.me/security-compliance é o único lugar para coletar os artefatos que sua equipe de due diligence precisa.

Casos de uso

  • Bancos e EMIs da UE adicionando integração remota sem expandir sua pegada de registro de TIC — um provedor certificado, um arranjo.
  • Provedores de serviços de criptoativos sob MiCA, que também se enquadram na DORA, necessitando de integração e monitoramento de transações de um terceiro resiliente.
  • Instituições de pagamento que devem comprovar a disponibilidade e segurança de uma dependência de integração a uma autoridade competente, mediante solicitação.
  • Equipes de conformidade e aquisições que desejam certificações e evidências de auditoria entregues antecipadamente, não perseguidas durante um exame.

Perguntas frequentes

A DORA se aplica diretamente aos provedores de verificação de identidade?

As obrigações da DORA recaem sobre a entidade financeira, mas elas atingem terceiros de TIC como provedores de identidade por meio do pilar de gestão de riscos de terceiros. A entidade financeira deve realizar due diligence, garantir direitos contratuais e registrar o arranjo — o que significa que o provedor deve ser capaz de comprovar sua resiliência.

A Didit é certificada ISO 27001?

Sim. A Didit possui um certificado ISO/IEC 27001:2022 (Bureau Veritas, acreditado pela ENAC), cert nº ES144068, válido até 03/06/2027, emitido para DIDIT IDENTITY SPAIN S.L. O certificado é distribuível para o seu arquivo de fornecedor.

A Didit é certificada SOC 2?

A Didit possui uma certificação SOC 2 Tipo 1 (ATOM) abrangendo Segurança, Disponibilidade e Confidencialidade, a partir de 09/04/2026. Uma avaliação SOC 2 Tipo 2 está planejada. O relatório completo é compartilhado sob NDA.

Posso obter uma trilha de auditoria para relatórios de incidentes da DORA?

Sim. Cada evento de verificação e monitoramento de transação é registrado e exposto por meio da API /v3/ e webhooks, fornecendo um registro reproduzível e com carimbo de data/hora para relatórios de incidentes e documentação de resiliência.

Onde consigo os documentos de certificação?

Comece no centro de segurança e conformidade da Didit em didit.me/security-compliance. O certificado ISO 27001 é distribuível; o relatório SOC 2 Tipo 1 é compartilhado sob NDA.

Pronto para começar?

Veja a pilha completa de certificações da Didit no centro de segurança e conformidade, explore como a verificação de identidade se encaixa em um fluxo de integração da UE na página do produto de verificação de identidade e revise os preços transparentes por verificação na página de preços. Quando estiver pronto, comece gratuitamente — 500 verificações KYC gratuitas todos os meses, na mesma API unificada /v3/ que seu registro DORA documentará.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Comece grátisFale conosco
Peça para uma IA resumir esta página
Didit e DORA: Risco de Terceiros em TIC | Didit.