Por predefinição, os dados de produção são processados e armazenados na União Europeia, na Amazon Web Services. Contratos empresariais podem solicitar regiões alternativas para jurisdições cujos reguladores o exijam.
Criptografia em todo o lado. AES-256 em repouso em todas as bases de dados, armazenamento de objetos e cópias de segurança. Transport Layer Security 1.3 em trânsito em cada chamada de API, webhook e sessão da Consola de Negócios. Os dados biométricos são encriptados sob uma Customer Master Key separada.
A retenção é sua para controlar. A retenção predefinida é indefinida (ilimitada), a menos que configure um período mais curto, entre 30 dias e 10 anos por aplicação, e pode eliminar qualquer sessão individual a qualquer momento a partir do painel de controlo ou da API.
Certificações: SOC 2 Type 1 (auditoria Tipo 2 em curso), ISO/IEC 27001:2022, iBeta Level 1 PAD, e uma declaração pública do Tesoro / SEPBLAC / CNMV de Espanha de que a verificação remota de identidade da Didit é mais segura do que verificar alguém presencialmente. Relatório completo em /security-compliance.