Skip to main content
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Didit
Política de Segurança da Informação
Atualizado em 16 de maio de 2026 · didit.me/terms/information-security
Legal

Política de Segurança da Informação

Atualizado: 16 de maio de 2026

Nesta página

Esta Política de Segurança da Informação descreve as certificações que a Didit possui, os controles técnicos e organizacionais que a Didit opera e os artefatos de confiança disponíveis para clientes, potenciais clientes, reguladores e auditores. Ela é revisada pelo menos a cada seis meses.

1. Certificações e atestações

AtestaçãoPadrãoEmissorStatus
SOC 2 Tipo 1American Institute of Certified Public Accountants (AICPA) Trust Services Criteria, Segurança, Disponibilidade, ConfidencialidadeATOM (auditor de serviço independente)Emitido em 9 de abril de 2026. Exame SOC 2 Tipo 2 em andamento e com emissão prevista antes do encerramento da janela de uso do logotipo SOC 2 Tipo 1.
ISO/IEC 27001:2022Sistema de Gestão de Segurança da Informação, Cibersegurança e PrivacidadeBureau Veritas Certification (acreditado pela ENAC), certificado nº ES144068Emitido em 7 de abril de 2026. Válido até 3 de junho de 2027.
iBeta Nível 1 PADISO/IEC 30107-3, Detecção de Ataque de Apresentação Biométrica, Nível 1iBeta Quality Assurance (NIST / NVLAP lab code 200962)Período de teste de 5 de janeiro a 4 de fevereiro de 2026. 0% de taxa de sucesso de ataque em 360 tentativas.
Atestação de sandbox Tesoro / SEPBLAC / CNMVSandbox financeiro espanhol (Ley 7/2020)CNMV (Comisión Nacional del Mercado de Valores), revisado pelo SEPBLAC (Unidade de Inteligência Financeira Espanhola)Testes de 1º de novembro de 2024 a 9 de julho de 2025. Relatório de conclusão pública publicado em `tesoro.es` (fevereiro de 2026): A verificação remota de identidade da Didit é pelo menos tão segura quanto a identificação presencial.
Memorando de adequação EBA / MiCADiretrizes da Autoridade Bancária Europeia sobre integração remota de clientes (EBA/GL/2022/15) + Livro Único de Regras AML da UE + Regulamento de Mercados de Criptoativos (MiCA)finReg360 (parecer jurídico independente)Emitido em 28 de abril de 2026.
GDPR Artigo 32Regulamento Geral de Proteção de Dados da UE (Regulamento (UE) 2016/679)Autoavaliado; suportado pelos controles ISO/IEC 27001 e pelo Acordo de Processamento de Dados em `/terms/business`Contínuo.

Para solicitar qualquer um dos relatórios ou certificados subjacentes, envie um e-mail para security@didit.me. Relatórios restritos sob os termos de seu emissor (por exemplo, SOC 2 Tipo 1) são compartilhados após a assinatura de um Acordo de Não Divulgação (NDA), no mesmo dia útil.

2. Escopo

Esta política abrange todo o pessoal da Didit (funcionários, contratados e terceiros autorizados), todos os sistemas de informação de produção e corporativos da Didit, e os Serviços voltados para o cliente descritos nos Termos e Condições Comerciais. Ela é revisada pelo menos a cada seis meses.

3. Governança

  • Sistema de Gestão de Segurança da Informação e Privacidade alinhado aos controles ISO/IEC 27001:2022 e ISO/IEC 27701, com uma Declaração de Aplicabilidade documentada.
  • O Chief Technology Officer é o patrocinador executivo de segurança da informação nomeado; o Encarregado de Proteção de Dados (DPO) (dpo@didit.me) é responsável pela governança do programa de privacidade.
  • Auditoria de segurança externa anual por auditores independentes (vigilância ISO 27001 e exames SOC 2).
  • Registro de riscos revisado e atualizado trimestralmente. Riscos materiais são escalados para o comitê de gestão.
  • Melhoria contínua, cada incidente, achado de auditoria e avaliação de risco alimenta o backlog de ações corretivas e a próxima atualização da política.

4. Criptografia e gerenciamento de chaves

  • Em repouso: AES-256 em todos os bancos de dados de produção, armazenamento de objetos e volumes de backup.
  • Em trânsito: TLS 1.3 para cada chamada de API externa, webhook e sessão do Business Console. Versões TLS mais antigas e cifras fracas são desativadas. HTTP Strict Transport Security (HSTS) é imposto em todo o site e pré-carregado.
  • Gerenciamento de chaves: AWS Key Management Service (KMS) mantém e rotaciona as chaves. O código do aplicativo nunca toca em material de chave bruta. As chaves de sandbox e produção são totalmente separadas.
  • Hashing: as credenciais do cliente são hash com funções adaptativas padrão da indústria (bcrypt ou equivalente). As chaves de API são armazenadas como hashes unidirecionais; o valor bruto é mostrado ao operador apenas no momento da criação.

5. Identidade, acesso e arquitetura de confiança zero

  • Confiança zero por padrão, cada solicitação a cada sistema interno é autenticada e autorizada. Não há confiança implícita baseada na localização da rede.
  • Controle de acesso baseado em função (RBAC) com o princípio do menor privilégio. Revisões de acesso são realizadas trimestralmente.
  • Autenticação Multifator (MFA) é obrigatória para todos os funcionários, todos os sistemas de produção, todos os consoles de nuvem e todas as contas de hospedagem de código.
  • Single Sign-On (SSO) para aplicativos internos, com MFA por token de hardware para funções privilegiadas.
  • Acesso Just-in-Time para produção: o acesso privilegiado permanente é a exceção, não a regra.
  • Registro de auditoria, cada ação privilegiada é registrada em um pipeline de auditoria à prova de adulteração e de gravação única, retido por pelo menos 12 meses.

6. Residência e segregação de dados

  • União Europeia por padrão. Os dados de produção são processados e armazenados na União Europeia na Amazon Web Services. Residência em região específica ou no país está disponível em contratos Enterprise, sujeita à disponibilidade, para jurisdições cujos reguladores a exijam.
  • Separação de ambientes. Sandbox, staging e produção são isolados nas camadas de rede, identidade e gerenciamento de chaves. Nenhum humano ou serviço em um ambiente pode ler dados em outro sem um caminho de acesso explícito e auditado.
  • Separação de inquilinos. Dados multi-inquilinos são logicamente separados com chaves de criptografia por inquilino, quando aplicável. Consultas entre inquilinos são bloqueadas na camada de aplicação e banco de dados.

7. Ciclo de vida de desenvolvimento seguro (SDLC)

  • Revisão de código é obrigatória para cada alteração de produção. Nenhum engenheiro pode mesclar código não revisado para produção sozinho.
  • Static Application Security Testing (SAST), varredura de dependências e Software Composition Analysis (SCA) são executados automaticamente em cada pull request.
  • Varredura de contêineres e infraestrutura em cada build e em um cronograma recorrente para imagens implantadas.
  • Testes de segurança pré-produção para mudanças de alto impacto (autenticação, gerenciamento de chaves, pipelines biométricos, fluxos de pagamento).
  • Testes de penetração internos continuamente; testes de penetração externos pelo menos uma vez por ano por especialistas independentes. Descobertas materiais são rastreadas até a conclusão em um cronograma vinculado a SLA.
  • Canal de bug-bounty / divulgação responsável, reporte problemas de segurança para security@didit.me.

8. Gerenciamento de vulnerabilidades

  • SLA de aplicação de patches por gravidade, crítica (em até 72 horas após a divulgação do fornecedor), alta (em até 7 dias), média (em até 30 dias), baixa (em até 90 dias).
  • Varredura contínua de vulnerabilidades em toda a infraestrutura de produção, contêineres e dependências.
  • Modelagem de ameaças para novas superfícies de produtos, pipelines biométricos e integrações entre ambientes.

9. Monitoramento, detecção e resposta a incidentes

  • Monitoramento 24x7 de cada sistema de produção com alertas sobre sinais de disponibilidade, erro e segurança.
  • Security Information and Event Management (SIEM) agrega e correlaciona eventos de segurança; padrões anormais são escalados para engenheiros de segurança de plantão.
  • Plano de Resposta a Incidentes Documentado com funções nomeadas, árvore de comunicação, matriz de gravidade e processo de revisão pós-incidente. O plano é testado anualmente por meio de exercícios de simulação.
  • Notificação de violação de dados pessoais. A Didit notifica os clientes afetados sem atraso indevido e, em qualquer caso, a tempo de permitir que os clientes cumpram sua própria obrigação de notificação de 72 horas sob o Artigo 33 do Regulamento Geral de Proteção de Dados (GDPR). Clientes empresariais recebem um engenheiro nomeado de plantão e um canal de comunicação dedicado.
  • Página de status pública em status.didit.me, todo incidente de produção, toda análise pós-mortem, sem necessidade de login.

10. Continuidade de negócios e recuperação de desastres

  • Redundância ativa multi-AZ em cada região de produção; failover automático para serviços sem estado.
  • Backups são criptografados, geograficamente separados dentro do limite de residência escolhido e testados em um cronograma recorrente.
  • Recovery Point Objective (RPO) ≤ 1 hora e Recovery Time Objective (RTO) ≤ 4 horas para a API de verificação principal e o Business Console.
  • Testes de Recuperação de Desastres (DR) pelo menos anualmente.

11. Segurança do pessoal

  • Verificações de antecedentes para todos os funcionários e contratados com acesso a dados de produção ou dados pessoais, onde permitido pela lei aplicável.
  • Acordos de confidencialidade na contratação para todos os funcionários e contratados.
  • Treinamento obrigatório de segurança e privacidade na integração e atualizado anualmente para todos os funcionários. Treinamento direcionado (codificação segura, tratamento de dados biométricos, antifraude, antilavagem de dinheiro) para as funções que precisam.
  • Simulações de phishing em um cronograma recorrente.
  • Processo de entrada / movimentação / saída revoga o acesso em até 24 horas após a mudança de função ou saída.

12. Gerenciamento de fornecedores e subprocessadores

  • Cada subprocessador é avaliado quanto ao risco antes da integração e reavaliado pelo menos anualmente.
  • Cada subprocessador assina um Acordo de Processamento de Dados (DPA) impondo obrigações de proteção de dados substancialmente semelhantes às que a Didit deve a seus próprios clientes.
  • A lista atual de subprocessadores é compartilhada com clientes e potenciais clientes por e-mail após a assinatura de um Acordo de Não Divulgação (NDA). Envie um e-mail para security@didit.me para solicitá-la. Clientes inscritos para notificações de mudança de subprocessador são notificados por e-mail com antecedência suficiente para objeção.

13. Direitos do titular dos dados e exclusão

  • Direito de acesso e portabilidade, `GET /v3/sessions/:session_id/decision/`.
  • Direito de apagamento, `POST /v3/sessions/:session_id/delete/`. Remove a sessão e todos os artefatos vinculados em todas as réplicas.
  • A retenção por aplicativo é configurável no Business Console entre 30 dias e 10 anos; o padrão é indefinido, a menos que o cliente configure um período mais curto. A retenção de dados biométricos está em todos os casos sujeita e limitada pelas leis e regulamentos de privacidade biométrica aplicáveis, incluindo o Artigo 9 do Regulamento Geral de Proteção de Dados (GDPR) da UE, o Illinois Biometric Information Privacy Act (BIPA), o Texas Capture or Use of Biometric Identifier Act (CUBI), Washington H.B. 1493 e qualquer outra lei de privacidade biométrica aplicável; onde tal lei prescrever um período de retenção mais curto ou uma obrigação de destruição anterior, essa regra mais curta ou mais rigorosa prevalece sobre qualquer período de retenção padrão ou configurado pelo cliente.
  • Consulte a Política de Privacidade e o Aviso de Privacidade de Verificação para o processo completo de direitos do titular dos dados.

14. Relatando um problema de segurança

Se você acredita ter encontrado uma vulnerabilidade de segurança em qualquer produto ou serviço da Didit, envie um e-mail para security@didit.me com uma descrição, etapas de reprodução e o impacto que você observou. A Didit reconhece relatórios de segurança em até 2 dias úteis e trabalha de boa-fé com os relatores que seguem as práticas de divulgação responsável.

15. Contato

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Espanha
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/information-security

Tem dúvidas sobre um documento específico?

Envie um e-mail para legal@didit.me, privacy@didit.me ou security@didit.me, ou fale conosco pelo WhatsApp. Nós te direcionamos para o contato certo.

Fale conosco
Peça para uma IA resumir esta página