Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Confiança

Nós tratamos da conformidade. Lance verificações de identidade com um clique

Tratamos das licenças, subsidiárias e auditorias para que a sua equipa de conformidade e risco possa avançar mais rapidamente. Ative um interruptor e lance em qualquer país em conformidade, SOC 2 Tipo 1, ISO/IEC 27001 e a certificação do governo Tesoro EU incluídas.

Em números

Em números
  • 0%
    Uptime real nos últimos 12 meses. Registado ao vivo em status.didit.me contra o SLO (Service Level Objective) de 99,99%.
  • 0
    Violações materiais desde o lançamento da Didit. Testado em produção desde 2023.
  • Milhões
    Humanos verificados mensalmente na frota de produção.
  • Certificado
    Em conformidade em todos os locais onde a Didit opera, SOC 2 Tipo 1, ISO/IEC 27001, iBeta Nível 1 PAD e a certificação do regulador espanhol.
Registo público

Os reguladores afirmam que a Didit é mais segura do que a verificação presencial.

Espanha testou exaustivamente a leitura remota de chip NFC (Near-Field Communication) da Didit, juntamente com a prova de vida ativa, e registou-a publicamente como sendo, pelo menos, tão segura quanto a verificação presencial de um documento de identificação. Nenhum outro fornecedor de identidade possui esta certificação.
Supervisionado por
  • Tesoro Público, Tesouro Espanhol
  • Banco de España, Banco de Espanha
  • SEPBLAC, Unidade de inteligência financeira espanhola
  • CNMV, Comisión Nacional del Mercado de Valores
A verificação NFC + prova de vida ativa da Didit oferece segurança equivalente ou superior à verificação presencial.
Tesoro Espanhol, Informe de Conclusiones DIDIT, fevereiro de 2026

Novembro 2024, Julho 2025 · Sandbox financeiro (Lei 7/2020), 4.ª coorte · supervisionado pelo Tesoro Público, Banco de España, SEPBLAC e CNMV.

Engenharia de fraude

Uma equipa dedicada à fraude. Modelos, monitorização, prevenção.

Uma equipa focada apenas em fraude constrói, treina e monitoriza os modelos de deteção por trás de cada sessão Didit, deepfakes, ataques de injeção, falsificações, identidades sintéticas, mulas de dinheiro. Novo ataque em circulação? Novo sinal nessa semana. Os utilizadores legítimos nunca o sentem.
  • Modelos, desenvolvidos e retreinados internamente.

    Deteção de vivacidade, deteção de deepfake, classificadores de documentos, correspondência facial, deteção de ataques de injeção, risco comportamental, cada modelo reside no nosso próprio pipeline de treino e serviço.

  • Monitorização, cada sessão, a cada hora.

    O tráfego de produção alimenta uma fila de revisão em tempo real. Desvios, taxa de falsos positivos, mudanças nos padrões de ataque e qualidade do sinal por país são monitorizados continuamente; os limiares são reajustados sem alteração no código do cliente.

  • Prevenção, integrada, invisível para o utilizador.

    Cada modelo integra-se diretamente na sessão. Inferência p99 em menos de 2 segundos, sem viagens de ida e volta adicionais, sem toques extra. O utilizador legítimo conclui a verificação no mesmo fluxo; apenas o atacante vê um caminho diferente.

Certificações

Cada afirmação tem um documento que a comprova.

Seis atestações externas que abrangem segurança, privacidade, anti-spoofing biométrico, adequação regulamentar e reconhecimento governamental. Cada cartão apresenta um documento real, não um PDF de marketing.
Distintivo de atestação SOC 2 Tipo 1Novo
AICPA · 2026-04-09

SOC 2 Tipo 1

Auditoria independente dos nossos controlos de segurança, disponibilidade e confidencialidade, emitida pela ATOM em abril de 2026. Exame Tipo 2 em curso.

Certificado ISO 27001 emitido pelo Bureau Veritas
ES144068 · Bureau Veritas

ISO/IEC 27001:2022

Certifica que a nossa gestão de segurança da informação abrange as verificações Didit de ponta a ponta. Emitido pelo Bureau Veritas, válido até junho de 2027.

Distintivo de conformidade iBeta Nível 1 PAD
ISO/IEC 30107-3 · NIST/NVLAP

iBeta Nível 1 PAD

Teste anti-spoofing biométrico, 360 tentativas em seis categorias de ataque, zero bem-sucedidas. Realizado no laboratório NVLAP 200962, acreditado pelo NIST.

Logótipo do Tesoro Público, Tesouro Espanhol
Espanha · CNMV · SEPBLAC · BdE

Atestação do sandbox do Tesoro

Um sandbox de um ano, conduzido por quatro reguladores financeiros espanhóis, concluiu que a verificação remota da Didit é, pelo menos, tão segura quanto as verificações de identidade presenciais. Nenhuma outra empresa de identidade possui esta atestação.

Selo de Conformidade RGPD
UE 2016/679 · DPA · TOMs

RGPD Artigo 32

Conformidade total com o Regulamento Geral sobre a Proteção de Dados (RGPD) enquanto Processador de Dados. Acordo de Processamento de Dados e Medidas Técnicas e Organizacionais disponíveis mediante pedido.

Selo de conformidade EBA / MiCA
EBA/GL/2022/15 · MiCA

Conformidade EBA / MiCA

Parecer jurídico independente: o onboarding remoto da Didit cumpre as Orientações da Autoridade Bancária Europeia sobre o onboarding remoto de clientes (EBA/GL/2022/15) e é compatível com o futuro Livro Único de Regras da UE contra o Branqueamento de Capitais (AML) e o regulamento dos Mercados de Criptoativos (MiCA).

Proteção de dados

O que armazenamos, onde armazenamos e por quanto tempo o mantemos.

Os dados são seus; a Didit processa-os em seu nome. De acordo com o RGPD (Regulamento Geral sobre a Proteção de Dados), você é o Controlador de Dados e a Didit é o Processador de Dados. A plataforma já vem com os controlos do Artigo 32 do RGPD e as regras locais de proteção de dados integradas.
  • Encriptação em repousoAES-256.

    Cada sessão é encriptada em repouso com chaves AES (Advanced Encryption Standard) de 256 bits. As chaves nunca tocam no nosso código de aplicação, residem no AWS KMS (Key Management Service), com chaves separadas para ambientes de sandbox e produção.

  • Encriptação em trânsitoTLS 1.3.

    Cada chamada de API, webhook e sessão da Consola de Negócios é encriptada via TLS (Transport Layer Security) 1.3 com regras de cifra rigorosas. Protocolos mais antigos não conseguem fazer fallback; o HSTS (HTTP Strict Transport Security) é imposto em todo o site.

  • Residência de dadosUE por defeito.

    As sessões são processadas e armazenadas na União Europeia por defeito na AWS. Empresas podem ativar a residência no país, sujeita a disponibilidade, para que as equipas em qualquer mercado utilizem a Didit em conformidade.

  • Retenção1 mês a 10 anos.

    Escolha por quanto tempo a Didit mantém cada sessão, de um mês a dez anos, por aplicação na Consola de Negócios. Implementações com pegada mínima podem apagar a sessão assim que o webhook for entregue.

  • Tratamento de dados biométricosMinimização de dados.

    Você escolhe exatamente quais dados a Didit recolhe, tudo o resto é descartado. Por defeito, apenas os modelos biométricos e metadados são mantidos; selfies e vídeos de prova de vida são apagados no momento em que a sessão é encerrada.

  • Direitos dos titulares dos dadosApagar dados com um único endpoint.

    DSAR (Data Subject Access Request) completo e direito ao apagamento a pedido via API pública. Os utilizadores finais enviam DSARs a partir da aplicação Didit Identity; a sua equipa aciona-os com uma chamada DELETE no endpoint de sessões. Imposto em cada réplica, sem soft-delete, sem arquivo.

FAQ

Perguntas de segurança, respondidas.

As mesmas respostas que enviamos às equipas de segurança empresarial. Qualquer outra questão, security@didit.me.
Quão seguro é o Didit?

Zero violações de dados desde o lançamento do Didit em 2023. A segurança está integrada em todas as camadas da plataforma.

  • Zero violações, em milhões de verificações e mais de 1.500 clientes pagantes.
  • Tudo é encriptado, tanto quando os dados são armazenados como quando se movem entre sistemas. As chaves de encriptação residem na Amazon Web Services (AWS), separadas para que uma sandbox não possa ler dados de produção.
  • Cada pedido é verificado. Cada ação é registada. Sem segredos partilhados entre clientes.
  • Auditado independentemente, SOC 2 Tipo 1 (Tipo 2 em curso), ISO/IEC 27001:2022 e iBeta Nível 1 de Deteção de Ataques de Apresentação (PAD) com 0% de sucesso de ataque em 360 tentativas.
  • Página de estado público em tempo real em status.didit.me, cada incidente, cada análise pós-morte, sem necessidade de login. 100% de tempo de atividade nos últimos 6 meses.
  • Se algo acontecer, avisamos em poucas horas, bem dentro do prazo de notificação do Artigo 33 do Regulamento Geral sobre a Proteção de Dados (RGPD). As empresas obtêm um engenheiro dedicado de plantão 24/7, com um canal dedicado no Slack e WhatsApp.

Solicite o Pacote de Confiança nesta página, relatório SOC 2, certificado ISO, relatório iBeta, atestado Tesoro, Acordo de Processamento de Dados (DPA), lista de subcontratados, enviado no mesmo dia útil sob um Acordo de Não Divulgação (NDA) assinado.

Tenho muitas verificações. O Didit suportará o meu volume?

Sim. A infraestrutura escala-se em tempo real e suporta milhões de verificações por dia.

  • Escala automaticamente. Quando o seu tráfego duplica da noite para o dia, a plataforma expande-se. Sem chamadas de vendas, sem reescrita do plano de capacidade, sem necessidade de aviso.
  • Cada verificação é concluída em menos de 2 segundos, mesmo em picos de carga. A infraestrutura é otimizada para inferência rápida de ponta a ponta.
  • 100% de tempo de atividade nos últimos 6 meses. Acompanhe em tempo real em status.didit.me, sem necessidade de login.
  • Testado em produção, mais de 1.500 clientes pagantes em mais de 220 países, em produção desde 2023.
  • Construído para eventos de pico, inícios de apostas desportivas, lançamentos de marketplaces, implementações de verificação de idade. A plataforma lida com o pico sem que ninguém no Didit tenha de levantar um dedo.
  • Os contratos empresariais incluem garantias escritas, um Acordo de Nível de Serviço (SLA) sobre velocidade, tempo de atividade e capacidade, com créditos de faturação se falharmos.

Os níveis de volume na página de preços são ativados automaticamente à medida que cresce, sem alteração de contrato, sem renegociação manual.

Que dados o Didit armazena e quanto controlo tenho sobre eles?

Você escolhe, por fluxo de trabalho. O Didit não tem uma lista fixa do que guardamos. A sua equipa de conformidade configura cada aplicação na Consola de Negócios, e o fluxo de trabalho apenas recolhe e armazena o que você indicar.

A aba Dados devolvidos oferece um seletor para cada categoria:

  • Imagens de documentos de identidade (ID) e campos da Zona de Leitura Ótica (MRZ)
  • Dados do chip de Comunicação por Campo de Proximidade (NFC)
  • Campos de identidade extraídos (nome, data de nascimento, número do documento, validade, morada)
  • Modelos biométricos
  • Selfie bruta e vídeo completo de vivacidade
  • Impressão digital do dispositivo, navegador, sistema operativo, plataforma
  • Geolocalização por Protocolo de Internet (IP), sinais de Rede Privada Virtual (VPN) / Tor
  • Coordenadas de correspondência de localização de documentos
  • Resultados de rastreio de Anti-Branqueamento de Capitais (AML) com sanções, Pessoa Politicamente Exposta (PEP) e detalhes de correspondência de meios adversos
  • Payload de webhook, registo de auditoria e metadados por sessão

A lista exata de seletores depende dos módulos no seu fluxo de trabalho, verifique-os ao configurar o fluxo de trabalho na Consola de Negócios em Dados devolvidos.

Quem é o Controlador de Dados e quem é o Processador de Dados?

Você é o Controlador de Dados. O Didit é o Processador de Dados. Esta é a configuração do Artigo 28 do Regulamento Geral sobre a Proteção de Dados (RGPD) que a maioria dos compradores regulados espera.

  • Você decide porquê os dados são recolhidos, quais os campos são mantidos, quanto tempo são retidos e quem dentro da sua equipa pode agir sobre eles. O Acordo de Processamento de Dados (DPA) nesta página é o contrato que vincula o Didit a essas instruções.
  • O Didit processa os dados em seu nome, realizando as verificações, o rastreio, as verificações biométricas, a classificação de documentos, os webhooks, sob o seu DPA e sob os nossos próprios controlos SOC 2, ISO/IEC 27001 e Artigo 32 do Regulamento Geral sobre a Proteção de Dados (RGPD).

Recomendamos que permita ao Didit armazenar e aceder aos dados em seu nome. A maioria dos nossos clientes fá-lo. Proteger dados de identidade à escala da internet é um trabalho a tempo inteiro: encriptação reforçada, rotação de chaves, deteção de intrusões, gestão de vulnerabilidades, renovações de certificação, residência regional, ferramentas de direitos do titular dos dados, notificação de violação. As equipas de segurança e plataforma do Didit dedicam-se a isso todos os dias para que as suas equipas de conformidade e engenharia não o tenham de fazer. Você mantém o controlo total através da Consola de Negócios, cada regra de retenção, cada Pedido de Acesso do Titular dos Dados (DSAR), cada eliminação é sua para acionar.

Se a sua política exigir que os dados residam inteiramente no seu próprio ambiente (a sua conta na cloud, a sua base de dados on-premise), também o suportamos, o Didit funciona como um processador numa base de "fetch-and-forget" e a sua equipa é responsável pela retenção de ponta a ponta.

Onde são armazenados os dados e posso escolher a região?

União Europeia por predefinição. Região específica ou no país disponível para Enterprise.

A implementação predefinida funciona na Amazon Web Services (AWS) na UE. Os dados são encriptados em repouso e em trânsito, com chaves de encriptação detidas pela AWS e separadas por ambiente.

  • União Europeia (predefinição), todas as contas. Abrange o Regulamento Geral sobre a Proteção de Dados (RGPD), Schrems II / Quadro de Privacidade de Dados União Europeia, Estados Unidos e eIDAS 2.0.
  • Região específica (Estados Unidos Leste, Ásia-Pacífico, etc.), contratos Enterprise, quando o seu regulador o exige.
  • Residência no país (Brasil, Índia, etc.), Enterprise, sujeito a disponibilidade, para leis locais como a Lei Geral de Proteção de Dados (LGPD) do Brasil e a Lei de Proteção de Dados Pessoais Digitais (DPDPA) da Índia.

Quando os dados atravessam uma fronteira, são protegidos pelas Cláusulas Contratuais Padrão (SCCs) de 2021 da Comissão Europeia. A Avaliação de Impacto da Transferência (TIA) correspondente é fornecida com o Pacote de Confiança nesta página.

Quanto tempo guardam os dados e como configuro a retenção?

Você define a janela de retenção. De 1 mês a 10 anos, por aplicação. A aplicação é automática.

Na Consola de Negócios, você define:

  • Uma janela de retenção global, de 1 mês (quando quer que o Didit não guarde nada após o seu webhook ser acionado) a 10 anos (o limite da Diretiva Anti-Branqueamento de Capitais 6 (AMLD6)).
  • Retenção por categoria de dados, modelos biométricos podem sobreviver a imagens brutas; resultados de rastreio podem sobreviver a dados de identidade; a correspondência de localização de documentos pode ser totalmente eliminada.
  • Aplicação automática, todas as noites, a plataforma elimina tudo o que exceda a sua janela de retenção em todas as cópias. Cada eliminação é registada no registo de auditoria.

Se quiser que o Didit não guarde nada após o veredito, chame POST /v3/sessions/:session_id/delete/ do seu manipulador de webhook e a sessão desaparece no momento em que o seu sistema regista a sua própria cópia do resultado, o Didit nunca retém os dados após a chamada. Referência completa em docs.didit.me/sessions-api/delete-session.

Como lidam com Pedidos de Acesso do Titular dos Dados (DSARs), eliminação e portabilidade?

Um endpoint por direito.

  • Direito de acesso (Artigo 15) e direito à portabilidade dos dados (Artigo 20), obtenha o payload completo da sessão em GET /v3/sessions/:session_id/decision/. Referência em docs.didit.me/sessions-api/retrieve-session.
  • Direito ao apagamento (Artigo 17), POST /v3/sessions/:session_id/delete/ remove a sessão e todos os artefactos ligados. Referência em docs.didit.me/sessions-api/delete-session.
Que certificações e atestados possuem?

Cinco atestados externos em arquivo. Todos incluídos no Pacote de Confiança.

  • SOC 2 Tipo 1, Segurança, Disponibilidade e Confidencialidade, emitido pela ATOM em abril de 2026 sob os Critérios de Serviços de Confiança do American Institute of Certified Public Accountants (AICPA). O exame SOC 2 Tipo 2 está em curso.
  • ISO/IEC 27001:2022, Sistema de Gestão de Segurança da Informação, certificado pelo Bureau Veritas (certificado ES144068, válido até 03-06-2027).
  • iBeta Nível 1 de Deteção de Ataques de Apresentação (PAD), teste independente de anti-spoofing biométrico, realizado sob ISO/IEC 30107-3 num laboratório acreditado pelo National Institute of Standards and Technology (NIST). 0 ataques bem-sucedidos em 360 tentativas.
  • RGPD Artigo 32, Acordo de Processamento de Dados (DPA), lista de subcontratados e Medidas Técnicas e Organizacionais (TOMs), tudo público.
  • Memorando da Autoridade Bancária Europeia (EBA) / Mercados de Criptoativos (MiCA), parecer jurídico independente de que o Didit satisfaz as Orientações da EBA sobre o onboarding remoto de clientes (EBA/GL/2022/15) e o regulamento MiCA.

Solicite o Pacote de Confiança nesta página e enviaremos todos os relatórios, certificados e memorandos no mesmo dia útil sob um Acordo de Não Divulgação (NDA) assinado.

O que significa o atestado do regulador espanhol para mim?

Reconhecimento mútuo em toda a União Europeia (UE), e um registo de auditoria defensável perante o regulador.

O Tesoro Público, Banco de España, SEPBLAC e CNMV de Espanha realizaram uma sandbox financeira de um ano (novembro de 2024, julho de 2025) sobre a leitura de chip de Comunicação por Campo de Proximidade (NFC) do Didit mais o fluxo de onboarding de vivacidade ativa. O relatório oficial de conclusões, publicado em tesoro.es, conclui que a verificação remota do Didit cumpre ou excede o nível de segurança da identificação presencial sob a Diretiva Anti-Branqueamento de Capitais (AMLD).

Para a sua equipa de conformidade, isto significa:

  • Reconhecimento mútuo da AMLD6, o atestado é portátil para qualquer outro estado membro da UE sem recertificação.
  • Alinhamento com eIDAS 2.0, o fluxo NFC + vivacidade do Didit está registado publicamente como adequado para o onboarding de Assinatura Eletrónica Qualificada (QES).
  • Registo de auditoria defensável, quando a sua Unidade de Informação Financeira (UIF) local rever o seu onboarding, você aponta para o mesmo relatório que os seus reguladores pares da UE aprovaram.

O Didit é o único fornecedor de verificação de identidade com este atestado em registo público.

Posso pedir ao Didit para obter uma licença ou certificação específica?

Sim, e provavelmente estamos a trabalhar nisso. O Didit está ativamente a procurar mais de 10 certificações, licenças e aprovações regulamentares em mercados e verticais a qualquer momento: autorizações de pagamento, registos de cripto e Mercados de Criptoativos (MiCA), aprovações de supervisores de Anti-Branqueamento de Capitais (AML), estatuto de Prestador de Serviços de Confiança Qualificado (QTSP) eIDAS 2.0, relatórios de Unidades de Informação Financeira (UIF) regionais e autorizações específicas do setor (iGaming, saúde, banca).

Se houver uma licença ou certificação que a sua equipa de conformidade precise que o Didit possua, envie um email para `security@didit.me`. É provável que esteja na nossa fila, e se não estiver, o seu pedido fará com que suba na lista. Responderemos com:

  • Onde a certificação se encaixa no nosso roteiro.
  • O prazo esperado.
  • O âmbito (cobertura total, uma região específica, um módulo específico).

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Peça a uma IA para resumir esta página