Skip to main content
Didit Yakusanya $7.5M Kujenga Miundombinu ya Utambulisho na Udanganyifu
Didit
Didit
Sera ya Usalama wa Taarifa
Imesasishwa Mei 16, 2026 · didit.me/terms/information-security
Kisheria

Sera ya Usalama wa Taarifa

Imesasishwa: Mei 16, 2026

Kwenye ukurasa huu

Sera hii ya Usalama wa Taarifa inaeleza vyeti ambavyo Didit inavyo, udhibiti wa kiufundi na shirika ambao Didit inafanya kazi nao, na nyaraka za uaminifu zinazopatikana kwa wateja, wateja watarajiwa, wadhibiti, na wakaguzi. Inakaguliwa angalau kila baada ya miezi sita.

1. Vyeti na uthibitisho

UthibitishoKiwangoMtoajiHali
SOC 2 Aina ya 1Taasisi ya Marekani ya Wahasibu wa Umma Walioidhinishwa (AICPA) Vigezo vya Huduma za Uaminifu, Usalama, Upatikanaji, UsiriATOM (mkaguzi huru wa huduma)Imetolewa Aprili 9, 2026. Uchunguzi wa SOC 2 Aina ya 2 unaendelea na unatarajiwa kutolewa kabla ya dirisha la matumizi ya nembo ya SOC 2 Aina ya 1 kufungwa.
ISO/IEC 27001:2022Usalama wa Taarifa, Usalama wa Mtandaoni, na Mfumo wa Usimamizi wa FaraghaBureau Veritas Certification (iliyoidhinishwa na ENAC), cheti namba ES144068Imetolewa Aprili 7, 2026. Halali hadi Juni 3, 2027.
iBeta Kiwango cha 1 PADISO/IEC 30107-3, Utambuzi wa Mashambulizi ya Uwasilishaji wa Kibayometriki, Kiwango cha 1iBeta Quality Assurance (NIST / NVLAP lab code 200962)Kipindi cha majaribio Januari 5, Februari 4, 2026. Kiwango cha mafanikio ya mashambulizi 0% katika majaribio 360.
Tesoro / SEPBLAC / CNMV uthibitisho wa sandboxSandbox ya kifedha ya Uhispania (Ley 7/2020)CNMV (Comisión Nacional del Mercado de Valores), iliyokaguliwa na SEPBLAC (Kitengo cha Ujasusi wa Kifedha cha Uhispania)Majaribio Novemba 1, 2024, Julai 9, 2025. Ripoti ya hitimisho ya umma iliyochapishwa kwenye `tesoro.es` (Februari 2026): Uthibitishaji wa utambulisho wa mbali wa Didit ni salama angalau kama utambulisho wa ana kwa ana.
EBA / MiCA memo ya kutoshaMiongozo ya Mamlaka ya Benki ya Ulaya kuhusu usajili wa wateja wa mbali (EBA/GL/2022/15) + Kitabu cha Sheria Moja cha AML cha EU + Kanuni ya Masoko ya Crypto-Assets (MiCA)finReg360 (maoni huru ya kisheria)Imetolewa Aprili 28, 2026.
GDPR Kifungu cha 32Kanuni Kuu ya Ulinzi wa Data ya EU (Kanuni (EU) 2016/679)Imejipima yenyewe; inaungwa mkono na udhibiti wa ISO/IEC 27001 na Mkataba wa Uchakataji wa Data kwenye `/terms/business`Inaendelea.

Kuomba ripoti au vyeti vyovyote vya msingi, tuma barua pepe security@didit.me. Ripoti zilizozuiliwa chini ya masharti ya mtoaji wake (kwa mfano, SOC 2 Aina ya 1) zinashirikiwa baada ya Mkataba wa Kutofichua Taarifa (NDA) kusainiwa, siku hiyo hiyo ya biashara.

2. Upeo

Sera hii inashughulikia wafanyakazi wote wa Didit (wafanyakazi, wakandarasi, na wahusika wengine walioidhinishwa), mifumo yote ya uzalishaji na mifumo ya taarifa ya shirika ya Didit, na Huduma zinazoelekezwa kwa wateja zilizoelezwa katika Masharti na Vigezo vya Biashara. Inaungwa mkono na Taarifa ya Utekelezaji inayoweka msingi wa mfumo wa usimamizi wa ISO/IEC 27001:2022 wa Didit.

3. Utawala

  • Mfumo wa Usimamizi wa Usalama wa Taarifa na Faragha uliopangiliwa na udhibiti wa ISO/IEC 27001:2022 na ISO/IEC 27701, na Taarifa ya Utekelezaji iliyoandikwa.
  • Afisa Mkuu wa Teknolojia ndiye mdhamini mkuu wa usalama wa taarifa; Afisa Ulinzi wa Data (dpo@didit.me) anamiliki utawala wa programu ya faragha.
  • Ukaguzi wa usalama wa nje wa kila mwaka na wakaguzi huru (ukaguzi wa ISO 27001 na uchunguzi wa SOC 2).
  • Rejista ya hatari inakaguliwa na kusasishwa kila robo mwaka. Hatari muhimu huongezwa kwa kamati ya usimamizi.
  • Uboreshaji endelevu, kila tukio, matokeo ya ukaguzi, na tathmini ya hatari huchangia katika orodha ya hatua za kurekebisha na usasishaji wa sera unaofuata.

4. Usimbaji fiche na usimamizi wa funguo

  • Katika mapumziko: AES-256 katika kila database ya uzalishaji, hifadhi ya kitu, na kiasi cha chelezo.
  • Katika usafiri: TLS 1.3 kwa kila simu ya API ya nje, webhook, na kikao cha Business Console. Matoleo ya zamani ya TLS na ciphers dhaifu yamezimwa. HTTP Strict Transport Security (HSTS) inatekelezwa kwenye tovuti nzima na kupakiwa mapema.
  • Usimamizi wa funguo: AWS Key Management Service (KMS) inashikilia na kuzungusha funguo. Msimbo wa programu haugusi kamwe nyenzo ghafi za funguo. Funguo za Sandbox na uzalishaji zimetenganishwa kabisa.
  • Hashing: vitambulisho vya wateja vimehashiwa na kazi za adaptive za kiwango cha sekta (bcrypt au sawa). Funguo za API zimehifadhiwa kama hashes za njia moja; thamani ghafi huonyeshwa kwa operator tu wakati wa kuunda.

5. Utambulisho, ufikiaji, na usanifu wa zero-trust

  • Zero-trust kwa chaguo-msingi, kila ombi kwa kila mfumo wa ndani linathibitishwa na kuidhinishwa. Hakuna uaminifu usio wazi kulingana na eneo la mtandao.
  • Udhibiti wa ufikiaji unaotegemea majukumu (RBAC) na kanuni ya upendeleo mdogo. Ukaguzi wa ufikiaji hufanywa kila robo mwaka.
  • Uthibitishaji wa Mambo Mengi (MFA) ni lazima kwa kila mfanyakazi, kila mfumo wa uzalishaji, kila console ya wingu, na kila akaunti ya kuhifadhi msimbo.
  • Kuingia Mara Moja (SSO) kwa programu za ndani, na MFA ya tokeni ya vifaa kwa majukumu yenye upendeleo.
  • Ufikiaji wa Just-in-Time kwa uzalishaji: ufikiaji wa upendeleo wa kudumu ni ubaguzi, sio sheria.
  • Ukaguzi wa kumbukumbu, kila hatua yenye upendeleo inaingizwa kwenye bomba la ukaguzi lisiloweza kubadilishwa, la kuandika mara moja lililohifadhiwa kwa angalau miezi 12.

6. Makazi ya data na utenganishaji

  • Umoja wa Ulaya kwa chaguo-msingi. Data ya uzalishaji inachakatwa na kuhifadhiwa katika Umoja wa Ulaya kwenye Amazon Web Services. Makazi maalum ya eneo au nchi yanapatikana kwenye mikataba ya Enterprise, kulingana na upatikanaji, kwa mamlaka ambazo wadhibiti wao wanahitaji.
  • Utenganishaji wa mazingira. Sandbox, staging, na uzalishaji zimetengwa kwenye tabaka za mtandao, utambulisho, na usimamizi wa funguo. Hakuna binadamu au huduma katika mazingira moja inayoweza kusoma data katika nyingine bila njia wazi, iliyokaguliwa ya ufikiaji.
  • Utenganishaji wa wapangaji. Data ya wapangaji wengi imetenganishwa kimantiki na funguo za usimbaji fiche kwa kila mpangaji inapofaa. Maswali ya kuvuka wapangaji yamezuiwa kwenye tabaka la programu na database.

7. Mzunguko wa maisha wa maendeleo salama (SDLC)

  • Ukaguzi wa msimbo unahitajika kwa kila mabadiliko ya uzalishaji. Hakuna mhandisi mmoja anayeweza kuunganisha msimbo usiochunguzwa kwenye uzalishaji.
  • Static Application Security Testing (SAST), dependency scanning, na Software Composition Analysis (SCA) huendeshwa kiotomatiki kwenye kila pull request.
  • Container na infrastructure scanning kwenye kila build na kwa ratiba ya mara kwa mara kwa picha zilizotumwa.
  • Upimaji wa usalama wa kabla ya uzalishaji kwa mabadiliko yenye athari kubwa (uthibitishaji, usimamizi wa funguo, mabomba ya kibayometriki, mitiririko ya malipo).
  • Upimaji wa ndani wa kupenya unaoendelea; upimaji wa nje wa kupenya angalau mara moja kwa mwaka na wataalamu huru. Matokeo muhimu yanafuatiliwa hadi kufungwa kwa ratiba iliyofungwa na SLA.
  • Bug-bounty / responsible-disclosure channel, ripoti masuala ya usalama kwa security@didit.me.

8. Usimamizi wa udhaifu

  • Patching SLA kwa ukali, muhimu (ndani ya masaa 72 ya ufichuzi wa muuzaji), juu (ndani ya siku 7), kati (ndani ya siku 30), chini (ndani ya siku 90).
  • Uchunguzi endelevu wa udhaifu katika miundombinu ya uzalishaji, kontena, na dependencies.
  • Uundaji wa vitisho kwa nyuso mpya za bidhaa, mabomba ya kibayometriki, na ujumuishaji wa mazingira mbalimbali.

9. Ufuatiliaji, utambuzi, na majibu ya matukio

  • Ufuatiliaji wa 24x7 wa kila mfumo wa uzalishaji na arifa juu ya upatikanaji, makosa, na ishara za usalama.
  • Security Information and Event Management (SIEM) inakusanya na kulinganisha matukio ya usalama; mifumo isiyo ya kawaida huongezeka kwa wahandisi wa usalama walio kazini.
  • Mpango wa Majibu ya Matukio Ulioandikwa na majukumu yaliyotajwa, mti wa mawasiliano, matrix ya ukali, na mchakato wa ukaguzi baada ya tukio. Mpango huo unajaribiwa angalau kila mwaka kupitia mazoezi ya mezani.
  • Arifa ya uvunjaji wa data binafsi. Didit inaarifu wateja walioathirika bila kuchelewa kusikostahili na kwa hali yoyote kwa wakati wa kuruhusu wateja kutimiza wajibu wao wa arifa wa masaa 72 chini ya Kanuni Kuu ya Ulinzi wa Data (GDPR) Kifungu cha 33. Wateja wa Enterprise wanapokea mhandisi aliyetajwa kazini na kituo maalum cha mawasiliano.
  • Ukurasa wa hali ya umma kwenye status.didit.me, kila tukio la uzalishaji, kila post-mortem, hakuna kuingia kunahitajika.

10. Mwendelezo wa biashara na urejeshaji wa maafa

  • Multi-AZ active redundancy katika kila eneo la uzalishaji; failover otomatiki kwa huduma zisizo na hali.
  • Backups zimesimbwa, zimetenganishwa kijiografia ndani ya mipaka ya makazi iliyochaguliwa, na kujaribiwa kwa ratiba ya mara kwa mara.
  • Recovery Point Objective (RPO) ≤ saa 1 na Recovery Time Objective (RTO) ≤ saa 4 kwa API kuu ya uthibitishaji na Business Console.
  • Majaribio ya Disaster Recovery (DR) angalau kila mwaka.

11. Usalama wa wafanyakazi

  • Ukaguzi wa historia kwa kila mfanyakazi na kila mkandarasi mwenye ufikiaji wa data ya uzalishaji au data binafsi, ambapo inaruhusiwa na sheria inayotumika.
  • Mikataba ya usiri wakati wa kuajiri kwa kila mfanyakazi na mkandarasi.
  • Mafunzo ya lazima ya usalama na faragha wakati wa usajili na kusasishwa angalau kila mwaka kwa kila mfanyakazi. Mafunzo maalum (coding salama, ushughulikiaji wa data ya kibayometriki, kupambana na udanganyifu, kupambana na utakatishaji fedha) kwa majukumu yanayohitaji.
  • Simulizi za hadaa kwa ratiba ya mara kwa mara.
  • Mchakato wa kujiunga / kuhamisha / kuondoka unabatilisha ufikiaji ndani ya masaa 24 ya mabadiliko ya jukumu au kuondoka.

12. Usimamizi wa wachuuzi na wasaidizi wa uchakataji

  • Kila msaidizi wa uchakataji anatathminiwa hatari kabla ya usajili na kukaguliwa upya angalau kila mwaka.
  • Kila msaidizi wa uchakataji anasaini Mkataba wa Uchakataji wa Data (DPA) unaoweka majukumu ya ulinzi wa data yanayofanana na yale Didit inayodaiwa na wateja wake.
  • Orodha ya sasa ya wasaidizi wa uchakataji inashirikiwa na wateja na wateja watarajiwa kupitia barua pepe baada ya Mkataba wa Kutofichua Taarifa (NDA) kusainiwa. Tuma barua pepe security@didit.me kuomba. Wateja waliojisajili kwa arifa za mabadiliko ya wasaidizi wa uchakataji wanaarifiwa kwa barua pepe na taarifa ya kutosha ya mapema ili kupinga.

13. Haki za mhusika wa data na kufuta

  • Haki ya kufikia na kubebeka, `GET /v3/sessions/:session_id/decision/`.
  • Haki ya kufuta, `POST /v3/sessions/:session_id/delete/`. Huondoa kikao na kila artifact iliyounganishwa katika kila replica.
  • Uhifadhi kwa kila programu unaweza kusanidiwa katika Business Console kati ya siku 30 na miaka 10; chaguo-msingi ni isiyo na kikomo isipokuwa mteja asanidi kipindi kifupi. Uhifadhi wa data ya kibayometriki katika kila hali unategemea, na umewekewa kikomo na, sheria na kanuni zinazotumika za faragha ya kibayometriki, ikiwa ni pamoja na Kanuni Kuu ya Ulinzi wa Data ya EU (GDPR) Kifungu cha 9, Sheria ya Faragha ya Taarifa za Kibayometriki ya Illinois (BIPA), Sheria ya Kukamata au Kutumia Kitambulisho cha Kibayometriki ya Texas (CUBI), Washington H.B. 1493, na sheria nyingine yoyote inayotumika ya faragha ya kibayometriki; ambapo sheria hiyo inaagiza kipindi kifupi cha uhifadhi au wajibu wa uharibifu wa mapema, sheria hiyo fupi au kali zaidi inashinda kipindi chochote cha uhifadhi cha chaguo-msingi au kilichosanidiwa na mteja.
  • Tazama Sera ya Faragha na Ilani ya Faragha ya Uthibitishaji kwa mchakato kamili wa haki za mhusika wa data.

14. Kuripoti suala la usalama

Ikiwa unaamini umepata udhaifu wa usalama katika bidhaa au huduma yoyote ya Didit, tuma barua pepe security@didit.me na maelezo, hatua za uzalishaji, na athari uliyoona. Didit inakiri ripoti za usalama ndani ya siku 2 za biashara na inafanya kazi kwa nia njema na waandishi wanaofuata mazoea ya ufichuzi wa uwajibikaji.

15. Mawasiliano

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/information-security

Una maswali kuhusu hati maalum?

Tuma barua pepe kwa legal@didit.me, privacy@didit.me, au security@didit.me, au tutumie ujumbe kwenye WhatsApp. Tutakuelekeza kwa mhusika sahihi.

Zungumza nasi
Uliza AI ifupishe ukurasa huu