Os dados de produção são processados e armazenados na União Europeia por padrão, na Amazon Web Services. Contratos empresariais podem solicitar regiões alternativas para jurisdições cujos reguladores exijam.
Criptografia em todos os lugares. AES-256 em repouso em todos os bancos de dados, armazenamento de objetos e backups. Transport Layer Security 1.3 em trânsito em cada chamada de API, webhook e sessão do Business Console. Dados biométricos são criptografados sob uma Customer Master Key separada.
A retenção é sua para controlar. A retenção padrão é indefinida (ilimitada), a menos que você configure um período menor, entre 30 dias e 10 anos por aplicação, e você pode excluir qualquer sessão individual a qualquer momento pelo painel ou pela API.
Certificações: SOC 2 Type 1 (auditoria Type 2 em andamento), ISO/IEC 27001:2022, iBeta Level 1 PAD, e uma declaração pública do Tesoro / SEPBLAC / CNMV da Espanha de que a verificação de identidade remota da Didit é mais segura do que verificar alguém pessoalmente. Relatório completo em /security-compliance.