Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Confiança

Nós cuidamos da conformidade. Lance verificações de identidade em um clique

Nós cuidamos das licenças, subsidiárias e auditorias para que sua equipe de compliance e risco possa agir mais rápido. Ative uma chave e lance em qualquer país em conformidade, SOC 2 Tipo 1, ISO/IEC 27001 e a certificação do governo Tesoro EU incluídos.

Em números

Em números
  • 0%
    Tempo de atividade real nos últimos 12 meses. Registrado ao vivo em status.didit.me contra o SLO (Service Level Objective) de 99,99%.
  • 0
    Violações materiais desde o lançamento da Didit. Testado em produção desde 2023.
  • Milhões
    De pessoas verificadas mensalmente na frota de produção.
  • Certificado
    Em conformidade em todos os lugares onde a Didit opera, SOC 2 Tipo 1, ISO/IEC 27001, iBeta Nível 1 PAD e a certificação regulatória da Espanha.
Registro público

Reguladores afirmam que a Didit é mais segura que a verificação presencial.

A Espanha testou exaustivamente a leitura remota de chip NFC (Near-Field Communication) da Didit, juntamente com a prova de vida ativa, e registrou publicamente como sendo pelo menos tão segura quanto a verificação de identidade presencial. Nenhum outro provedor de identidade possui esta certificação.
Supervisionado por
  • Tesoro Público, Tesouro Espanhol
  • Banco de España, Banco da Espanha
  • SEPBLAC, Unidade de inteligência financeira espanhola
  • CNMV, Comisión Nacional del Mercado de Valores
A verificação NFC + prova de vida ativa da Didit oferece segurança equivalente ou superior à verificação presencial.
Tesoro Espanhol, Informe de Conclusiones DIDIT, fevereiro de 2026

Novembro de 2024, Julho de 2025 · Sandbox financeiro (Ley 7/2020), 4ª coorte · supervisionado por Tesoro Público, Banco de España, SEPBLAC e CNMV.

Engenharia de fraude

Uma equipe dedicada a fraudes. Modelos, monitoramento, prevenção.

Uma equipe focada apenas em fraude constrói, treina e monitora os modelos de detecção por trás de cada sessão Didit, deepfakes, ataques de injeção, falsificações, identidades sintéticas, laranjas. Novo ataque na área? Novo sinal naquela semana. Usuários legítimos nunca percebem.
  • Modelos, desenvolvidos e retreinados internamente.

    Prova de vida, detecção de deepfake, classificadores de documentos, reconhecimento facial, detecção de ataques de injeção, risco comportamental, cada modelo vive em nosso próprio pipeline de treinamento e serviço.

  • Monitoramento, toda sessão, toda hora.

    O tráfego de produção alimenta uma fila de revisão em tempo real. Desvios, taxa de falsos positivos, mudanças nos padrões de ataque e qualidade do sinal por país são monitorados continuamente; os limites são reajustados sem alteração no código do cliente.

  • Prevenção, integrada, invisível para o usuário.

    Cada modelo se integra diretamente na sessão. Inferência p99 em menos de 2 segundos, sem idas e vindas extras, sem toques adicionais. O usuário legítimo conclui a verificação no mesmo fluxo; apenas o atacante vê um caminho diferente.

Certificações

Toda afirmação tem um documento por trás dela.

Seis atestações externas cobrindo segurança, privacidade, anti-spoofing biométrico, adequação regulatória e reconhecimento governamental. Cada cartão entrega um documento real, não um PDF de marketing.
Selo de atestação SOC 2 Tipo 1Novo
AICPA · 09/04/2026

SOC 2 Tipo 1

Auditoria independente dos nossos controles de segurança, disponibilidade e confidencialidade, emitida pela ATOM em abril de 2026. Exame Tipo 2 em andamento.

Certificado ISO 27001 emitido pelo Bureau Veritas
ES144068 · Bureau Veritas

ISO/IEC 27001:2022

Certifica que nossa gestão de segurança da informação cobre as verificações Didit de ponta a ponta. Emitido pelo Bureau Veritas, válido até junho de 2027.

Selo de conformidade iBeta Nível 1 PAD
ISO/IEC 30107-3 · NIST/NVLAP

iBeta Nível 1 PAD

Teste anti-spoofing biométrico, 360 tentativas em seis categorias de ataque, nenhuma passou. Realizado no laboratório NVLAP 200962, credenciado pelo NIST.

Marca nominativa Tesoro Público, Tesouro Espanhol
Espanha · CNMV · SEPBLAC · BdE

Atestação do sandbox do Tesoro

Um sandbox de um ano por quatro reguladores financeiros espanhóis concluiu que a verificação remota da Didit é pelo menos tão segura quanto as verificações de identidade presenciais. Nenhum outro fornecedor de identidade possui isso.

Selo GDPR Ready
EU 2016/679 · DPA · TOMs

GDPR Artigo 32

Conformidade total com o Regulamento Geral de Proteção de Dados (GDPR) como Processador de Dados. Acordo de Processamento de Dados e Medidas Técnicas e Organizacionais disponíveis mediante solicitação.

Selo de conformidade EBA / MiCA
EBA/GL/2022/15 · MiCA

Conformidade EBA / MiCA

Parecer jurídico independente: o onboarding remoto da Didit atende às Diretrizes da Autoridade Bancária Europeia sobre onboarding remoto de clientes (EBA/GL/2022/15) e é compatível com o futuro Livro Único de Combate à Lavagem de Dinheiro (AML) da UE e a regulamentação de Mercados de Criptoativos (MiCA).

Proteção de dados

O que armazenamos, onde armazenamos e por quanto tempo mantemos.

Os dados são seus; a Didit os processa em seu nome. Sob o GDPR (Regulamento Geral de Proteção de Dados), você é o Controlador de Dados e a Didit é o Processador de Dados. A plataforma já vem com os controles do Artigo 32 do GDPR e as regras locais de proteção de dados integradas.
  • Criptografia em repousoAES-256.

    Cada sessão é criptografada em repouso com chaves AES (Advanced Encryption Standard) de 256 bits. As chaves nunca tocam nosso código de aplicação, elas ficam no AWS KMS (Key Management Service), com chaves separadas para sandbox e produção.

  • Criptografia em trânsitoTLS 1.3.

    Cada chamada de API, webhook e sessão do Business Console é criptografada via TLS (Transport Layer Security) 1.3 com regras de cifra rigorosas. Protocolos mais antigos não podem ser usados como fallback; HSTS (HTTP Strict Transport Security) é aplicado em todo o site.

  • Residência de dadosUE por padrão.

    As sessões são processadas e armazenadas na União Europeia por padrão na AWS. Empresas podem habilitar a residência no país, sujeita à disponibilidade, para que equipes em qualquer mercado usem a Didit em conformidade.

  • Retenção1 mês a 10 anos.

    Escolha por quanto tempo a Didit mantém cada sessão, de um mês a dez anos, por aplicativo no Business Console. Implantações com pegada mínima podem excluir a sessão assim que o webhook for entregue.

  • Tratamento biométricoMinimização de dados.

    Você escolhe exatamente quais dados a Didit coleta, todo o resto é descartado. Por padrão, apenas modelos biométricos e metadados são mantidos; selfies brutas e vídeos de prova de vida são excluídos no momento em que a sessão é encerrada.

  • Direitos do titular dos dadosExclua dados com um endpoint.

    DSAR (Solicitação de Acesso do Titular dos Dados) completo e direito ao esquecimento sob demanda via API pública. Usuários finais enviam DSARs do aplicativo Didit Identity; sua equipe os aciona com uma chamada DELETE no endpoint de sessões. Aplicado em todas as réplicas, sem exclusão suave, sem bucket de arquivo morto.

FAQ

Perguntas de segurança, respondidas.

As mesmas respostas que enviamos para equipes de segurança corporativas. Qualquer outra coisa, security@didit.me.
Qual o nível de segurança da Didit?

Zero vazamentos de dados desde o lançamento da Didit em 2023. A segurança é incorporada em todas as camadas da plataforma.

  • Zero vazamentos, em milhões de verificações e mais de 1.500 clientes pagantes.
  • Tudo é criptografado, tanto quando os dados são armazenados quanto quando se movem entre sistemas. As chaves de criptografia ficam na Amazon Web Services (AWS), separadas para que um sandbox não possa ler dados de produção.
  • Cada solicitação é verificada. Cada ação é registrada. Sem segredos compartilhados entre clientes.
  • Auditado independentemente, SOC 2 Tipo 1 (Tipo 2 em andamento), ISO/IEC 27001:2022 e iBeta Nível 1 de Detecção de Ataque de Apresentação (PAD) com 0% de sucesso em ataques em 360 tentativas.
  • Página de status pública ao vivo em status.didit.me, todo incidente, toda análise pós-mortem, sem necessidade de login. 100% de uptime nos últimos 6 meses.
  • Se algo acontecer, avisamos em horas, bem dentro da janela de relatório do Artigo 33 do Regulamento Geral de Proteção de Dados (GDPR). Clientes Enterprise têm um engenheiro dedicado de plantão 24/7, com um canal exclusivo no Slack e WhatsApp.

Solicite o Pacote de Confiança nesta página, relatório SOC 2, certificado ISO, relatório iBeta, atestado Tesoro, Acordo de Processamento de Dados (DPA), lista de subprocessadores, enviado no mesmo dia útil sob um Acordo de Não Divulgação (NDA) assinado.

Tenho muitas verificações. A Didit suportará meu volume?

Sim. A infraestrutura se escala em tempo real e suporta milhões de verificações por dia.

  • Escala automaticamente. Se seu tráfego dobrar da noite para o dia, a plataforma se expande. Sem ligação de vendas, sem reescrita de plano de capacidade, sem necessidade de aviso.
  • Cada verificação é concluída em menos de 2 segundos, mesmo em pico de carga. A infraestrutura é otimizada para inferência rápida de ponta a ponta.
  • 100% de uptime nos últimos 6 meses. Acompanhe ao vivo em status.didit.me, sem necessidade de login.
  • Testado em produção, mais de 1.500 clientes pagantes em mais de 220 países, em produção desde 2023.
  • Construído para eventos de pico, inícios de apostas esportivas, lançamentos de marketplaces, implementações de verificação de idade. A plataforma lida com o pico sem que ninguém na Didit precise mover um dedo.
  • Contratos Enterprise incluem garantias por escrito, um Acordo de Nível de Serviço (SLA) sobre velocidade, uptime e capacidade, com créditos de faturamento se não cumprirmos.

Os níveis de volume na página de preços são ativados automaticamente conforme você cresce, sem alteração de contrato, sem renegociação manual.

Quais dados a Didit armazena e quanto controle tenho sobre eles?

Você escolhe, por fluxo de trabalho. A Didit não tem uma lista fixa do que mantemos. Sua equipe de compliance configura cada aplicativo no Business Console, e o fluxo de trabalho coleta e armazena apenas o que você indicar.

A aba Dados retornados oferece um seletor para cada categoria:

  • Imagens de documentos de identidade (ID) e campos da Zona Legível por Máquina (MRZ)
  • Dados do chip de Comunicação por Campo de Proximidade (NFC)
  • Campos de identidade extraídos (nome, data de nascimento, número do documento, validade, endereço)
  • Modelos biométricos
  • Selfie bruta e vídeo completo de prova de vida
  • Impressão digital do dispositivo, navegador, sistema operacional, plataforma
  • Geolocalização por Protocolo de Internet (IP), sinais de Rede Privada Virtual (VPN) / Tor
  • Coordenadas de correspondência de localização de documentos
  • Acertos de triagem de Anti-Lavagem de Dinheiro (AML) com sanções, Pessoa Politicamente Exposta (PEP) e detalhes de correspondência de mídia adversa
  • Payload de webhook, log de auditoria e metadados por sessão

A lista exata de seletores depende dos módulos em seu fluxo de trabalho, verifique-os ao configurar o fluxo de trabalho no Business Console em Dados retornados.

Quem é o Controlador de Dados e quem é o Processador de Dados?

Você é o Controlador de Dados. A Didit é o Processador de Dados. Esta é a configuração do Artigo 28 do Regulamento Geral de Proteção de Dados (GDPR) que a maioria dos compradores regulados espera.

  • Você decide por que os dados são coletados, quais campos são mantidos, por quanto tempo são retidos e quem dentro da sua equipe pode agir sobre eles. O Acordo de Processamento de Dados (DPA) nesta página é o contrato que vincula a Didit a essas instruções.
  • A Didit processa os dados em seu nome, executando as verificações, a triagem, as verificações biométricas, a classificação de documentos, os webhooks, sob seu DPA e sob nossos próprios controles SOC 2, ISO/IEC 27001 e Artigo 32 do Regulamento Geral de Proteção de Dados (GDPR).

Recomendamos que você permita que a Didit armazene e acesse os dados em seu nome. A maioria de nossos clientes faz isso. Proteger dados de identidade em escala de internet é um trabalho em tempo integral: criptografia reforçada, rotação de chaves, detecção de intrusão, gerenciamento de vulnerabilidades, renovações de certificação, residência regional, ferramentas de direitos do titular dos dados, notificação de violação. As equipes de segurança e plataforma da Didit se concentram nisso todos os dias para que suas equipes de compliance e engenharia não precisem. Você mantém controle total através do Business Console, cada regra de retenção, cada Solicitação de Acesso do Titular dos Dados (DSAR), cada exclusão é sua para acionar.

Onde os dados são armazenados e posso escolher a região?

União Europeia por padrão. Região específica ou no país disponível para Enterprise.

A implantação padrão é executada na Amazon Web Services (AWS) na UE. Os dados são criptografados em repouso e em trânsito, com chaves de criptografia mantidas pela AWS e separadas por ambiente.

  • União Europeia (padrão), todas as contas. Abrange o Regulamento Geral de Proteção de Dados (GDPR), Schrems II / Estrutura de Privacidade de Dados União Europeia, Estados Unidos e eIDAS 2.0.
  • Região específica (Leste dos Estados Unidos, Ásia-Pacífico, etc.), Contratos Enterprise, quando seu regulador exigir.
  • Residência no país (Brasil, Índia, etc.), Enterprise, sujeito à disponibilidade, para leis locais como a Lei Geral de Proteção de Dados (LGPD) do Brasil e a Lei de Proteção de Dados Pessoais Digitais (DPDPA) da Índia.

Quando os dados cruzam uma fronteira, eles são protegidos pelas Cláusulas Contratuais Padrão (SCCs) de 2021 da Comissão Europeia. A Avaliação de Impacto de Transferência (TIA) correspondente é enviada com o Pacote de Confiança nesta página.

Por quanto tempo vocês mantêm os dados e como configuro a retenção?

Você define a janela de retenção. De 1 mês a 10 anos, por aplicativo. A aplicação é automática.

No Business Console, você define:

  • Uma janela de retenção global, de 1 mês (quando você quer que a Didit não guarde nada após o disparo do seu webhook) a 10 anos (o limite da Diretiva Anti-Lavagem de Dinheiro 6 (AMLD6)).
  • Retenção por categoria de dados, modelos biométricos podem sobreviver a imagens brutas; acertos de triagem podem sobreviver a dados de identidade; a correspondência de localização de documentos pode ser totalmente descartada.
  • Aplicação automática, toda noite, a plataforma exclui tudo o que passou de sua janela de retenção em todas as cópias. Cada exclusão é registrada no log de auditoria.

Se você quiser que a Didit não guarde nada após o veredito, chame POST /v3/sessions/:session_id/delete/ do seu manipulador de webhook e a sessão será excluída no momento em que seu sistema registrar sua própria cópia do resultado, a Didit nunca mantém os dados após a chamada. Referência completa em docs.didit.me/sessions-api/delete-session.

Como vocês lidam com Solicitações de Acesso do Titular dos Dados (DSARs), exclusão e portabilidade?

Um endpoint por direito.

  • Direito de acesso (Artigo 15) e direito à portabilidade de dados (Artigo 20), obtenha o payload completo da sessão em GET /v3/sessions/:session_id/decision/. Referência em docs.didit.me/sessions-api/retrieve-session.
  • Direito de apagamento (Artigo 17), POST /v3/sessions/:session_id/delete/ remove a sessão e todos os artefatos vinculados. Referência em docs.didit.me/sessions-api/delete-session.
Quais certificações e atestados vocês possuem?

Cinco atestados externos em arquivo. Todos incluídos no Pacote de Confiança.

  • SOC 2 Tipo 1, Segurança, Disponibilidade e Confidencialidade, emitido pela ATOM em abril de 2026 sob os Critérios de Serviços de Confiança do American Institute of Certified Public Accountants (AICPA). A auditoria SOC 2 Tipo 2 está em andamento.
  • ISO/IEC 27001:2022, Sistema de Gestão de Segurança da Informação, certificado pelo Bureau Veritas (certificado ES144068, válido até 03/06/2027).
  • iBeta Nível 1 de Detecção de Ataque de Apresentação (PAD), teste independente de anti-spoofing biométrico, conduzido sob ISO/IEC 30107-3 em um laboratório credenciado pelo National Institute of Standards and Technology (NIST). 0 ataques bem-sucedidos em 360 tentativas.
  • GDPR Artigo 32, Acordo de Processamento de Dados (DPA), lista de subprocessadores e Medidas Técnicas e Organizacionais (TOMs), todos públicos.
  • Memorando da Autoridade Bancária Europeia (EBA) / Mercados de Criptoativos (MiCA), parecer jurídico independente de que a Didit satisfaz as Diretrizes da EBA sobre integração remota de clientes (EBA/GL/2022/15) e a regulamentação MiCA.

Solicite o Pacote de Confiança nesta página e enviaremos todos os relatórios, certificados e memorandos no mesmo dia útil sob um Acordo de Não Divulgação (NDA) assinado.

O que o atestado do regulador espanhol significa para mim?

Reconhecimento mútuo em toda a União Europeia (UE), e um rastro de auditoria defensável pelo regulador.

O Tesoro Público, Banco de España, SEPBLAC e CNMV da Espanha realizaram um sandbox financeiro de um ano (novembro de 2024, julho de 2025) no fluxo de integração de leitura de chip de Comunicação por Campo de Proximidade (NFC) mais prova de vida ativa da Didit. O relatório oficial de conclusões, publicado em tesoro.es, constata que a verificação remota da Didit atinge ou excede o nível de segurança da identificação presencial sob a Diretiva Anti-Lavagem de Dinheiro (AMLD).

Para sua equipe de compliance, isso significa:

  • Reconhecimento mútuo AMLD6, o atestado é portátil para todos os outros estados membros da UE sem recertificação.
  • Alinhamento com eIDAS 2.0, o fluxo NFC + prova de vida da Didit está registrado publicamente como adequado para integração de Assinatura Eletrônica Qualificada (QES).
  • Rastro de auditoria defensável, quando sua Unidade de Inteligência Financeira (FIU) local revisar sua integração, você aponta para o mesmo relatório que seus reguladores pares da UE aprovaram.

A Didit é o único fornecedor de verificação de identidade com este atestado em registro público.

Posso pedir à Didit para obter uma licença ou certificação específica?

Sim, e provavelmente estamos trabalhando nisso. A Didit está buscando ativamente mais de 10 certificações, licenças e aprovações regulatórias em mercados e verticais a qualquer momento: autorizações de pagamento, registros de cripto e Mercados de Criptoativos (MiCA), aprovações de supervisores de Anti-Lavagem de Dinheiro (AML), status de Provedor de Serviços de Confiança Qualificado (QTSP) eIDAS 2.0, relatórios de Unidade de Inteligência Financeira (FIU) regional e autorizações específicas do setor (iGaming, saúde, bancos).

Se houver uma licença ou certificação que sua equipe de compliance precise que a Didit possua, envie um e-mail para `security@didit.me`. As chances são de que esteja em nossa fila, e se não estiver, sua solicitação a impulsiona na lista. Retornaremos com:

  • Onde a certificação se encaixa em nosso roteiro.
  • O cronograma esperado.
  • O escopo (cobertura total, uma região específica, um módulo específico).

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Peça para uma IA resumir esta página