Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
PSD3 · Autenticação forte de cliente

Dois fatores SCA. Um toque.

Autenticação Biométrica ($0.10) mais Análise de Dispositivo e IP ($0.03) entregam dois fatores SCA de nível PSD3 em um único prompt. Resistente a phishing. Substituição direta para senha de uso único por SMS.

Apoiado por
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

Confiado por mais de 2.000 organizações em todo o mundo.

Uma ilustração cinematográfica abstrata escura de conformidade, quatro painéis translúcidos flutuantes de vidro escuro em perspectiva 3D sobre uma tela preta pura, atravessados por uma linha vertical luminosa Didit Blue e emoldurados por quatro suportes de scanner brilhantes. Cada painel carrega um pequeno motivo abstrato branco-pálido (arcos de impressão digital, oval facial, silhueta de telefone, forma de cadeado) representando a Autenticação Forte de Cliente biométrica.

Por que o SMS OTP está com os dias contados

À prova de SIM-swap. À prova de phishing. $0.13 por autenticação.

A PSD3 está aposentando o SMS one-time-password como fator de Strong Customer Authentication. A SCA biométrica vinculada a dispositivo da Didit bloqueia SIM-swap, phishing em tempo real e interceptação SS7, por $0.13 por autenticação, veredito em menos de dois segundos, pronta para dynamic-linking. 500 verificações gratuitas todo mês.

Como funciona

Do cadastro ao usuário verificado em quatro passos.

  1. Passo 01

    Crie o fluxo de trabalho

    Escolha as verificações que você quer, ID, prova de vida, reconhecimento facial, sanções, endereço, idade, telefone, e-mail, perguntas personalizadas. Arraste-as para um fluxo no painel, ou publique o mesmo fluxo na nossa API. Crie ramificações com base em condições, faça testes A/B, sem precisar de código.

  2. Passo 02

    Integre

    Incorpore nativamente com nossos SDKs para Web, iOS, Android, React Native ou Flutter. Redirecione para uma página hospedada. Ou simplesmente envie um link ao seu usuário, por e-mail, SMS, WhatsApp, onde quiser. Escolha o que melhor se adapta à sua stack.

  3. Passo 03

    O usuário passa pelo fluxo

    A Didit hospeda a câmera, as dicas de iluminação, a transição para o celular e a acessibilidade. Enquanto o usuário está no fluxo, pontuamos mais de 200 sinais de fraude em tempo real e verificamos cada campo contra fontes de dados oficiais. Resultado em menos de dois segundos.

  4. Passo 04

    Você recebe os resultados

    Webhooks assinados em tempo real mantêm seu banco de dados sincronizado no momento em que um usuário é aprovado, recusado ou enviado para revisão. Consulte a API sob demanda. Ou abra o console para inspecionar cada sessão, cada sinal e gerenciar casos do seu jeito.

Feito para SCA · Preço de infraestrutura

Dois fatores. Um prompt. $0.13 por autenticação.

Uma Strong Customer Authentication de verdade não é uma única verificação, é uma receita. Alterne isenções por fluxo de trabalho. Aumente para uma chave de hardware em sinais de risco. Sem necessidade de novo deploy.
01 · Fatores SCA

Dois fatores. Categorias diferentes.

Inerência (Prova de Vida Passiva + Reconhecimento Facial 1:1) mais posse (o dispositivo vinculado do usuário). Padrão PSD3 por natureza. Fator de conhecimento (PIN, senha) opcional e configurável por fluxo de trabalho.
Módulo de Autenticação Biométrica
02 · Dynamic linking

Uma aprovação. Vinculada a valor + beneficiário.

Para pagamentos, o desafio de autenticação incorpora o valor exato e o beneficiário. O usuário os vê no próprio prompt biométrico. Qualquer adulteração invalida a aprovação, já embutido no PSR.
Referência da API de Sessões
03 · Por que o SMS OTP está com os dias contados

Resistente a phishing por design.

Fraude de SIM-swap, kits de phishing em tempo real, interceptação SS7, todos superam o SMS one-time-password. Biometria vinculada a dispositivo com binding de origem bloqueia todos os ataques comuns que a Autoridade Bancária Europeia destacou em sua opinião sobre SCA de 2024.
Prevenção de tomada de conta
04 · Motor de isenção

Isenções calibradas por fluxo de trabalho.

Remoto de baixo valor abaixo de EUR 30, ponto de venda sem contato abaixo de EUR 50, recorrente idêntico, beneficiário confiável, níveis de Análise de Risco de Transação. Tudo editável no Construtor de Fluxos de Trabalho sem código.
Orquestrador de Fluxo de Trabalho
05 · Mais de 200 sinais por autenticação

Mais de 200 sinais em cada autenticação.

Impressão digital do dispositivo, geolocalização IP, detecção de VPN / proxy / datacenter, sinalizador de novo dispositivo, desvio comportamental. Mude automaticamente para uma chave de hardware quando o risco ultrapassar seu limite.
Módulo de Análise de Dispositivo e IP
06 · Economia

$0.13 per auth, not $0.04 plus SIM-swap loss.

$0.10 Autenticação Biométrica + $0.03 Análise de Dispositivo e IP = $0.13 por Strong Customer Authentication. O SMS one-time-password custa $0.04-$0.07 mais falhas de entrega, novas tentativas e exposição a perdas por SIM-swap que os reguladores estão precificando na PSD3.
Preços
Integre

Uma sessão. Um toque. Um webhook.

Abra a sessão com o valor + beneficiário. O usuário aprova no celular. O webhook assinado confirma a vinculação.
POST /v3/session/Login
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "purpose": "login" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Criadostatus Aprovado · Recusado · Em Análise
Passe a selfie de cadastro KYC como portrait_image. Sem recadastro.docs →
POST /v3/session/Pagamento
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "amount": "247.50", "payee_account": "ES91…1332" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Criadowebhook retorna valor + beneficiário para verificação
O usuário vê o valor + beneficiário no próprio prompt biométrico. Dynamic linking.docs →
Integração pronta para agentes

Implemente um fluxo PSD3 SCA com um único prompt.

Cole no Claude Code, Cursor, Codex, Devin, Aider ou Replit Agent. Preencha sua stack. O agente constrói o fluxo de trabalho, conecta a vinculação dinâmica, monta o SDK e implementa uma Autenticação Forte de Cliente funcionando em cinco minutos.
didit-integration-prompt.md
You are integrating Didit's Strong Customer Authentication into a payment service provider, bank, EMI, or wallet to satisfy PSD3 / the Payment Services Regulation (PSR). Two factors in one prompt:

  1. Inherence — Biometric Authentication: Passive Liveness + Face Match 1:1 against the user's previously-enrolled KYC selfie.
  2. Possession — Device & IP Analysis: 200+ real-time fraud signals binding the auth to the user's known device.

Pricing (verified live 2026-05-16):
  - Biometric Authentication: $0.10 per auth
  - Device & IP Analysis: $0.03 per auth
  - Total: $0.13 per Strong Customer Authentication
  - First 500 verifications free every month, forever
  - Re-uses the enrolled selfie from the original KYC — no re-enrolment

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - Webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header.
  - A workflow_id from the no-code Workflow Builder configured as a Biometric Authentication workflow (Passive Liveness + Face Match 1:1 + Device & IP Analysis).
  - The user has previously completed a Didit KYC (the same enrolled selfie backs every subsequent auth).

STEP 1 — Open an authentication session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body (for login auth):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/auth/callback",
      "metadata": {
        "purpose": "login",
        "session_id": "<your front-end session id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor; OMIT only if the workflow is liveness-only>"
    }

  Body (for payment with dynamic linking):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/payment/callback",
      "metadata": {
        "purpose": "payment",
        "amount": "247.50",
        "currency": "EUR",
        "payee_account": "ES9121000418450200051332",
        "payee_name": "<merchant or recipient>",
        "transaction_reference": "<your internal transaction id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor>"
    }

  Response: 201 Created with the hosted session URL. Push the URL to the user via deep-link / push notification / in-app sheet.

STEP 2 — User completes the biometric auth

  The user sees one prompt on their phone (or via the Didit SDK in your native app). Three things happen on the same screen:

  1. The amount + payee are displayed (dynamic linking — the user explicitly approves THIS amount to THIS payee for payments).
  2. Passive Liveness defeats screen replay, printed photo, mask, deepfake.
  3. Face Match 1:1 matches the new selfie against the enrolled KYC selfie.

  Device & IP Analysis runs server-side on the session. Sub-2-second median verdict.

STEP 3 — Read the signed webhook on the auth verdict

  Didit POSTs to your callback. Session statuses (Title Case With Spaces):

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "vpn_detected": false, "datacenter_ip": false },
      "metadata_echo": {
        "amount": "247.50",
        "payee_account": "ES9121000418450200051332"
      }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  For payments, verify that metadata_echo.amount and metadata_echo.payee_account match the values you passed in. If they do not, REJECT the payment — it's a dynamic-linking violation.

STEP 4 — Branch on verdict

  Approved   → unlock the action (login, payment, account change).
  In Review  → hold the action, route to manual review queue.
  Declined   → block, log the attempt, surface a friendly "try again" to the user.
  Resubmitted → the user re-submitted after a soft fail (poor lighting, occlusion); proceed if the latest status is Approved.

STEP 5 — Retrieve the full decision later

  GET https://verification.didit.me/v3/session/{sessionId}/decision/
  Headers:
    x-api-key: <your api key>

  Returns the full payload: liveness verdict (iBeta Level 1 anti-spoof certified), Face Match similarity score, device fingerprint, IP geolocation, VPN / proxy / datacenter flags, 200+ fraud-signal score, dynamic-linking echo, HMAC signature.

  Use this for the audit-trail surface a regulator examines on Strong Customer Authentication coverage.

STEP 6 — Step up on risk

  When Device & IP Analysis surfaces a high-risk signal (new device + high-value payment, VPN/proxy on a login, geolocation jump), your workflow can step up to:

  - A separate hardware-key challenge (FIDO2 / WebAuthn)
  - A trusted-beneficiary whitelist confirmation
  - A manual-review hold

  Encode the step-up policy in the no-code Workflow Builder — no redeploy required.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE on a session.
  - Dynamic linking is REQUIRED for payments — pass amount + payee in metadata, verify the echo on the webhook.
  - The enrolled selfie that backs every SCA is the one captured during the user's original KYC — no separate enrolment step.
  - PSD3 / PSR exemptions (low-value remote < EUR 30, contactless point-of-sale < EUR 50, recurring identical, trusted beneficiary, Transaction Risk Analysis tiers) are configured per workflow in the Business Console.
  - Default record retention is 5 years per the EU AML and payments rules.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/sessions-api/retrieve-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
Precisa de mais contexto? Consulte a documentação completa do módulo.docs.didit.me →
Conformidade por design

Abra um novo país com um clique. Nós fazemos o trabalho pesado.

Nós abrimos as subsidiárias locais, garantimos as licenças, realizamos os testes de penetração, obtemos as certificações e nos alinhamos a cada nova regulamentação. Para lançar verificações em um novo país, basta ativar uma chave. Mais de 220 países ativos, auditados e testados trimestralmente, o único provedor de identidade que um governo de um estado membro da UE formalmente considerou mais seguro do que a verificação presencial.
Leia o dossiê de segurança e conformidade
Sandbox financeiro da UE
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
Segurança da informação · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Alinhado com a UE por design

Números que comprovam

Números que comprovam
  • $0.00
    Por Autenticação Forte de Cliente, Autenticação Biométrica + Análise de Dispositivo e IP.
  • <0s
    Veredito de autenticação de ponta a ponta por sessão, em Android de entrada.
  • 0+
    Sinais de fraude em tempo real avaliados em cada autenticação, VPN, datacenter, desvio de geolocalização, desvio de dispositivo.
  • 0
    Verificações gratuitas todo mês, em todas as contas.
Três planos, uma tabela de preços

Comece grátis. Pague pelo uso. Escale para Enterprise.

500 verificações gratuitas todo mês, para sempre. Pague conforme usar para produção. Contratos personalizados, residência de dados e SLAs (Service Level Agreements) no plano Enterprise.
Grátis

Grátis

$0 / mês. Não precisa de cartão de crédito.

  • Pacote KYC grátis (Verificação de ID + Prova de Vida Passiva + Comparação Facial + Análise de Dispositivo e IP), 500 / mês, todo mês
  • Usuários Bloqueados
  • Detecção de Duplicidade
  • Mais de 200 sinais de fraude em cada sessão
  • KYC reutilizável na rede Didit
  • Plataforma de Gerenciamento de Casos
  • Construtor de Fluxos de Trabalho
  • Documentação pública, sandbox, SDKs, servidor MCP (Model Context Protocol)
  • Suporte da comunidade
Mais popular
Pague pelo uso

Baseado em Uso

Pague apenas pelo que usar. Mais de 25 módulos. Preços públicos por módulo, sem taxa mínima mensal.

  • KYC completo por $0.33 (ID + Biometria + IP / Dispositivo)
  • Mais de 10.000 conjuntos de dados AML, sanções, PEPs, mídias adversas
  • Mais de 1.000 fontes de dados governamentais para Validação de Banco de Dados
  • Monitoramento de Transações por $0.02 por transação
  • KYB ao vivo por $2.00 por empresa
  • Triagem de Carteira por $0.15 por verificação
  • Fluxo de verificação whitelabel, sua marca, nossa infraestrutura
Empresarial

Empresarial

MSA e SLA personalizados. Para grandes volumes e programas regulamentados.

  • Contratos anuais
  • MSA, DPA e SLA personalizados
  • Canal dedicado no Slack e WhatsApp
  • Revisores manuais sob demanda
  • Termos de revenda e whitelabel
  • Recursos exclusivos e integrações com parceiros
  • CSM dedicado, revisão de segurança, suporte a conformidade

Comece grátis → pague apenas quando uma verificação for executada → desbloqueie o Enterprise para um contrato personalizado, SLA ou residência de dados.

FAQ

Perguntas frequentes

O que é a Didit?

A Didit é uma infraestrutura para identidade e fraude, a plataforma que gostaríamos que existisse quando estávamos construindo produtos: aberta, flexível e amigável para desenvolvedores, para que funcione como uma parte real da sua stack, em vez de uma caixa preta que você integra por fora.

Uma API cobre a verificação de pessoas (KYC, know your customer), verificação de empresas (KYB, know your business), rastreamento de carteiras de cripto (KYT, know your transaction), e monitoramento de transações em tempo real, em uma stack construída para ser:

  • Rápida, p99 abaixo de 2 segundos em cada sessão
  • Confiável, em produção com mais de 1.500 empresas em mais de 220 países
  • Segura, SOC 2 Tipo 1, ISO 27001, nativa do GDPR, e formalmente atestada pelo regulador financeiro da Espanha como mais segura do que verificar alguém pessoalmente

A base por trás: mais de 14.000 tipos de documentos em mais de 48 idiomas, mais de 1.000 fontes de dados e mais de 200 sinais de fraude em cada sessão. A infraestrutura da Didit aprende dinamicamente com cada sessão e melhora a cada dia.

O que é Autenticação Forte de Cliente, em termos simples?

A Autenticação Forte de Cliente (SCA) é uma regra da regulamentação de serviços de pagamento da UE que diz: quando um cliente faz login em sua conta ou inicia um pagamento, você deve verificá-lo usando pelo menos dois de três categorias de fatores independentes.

As três categorias:

  • Conhecimento, algo que o usuário sabe (senha, PIN, resposta secreta)
  • Posse, algo que o usuário tem (telefone, chave de hardware, dispositivo vinculado ao SIM)
  • Inerência, algo que o usuário é (impressão digital, rosto, padrão comportamental)

Os dois fatores devem vir de categorias diferentes, uma senha mais uma pergunta de segurança não é SCA, porque ambos são conhecimento. Uma senha mais uma impressão digital é, porque cruzam categorias.

Um terceiro requisito, vinculação dinâmica, diz que o segundo fator para um pagamento deve ser vinculado de forma única ao valor da transação e ao beneficiário, para que um código roubado não possa ser reutilizado em uma transação diferente.

O que é PSD3 e como ela difere da PSD2?

PSD3, abreviação de Payment Services Directive 3, é a reescrita da UE de 2026 do livro de regras que a PSD2 introduziu em 2018. Junto a ela, está o Payment Services Regulation (PSR), que é diretamente aplicável em todos os estados membros sem transposição nacional.

Principais mudanças em relação à PSD2:

  • Menos isenções, as isenções para pagamentos corporativos e beneficiários confiáveis são mais rigorosas
  • SCA resistente a phishing obrigatória, a senha de uso único por SMS está sendo eliminada como o único segundo fator; FIDO2, biometria vinculada ao dispositivo ou push baseado em aplicativo se tornam o novo padrão
  • Acesso a open-banking fortalecido, os bancos devem oferecer uma API limpa e unificada; provedores terceirizados com permissão obtêm melhores termos técnicos
  • Responsabilidade por fraude esclarecida, os provedores de serviços de pagamento (PSPs) arcam com mais perdas por fraude quando sua SCA era fraca
  • Escopo mais amplo, provedores de carteira, instituições de dinheiro eletrônico (EMIs) e alguns provedores de cripto entram no regime

A transição está em andamento, a maioria das mudanças na SCA deve entrar em vigor de 18 a 24 meses após a adoção final.

Qual a velocidade da verificação para o meu usuário final?

O fluxo completo normalmente leva menos de 30 segundos do início ao fim, pegar o documento, tirar a foto do documento, tirar a selfie, pronto. Essa é a velocidade mais rápida do mercado. Provedores KYC legados geralmente levam mais de 90 segundos para o mesmo fluxo.

No back-end, a Didit retorna o resultado em menos de dois segundos no p99, medido desde o momento em que o usuário termina a selfie até o momento em que seu webhook é disparado. A captura móvel é otimizada para telefones e redes lentas: compressão progressiva de imagem, carregamento lento do kit de desenvolvimento de software e uma transferência com um toque do desktop para o telefone via código QR se o usuário começar na web.

Quais transações precisam de SCA, e quais são isentas?

Precisam de SCA por padrão:

  • Login do cliente em uma conta de pagamento
  • Início de um pagamento eletrônico
  • Qualquer ação que possa ser explorada para cometer fraude de pagamento

Isentas (a PSD3 mantém a maioria das isenções da PSD2, mas aperta os limites):

  • Transações remotas de baixo valor, abaixo de €30 por transação, com limites cumulativos por cliente
  • Pagamentos sem contato em ponto de venda, abaixo de €50 por transação, com limites cumulativos
  • Transações recorrentes de valor e beneficiário idênticos, SCA na primeira, isenta nas seguintes
  • Beneficiários confiáveis, o usuário explicitamente adiciona à lista branca, mas a PSD3 aperta o fluxo de aprovação
  • Análise de Risco de Transação (TRA), abaixo dos limites vinculados à sua taxa geral de fraude (1, 5, 10, 25 pontos base)
  • Canais dedicados corporativos, quando ambas as partes são usuários corporativos em um sistema fechado

Acertar o cálculo das isenções é o trabalho de otimização de SCA de maior alavancagem que a maioria das equipes faz, bem aplicado, reduz o atrito da autenticação sem aumentar a fraude.

O que acontece se um usuário falhar, abandonar ou expirar?

Cada sessão tem um dos sete status claros, para que seu código sempre saiba o que fazer:

  • Approved, todas as verificações aprovadas. Prossiga com o usuário.
  • Declined, uma ou mais verificações falharam. Você pode permitir que o usuário reenvie a etapa específica que falhou (por exemplo, tire a selfie novamente) sem refazer todo o fluxo.
  • In Review, sinalizado para revisão de conformidade. Abra o caso no console, veja todos os sinais, decida aprovar ou recusar.
  • In Progress, o usuário está no meio do fluxo.
  • Not Started, link enviado, o usuário ainda não abriu. Envie um lembrete se demorar muito.
  • Abandoned, o usuário abriu o link, mas não terminou a tempo. Reengaje ou expire.
  • Expired, o link da sessão expirou. Crie uma nova sessão.

Um webhook assinado é disparado a cada mudança de status, para que seu banco de dados esteja sempre sincronizado. Sessões abandonadas e recusadas são gratuitas.

Onde ficam os dados dos meus clientes e como são protegidos?

Os dados de produção são processados e armazenados na União Europeia por padrão, na Amazon Web Services. Contratos empresariais podem solicitar regiões alternativas para jurisdições cujos reguladores o exijam.

Criptografia em todos os lugares. AES-256 em repouso em todos os bancos de dados, armazenamento de objetos e backups. Transport Layer Security 1.3 em trânsito em cada chamada de API, webhook e sessão do Business Console. Dados biométricos são criptografados sob uma Customer Master Key separada.

A retenção é sua para controlar. A retenção padrão é indefinida (ilimitada), a menos que você configure um período menor, entre 30 dias e 10 anos por aplicativo, e você pode excluir qualquer sessão individual a qualquer momento no painel ou na API.

Certificações: SOC 2 Type 1 (auditoria Type 2 em andamento), ISO/IEC 27001:2022, iBeta Level 1 PAD, e uma declaração pública do Tesoro / SEPBLAC / CNMV da Espanha de que a verificação remota de identidade da Didit é mais segura do que verificar alguém pessoalmente. Relatório completo em /security-compliance.

A Didit está em conformidade com a minha indústria?

A Didit vem em conformidade por padrão com os reguladores importantes para a infraestrutura de identidade:

  • GDPR + UK GDPR, divisão controlador/processador, Acordo de Processamento de Dados completo publicado, autoridade supervisora principal nomeada (AEPD da Espanha).
  • AMLD6 + EU AML Single Rulebook, mais de 1.300 listas de sanções, pessoas politicamente expostas e mídias adversas rastreadas em tempo real.
  • eIDAS 2.0, alinhado com a Carteira de Identidade Digital da UE; pronto para identidade reutilizável.
  • MiCA (Markets in Crypto-Assets), pronto para on-ramps de cripto, exchanges e custodiantes.
  • DORA, Digital Operational Resilience Act, resiliência operacional de serviços financeiros da UE.
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, privacidade biométrica dos EUA (Illinois, Texas, Washington) e privacidade do consumidor da Califórnia.
  • UK Online Safety Act, obrigações de controle de idade e segurança infantil.
  • FATF Travel Rule, dados do originador e beneficiário em transferências de cripto, interoperável com IVMS-101.

Memorando detalhado, todos os certificados, todas as cartas regulatórias: /security-compliance.

Em quanto tempo consigo integrar e começar a verificar usuários?
  • 60 segundos para uma conta sandbox em business.didit.me, sem cartão de crédito.
  • 5 minutos para uma verificação funcional via Claude Code, Cursor ou qualquer agente de codificação através do nosso servidor Model Context Protocol (MCP).
  • Um fim de semana para uma integração pronta para produção com verificação de webhook assinado, retentativas e um fluxo de remediação quando um usuário é recusado.

Três caminhos de integração, escolha o que melhor se adapta à sua stack:

  • Integre nativamente com nossos SDKs Web, iOS, Android, React Native ou Flutter.
  • Redirecione o usuário para a página de verificação hospedada, sem SDK.
  • Envie um link por e-mail, SMS, WhatsApp ou qualquer canal, sem trabalho de front-end.

Mesmo dashboard, mesma cobrança, mesmo preço de pagamento por sucesso para todos os três. Guia passo a passo em docs.didit.me/integration/integration-prompt.

Como isso funciona no iOS, Android e na web?

A mesma API POST /v3/session/ em todas as plataformas, a captura voltada para o usuário difere:

  • Web (navegador desktop), Didit inicia o fluxo de autenticação em um pop-up; o telefone do usuário recebe uma notificação push, completa a biometria no telefone, e o pop-up fecha com o veredito aprovado. Handoff de link universal se o usuário estiver na web móvel.
  • iOS / Android nativo, adicione o SDK Didit para iOS ou Android, chame o método de autenticação, o prompt biométrico nativo do sistema operacional aparece (Face ID, Touch ID, impressão digital) apoiado pelo enclave seguro.
  • React Native / Flutter / Cordova, SDKs oficiais encapsulam os módulos nativos; superfície de API idêntica.
  • Servidor MCP, se a autenticação estiver por trás de um agente de IA, o agente chama a ferramenta de autenticação, o usuário recebe um push em seu telefone, aprova, e o veredito é retornado.

O mesmo template biométrico que o usuário cadastrou no momento do KYC suporta cada autenticação, sem novo cadastro, sem fluxo separado.

Isso funciona fora do PSD3 / da UE?

Sim, o mesmo pacote de autenticação atende à maioria das regras globais equivalentes:

  • Reino Unido, as regras de Strong Customer Authentication (SCA) da FCA espelham o PSD2/PSD3 em substância; o pacote de autenticação da Didit se qualifica.
  • Estados Unidos, não um mandato nacional de SCA, mas reguladores bancários (OCC, Federal Reserve) e o Federal Financial Institutions Examination Council (FFIEC) recomendam autenticação multifator para transações de alto valor; Didit se encaixa.
  • Singapura, o Aviso 644 da Monetary Authority of Singapore (MAS) exige SCA no internet banking.
  • Índia, a autenticação de dois fatores do Reserve Bank of India é obrigatória em todas as transações com cartão doméstico.
  • Brasil, as regras do Banco Central se alinham com o SCA estilo PSD2 em pagamentos instantâneos.
  • Austrália, Japão, Coreia do Sul, requisitos equivalentes de autenticação multifator para bancos e e-commerce de alto valor.

Uma API, um pacote de autenticação, todas as jurisdições. A matemática da isenção muda; o contrato técnico não.

Como a evidência do evento de autenticação aparece para um auditor?

Cada autenticação produz um registro de evidência assinado, exportável do Business Console:

  • O desafio de autenticação, timestamp, ID da sessão, fatores solicitados.
  • O veredito biométrico, aprovação/reprovação de Liveness Passivo, pontuação de similaridade de Face Match (vinculada à selfie de referência KYC do usuário), reivindicação anti-spoofing iBeta Nível 1.
  • O veredito do dispositivo, fingerprint do dispositivo, geolocalização IP, flags de VPN/proxy/datacenter, pontuação de mais de 200 sinais de fraude.
  • O payload de vinculação dinâmica, valor, beneficiário, timestamp, assinado de ponta a ponta.
  • O rastro de auditoria completo, cada etapa com máquina de estados de Pending para Approved ou Declined, com notas do revisor se escalado.
  • Assinatura HMAC SHA-256 no payload para que a cadeia de custódia seja comprovável.

Todos os registros são armazenados na União Europeia (data centers da UE), retidos indefinidamente enquanto sua assinatura estiver ativa. A retenção padrão de registros é de 5 anos, conforme as regras de AML e pagamentos da UE, extensível de acordo com a orientação do seu supervisor.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Peça para uma IA resumir esta página