Skip to main content
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Didit
Política de Segurança da Informação
Atualizado a 16 de maio de 2026 · didit.me/terms/information-security
Legal

Política de Segurança da Informação

Atualizado: 16 de maio de 2026

Nesta página

Esta Política de Segurança da Informação descreve as certificações que a Didit possui, os controlos técnicos e organizacionais que a Didit opera e os artefactos de confiança disponíveis para clientes, potenciais clientes, reguladores e auditores. É revista pelo menos a cada seis meses.

1. Certificações e atestações

AtestaçãoNormaEmissorEstado
SOC 2 Tipo 1American Institute of Certified Public Accountants (AICPA) Trust Services Criteria, Segurança, Disponibilidade, ConfidencialidadeATOM (auditor de serviço independente)Emitido a 9 de abril de 2026. Exame SOC 2 Tipo 2 em curso e esperado antes do fecho da janela de utilização do logótipo SOC 2 Tipo 1.
ISO/IEC 27001:2022Segurança da Informação, Cibersegurança e Sistema de Gestão de PrivacidadeBureau Veritas Certification (acreditado pela ENAC), certificado nº ES144068Emitido a 7 de abril de 2026. Válido até 3 de junho de 2027.
iBeta Nível 1 PADISO/IEC 30107-3, Deteção de Ataques de Apresentação Biométrica, Nível 1iBeta Quality Assurance (NIST / NVLAP lab code 200962)Período de teste de 5 de janeiro a 4 de fevereiro de 2026. Taxa de sucesso de ataque de 0% em 360 tentativas.
*Atestação de sandbox Tesoro / SEPBLAC / CNMV*Sandbox financeiro espanhol (Lei 7/2020)CNMV (Comisión Nacional del Mercado de Valores), revista pelo SEPBLAC (Unidade de Inteligência Financeira Espanhola)Testes de 1 de novembro de 2024 a 9 de julho de 2025. Relatório de conclusão pública publicado em `tesoro.es` (fevereiro de 2026): A verificação de identidade remota da Didit é pelo menos tão segura quanto a identificação presencial.
Memorando de adequação EBA / MiCAOrientações da Autoridade Bancária Europeia sobre a integração remota de clientes (EBA/GL/2022/15) + Livro Único de Regras AML da UE + Regulamento dos Mercados de Criptoativos (MiCA)finReg360 (parecer jurídico independente)Emitido a 28 de abril de 2026.
RGPD Artigo 32Regulamento Geral de Proteção de Dados da UE (Regulamento (UE) 2016/679)Autoavaliado; suportado pelos controlos ISO/IEC 27001 e pelo Acordo de Processamento de Dados em `/terms/business`Contínuo.

Para solicitar qualquer um dos relatórios ou certificados subjacentes, envie um e-mail para security@didit.me. Os relatórios restritos sob os termos do seu emissor (por exemplo, SOC 2 Tipo 1) são partilhados após a assinatura de um Acordo de Não Divulgação (NDA), no mesmo dia útil.

2. Âmbito

Esta política abrange todo o pessoal da Didit (funcionários, contratados e terceiros autorizados), todos os sistemas de informação de produção e corporativos da Didit e os Serviços voltados para o cliente descritos nos Termos e Condições Comerciais. É revista pelo menos a cada seis meses.

É suportada pela Declaração de Aplicabilidade que sustenta o sistema de gestão ISO/IEC 27001:2022 da Didit.

3. Governança

  • Sistema de Gestão de Segurança da Informação e Privacidade alinhado aos controlos ISO/IEC 27001:2022 e ISO/IEC 27701, com uma Declaração de Aplicabilidade documentada.
  • O Diretor de Tecnologia (CTO) é o patrocinador executivo nomeado para a segurança da informação; o Encarregado da Proteção de Dados (DPO) (dpo@didit.me) é responsável pela governação do programa de privacidade.
  • Auditoria de segurança externa anual por auditores independentes (vigilância ISO 27001 e exames SOC 2).
  • Registo de riscos revisto e atualizado trimestralmente. Os riscos materiais são escalados para o comité de gestão.
  • Melhoria contínua, cada incidente, descoberta de auditoria e avaliação de risco alimenta o backlog de ações corretivas e a próxima atualização da política.

4. Criptografia e gestão de chaves

  • Em repouso: AES-256 em todas as bases de dados de produção, armazenamento de objetos e volumes de backup.
  • Em trânsito: TLS 1.3 para todas as chamadas de API externas, webhooks e sessões da Consola de Negócios. Versões TLS mais antigas e cifras fracas são desativadas. O HTTP Strict Transport Security (HSTS) é imposto em todo o site e pré-carregado.
  • Gestão de chaves: O AWS Key Management Service (KMS) detém e roda as chaves. O código da aplicação nunca toca em material de chave bruta. As chaves de sandbox e de produção são totalmente separadas.
  • Hasing: as credenciais do cliente são hashed com funções adaptativas padrão da indústria (bcrypt ou equivalente). As chaves de API são armazenadas como hashes unidirecionais; o valor bruto é mostrado ao operador apenas no momento da criação.

5. Identidade, acesso e arquitetura de confiança zero

  • Confiança zero por padrão, cada pedido a cada sistema interno é autenticado e autorizado. Não há confiança implícita baseada na localização da rede.
  • Controlo de acesso baseado em funções (RBAC) com o princípio do menor privilégio. As revisões de acesso são realizadas trimestralmente.
  • A Autenticação Multifator (MFA) é obrigatória para todos os funcionários, todos os sistemas de produção, todas as consolas na nuvem e todas as contas de alojamento de código.
  • Single Sign-On (SSO) para aplicações internas, com MFA de token de hardware para funções privilegiadas.
  • Acesso Just-in-Time para produção: o acesso privilegiado permanente é a exceção, não a regra.
  • Registo de auditoria, cada ação privilegiada é registada num pipeline de auditoria à prova de adulteração e de escrita única, retido por pelo menos 12 meses.

6. Residência e segregação de dados

  • União Europeia por padrão. Os dados de produção são processados e armazenados na União Europeia na Amazon Web Services. A residência em região específica ou no país está disponível em contratos Enterprise, sujeita a disponibilidade, para jurisdições cujos reguladores o exijam.
  • Separação de ambientes. Sandbox, staging e produção são isolados nas camadas de rede, identidade e gestão de chaves. Nenhum humano ou serviço num ambiente pode ler dados noutro sem um caminho de acesso explícito e auditado.
  • Separação de inquilinos. Os dados multi-inquilinos são logicamente separados com chaves de criptografia por inquilino, quando aplicável. As consultas entre inquilinos são bloqueadas na camada de aplicação e base de dados.

7. Ciclo de vida de desenvolvimento seguro (SDLC)

  • A revisão de código é exigida para cada alteração de produção. Nenhum engenheiro pode fundir código não revisto para produção sozinho.
  • *Static Application Security Testing (SAST), dependency scanning e Software Composition Analysis (SCA) são executados automaticamente em cada pull request*.
  • Análise de contentores e infraestrutura em cada build e num cronograma recorrente para imagens implementadas.
  • Testes de segurança pré-produção para alterações de alto impacto (autenticação, gestão de chaves, pipelines biométricos, fluxos de pagamento).
  • Testes de penetração internos continuamente; testes de penetração externos pelo menos uma vez por ano por especialistas independentes. As descobertas materiais são acompanhadas até à conclusão num cronograma vinculado a SLA.
  • *Canal de bug-bounty / divulgação responsável*, reporte problemas de segurança para security@didit.me.

8. Gestão de vulnerabilidades

  • *SLA de patching*** por gravidade, crítico (dentro de 72 horas após a divulgação do fornecedor), alto (dentro de 7 dias), médio (dentro de 30 dias), baixo (dentro de 90 dias).
  • Análise contínua de vulnerabilidades em toda a infraestrutura de produção, contentores e dependências.
  • Modelagem de ameaças para novas superfícies de produtos, pipelines biométricos e integrações entre ambientes.

9. Monitorização, deteção e resposta a incidentes

  • Monitorização 24x7 de cada sistema de produção com alertas sobre disponibilidade, erro e sinais de segurança.
  • O Security Information and Event Management (SIEM) agrega e correlaciona eventos de segurança; padrões anormais são escalados para engenheiros de segurança de plantão.
  • Plano de Resposta a Incidentes Documentado com funções nomeadas, árvore de comunicação, matriz de gravidade e processo de revisão pós-incidente. O plano é testado pelo menos anualmente através de exercícios de mesa.
  • Notificação de violação de dados pessoais. A Didit notifica os clientes afetados sem demora indevida e, em qualquer caso, a tempo de permitir que os clientes cumpram a sua própria obrigação de notificação de 72 horas nos termos do Artigo 33 do Regulamento Geral de Proteção de Dados (RGPD). Os clientes empresariais recebem um engenheiro nomeado de plantão e um canal de comunicação dedicado.
  • Página de estado pública em status.didit.me, cada incidente de produção, cada post-mortem, sem necessidade de login.

10. Continuidade de negócio e recuperação de desastres

  • Redundância ativa multi-AZ em cada região de produção; failover automático para serviços sem estado.
  • Os Backups são encriptados, geograficamente separados dentro do limite de residência escolhido e testados num cronograma recorrente.
  • Recovery Point Objective (RPO) ≤ 1 hora e Recovery Time Objective (RTO) ≤ 4 horas para a API de verificação principal e a Consola de Negócios.
  • Testes de Recuperação de Desastres (DR) pelo menos anualmente.

11. Segurança do pessoal

  • Verificações de antecedentes em todos os funcionários e contratados com acesso a dados de produção ou dados pessoais, onde permitido pela lei aplicável.
  • Acordos de confidencialidade na contratação para todos os funcionários e contratados.
  • Formação obrigatória em segurança e privacidade na integração e atualizada pelo menos anualmente para todos os funcionários. Formação direcionada (codificação segura, tratamento de dados biométricos, antifraude, antibranqueamento de capitais) para as funções que a necessitam.
  • *Simulações de phishing*** num cronograma recorrente.
  • O processo de entrada / movimentação / saída revoga o acesso dentro de 24 horas após a alteração de função ou saída.

12. Gestão de fornecedores e subcontratados

  • Cada subcontratado é avaliado quanto ao risco antes da integração e reavaliado pelo menos anualmente.
  • Cada subcontratado assina um Acordo de Processamento de Dados (DPA) que impõe obrigações de proteção de dados substancialmente semelhantes às que a Didit deve aos seus próprios clientes.
  • A lista atual de subcontratados é partilhada com clientes e potenciais clientes por e-mail após a assinatura de um Acordo de Não Divulgação (NDA). Envie um e-mail para security@didit.me para solicitá-la. Os clientes subscritos a notificações de alteração de subcontratados são notificados por e-mail com aviso prévio suficiente para objeção.

13. Direitos do titular dos dados e eliminação

  • Direito de acesso e portabilidade, `GET /v3/sessions/:session_id/decision/`.
  • Direito ao apagamento, `POST /v3/sessions/:session_id/delete/`. Remove a sessão e todos os artefactos ligados em todas as réplicas.
  • A retenção por aplicação é configurável na Consola de Negócios entre 30 dias e 10 anos; o padrão é indefinido, a menos que o cliente configure um período mais curto. A retenção de dados biométricos está em todos os casos sujeita e limitada pelas leis e regulamentos de privacidade biométrica aplicáveis, incluindo o Artigo 9 do Regulamento Geral de Proteção de Dados (RGPD) da UE, a Illinois Biometric Information Privacy Act (BIPA), a Texas Capture or Use of Biometric Identifier Act (CUBI), a Washington H.B. 1493 e qualquer outra lei de privacidade biométrica aplicável; onde tal lei prescreve um período de retenção mais curto ou uma obrigação de destruição anterior, essa regra mais curta ou mais rigorosa prevalece sobre qualquer período de retenção padrão ou configurado pelo cliente.
  • Consulte a Política de Privacidade e o Aviso de Privacidade de Verificação para o processo completo de direitos do titular dos dados.

14. Reportar um problema de segurança

Se acredita ter encontrado uma vulnerabilidade de segurança em qualquer produto ou serviço da Didit, envie um e-mail para security@didit.me com uma descrição, passos de reprodução e o impacto que observou. A Didit reconhece os relatórios de segurança dentro de 2 dias úteis e trabalha de boa-fé com os relatores que seguem as práticas de divulgação responsável.

15. Contacto

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Espanha
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/information-security

Tem perguntas sobre um documento específico?

Envie um email para legal@didit.me, privacy@didit.me ou security@didit.me, ou envie-nos uma mensagem no WhatsApp. Nós encaminhamos para o contacto certo.

Fale connosco
Peça a uma IA para resumir esta página