NovoSOC 2 Tipo 1
Auditoria independente dos nossos controlos de segurança, disponibilidade e confidencialidade, emitida pela ATOM em abril de 2026. Exame Tipo 2 em curso.
Tratamos das licenças, subsidiárias e auditorias para que a sua equipa de conformidade e risco possa avançar mais rapidamente. Ative um interruptor e lance em qualquer país em conformidade, SOC 2 Tipo 1, ISO/IEC 27001 e a certificação do governo Tesoro EU incluídas.
“A verificação NFC + prova de vida ativa da Didit oferece segurança equivalente ou superior à verificação presencial.”
Novembro 2024, Julho 2025 · Sandbox financeiro (Lei 7/2020), 4.ª coorte · supervisionado pelo Tesoro Público, Banco de España, SEPBLAC e CNMV.
Deteção de vivacidade, deteção de deepfake, classificadores de documentos, correspondência facial, deteção de ataques de injeção, risco comportamental, cada modelo reside no nosso próprio pipeline de treino e serviço.
O tráfego de produção alimenta uma fila de revisão em tempo real. Desvios, taxa de falsos positivos, mudanças nos padrões de ataque e qualidade do sinal por país são monitorizados continuamente; os limiares são reajustados sem alteração no código do cliente.
Cada modelo integra-se diretamente na sessão. Inferência p99 em menos de 2 segundos, sem viagens de ida e volta adicionais, sem toques extra. O utilizador legítimo conclui a verificação no mesmo fluxo; apenas o atacante vê um caminho diferente.
NovoAuditoria independente dos nossos controlos de segurança, disponibilidade e confidencialidade, emitida pela ATOM em abril de 2026. Exame Tipo 2 em curso.

Certifica que a nossa gestão de segurança da informação abrange as verificações Didit de ponta a ponta. Emitido pelo Bureau Veritas, válido até junho de 2027.

Teste anti-spoofing biométrico, 360 tentativas em seis categorias de ataque, zero bem-sucedidas. Realizado no laboratório NVLAP 200962, acreditado pelo NIST.
Um sandbox de um ano, conduzido por quatro reguladores financeiros espanhóis, concluiu que a verificação remota da Didit é, pelo menos, tão segura quanto as verificações de identidade presenciais. Nenhuma outra empresa de identidade possui esta atestação.

Conformidade total com o Regulamento Geral sobre a Proteção de Dados (RGPD) enquanto Processador de Dados. Acordo de Processamento de Dados e Medidas Técnicas e Organizacionais disponíveis mediante pedido.

Parecer jurídico independente: o onboarding remoto da Didit cumpre as Orientações da Autoridade Bancária Europeia sobre o onboarding remoto de clientes (EBA/GL/2022/15) e é compatível com o futuro Livro Único de Regras da UE contra o Branqueamento de Capitais (AML) e o regulamento dos Mercados de Criptoativos (MiCA).
Cada sessão é encriptada em repouso com chaves AES (Advanced Encryption Standard) de 256 bits. As chaves nunca tocam no nosso código de aplicação, residem no AWS KMS (Key Management Service), com chaves separadas para ambientes de sandbox e produção.
Cada chamada de API, webhook e sessão da Consola de Negócios é encriptada via TLS (Transport Layer Security) 1.3 com regras de cifra rigorosas. Protocolos mais antigos não conseguem fazer fallback; o HSTS (HTTP Strict Transport Security) é imposto em todo o site.
As sessões são processadas e armazenadas na União Europeia por defeito na AWS. Empresas podem ativar a residência no país, sujeita a disponibilidade, para que as equipas em qualquer mercado utilizem a Didit em conformidade.
Escolha por quanto tempo a Didit mantém cada sessão, de um mês a dez anos, por aplicação na Consola de Negócios. Implementações com pegada mínima podem apagar a sessão assim que o webhook for entregue.
Você escolhe exatamente quais dados a Didit recolhe, tudo o resto é descartado. Por defeito, apenas os modelos biométricos e metadados são mantidos; selfies e vídeos de prova de vida são apagados no momento em que a sessão é encerrada.
DSAR (Data Subject Access Request) completo e direito ao apagamento a pedido via API pública. Os utilizadores finais enviam DSARs a partir da aplicação Didit Identity; a sua equipa aciona-os com uma chamada DELETE no endpoint de sessões. Imposto em cada réplica, sem soft-delete, sem arquivo.
Zero violações de dados desde o lançamento do Didit em 2023. A segurança está integrada em todas as camadas da plataforma.
status.didit.me, cada incidente, cada análise pós-morte, sem necessidade de login. 100% de tempo de atividade nos últimos 6 meses.Solicite o Pacote de Confiança nesta página, relatório SOC 2, certificado ISO, relatório iBeta, atestado Tesoro, Acordo de Processamento de Dados (DPA), lista de subcontratados, enviado no mesmo dia útil sob um Acordo de Não Divulgação (NDA) assinado.
Sim. A infraestrutura escala-se em tempo real e suporta milhões de verificações por dia.
status.didit.me, sem necessidade de login.Os níveis de volume na página de preços são ativados automaticamente à medida que cresce, sem alteração de contrato, sem renegociação manual.
Você escolhe, por fluxo de trabalho. O Didit não tem uma lista fixa do que guardamos. A sua equipa de conformidade configura cada aplicação na Consola de Negócios, e o fluxo de trabalho apenas recolhe e armazena o que você indicar.
A aba Dados devolvidos oferece um seletor para cada categoria:
A lista exata de seletores depende dos módulos no seu fluxo de trabalho, verifique-os ao configurar o fluxo de trabalho na Consola de Negócios em Dados devolvidos.
Você é o Controlador de Dados. O Didit é o Processador de Dados. Esta é a configuração do Artigo 28 do Regulamento Geral sobre a Proteção de Dados (RGPD) que a maioria dos compradores regulados espera.
Recomendamos que permita ao Didit armazenar e aceder aos dados em seu nome. A maioria dos nossos clientes fá-lo. Proteger dados de identidade à escala da internet é um trabalho a tempo inteiro: encriptação reforçada, rotação de chaves, deteção de intrusões, gestão de vulnerabilidades, renovações de certificação, residência regional, ferramentas de direitos do titular dos dados, notificação de violação. As equipas de segurança e plataforma do Didit dedicam-se a isso todos os dias para que as suas equipas de conformidade e engenharia não o tenham de fazer. Você mantém o controlo total através da Consola de Negócios, cada regra de retenção, cada Pedido de Acesso do Titular dos Dados (DSAR), cada eliminação é sua para acionar.
Se a sua política exigir que os dados residam inteiramente no seu próprio ambiente (a sua conta na cloud, a sua base de dados on-premise), também o suportamos, o Didit funciona como um processador numa base de "fetch-and-forget" e a sua equipa é responsável pela retenção de ponta a ponta.
União Europeia por predefinição. Região específica ou no país disponível para Enterprise.
A implementação predefinida funciona na Amazon Web Services (AWS) na UE. Os dados são encriptados em repouso e em trânsito, com chaves de encriptação detidas pela AWS e separadas por ambiente.
Quando os dados atravessam uma fronteira, são protegidos pelas Cláusulas Contratuais Padrão (SCCs) de 2021 da Comissão Europeia. A Avaliação de Impacto da Transferência (TIA) correspondente é fornecida com o Pacote de Confiança nesta página.
Você define a janela de retenção. De 1 mês a 10 anos, por aplicação. A aplicação é automática.
Na Consola de Negócios, você define:
Se quiser que o Didit não guarde nada após o veredito, chame POST /v3/sessions/:session_id/delete/ do seu manipulador de webhook e a sessão desaparece no momento em que o seu sistema regista a sua própria cópia do resultado, o Didit nunca retém os dados após a chamada. Referência completa em docs.didit.me/sessions-api/delete-session.
Um endpoint por direito.
GET /v3/sessions/:session_id/decision/. Referência em docs.didit.me/sessions-api/retrieve-session.POST /v3/sessions/:session_id/delete/ remove a sessão e todos os artefactos ligados. Referência em docs.didit.me/sessions-api/delete-session.Cinco atestados externos em arquivo. Todos incluídos no Pacote de Confiança.
ES144068, válido até 03-06-2027).EBA/GL/2022/15) e o regulamento MiCA.Solicite o Pacote de Confiança nesta página e enviaremos todos os relatórios, certificados e memorandos no mesmo dia útil sob um Acordo de Não Divulgação (NDA) assinado.
Reconhecimento mútuo em toda a União Europeia (UE), e um registo de auditoria defensável perante o regulador.
O Tesoro Público, Banco de España, SEPBLAC e CNMV de Espanha realizaram uma sandbox financeira de um ano (novembro de 2024, julho de 2025) sobre a leitura de chip de Comunicação por Campo de Proximidade (NFC) do Didit mais o fluxo de onboarding de vivacidade ativa. O relatório oficial de conclusões, publicado em tesoro.es, conclui que a verificação remota do Didit cumpre ou excede o nível de segurança da identificação presencial sob a Diretiva Anti-Branqueamento de Capitais (AMLD).
Para a sua equipa de conformidade, isto significa:
O Didit é o único fornecedor de verificação de identidade com este atestado em registo público.
Sim, e provavelmente já estamos a trabalhar nisso. O Didit está ativamente a procurar mais de 10 certificações, licenças e aprovações regulamentares em mercados e verticais a qualquer momento: autorizações de pagamento, registos de cripto e Mercados de Criptoativos (MiCA), aprovações de supervisores de Anti-Branqueamento de Capitais (AML), estatuto de Prestador de Serviços de Confiança Qualificado (QTSP) eIDAS 2.0, relatórios de Unidades de Informação Financeira (UIF) regionais e autorizações específicas do setor (iGaming, saúde, banca).
Se houver uma licença ou certificação que a sua equipa de conformidade precise que o Didit possua, envie um email para `security@didit.me`. É provável que já esteja na nossa fila, e se não estiver, o seu pedido fará com que suba na lista. Responderemos com:
Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.