Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Voltar ao blog
Blog · 21 de maio de 2026

Didit: A Conformidade Comprovada da Plataforma (PT-PT)

Cinco atestações independentes — SOC 2 Tipo 1, ISO/IEC 27001:2022, iBeta Nível 1 PAD, a conclusão da "sandbox" Tesoro/SEPBLAC/CNMV e o parecer finReg360 EBA — tornam a postura de conformidade da Didit comprovável, não apenas.

Por DiditAtualizado
didit-compliance-attestations-overview.png

Qualquer um pode dizer que a sua plataforma de identidade é segura e conforme. Muito poucos conseguem apresentar relatórios independentes que o comprovem. A postura de conformidade da Didit é um ativo comprovável: cinco atestações externas — cobrindo segurança da informação, anti-falsificação biométrica e a adequação legal do "onboarding" remoto — incluindo a única atestação governamental de um Estado-Membro da UE de que uma ferramenta de verificação de identidade remota cumpre e excede os padrões de identificação presencial.

Este artigo é o local único para compreender o conjunto completo: o que é cada atestação, quem a emitiu, o que exatamente cobre e como pode utilizá-la em "due diligence", RFPs e processos de aquisição. Sem exageros — os níveis e as datas são indicados com precisão, porque na conformidade, a precisão é o valor.

Principais conclusões

  • SOC 2 Tipo 1 — atestação de controlo da organização de serviços (Segurança, Disponibilidade, Confidencialidade) pela ATOM, a partir de 09-04-2026. Exame Tipo 2 planeado. Uso restrito (NDA).
  • ISO/IEC 27001:2022 — sistema de gestão de segurança da informação, certificado pelo Bureau Veritas, cert. nº ES144068, válido até 03-06-2027. Distribuível.
  • iBeta Nível 1 PAD — Deteção de Ataque de Apresentação biométrica sob ISO/IEC 30107-3, 0% de sucesso de ataque / 0% IAPAR em 360 tentativas. Distribuível.
  • Tesoro / SEPBLAC / CNMV — conclusão da "sandbox" financeira espanhola de que a verificação remota da Didit cumpre e excede a identificação presencial. Publicado publicamente, permanente. O diferenciador emblemático da UE.
  • finReg360 — parecer EBA/GL/2022/15 — parecer jurídico independente (28-04-2026) de que o "onboarding" remoto da Didit é adequado de acordo com as diretrizes de "onboarding" remoto da EBA e o "Single Rulebook" AML da UE. Distribuível.
  • Juntos, abordam as três questões que todos os compradores colocam: a sua segurança é sólida, a sua biometria é resistente a falsificações e o seu "onboarding" é legalmente adequado?

O que exige a "conformidade por design"

Um comprador que avalia um fornecedor de verificação de identidade está, na verdade, a realizar três auditorias em simultâneo:

  1. Segurança da informação — a plataforma em si é segura? Os dados do cliente estão protegidos? Os controlos são concebidos e geridos de acordo com um padrão reconhecido?
  2. Integridade biométrica — a deteção de vida e a correspondência facial podem ser enganadas por fotos, reproduções, máscaras ou "deepfakes"?
  3. Adequação regulamentar — a utilização desta ferramenta satisfaz realmente a lei a que o comprador está sujeito, especialmente para o "onboarding" remoto?

Um fornecedor que responde a todas as três com evidências independentes de terceiros — em vez de autoavaliação — transforma um ciclo de "due diligence" de várias semanas numa pasta de documentos. É isso que "conformidade por design" significa na prática: a prova existe antes que o comprador a peça.

Porquê é importante

A evidência de conformidade já não é um "nice-to-have" no final do ciclo de vendas — é uma barreira. As equipas de aquisição de bancos e EMIs, os MLROs de VASP de criptomoedas e os revisores de segurança empresarial não assinarão sem ela. O questionário chega cedo e o negócio estagna até que os artefatos aterrem.

O fornecedor que pode produzir imediatamente um relatório SOC 2, um certificado ISO 27001, um resultado iBeta, uma conclusão de "sandbox" governamental e um parecer jurídico independente não só passa a barreira — encurta o ciclo e reduz o risco da decisão para a equipa de conformidade do comprador. Cada atestação remove uma razão para dizer não.

Como a Didit ajuda: as cinco atestações

1. SOC 2 Tipo 1 (ATOM)

Uma atestação de controlo da organização de serviços contra os Critérios de Serviços de Confiança AICPA para Segurança, Disponibilidade e Confidencialidade, emitida pela ATOM. Reporta sobre o design dos controlos da Didit a partir de 09-04-2026. Um exame Tipo 2 — eficácia operacional durante um período — é o próximo passo planeado. O relatório completo é de uso restrito sob as regras AICPA e partilhado com potenciais clientes e clientes que tenham uma necessidade legítima e um NDA em vigor. Utilize-o para questionários de segurança empresarial dos EUA e aquisição de fintech.

2. ISO/IEC 27001:2022 (Bureau Veritas, cert. nº ES144068)

Certificação do sistema de gestão de segurança da informação, cibersegurança e privacidade da Didit, emitido pelo Bureau Veritas Certification (acreditado ENAC). Número de certificado ES144068, originalmente certificado em 07-04-2026, válido até 03-06-2027. Evidencia um sistema de segurança da informação gerido e auditado — o "baseline" que a aquisição da UE e os clientes financeiros regulados esperam. Distribuível a pedido.

3. iBeta Nível 1 PAD (ISO/IEC 30107-3)

Uma avaliação independente de Deteção de Ataque de Apresentação biométrica pela iBeta Quality Assurance (um laboratório acreditado NIST/NVLAP) contra ISO/IEC 30107-3, Nível 1. O teste executou 6 tipos de ataques de apresentação em sujeitos inscritos para 360 tentativas de ataque — e registou uma taxa de sucesso de ataque de 0% / 0% IAPAR. Esta é a evidência auditada por trás das alegações anti-falsificação da Didit. Distribuível a pedido. (É Nível 1, não Nível 2 — declarado com precisão.)

4. Conclusão da "sandbox" Tesoro / SEPBLAC / CNMV

O diferenciador emblemático. Dentro da "sandbox" financeira espanhola, a CNMV de Espanha — revendo em coordenação com o SEPBLAC (a Unidade de Inteligência Financeira espanhola) — concluiu que a verificação de identidade remota da Didit (leitura criptográfica de chip NFC mais biometria facial com deteção de vida ativa) cumpre e excede os padrões de identificação presencial. Os testes decorreram de novembro de 2024 a julho de 2025, com conclusões publicadas em fevereiro de 2026 no site do Tesouro espanhol. Esta é a única atestação governamental de um Estado-Membro da UE do seu tipo, é publicada publicamente e é permanente. Distribuível.

5. finReg360 — parecer de adequação EBA/GL/2022/15

Um parecer jurídico independente da finReg360 (Madrid), datado de 28-04-2026, concluindo que a ferramenta de "onboarding" remoto de clientes da Didit cumpre as Diretrizes da EBA sobre "onboarding" remoto de clientes (EBA/GL/2022/15) e é compatível com o "Single Rulebook" AML da UE — e que o processo de identificação por vídeo não requer revisão humana manual quando os controlos automatizados da Didit estão em vigor. O documento que um MLRO pode apresentar a um conselho ou supervisor. Distribuível a pedido.

Análise aprofundada: qual atestação responde a qual pergunta

Diferentes compradores têm diferentes preocupações. Veja como aceder ao documento certo:

  • "A sua plataforma é segura / como protegem os nossos dados?" → SOC 2 Tipo 1 (sob NDA) e ISO/IEC 27001:2022 (cert. ES144068).
  • "A sua deteção de vida pode ser falsificada?" → iBeta Nível 1 PAD: 0% de sucesso de ataque em 360 tentativas.
  • "A sua utilização satisfaz realmente as nossas obrigações de "onboarding" remoto?" → o parecer finReg360 EBA/GL/2022/15, apoiado pela conclusão governamental Tesoro/SEPBLAC/CNMV.
  • "Por que devemos confiar no remoto em vez do presencial?" → a conclusão Tesoro/SEPBLAC/CNMV de que a Didit cumpre e excede a identificação presencial.

Uma nota sobre a partilha: ISO 27001, iBeta, o relatório Tesoro/SEPBLAC/CNMV e o parecer finReg360 são distribuíveis a pedido; o relatório SOC 2 é de uso restrito e partilhado apenas sob NDA. As atestações são referenciadas nos materiais — o relatório restrito em si não é publicado.

Casos de uso

  • Aquisição empresarial e bancária que exige SOC 2 e ISO 27001 antes de assinar.
  • MLROs de VASP de criptomoedas que necessitam de evidências de adequação legal para "onboarding" remoto sob as regras da UE.
  • Equipas de segurança que avaliam a anti-falsificação biométrica com um resultado de laboratório independente.
  • Vendas na UE onde a conclusão da "sandbox" governamental é o diferenciador decisivo sobre os concorrentes.

Perguntas frequentes

O SOC 2 da Didit é Tipo 1 ou Tipo 2?

É uma atestação Tipo 1, que reporta sobre o design dos controlos a partir de 09-04-2026. Um exame Tipo 2 está planeado. O relatório é de uso restrito e partilhado sob NDA.

Qual o nível do resultado iBeta PAD?

Nível 1 sob ISO/IEC 30107-3, com uma taxa de sucesso de ataque de 0% / 0% IAPAR em 360 tentativas de ataque.

O que torna a conclusão Tesoro/SEPBLAC/CNMV única?

É a única atestação governamental de um Estado-Membro da UE de que uma ferramenta de verificação de identidade remota cumpre e excede a identificação presencial — e é publicada publicamente e permanente.

Quais documentos posso receber sem NDA?

ISO/IEC 27001:2022, a carta iBeta Nível 1 PAD, a conclusão Tesoro/SEPBLAC/CNMV e o parecer finReg360 são distribuíveis a pedido. O relatório SOC 2 Tipo 1 requer um NDA.

A Didit é um Prestador de Serviços de Confiança Qualificado certificado eIDAS?

Não. A Didit está alinhada e suporta os quadros relevantes da UE, mas não é um QTSP certificado; estas cinco atestações são as que possui atualmente.

Pronto para começar?

Veja todas as atestações da Didit no centro de confiança, explore o produto de Verificação de Identidade e reveja os preços transparentes na página de preços. Quando estiver pronto, comece gratuitamente — 500 verificações KYC gratuitas todos os meses, com um fluxo de verificação "core" a partir de 0,33€.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Começar grátisFale connosco
Peça a uma IA para resumir esta página
Atestações de Conformidade Didit | Didit.