Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Prova de Vida Passiva

Verifique qualquer rosto.
Sem lhes pedir para fazerem nada.

Prove que a pessoa na câmara é real e está viva. Anti-spoofing certificado iBeta, derrota deepfakes, máscaras, replays e ataques de morphing em menos de 2 segundos. Passiva a $0.10, ativa a $0.15. 500 gratuitas/mês.

Apoiado por
Y CombinatorRobinhood Ventures
Firecrawl
Slash
Crnogorski Telekom
UCSF Neuroscape
Bit2Me
Shiply

Confiado por mais de 2.000 organizações em todo o mundo.

Didit Liveness, captura de prova de vida passiva com veredito no dispositivo em menos de 2 segundos.

Certificado iBeta

Passivo. Flash.
Ativo. Tudo certificado.

Deteta máscaras 3D, deepfakes, ataques de repetição e fotos impressas. Certificado iBeta, veredito em menos de 2 segundos, $0.10 por verificação, 500 gratuitas todos os meses.

Como funciona

Do registo ao utilizador verificado em quatro passos.

  1. Passo 01

    Crie o fluxo de trabalho

    Escolha as verificações que pretende, ID, prova de vida, correspondência facial, sanções, morada, idade, telefone, e-mail, perguntas personalizadas. Arraste-as para um fluxo no dashboard, ou publique o mesmo fluxo na nossa API. Crie ramificações com base em condições, execute testes A/B, sem necessidade de código.

  2. Passo 02

    Integre

    Incorpore nativamente com os nossos SDKs Web, iOS, Android, React Native ou Flutter. Redirecione para uma página alojada. Ou simplesmente envie ao seu utilizador um link, por e-mail, SMS, WhatsApp, em qualquer lugar. Escolha o que melhor se adapta à sua stack.

  3. Passo 03

    O utilizador passa pelo fluxo

    A Didit aloja a câmara, as indicações de iluminação, a transição para o telemóvel e a acessibilidade. Enquanto o utilizador está no fluxo, pontuamos mais de 200 sinais de fraude em tempo real e verificamos cada campo em relação a fontes de dados autorizadas. Resultado em menos de dois segundos.

  4. Passo 04

    Recebe os resultados

    Webhooks assinados em tempo real mantêm a sua base de dados sincronizada no momento em que um utilizador é aprovado, recusado ou enviado para revisão. Consulte a API a pedido. Ou abra a consola para inspecionar cada sessão, cada sinal e gerir os casos à sua maneira.

Criado para developers · Criado contra a fraude · Aberto por design

Seis capacidades. Uma feature flag. PROVA DE VIDA.

Cada funcionalidade abaixo é um toggle no mesmo módulo. Sem níveis de upsell, sem SKUs separados, sem chamadas adicionais. Ative-os por fluxo de trabalho na consola, ou passe-os inline no endpoint autónomo.
01 · Métodos

Passivo, Flash 3D, Ação 3D. Escolha por risco.

Três métodos num só módulo. Passivo (um frame, zero ação do utilizador) para registos de baixa fricção. Flash 3D (uma sequência curta de luz capta a profundidade a partir da reflexão) para fluxos passivos de maior valor. Ação e Flash 3D (movimento + flash) para mercados sensíveis à regulamentação e onboarding de grande valor.
02 · Anti-spoofing certificado

Testado contra o catálogo completo de ataques de apresentação.

Testado independentemente e certificado iBeta, o padrão citado pelo NIST e pelo Open Identity Exchange. Bloqueia fotos impressas, repetições de ecrã, máscaras de papel, máscaras de silicone, máscaras de látex, ataques de morphing e deepfakes gerados por IA. Re-testado anualmente à medida que o catálogo de ataques cresce.
03 · Veredito em menos de 2 segundos

Inferência de ponta a ponta em menos de dois segundos.

Inferência servida na edge. Sem download de modelo, sem pressuposto de aceleração no dispositivo, sem experiência degradada em Android de nível básico. O passivo completa em menos de um segundo na maioria dos dispositivos. O Flash adiciona ~600ms. O 3D Ativo adiciona ~1.5s, ainda abaixo de 2 segundos de ponta a ponta.
04 · Avisos

Política de risco ajustável por fluxo de trabalho.

Sete avisos configuráveis, pontuação baixa, possível duplicado, face duplicada, múltiplas faces, baixa qualidade facial, pouca luz, muita luz, cada um mapeado para recusar, rever ou aprovar por aplicação. Três gatilhos de recusa automática (sem face, ataque detetado, face bloqueada) permanecem em vigor, aconteça o que acontecer.
05 · Estimativa de idade

Uma captura, dois sinais.

Ative a Estimativa de Idade num fluxo de trabalho de prova de vida e a mesma selfie devolve um veredito de prova de vida mais uma faixa etária estimada. Criado para a Lei de Segurança Online do Reino Unido e para o controlo de idade da UE, humano real E idade suficiente sem obrigar o utilizador a carregar um documento de identificação. $0.10 por verificação.
06 · Autenticação biométrica

O mesmo motor que usa no registo. Agora em cada login.

A prova de vida é a base para a Autenticação Biométrica, reutilize o mesmo modelo anti-spoofing para verificar utilizadores que regressam em cada ação sensível: transferência de alto valor, redefinição de palavra-passe, levantamento de grande valor. $0.10 por autenticação, drop-in para 2FA por SMS, sem fatura de operadora, sem exposição a troca de SIM.
Integrar

Dois endpoints. O mesmo JSON. O mesmo preço.

Crie uma sessão quando quiser que a nossa UI alojada trate da captura (necessário para métodos ativos), ou chame o endpoint passivo autónomo quando já tiver a selfie. Ambos devolvem o mesmo relatório de prova de vida.
POST /v3/session/UI alojada
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_liveness_3d",
    "vendor_data": "user-42"
  }'
201Criado{ "session_url": "verify.didit.me/..." }
Nós alojamos a UI de captura. Necessário para FLASHING e ACTIVE_3D.docs →
POST /v3/passive-liveness/Server-to-server
$ curl -X POST https://verification.didit.me/v3/passive-liveness/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -F "image=@selfie.jpg"
200OK{ "status": "Aprovado", "score": 98 }
A captura é sua. Nós devolvemos o veredito.docs →
Integração pronta para agente

Implemente Liveness com um único prompt.

Cole o bloco abaixo no Claude Code, Cursor, Codex, Devin, Aider ou Replit Agent. Preencha o placeholder `my_stack` com o seu framework, linguagem e caso de uso. O agente irá provisionar o Didit, construir o workflow com Liveness ativado, configurar o webhook e implementar.
didit-integration-prompt.md
# Didit Liveness — integrate in 5 minutes

You are integrating Didit's Liveness (presentation-attack detection) module
into <my_stack>. Follow these steps exactly. Every URL, header, and enum
value below is canonical — do not paraphrase or "improve" them.

## 1. Provision an account
- Sign up: https://business.didit.me (no credit card required).
- Or provision programmatically: POST https://apx.didit.me/auth/v2/programmatic/register/
  (returns an API key bound to the workspace + application).

## 2. Two integration paths — pick one

### Path A — Workflow Builder (hosted UI)
Best when you want Didit to handle camera, motion prompts, low-light
fallback, mobile handoff, and accessibility for you.

1. Create a workflow that contains the LIVENESS feature:
   POST https://verification.didit.me/v3/workflows/
   Authorization header:  x-api-key: <your-api-key>
   Body: workflow_label, features array with the single entry
         { feature: "LIVENESS" }   (UPPERCASE — strict enum)
   Optional config: liveness_method ("PASSIVE" | "FLASHING" | "ACTIVE_3D")
   and per-warning threshold overrides.

2. Create a verification session for an end user:
   POST https://verification.didit.me/v3/session/
   Body: workflow_id (from step 1), vendor_data (your own user id).
   Response: session_url — redirect the user to it.

3. Listen for webhook callbacks (see "Webhooks" below).

### Path B — Standalone server-to-server API
Best when you already have a selfie image (mobile SDK capture, native
onboarding app, reseller pipeline). Standalone is single-frame
PASSIVE only — for ACTIVE_3D or FLASHING you must use Path A.

POST https://verification.didit.me/v3/passive-liveness/
Content-Type: multipart/form-data
Body fields:
  - image        (required, file — single selfie)
  - vendor_data  (optional string, your user id)

Response: JSON report with liveness score, method, and warnings array.

## 3. Webhooks (Path A only — Path B returns synchronously)
- Register a webhook destination once via
  POST https://verification.didit.me/v3/webhook/destinations/
  Body: url, subscribed_events: ["session.verified", "session.review_started",
                                  "session.declined"]
- Response includes secret_shared_key — store it.
- Every webhook delivery carries an X-Signature-V2 header you MUST verify
  before trusting the payload.  HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature.Algorithm:
    1. sortKeys(payload) recursively
    2. shortenFloats (truncate trailing zeros after the decimal point)
    3. JSON.stringify the result
    4. HMAC-SHA256 with the secret_shared_key
    5. Hex-encode, compare to the X-Signature-V2 header.

## 4. Reading the report (both paths return the same shape)
The liveness object includes:
- status: "Approved" | "Declined" | "In Review" | "Not Finished"
- method: "PASSIVE" | "FLASHING" | "ACTIVE_3D"
- score: number 0-100 (normalized liveness score)
- reference_image: signed URL to the captured selfie (expires in 1 hour)
- video_url: signed URL to the capture video, present only for FLASHING
  and ACTIVE_3D (expires in 1 hour)
- age_estimation: { age, age_range } when enabled in the workflow
- warnings: Array<{ risk, log_type, short_description, long_description }>

Auto-decline risks (always enforced by Didit, not configurable):
- NO_FACE_DETECTED
- LIVENESS_FACE_ATTACK
- FACE_IN_BLOCKLIST

Configurable risks (action per workflow — Decline, Review, or Approve):
- LOW_LIVENESS_SCORE
- POSSIBLE_DUPLICATED_FACE
- DUPLICATED_FACE
- MULTIPLE_FACES_DETECTED
- LOW_FACE_QUALITY
- LOW_FACE_LUMINANCE
- HIGH_FACE_LUMINANCE

## 5. Hard rules — do not change
- Base URL for /v3/* endpoints is verification.didit.me (NOT apx.didit.me).
- Feature enum is UPPERCASE: LIVENESS, ID_VERIFICATION, FACE_MATCH, AML, IP_ANALYSIS.
- Method enum is UPPERCASE: PASSIVE, FLASHING, ACTIVE_3D.
- Auth header is x-api-key (lowercase, hyphenated).
- Webhook signature header is X-Signature-V2 (NOT X-Signature).
- Always verify webhook signatures before trusting payload data.
- Status casing matches exactly: "Approved", "Declined", "In Review",
  "Not Finished" (title-cased, space-separated).

## 6. Pricing reference (public)
- PASSIVE method: $0.10 per check (standalone or bundled)
- FLASHING / ACTIVE_3D methods: $0.15 per check
- Bundled in a full KYC workflow: $0.33 per session (includes Liveness)
- 500 free checks every month, forever, on every account.

## 7. Verify your integration
- Sandbox starts on signup at https://business.didit.me — no separate flag.
- Test images: deterministic synthetic faces returned in sandbox (Approved
  by default; trigger Declined by sending the canonical "spoof" test image).
- Switch to live: flip the application's environment toggle in console.

When in doubt: https://docs.didit.me/core-technology/liveness/overview
Precisa de mais contexto? Consulte a documentação completa do módulo.docs.didit.me →
Conformidade desde a conceção

Abra um novo país com um clique. Nós fazemos o trabalho difícil.

Abrimos as subsidiárias locais, garantimos as licenças, realizamos os testes de penetração, obtemos as certificações e alinhamos com cada nova regulamentação. Para lançar verificações num novo país, basta ativar um botão. Mais de 220 países ativos, auditados e testados trimestralmente, o único fornecedor de identidade que um governo de um estado-membro da UE formalmente considerou mais seguro do que a verificação presencial.
Ler o dossiê de segurança e conformidade
Sandbox financeiro da UE
Tesoro · SEPBLAC · BdE
Jugendschutz geprüft
FSM · JMStV §4(2) · 2026
ISO/IEC 27001
Segurança da informação · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Alinhado com a UE por design

Números comprovados

Números comprovados
  • iBeta
    Anti-spoofing (deteção de ataque de apresentação) certificado independentemente.
  • 0
    Métodos de Liveness, passivo, flash 3D, ação 3D + flash.
  • <0s
    Inferência de ponta a ponta por verificação.
  • $0.00
    Por verificação de liveness passiva. 500 gratuitas todos os meses.
Três níveis, uma tabela de preços

Comece grátis. Pague por utilização. Expanda para Enterprise.

500 verificações gratuitas todos os meses, para sempre. Pague à medida que usa para produção. Contratos personalizados, residência de dados e SLAs (Acordos de Nível de Serviço) no Enterprise.
Grátis

Grátis

$0 / mês. Não é necessário cartão de crédito.

  • Pacote KYC gratuito (Verificação de ID + Prova de Vida Passiva + Correspondência Facial + Análise de Dispositivo e IP), 500 / mês, todos os meses
  • Utilizadores Bloqueados
  • Deteção de Duplicados
  • Mais de 200 sinais de fraude em cada sessão
  • KYC reutilizável em toda a rede Didit
  • Plataforma de Gestão de Casos
  • Workflow Builder
  • Documentação pública, sandbox, SDKs, servidor MCP (Model Context Protocol)
  • Apoio da comunidade
Mais popular
Pague por utilização

Baseado na Utilização

Pague apenas pelo que usa. Mais de 25 módulos. Preços públicos por módulo, sem taxa mínima mensal.

  • KYC completo por $0.33 (ID + Biometria + IP / Dispositivo)
  • Mais de 10.000 conjuntos de dados AML, sanções, PEPs, notícias desfavoráveis
  • Mais de 1.000 fontes de dados governamentais para Validação de Base de Dados
  • Monitorização de Transações por $0.02 por transação
  • KYB em tempo real por $2.00 por empresa
  • Rastreio de Carteiras por $0.15 por verificação
  • Fluxo de verificação whitelabel, a sua marca, a nossa infraestrutura
Empresarial

Empresarial

MSA e SLA personalizados. Para grandes volumes e programas regulados.

  • Contratos anuais
  • MSA, DPA e SLA personalizados
  • Canal dedicado no Slack e WhatsApp
  • Revisores manuais sob pedido
  • Termos de revenda e whitelabel
  • Funcionalidades exclusivas e integrações com parceiros
  • CSM nomeado, revisão de segurança, apoio à conformidade

Comece grátis → pague apenas quando uma verificação for executada → desbloqueie o Enterprise para um contrato personalizado, SLA ou residência de dados.

FAQ

Perguntas frequentes

O que é a Didit?

A Didit é uma infraestrutura para identidade e fraude, a plataforma que gostaríamos que existisse quando estávamos a construir os nossos próprios produtos: *aberta, flexível e developer-friendly**, para que funcione como uma parte real da sua stack* em vez de uma caixa preta que tem de integrar.

Uma API abrange a verificação de pessoas (KYC, know your customer), verificação de empresas (KYB, know your business), rastreio de carteiras de cripto (KYT, know your transaction), e monitorização de transações em tempo real, numa stack construída para ser:

  • Rápida, menos de 2 segundos no p99 em cada sessão
  • Fiável, em produção com mais de 1.500 empresas em mais de 220 países
  • Segura, SOC 2 Type 1, ISO 27001, nativa do GDPR, e formalmente atestada pelo regulador financeiro de Espanha como mais segura do que verificar alguém presencialmente

A base subjacente: mais de 14.000 tipos de documentos em mais de 48 idiomas, mais de 1.000 fontes de dados e mais de 200 sinais de fraude em cada sessão. A infraestrutura Didit aprende dinamicamente com cada sessão e melhora a cada dia.

Que entradas a Prova de Vida aceita?
Uma única selfie. Caminho A, Workflow Builder: a UI alojada captura a selfie dentro da sessão do utilizador, o modo passivo não requer ação do utilizador, o 3D Flash reproduz uma sequência curta de cores, o 3D Action solicita um movimento da cabeça. Vem gratuitamente com a sessão, sem trabalho extra de captura do seu lado. Caminho B, Standalone API: passa a imagem você mesmo como user_image num POST /v3/passive-liveness/ multipart. Formatos aceites: JPG, JPEG, PNG, até 5 MB. Ambos os caminhos devolvem o mesmo formato JSON liveness.
Qual é o formato da resposta?
Um objeto liveness de nível raiz com status (Approved, Declined, In Review ou Not Finished), uma score de 0 a 100, o method utilizado (PASSIVE, FLASHING ou ACTIVE_3D), um float age_estimation (opcional, quando incluído), um URL reference_image assinado, um video_url assinado para métodos ativos, um array matches que mostra quaisquer correspondências de pesquisa facial (cada uma com session_id, similarity_percentage, is_blocklisted), e um array warnings. Cada aviso contém risk, log_type (information, warning ou error), short_description e long_description. O formato é o mesmo, quer tenha chamado o Workflow Builder ou a Standalone API. Referência completa em docs.didit.me/core-technology/liveness/report-liveness.
Qual a rapidez da verificação para o meu utilizador final?

O fluxo completo demora normalmente menos de 30 segundos de ponta a ponta, pegar no documento, tirar foto ao documento, tirar selfie, feito. É o mais rápido do mercado. Os fornecedores de KYC legados demoram geralmente mais de 90 segundos para o mesmo fluxo.

No back-end, a Didit devolve o resultado em menos de dois segundos no p99, medido desde o momento em que o utilizador termina a selfie até ao momento em que o seu webhook é acionado. A captura móvel está otimizada para telemóveis e redes lentas: compressão progressiva de imagem, carregamento lazy do software development kit, e uma transição com um toque do desktop para o telemóvel via código QR, caso o utilizador comece na web.

Como é que a Didit combate deepfakes, máscaras e ataques de replay?

Três métodos, um módulo, certificado iBeta Level 1 Presentation Attack Detection (PAD) em todo o catálogo de ataques:

  • Passivo, um frame, zero ação do utilizador. Deteta fotos impressas, replays de ecrã e ataques básicos de morphing. Ideal para registos de baixa fricção.
  • 3D Flash (`FLASHING`), reproduz uma sequência curta de cores no ecrã do telemóvel e mede o reflexo no rosto. Derrota replays de ecrã 2D e máscaras impressas de alta fidelidade.
  • 3D Action (`ACTIVE_3D`), combina um pedido de movimento da cabeça com a sequência de flash. Derrota máscaras de silicone 3D e vídeos deepfake gerados por IA. Ideal para onboarding de alto valor e mercados sensíveis a reguladores.

Sete avisos configuráveis (pontuação baixa, pouca luz, muita luz, possível duplicado, rosto duplicado, múltiplos rostos, baixa qualidade facial) mapeiam para recusa / revisão / aprovação por aplicação. Três gatilhos de recusa automática (sem rosto, ataque detetado, rosto bloqueado) são sempre aplicados.

O que acontece se um utilizador falhar, abandonar ou expirar?

Cada sessão tem um de sete estados claros, para que o seu código saiba sempre o que fazer:

  • Approved, todas as verificações passaram. Avance com o utilizador.
  • Declined, uma ou mais verificações falharam. Pode permitir que o utilizador reenvie o passo específico que falhou (por exemplo, tirar novamente a selfie) sem ter de repetir todo o fluxo.
  • In Review, sinalizado para revisão de conformidade. Abra o caso na consola, veja todos os sinais, decida aprovar ou recusar.
  • In Progress, o utilizador está a meio do fluxo.
  • Not Started, link enviado, o utilizador ainda não o abriu. Envie um lembrete se demorar muito.
  • Abandoned, o utilizador abriu o link, mas não terminou a tempo. Reative ou expire.
  • Expired, o link da sessão expirou. Crie uma nova sessão.

*Um webhook assinado é acionado em cada mudança de estado*, para que a sua base de dados esteja sempre sincronizada. As sessões abandonadas e recusadas são gratuitas.

Onde residem os dados dos meus clientes e como são protegidos?

Os dados de produção são processados e armazenados na União Europeia por predefinição, na Amazon Web Services. Contratos empresariais podem solicitar regiões alternativas para jurisdições cujos reguladores o exijam.

Criptografia em todo o lado. AES-256 em repouso em todas as bases de dados, armazenamento de objetos e backups. Transport Layer Security 1.3 em trânsito em cada chamada de API, webhook e sessão da Consola de Negócios. Os dados biométricos são encriptados sob uma Customer Master Key separada.

A retenção é sua para controlar. A retenção predefinida é indefinida (ilimitada), a menos que configure um período mais curto, entre 30 dias e 10 anos por aplicação, e pode eliminar qualquer sessão individual a qualquer momento a partir do dashboard ou da API.

Certificações: SOC 2 Tipo 1 (auditoria Tipo 2 em curso), ISO/IEC 27001:2022, iBeta Nível 1 PAD, e uma declaração pública do Tesoro / SEPBLAC / CNMV de Espanha de que a verificação remota de identidade da Didit é mais segura do que verificar alguém presencialmente. Relatório completo em /security-compliance.

A Didit está em conformidade com a minha indústria?

A Didit é, por predefinição, compatível com os reguladores relevantes para a infraestrutura de identidade:

  • GDPR + UK GDPR, divisão controlador / processador, Acordo de Processamento de Dados completo publicado, autoridade de supervisão principal nomeada (AEPD de Espanha).
  • AMLD6 + EU AML Single Rulebook, mais de 1.300 sanções, pessoa politicamente exposta e listas de meios de comunicação adversos rastreadas em tempo real.
  • eIDAS 2.0, alinhado com a Carteira de Identidade Digital da UE; pronto para identidade reutilizável.
  • MiCA (Mercados em Criptoativos), pronto para on-ramps de cripto, exchanges e custodiantes.
  • DORA, Digital Operational Resilience Act, resiliência operacional de serviços financeiros da UE.
  • BIPA, CUBI, Washington HB 1493, CCPA / CPRA, privacidade biométrica dos EUA (Illinois, Texas, Washington) e privacidade do consumidor da Califórnia.
  • UK Online Safety Act, obrigações de controlo de idade e segurança infantil.
  • FATF Travel Rule, dados do originador e beneficiário em transferências de cripto, interoperável com IVMS-101.

Memorando detalhado, todos os certificados, todas as cartas regulatórias: /security-compliance.

Com que rapidez consigo integrar e começar a verificar utilizadores?
  • 60 segundos para uma conta sandbox em business.didit.me, sem cartão de crédito.
  • 5 minutos para uma verificação funcional através de Claude Code, Cursor, ou qualquer agente de codificação via o nosso servidor Model Context Protocol (MCP).
  • Um fim de semana para uma integração pronta para produção com verificação de webhook assinado, retries e um fluxo de remediação quando um utilizador é recusado.

Três caminhos de integração, escolha o que melhor se adapta à sua stack:

  • Integre nativamente com o nosso SDK Web, iOS, Android, React Native ou Flutter.
  • Redirecione o utilizador para a página de verificação alojada, zero SDK.
  • Envie um link por email, SMS, WhatsApp ou qualquer canal, zero trabalho de front-end.

Mesmo dashboard, mesma faturação, mesmo preço pay-per-success para os três. Guia passo a passo em docs.didit.me/integration/integration-prompt.

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Peça a uma IA para resumir esta página