Соответствие по проекту: Полный набор аттестаций Didit (RU)

Любой может сказать, что его платформа идентификации безопасна и соответствует требованиям. Гораздо меньше тех, кто может предоставить независимые отчеты, подтверждающие это. Соответствие Didit — это доказуемый актив: пять внешних аттестаций, охватывающих информационную безопасность, биометрическую защиту от спуфинга и юридическую адекватность удаленной регистрации, включая единственную государственную аттестацию страны-члена ЕС, подтверждающую, что инструмент удаленной верификации личности соответствует и превосходит стандарты очной идентификации.

Этот пост — единственное место, где можно полностью разобраться в стеке: что представляет собой каждая аттестация, кто ее выдал, что именно она охватывает и как вы можете использовать ее при должной осмотрительности, запросах предложений и закупках. Без преувеличений — уровни и даты указаны точно, потому что в вопросах соответствия точность и есть ценность.

Ключевые выводы

• SOC 2 Type 1 — аттестация контроля сервисной организации (Безопасность, Доступность, Конфиденциальность) от ATOM по состоянию на 09.04.2026. Запланирована проверка Type 2. Ограниченное использование (NDA).
• ISO/IEC 27001:2022 — система управления информационной безопасностью, сертифицированная Bureau Veritas, сертификат № ES144068, действителен до 03.06.2027. Распространяемый.
• iBeta Level 1 PAD — биометрическое обнаружение атак презентации в соответствии с ISO/IEC 30107-3, 0% успешных атак / 0% IAPAR за 360 попыток. Распространяемый.
• Tesoro / SEPBLAC / CNMV — заключение испанской финансовой песочницы о том, что удаленная верификация Didit соответствует и превосходит очную идентификацию. Опубликовано публично, постоянно. Главное отличие в ЕС.
• finReg360 — меморандум EBA/GL/2022/15 — независимое юридическое заключение (28.04.2026) о том, что удаленная регистрация Didit соответствует рекомендациям EBA по удаленной регистрации и Единому своду правил ЕС по AML. Распространяемый.
• Вместе они охватывают три вопроса, которые задает каждый покупатель: надежна ли ваша безопасность, устойчива ли ваша биометрия к спуфингу и адекватна ли ваша регистрация с юридической точки зрения?

Что требуется для «соответствия по проекту»

Покупатель, оценивающий поставщика услуг по верификации личности, фактически проводит три аудита одновременно:

1. Информационная безопасность — безопасна ли сама платформа? Защищены ли данные клиентов? Разработаны и управляются ли средства контроля в соответствии с признанным стандартом?
2. Биометрическая целостность — можно ли обмануть проверку живости и сопоставление лиц с помощью фотографий, повторов, масок или дипфейков?
3. Регуляторная адекватность — действительно ли использование этого инструмента соответствует закону, которому подчиняется покупатель, особенно в отношении удаленной регистрации?

Поставщик, который отвечает на все три вопроса независимыми сторонними доказательствами, а не самооценкой, сокращает многонедельный цикл должной осмотрительности до папки с документами. Это то, что на практике означает «соответствие по проекту»: доказательства существуют до того, как покупатель их запросит.

Почему это важно

Доказательства соответствия больше не являются приятным дополнением на поздних этапах цикла продаж — это ворота. Отделы закупок банков и EMI, MLRO крипто-VASP и специалисты по безопасности предприятий не подпишут контракт без них. Опросник приходит рано, и сделка задерживается до тех пор, пока не будут предоставлены артефакты.

Поставщик, который может немедленно предоставить отчет SOC 2, сертификат ISO 27001, результат iBeta, заключение государственной песочницы и независимое юридическое заключение, не только проходит ворота — он сокращает цикл и снижает риски для команды по соблюдению требований покупателя. Каждая аттестация устраняет причину для отказа.

Как Didit помогает: пять аттестаций

1. SOC 2 Type 1 (ATOM)

Аттестация контроля сервисной организации в соответствии с критериями AICPA Trust Services для безопасности, доступности и конфиденциальности, выданная ATOM. В ней сообщается о дизайне средств контроля Didit по состоянию на 09.04.2026. Следующим шагом запланирована проверка Type 2 — операционная эффективность за определенный период. Полный отчет ограничен в использовании в соответствии с правилами AICPA и предоставляется потенциальным клиентам и заказчикам, имеющим законную потребность и подписавшим NDA. Используйте его для ответов на вопросы безопасности предприятий США и закупок в сфере финтеха.

2. ISO/IEC 27001:2022 (Bureau Veritas, сертификат № ES144068)

Сертификация системы управления информационной безопасностью, кибербезопасностью и конфиденциальностью Didit, выданная Bureau Veritas Certification (аккредитована ENAC). Номер сертификата ES144068, первоначально сертифицирован 07.04.2026, действителен до 03.06.2027. Он подтверждает наличие управляемой, проверенной системы информационной безопасности — базового уровня, который ожидают европейские закупщики и регулируемые финансовые клиенты. Распространяемый по запросу.

3. iBeta Level 1 PAD (ISO/IEC 30107-3)

Независимая оценка обнаружения атак презентации биометрических данных, проведенная iBeta Quality Assurance (лаборатория, аккредитованная NIST/NVLAP) в соответствии с ISO/IEC 30107-3, Уровень 1. Тест включал 6 видов атак презентации на зарегистрированных субъектах в течение 360 попыток атаки — и зафиксировал 0% успешных атак / 0% IAPAR. Это аудиторское подтверждение заявлений Didit о защите от спуфинга. Распространяемый по запросу. (Это Уровень 1, а не Уровень 2 — указано точно.)

4. Заключение песочницы Tesoro / SEPBLAC / CNMV

Главное отличительное преимущество. В рамках испанской финансовой песочницы испанская CNMV, проводя проверку в координации с SEPBLAC (Испанским подразделением финансовой разведки), пришла к выводу, что удаленная верификация личности Didit (криптографическое считывание чипа NFC плюс лицевая биометрия с активной проверкой живости) соответствует и превосходит стандарты очной идентификации. Тесты проводились с ноября 2024 по июль 2025 года, а заключения были опубликованы в феврале 2026 года на сайте Казначейства Испании. Это единственная государственная аттестация такого рода в стране-члене ЕС, она публично опубликована и постоянна. Распространяемая.

5. finReg360 — меморандум EBA/GL/2022/15 об адекватности

Независимое юридическое заключение от finReg360 (Мадрид) от 28.04.2026, заключающее, что инструмент удаленной регистрации клиентов Didit соответствует Руководству EBA по удаленной регистрации клиентов (EBA/GL/2022/15) и совместим с готовящимся Единым сводом правил ЕС по AML — и что процесс видеоидентификации не требует ручной проверки человеком при наличии автоматизированных средств контроля Didit. Документ, который MLRO может представить совету директоров или надзорному органу. Распространяемый по запросу.

Подробно: какая аттестация отвечает на какой вопрос

Разные покупатели руководствуются разными проблемами. Вот как найти нужный документ:

• «Надежна ли ваша платформа / как вы защищаете наши данные?» → SOC 2 Type 1 (под NDA) и ISO/IEC 27001:2022 (сертификат ES144068).
• «Можно ли подделать вашу проверку живости?» → iBeta Level 1 PAD: 0% успешных атак за 360 попыток.
• «Действительно ли использование вашего сервиса соответствует нашим обязательствам по удаленной регистрации?» → меморандум finReg360 EBA/GL/2022/15, подкрепленный государственным заключением Tesoro/SEPBLAC/CNMV.
• «Почему мы должны доверять удаленной идентификации больше, чем очной?» → заключение Tesoro/SEPBLAC/CNMV о том, что Didit соответствует и превосходит очную идентификацию.

Примечание о распространении: ISO 27001, iBeta, отчет Tesoro/SEPBLAC/CNMV и меморандум finReg360 распространяются по запросу; отчет SOC 2 ограничен в использовании и предоставляется только под NDA. Аттестации упоминаются в материалах — сам ограниченный отчет не публикуется.

Случаи использования

• Закупки предприятий и банков, требующие SOC 2 и ISO 27001 перед подписанием.
• MLRO крипто-VASP, нуждающиеся в доказательствах юридической адекватности для удаленной регистрации в соответствии с правилами ЕС.
• Команды безопасности, оценивающие биометрическую защиту от спуфинга с помощью независимого лабораторного результата.
• Продажи в ЕС, где заключение государственной песочницы является решающим отличием от конкурентов.

Часто задаваемые вопросы

SOC 2 от Didit — это Type 1 или Type 2?

Это аттестация Type 1, сообщающая о дизайне средств контроля по состоянию на 09.04.2026. Запланирована проверка Type 2. Отчет ограничен в использовании и предоставляется под NDA.

Какой уровень у результата iBeta PAD?

Уровень 1 в соответствии с ISO/IEC 30107-3, с 0% успешных атак / 0% IAPAR за 360 попыток атаки.

Что делает заключение Tesoro/SEPBLAC/CNMV уникальным?

Это единственная государственная аттестация страны-члена ЕС, подтверждающая, что инструмент удаленной верификации личности соответствует и превосходит очную идентификацию — и она публично опубликована и постоянна.

Какие документы я могу получить без NDA?

ISO/IEC 27001:2022, письмо iBeta Level 1 PAD, заключение Tesoro/SEPBLAC/CNMV и меморандум finReg360 распространяются по запросу. Отчет SOC 2 Type 1 требует NDA.

Является ли Didit квалифицированным поставщиком доверительных услуг, сертифицированным eIDAS?

Нет. Didit соответствует и поддерживает соответствующие рамки ЕС, но не является сертифицированным QTSP; эти пять аттестаций — это то, что он имеет сегодня.

Готовы начать?

Посмотрите все аттестации Didit в центре доверия, изучите продукт для верификации личности и ознакомьтесь с прозрачными ценами на странице цен. Когда будете готовы, начните бесплатно — 500 бесплатных проверок KYC каждый месяц, с базовым потоком верификации от 0,33 доллара.