NovoSOC 2 Tipo 1
Auditoria independente dos nossos controles de segurança, disponibilidade e confidencialidade, emitida pela ATOM em abril de 2026. Exame Tipo 2 em andamento.
Nós cuidamos das licenças, subsidiárias e auditorias para que sua equipe de compliance e risco possa agir mais rápido. Ative uma chave e lance em qualquer país em conformidade, SOC 2 Tipo 1, ISO/IEC 27001 e a certificação do governo Tesoro EU incluídos.
“A verificação NFC + prova de vida ativa da Didit oferece segurança equivalente ou superior à verificação presencial.”
Novembro de 2024, Julho de 2025 · Sandbox financeiro (Ley 7/2020), 4ª coorte · supervisionado por Tesoro Público, Banco de España, SEPBLAC e CNMV.
Prova de vida, detecção de deepfake, classificadores de documentos, reconhecimento facial, detecção de ataques de injeção, risco comportamental, cada modelo vive em nosso próprio pipeline de treinamento e serviço.
O tráfego de produção alimenta uma fila de revisão em tempo real. Desvios, taxa de falsos positivos, mudanças nos padrões de ataque e qualidade do sinal por país são monitorados continuamente; os limites são reajustados sem alteração no código do cliente.
Cada modelo se integra diretamente na sessão. Inferência p99 em menos de 2 segundos, sem idas e vindas extras, sem toques adicionais. O usuário legítimo conclui a verificação no mesmo fluxo; apenas o atacante vê um caminho diferente.
NovoAuditoria independente dos nossos controles de segurança, disponibilidade e confidencialidade, emitida pela ATOM em abril de 2026. Exame Tipo 2 em andamento.

Certifica que nossa gestão de segurança da informação cobre as verificações Didit de ponta a ponta. Emitido pelo Bureau Veritas, válido até junho de 2027.

Teste anti-spoofing biométrico, 360 tentativas em seis categorias de ataque, nenhuma passou. Realizado no laboratório NVLAP 200962, credenciado pelo NIST.
Um sandbox de um ano por quatro reguladores financeiros espanhóis concluiu que a verificação remota da Didit é pelo menos tão segura quanto as verificações de identidade presenciais. Nenhum outro fornecedor de identidade possui isso.

Conformidade total com o Regulamento Geral de Proteção de Dados (GDPR) como Processador de Dados. Acordo de Processamento de Dados e Medidas Técnicas e Organizacionais disponíveis mediante solicitação.

Parecer jurídico independente: o onboarding remoto da Didit atende às Diretrizes da Autoridade Bancária Europeia sobre onboarding remoto de clientes (EBA/GL/2022/15) e é compatível com o futuro Livro Único de Combate à Lavagem de Dinheiro (AML) da UE e a regulamentação de Mercados de Criptoativos (MiCA).
Cada sessão é criptografada em repouso com chaves AES (Advanced Encryption Standard) de 256 bits. As chaves nunca tocam nosso código de aplicação, elas ficam no AWS KMS (Key Management Service), com chaves separadas para sandbox e produção.
Cada chamada de API, webhook e sessão do Business Console é criptografada via TLS (Transport Layer Security) 1.3 com regras de cifra rigorosas. Protocolos mais antigos não podem ser usados como fallback; HSTS (HTTP Strict Transport Security) é aplicado em todo o site.
As sessões são processadas e armazenadas na União Europeia por padrão na AWS. Empresas podem habilitar a residência no país, sujeita à disponibilidade, para que equipes em qualquer mercado usem a Didit em conformidade.
Escolha por quanto tempo a Didit mantém cada sessão, de um mês a dez anos, por aplicativo no Business Console. Implantações com pegada mínima podem excluir a sessão assim que o webhook for entregue.
Você escolhe exatamente quais dados a Didit coleta, todo o resto é descartado. Por padrão, apenas modelos biométricos e metadados são mantidos; selfies brutas e vídeos de prova de vida são excluídos no momento em que a sessão é encerrada.
DSAR (Solicitação de Acesso do Titular dos Dados) completo e direito ao esquecimento sob demanda via API pública. Usuários finais enviam DSARs do aplicativo Didit Identity; sua equipe os aciona com uma chamada DELETE no endpoint de sessões. Aplicado em todas as réplicas, sem exclusão suave, sem bucket de arquivo morto.
Zero vazamentos de dados desde o lançamento da Didit em 2023. A segurança é incorporada em todas as camadas da plataforma.
status.didit.me, todo incidente, toda análise pós-mortem, sem necessidade de login. 100% de uptime nos últimos 6 meses.Solicite o Pacote de Confiança nesta página, relatório SOC 2, certificado ISO, relatório iBeta, atestado Tesoro, Acordo de Processamento de Dados (DPA), lista de subprocessadores, enviado no mesmo dia útil sob um Acordo de Não Divulgação (NDA) assinado.
Sim. A infraestrutura se escala em tempo real e suporta milhões de verificações por dia.
status.didit.me, sem necessidade de login.Os níveis de volume na página de preços são ativados automaticamente conforme você cresce, sem alteração de contrato, sem renegociação manual.
Você escolhe, por fluxo de trabalho. A Didit não tem uma lista fixa do que mantemos. Sua equipe de compliance configura cada aplicativo no Business Console, e o fluxo de trabalho coleta e armazena apenas o que você indicar.
A aba Dados retornados oferece um seletor para cada categoria:
A lista exata de seletores depende dos módulos em seu fluxo de trabalho, verifique-os ao configurar o fluxo de trabalho no Business Console em Dados retornados.
Você é o Controlador de Dados. A Didit é o Processador de Dados. Esta é a configuração do Artigo 28 do Regulamento Geral de Proteção de Dados (GDPR) que a maioria dos compradores regulados espera.
Recomendamos que você permita que a Didit armazene e acesse os dados em seu nome. A maioria de nossos clientes faz isso. Proteger dados de identidade em escala de internet é um trabalho em tempo integral: criptografia reforçada, rotação de chaves, detecção de intrusão, gerenciamento de vulnerabilidades, renovações de certificação, residência regional, ferramentas de direitos do titular dos dados, notificação de violação. As equipes de segurança e plataforma da Didit se concentram nisso todos os dias para que suas equipes de compliance e engenharia não precisem. Você mantém controle total através do Business Console, cada regra de retenção, cada Solicitação de Acesso do Titular dos Dados (DSAR), cada exclusão é sua para acionar.
União Europeia por padrão. Região específica ou no país disponível para Enterprise.
A implantação padrão é executada na Amazon Web Services (AWS) na UE. Os dados são criptografados em repouso e em trânsito, com chaves de criptografia mantidas pela AWS e separadas por ambiente.
Quando os dados cruzam uma fronteira, eles são protegidos pelas Cláusulas Contratuais Padrão (SCCs) de 2021 da Comissão Europeia. A Avaliação de Impacto de Transferência (TIA) correspondente é enviada com o Pacote de Confiança nesta página.
Você define a janela de retenção. De 1 mês a 10 anos, por aplicativo. A aplicação é automática.
No Business Console, você define:
Se você quiser que a Didit não guarde nada após o veredito, chame POST /v3/sessions/:session_id/delete/ do seu manipulador de webhook e a sessão será excluída no momento em que seu sistema registrar sua própria cópia do resultado, a Didit nunca mantém os dados após a chamada. Referência completa em docs.didit.me/sessions-api/delete-session.
Um endpoint por direito.
GET /v3/sessions/:session_id/decision/. Referência em docs.didit.me/sessions-api/retrieve-session.POST /v3/sessions/:session_id/delete/ remove a sessão e todos os artefatos vinculados. Referência em docs.didit.me/sessions-api/delete-session.Cinco atestados externos em arquivo. Todos incluídos no Pacote de Confiança.
ES144068, válido até 03/06/2027).EBA/GL/2022/15) e a regulamentação MiCA.Solicite o Pacote de Confiança nesta página e enviaremos todos os relatórios, certificados e memorandos no mesmo dia útil sob um Acordo de Não Divulgação (NDA) assinado.
Reconhecimento mútuo em toda a União Europeia (UE), e um rastro de auditoria defensável pelo regulador.
O Tesoro Público, Banco de España, SEPBLAC e CNMV da Espanha realizaram um sandbox financeiro de um ano (novembro de 2024, julho de 2025) no fluxo de integração de leitura de chip de Comunicação por Campo de Proximidade (NFC) mais prova de vida ativa da Didit. O relatório oficial de conclusões, publicado em tesoro.es, constata que a verificação remota da Didit atinge ou excede o nível de segurança da identificação presencial sob a Diretiva Anti-Lavagem de Dinheiro (AMLD).
Para sua equipe de compliance, isso significa:
A Didit é o único fornecedor de verificação de identidade com este atestado em registro público.
Sim, e provavelmente já estamos trabalhando nisso. A Didit está buscando ativamente mais de 10 certificações, licenças e aprovações regulatórias em mercados e verticais a qualquer momento: autorizações de pagamento, registros de cripto e Mercados de Criptoativos (MiCA), aprovações de supervisores de Anti-Lavagem de Dinheiro (AML), status de Provedor de Serviços de Confiança Qualificado (QTSP) eIDAS 2.0, relatórios de Unidade de Inteligência Financeira (FIU) regional e autorizações específicas do setor (iGaming, saúde, bancos).
Se houver uma licença ou certificação que sua equipe de compliance precise que a Didit possua, envie um e-mail para `security@didit.me`. As chances são de que já esteja em nossa fila, e se não estiver, sua solicitação a impulsiona na lista. Retornaremos com:
Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.