Pular para o conteúdo principal
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Prova de Vida Passiva

Verifique qualquer rosto.
Sem pedir que façam nada.

Comprove que a pessoa na câmera é real e está viva. Anti-spoofing certificado iBeta, derrota deepfakes, máscaras, replays e ataques de morphing em menos de 2 segundos. Passiva por $0.10, ativa por $0.15. 500 gratuitas/mês.

Apoiado por
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

Confiado por mais de 2.000 organizações em todo o mundo.

Didit Liveness, captura de prova de vida passiva com veredito no dispositivo em menos de 2 segundos.

Certificado iBeta

Passivo. Flash.
Ativo. Tudo certificado.

Detecta máscaras 3D, deepfakes, ataques de replay e fotos impressas. Certificado iBeta, veredito em menos de 2 segundos, $0.10 por verificação, 500 grátis todo mês.

Como funciona

Do cadastro ao usuário verificado em quatro passos.

  1. Passo 01

    Crie o fluxo de trabalho

    Escolha as verificações que você quer, ID, prova de vida, reconhecimento facial, sanções, endereço, idade, telefone, e-mail, perguntas personalizadas. Arraste-as para um fluxo no painel, ou publique o mesmo fluxo na nossa API. Crie ramificações com condições, faça testes A/B, sem precisar de código.

  2. Passo 02

    Integre

    Incorpore nativamente com nossos SDKs para Web, iOS, Android, React Native ou Flutter. Redirecione para uma página hospedada. Ou simplesmente envie um link para seu usuário, por e-mail, SMS, WhatsApp, onde quiser. Escolha o que melhor se adapta à sua stack.

  3. Passo 03

    O usuário passa pelo fluxo

    A Didit hospeda a câmera, as dicas de iluminação, a transição para o celular e a acessibilidade. Enquanto o usuário está no fluxo, pontuamos mais de 200 sinais de fraude em tempo real e verificamos cada campo contra fontes de dados oficiais. Resultado em menos de dois segundos.

  4. Passo 04

    Você recebe os resultados

    Webhooks assinados em tempo real mantêm seu banco de dados sincronizado no momento em que um usuário é aprovado, recusado ou enviado para revisão. Consulte a API sob demanda. Ou abra o console para inspecionar cada sessão, cada sinal e gerenciar casos do seu jeito.

Feito para desenvolvedores · Contra fraudes · Aberto por design

Seis funcionalidades. Uma feature flag. PROVA DE VIDA.

Cada funcionalidade abaixo é um toggle no mesmo módulo. Sem níveis de upsell, sem SKUs separados, sem chamadas adicionais. Ative-as por fluxo de trabalho no console, ou passe-as inline no endpoint autônomo.
01 · Métodos

Passivo, Flash 3D, Ação 3D. Escolha por risco.

Três métodos em um módulo. Passivo (um frame, zero ação do usuário) para cadastro de baixa fricção. Flash 3D (uma sequência curta de luz captura profundidade a partir da reflexão) para fluxos passivos de maior valor. Ação e Flash 3D (movimento + flash) para mercados sensíveis a regulamentação e onboarding de alto valor.
02 · Anti-spoof certificado

Testado contra o catálogo completo de ataques de apresentação.

Testado independentemente e certificado iBeta, o padrão citado pelo NIST e pelo Open Identity Exchange. Bloqueia fotos impressas, replays de tela, máscaras de papel, máscaras de silicone, máscaras de látex, ataques de morphing e deepfakes gerados por IA. Retestado anualmente à medida que o catálogo de ataques cresce.
03 · Veredito em menos de 2 segundos

Inferência de ponta a ponta em menos de dois segundos.

Inferência servida na edge. Sem download de modelo, sem suposição de aceleração no dispositivo, sem experiência degradada em Android de entrada. O passivo é concluído em menos de um segundo na maioria dos dispositivos. O Flash adiciona ~600ms. O 3D Ativo adiciona ~1.5s, ainda menos de 2 segundos de ponta a ponta.
04 · Avisos

Política de risco ajustável por fluxo de trabalho.

Sete avisos configuráveis, pontuação baixa, possível duplicidade, rosto duplicado, múltiplos rostos, baixa qualidade facial, pouca luz, muita luz, cada um mapeado para recusar, revisar ou aprovar por aplicação. Três gatilhos de recusa automática (sem rosto, ataque detectado, rosto bloqueado) permanecem aplicados, não importa o quê.
05 · Estimativa de idade

Uma captura, dois sinais.

Ative a Estimativa de Idade em um fluxo de prova de vida e a mesma selfie retorna um veredito de prova de vida mais uma faixa etária estimada. Construído para o UK Online Safety Act e o age-gating da UE, humano real E idade suficiente sem submeter o usuário ao upload de ID. $0.10 por verificação.
06 · Autenticação biométrica

O mesmo motor que você usa no cadastro. Agora em cada login.

A prova de vida é a base para a Autenticação Biométrica, reutilize o mesmo modelo anti-spoof para verificar usuários recorrentes em cada ação sensível: transferência de alto valor, redefinição de senha, grande saque. $0.10 por autenticação, substituto para 2FA por SMS, sem conta de operadora, sem exposição a troca de SIM.
Integre

Dois endpoints. Mesmo JSON. Mesmo preço.

Crie uma sessão quando quiser que nossa UI hospedada cuide da captura (necessário para métodos ativos), ou chame o endpoint passivo autônomo quando você já tiver a selfie. Ambos retornam o mesmo relatório de prova de vida.
POST /v3/session/UI Hospedada
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_liveness_3d",
    "vendor_data": "user-42"
  }'
201Criado{ "session_url": "verify.didit.me/..." }
Nós hospedamos a UI de captura. Necessário para FLASHING e ACTIVE_3D.docs →
POST /v3/passive-liveness/Server-to-server
$ curl -X POST https://verification.didit.me/v3/passive-liveness/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -F "image=@selfie.jpg"
200OK{ "status": "Aprovado", "score": 98 }
Você controla a captura. Nós retornamos o veredito na hora.docs →
Integração pronta para agentes

Lance Liveness com um único prompt.

Cole o bloco abaixo no Claude Code, Cursor, Codex, Devin, Aider ou Replit Agent. Preencha o placeholder my_stack com seu framework, linguagem e caso de uso. O agente provisiona o Didit, constrói o workflow com Liveness ativado, conecta o webhook e faz o deploy.
didit-integration-prompt.md
# Didit Liveness — integrate in 5 minutes

You are integrating Didit's Liveness (presentation-attack detection) module
into <my_stack>. Follow these steps exactly. Every URL, header, and enum
value below is canonical — do not paraphrase or "improve" them.

## 1. Provision an account
- Sign up: https://business.didit.me (no credit card required).
- Or provision programmatically: POST https://apx.didit.me/auth/v2/programmatic/register/
  (returns an API key bound to the workspace + application).

## 2. Two integration paths — pick one

### Path A — Workflow Builder (hosted UI)
Best when you want Didit to handle camera, motion prompts, low-light
fallback, mobile handoff, and accessibility for you.

1. Create a workflow that contains the LIVENESS feature:
   POST https://verification.didit.me/v3/workflows/
   Authorization header:  x-api-key: <your-api-key>
   Body: workflow_label, features array with the single entry
         { feature: "LIVENESS" }   (UPPERCASE — strict enum)
   Optional config: liveness_method ("PASSIVE" | "FLASHING" | "ACTIVE_3D")
   and per-warning threshold overrides.

2. Create a verification session for an end user:
   POST https://verification.didit.me/v3/session/
   Body: workflow_id (from step 1), vendor_data (your own user id).
   Response: session_url — redirect the user to it.

3. Listen for webhook callbacks (see "Webhooks" below).

### Path B — Standalone server-to-server API
Best when you already have a selfie image (mobile SDK capture, native
onboarding app, reseller pipeline). Standalone is single-frame
PASSIVE only — for ACTIVE_3D or FLASHING you must use Path A.

POST https://verification.didit.me/v3/passive-liveness/
Content-Type: multipart/form-data
Body fields:
  - image        (required, file — single selfie)
  - vendor_data  (optional string, your user id)

Response: JSON report with liveness score, method, and warnings array.

## 3. Webhooks (Path A only — Path B returns synchronously)
- Register a webhook destination once via
  POST https://verification.didit.me/v3/webhook/destinations/
  Body: url, subscribed_events: ["session.verified", "session.review_started",
                                  "session.declined"]
- Response includes secret_shared_key — store it.
- Every webhook delivery carries an X-Signature-V2 header you MUST verify
  before trusting the payload.  HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature.Algorithm:
    1. sortKeys(payload) recursively
    2. shortenFloats (truncate trailing zeros after the decimal point)
    3. JSON.stringify the result
    4. HMAC-SHA256 with the secret_shared_key
    5. Hex-encode, compare to the X-Signature-V2 header.

## 4. Reading the report (both paths return the same shape)
The liveness object includes:
- status: "Approved" | "Declined" | "In Review" | "Not Finished"
- method: "PASSIVE" | "FLASHING" | "ACTIVE_3D"
- score: number 0-100 (normalized liveness score)
- reference_image: signed URL to the captured selfie (expires in 1 hour)
- video_url: signed URL to the capture video, present only for FLASHING
  and ACTIVE_3D (expires in 1 hour)
- age_estimation: { age, age_range } when enabled in the workflow
- warnings: Array<{ risk, log_type, short_description, long_description }>

Auto-decline risks (always enforced by Didit, not configurable):
- NO_FACE_DETECTED
- LIVENESS_FACE_ATTACK
- FACE_IN_BLOCKLIST

Configurable risks (action per workflow — Decline, Review, or Approve):
- LOW_LIVENESS_SCORE
- POSSIBLE_DUPLICATED_FACE
- DUPLICATED_FACE
- MULTIPLE_FACES_DETECTED
- LOW_FACE_QUALITY
- LOW_FACE_LUMINANCE
- HIGH_FACE_LUMINANCE

## 5. Hard rules — do not change
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: LIVENESS, ID_VERIFICATION, FACE_MATCH, AML, IP_ANALYSIS.
- Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Always verify webhook signatures before trusting payload data.
- Status casing matches exactly: "Approved", "Declined", "In Review",
  "Not Finished" (title-cased, space-separated).

## 6. Pricing reference (public)
- PASSIVE method: $0.10 per check (standalone or bundled)
- FLASHING / ACTIVE_3D methods: $0.15 per check
- Bundled in a full KYC workflow: $0.33 per session (includes Liveness)
- 500 free checks every month, forever, on every account.

## 7. Verify your integration
- Sandbox starts on signup at https://business.didit.me — no separate flag.
- Test images: deterministic synthetic faces returned in sandbox (Approved
  by default; trigger Declined by sending the canonical "spoof" test image).
- Switch to live: flip the application's environment toggle in console.

When in doubt: https://docs.didit.me/core-technology/liveness/overview
Precisa de mais contexto? Consulte a documentação completa do módulo.docs.didit.me →
Conformidade por design

Abra um novo país com um clique. Nós fazemos o trabalho pesado.

Nós abrimos as subsidiárias locais, garantimos as licenças, realizamos os testes de penetração, obtemos as certificações e nos alinhamos a cada nova regulamentação. Para lançar verificações em um novo país, basta ativar uma chave. Mais de 220 países ativos, auditados e testados trimestralmente, o único provedor de identidade que um governo de um estado membro da UE formalmente considerou mais seguro do que a verificação presencial.
Leia o dossiê de segurança e conformidade
Sandbox financeiro da UE
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
Segurança da informação · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Alinhado com a UE por design

Números que comprovam

Números que comprovam
  • iBeta
    Anti-spoofing (detecção de ataque de apresentação) certificado independentemente.
  • 0
    Métodos de prova de vida, passivo, flash 3D, ação 3D + flash.
  • <0s
    Inferência de ponta a ponta por verificação.
  • $0.00
    Por verificação de prova de vida passiva. 500 gratuitas todo mês.
Três planos, uma tabela de preços

Comece grátis. Pague pelo uso. Escale para Enterprise.

500 verificações gratuitas todo mês, para sempre. Pague conforme usar para produção. Contratos personalizados, residência de dados e SLAs (Service Level Agreements) no plano Enterprise.
Grátis

Grátis

$0 / mês. Não precisa de cartão de crédito.

  • Pacote KYC grátis (Verificação de ID + Prova de Vida Passiva + Comparação Facial + Análise de Dispositivo e IP), 500 / mês, todo mês
  • Usuários Bloqueados
  • Detecção de Duplicidade
  • Mais de 200 sinais de fraude em cada sessão
  • KYC reutilizável na rede Didit
  • Plataforma de Gerenciamento de Casos
  • Construtor de Fluxos de Trabalho
  • Documentação pública, sandbox, SDKs, servidor MCP (Model Context Protocol)
  • Suporte da comunidade
Mais popular
Pague pelo uso

Baseado em Uso

Pague apenas pelo que usar. Mais de 25 módulos. Preços públicos por módulo, sem taxa mínima mensal.

  • KYC completo por $0.33 (ID + Biometria + IP / Dispositivo)
  • Mais de 10.000 conjuntos de dados AML, sanções, PEPs, mídias adversas
  • Mais de 1.000 fontes de dados governamentais para Validação de Banco de Dados
  • Monitoramento de Transações por $0.02 por transação
  • KYB ao vivo por $2.00 por empresa
  • Triagem de Carteira por $0.15 por verificação
  • Fluxo de verificação whitelabel, sua marca, nossa infraestrutura
Empresarial

Empresarial

MSA e SLA personalizados. Para grandes volumes e programas regulamentados.

  • Contratos anuais
  • MSA, DPA e SLA personalizados
  • Canal dedicado no Slack e WhatsApp
  • Revisores manuais sob demanda
  • Termos de revenda e whitelabel
  • Recursos exclusivos e integrações com parceiros
  • CSM dedicado, revisão de segurança, suporte a conformidade

Comece grátis → pague apenas quando uma verificação for executada → desbloqueie o Enterprise para um contrato personalizado, SLA ou residência de dados.

FAQ

Perguntas frequentes

O que é o Didit?

Didit é infraestrutura para identidade e fraude, a plataforma que gostaríamos que existisse quando estávamos construindo produtos: aberta, flexível e amigável para desenvolvedores, para que funcione como uma parte real da sua stack, em vez de uma caixa preta que você integra por fora.

Uma API cobre a verificação de pessoas (KYC, know your customer), verificação de empresas (KYB, know your business), triagem de carteiras de cripto (KYT, know your transaction) e monitoramento de transações em tempo real, em uma stack construída para ser:

  • Rápida, p99 abaixo de 2 segundos em cada sessão
  • Confiável, em produção com mais de 1.500 empresas em mais de 220 países
  • Segura, SOC 2 Tipo 1, ISO 27001, nativa do GDPR e formalmente atestada pelo regulador financeiro da Espanha como mais segura do que verificar alguém pessoalmente

A base por baixo: mais de 14.000 tipos de documentos em mais de 48 idiomas, mais de 1.000 fontes de dados e mais de 200 sinais de fraude em cada sessão. A infraestrutura Didit aprende dinamicamente de cada sessão e melhora a cada dia.

Quais entradas a Prova de Vida aceita?
Uma única selfie. Caminho A, Workflow Builder: a UI hospedada captura a selfie dentro da sessão do usuário, o modo passivo não exige ação do usuário, o 3D Flash reproduz uma sequência curta de cores, o 3D Action solicita um movimento da cabeça. Vem gratuitamente com a sessão, sem trabalho extra de captura da sua parte. Caminho B, API Standalone: você mesmo passa a imagem como user_image em um POST /v3/passive-liveness/ multipart. Formatos aceitos: JPG, JPEG, PNG, até 5 MB. Ambos os caminhos retornam o mesmo formato JSON de liveness.
Qual é o formato da resposta?
Um objeto liveness de nível raiz com status (Approved, Declined, In Review ou Not Finished), uma score de 0 a 100, o method usado (PASSIVE, FLASHING ou ACTIVE_3D), um float age_estimation (opcional, quando incluído), uma URL reference_image assinada, uma video_url assinada para métodos ativos, um array matches que mostra quaisquer resultados de busca facial (cada um com session_id, similarity_percentage, is_blocklisted) e um array warnings. O mesmo formato, seja você chamando o Workflow Builder ou a API standalone. Referência completa em docs.didit.me/core-technology/liveness/report-liveness.
Qual a velocidade da verificação para o meu usuário final?

O fluxo completo normalmente leva menos de 30 segundos do início ao fim, pegar o documento, tirar a foto do documento, tirar a selfie, pronto. Essa é a verificação mais rápida do mercado. Provedores de KYC legados geralmente levam mais de 90 segundos para o mesmo fluxo.

No back-end, o Didit retorna o resultado em menos de dois segundos no p99, medido a partir do momento em que o usuário termina a selfie até o momento em que seu webhook é acionado. A captura móvel é otimizada para celulares e redes lentas: compressão progressiva de imagem, carregamento preguiçoso do SDK e uma transferência com um toque do desktop para o celular via QR code, caso o usuário comece na web.

Como o Didit combate deepfakes, máscaras e ataques de replay?

Três métodos, um módulo, certificado iBeta Nível 1 Presentation Attack Detection (PAD) em todo o catálogo de ataques:

  • Passivo, um frame, zero ação do usuário. Detecta fotos impressas, replays de tela e ataques de morphing básicos. Melhor para cadastros de baixa fricção.
  • 3D Flash (`FLASHING`), reproduz uma sequência curta de cores na tela do telefone e mede o reflexo no rosto. Derrota replays de tela 2D e máscaras impressas de alta fidelidade.
  • 3D Action (`ACTIVE_3D`), combina um prompt de movimento da cabeça com a sequência de flash. Derrota máscaras de silicone 3D e vídeos deepfake gerados por IA. Melhor para onboarding de alto valor e mercados sensíveis a reguladores.

Sete avisos configuráveis (pontuação baixa, pouca luz, muita luz, possível duplicata, rosto duplicado, múltiplos rostos, baixa qualidade facial) mapeiam para recusar / revisar / aprovar por aplicação. Três gatilhos de recusa automática (sem rosto, ataque detectado, rosto bloqueado) são sempre aplicados.

O que acontece se um usuário falhar, abandonar ou expirar?

Cada sessão chega a um dos sete status claros, para que seu código sempre saiba o que fazer:

  • Approved, todas as verificações aprovadas. Avance o usuário.
  • Declined, uma ou mais verificações falharam. Você pode permitir que o usuário reenvie a etapa específica que falhou (por exemplo, refazer a selfie) sem executar todo o fluxo novamente.
  • In Review, sinalizado para revisão de conformidade. Abra o caso no console, veja todos os sinais, decida aprovar ou recusar.
  • In Progress, usuário está no meio do fluxo.
  • Not Started, link enviado, usuário ainda não abriu. Envie um lembrete se demorar muito.
  • Abandoned, usuário abriu o link, mas não terminou a tempo. Reengaje ou expire.
  • Expired, o link da sessão expirou. Crie uma nova sessão.

Um webhook assinado é acionado em cada mudança de status, para que seu banco de dados esteja sempre sincronizado. Sessões abandonadas e recusadas são gratuitas.

Onde ficam os dados dos meus clientes e como são protegidos?

Por padrão, os dados de produção são processados e armazenados na União Europeia, no Amazon Web Services. Contratos empresariais podem solicitar regiões alternativas para jurisdições cujos reguladores exijam.

Criptografia em todos os lugares. AES-256 em repouso em todos os bancos de dados, armazenamentos de objetos e backups. Transport Layer Security 1.3 em trânsito em cada chamada de API, webhook e sessão do Business Console. Dados biométricos são criptografados sob uma Customer Master Key separada.

A retenção é sua para controlar. A retenção padrão é indefinida (ilimitada), a menos que você configure um período menor, entre 30 dias e 10 anos por aplicativo, e você pode excluir qualquer sessão individual a qualquer momento pelo painel ou pela API.

Certificações: SOC 2 Tipo 1 (auditoria Tipo 2 em andamento), ISO/IEC 27001:2022, iBeta Nível 1 PAD, e uma declaração pública do Tesoro / SEPBLAC / CNMV da Espanha de que a verificação remota de identidade da Didit é mais segura do que verificar alguém pessoalmente. Relatório completo em /security-compliance.

A Didit está em conformidade com a minha indústria?

A Didit vem em conformidade, por padrão, com os reguladores importantes para a infraestrutura de identidade:

  • GDPR + UK GDPR, divisão controlador/processador, Acordo de Processamento de Dados completo publicado, autoridade supervisora principal nomeada (AEPD da Espanha).
  • AMLD6 + EU AML Single Rulebook, mais de 1.300 listas de sanções, pessoas politicamente expostas e mídias adversas rastreadas em tempo real.
  • eIDAS 2.0, alinhado com a Carteira de Identidade Digital da UE; pronto para identidade reutilizável.
  • MiCA (Markets in Crypto-Assets), pronto para on-ramps, exchanges e custodiantes de cripto.
  • DORA, Digital Operational Resilience Act, resiliência operacional de serviços financeiros da UE.
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, privacidade biométrica dos EUA (Illinois, Texas, Washington) e privacidade do consumidor da Califórnia.
  • UK Online Safety Act, obrigações de controle de idade e segurança infantil.
  • FATF Travel Rule, dados do originador e beneficiário em transferências de cripto, interoperável com IVMS-101.

Memorando detalhado, todos os certificados, todas as cartas regulatórias: /security-compliance.

Com que rapidez consigo integrar e começar a verificar usuários?
  • 60 segundos para uma conta sandbox em business.didit.me, sem cartão de crédito.
  • 5 minutos para uma verificação funcional via Claude Code, Cursor ou qualquer agente de codificação através do nosso servidor Model Context Protocol (MCP).
  • Um fim de semana para uma integração pronta para produção com verificação de webhook assinado, retentativas e um fluxo de remediação quando um usuário é recusado.

Três caminhos de integração, escolha o que melhor se adapta à sua stack:

  • Integre nativamente com nosso SDK para Web, iOS, Android, React Native ou Flutter.
  • Redirecione o usuário para a página de verificação hospedada, zero SDK.
  • Envie um link por e-mail, SMS, WhatsApp ou qualquer canal, zero trabalho de front-end.

Mesmo painel, mesma cobrança, mesmo preço por sucesso para todos os três. Guia passo a passo em docs.didit.me/integration/integration-prompt.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitoramento de Transações e Análise de Carteiras. Integre em 5 minutos.

Peça para uma IA resumir esta página