Didit 合规性证明：全栈解析 (ZH)

任何人都可能声称其身份平台安全合规。但能拿出独立报告来证明这一点的，却少之又少。Didit 的合规姿态是一项可验证的资产：五项外部证明——涵盖信息安全、生物识别防欺诈以及远程入职的法律充分性——其中包括唯一一份欧盟成员国政府证明，表明远程身份验证工具达到并超越了面对面身份识别标准。

本文将全面阐述这些证明：每项证明是什么，由谁颁发，具体涵盖哪些内容，以及如何在尽职调查、RFP 和采购中使用它们。绝无夸大其词——级别和日期都精确说明，因为在合规性方面，精确性就是价值。

主要收获

• SOC 2 Type 1 — 服务机构控制证明（安全性、可用性、保密性），由 ATOM 于 2026-04-09 签发。已计划进行 Type 2 审查。受限使用（需签订保密协议）。
• ISO/IEC 27001:2022 — 信息安全管理体系，由 Bureau Veritas 认证，证书编号 ES144068，有效期至 2027-06-03。可分发。
• iBeta Level 1 PAD — 符合 ISO/IEC 30107-3 的生物识别呈现攻击检测，360 次尝试中攻击成功率 / IAPAR 均为 0%。可分发。
• Tesoro / SEPBLAC / CNMV — 西班牙金融沙盒结论，表明 Didit 的远程验证达到并超越了面对面身份识别标准。公开出版，永久有效。这是欧盟的旗舰差异化优势。
• finReg360 — EBA/GL/2022/15 备忘录 — 独立法律意见（2026-04-28），认为 Didit 的远程入职符合 EBA 远程入职指南和欧盟反洗钱单一规则手册。可分发。
• 它们共同回答了每个买家都会提出的三个问题：您的安全性是否可靠，您的生物识别是否防欺诈，您的入职流程是否符合法律规定？

“设计即合规”的要求

评估身份验证供应商的买家实际上同时进行着三项审计：

1. 信息安全 — 平台本身是否安全？客户数据是否受到保护？控制措施是否按照公认标准设计和管理？
2. 生物识别完整性 — 活体检测和人脸匹配是否会被照片、回放、面具或深度伪造欺骗？
3. 监管充分性 — 使用此工具是否真正满足买家所受法律的规定，特别是远程入职？

如果供应商能够用独立第三方证据（而非自我评估）回答所有这三个问题，那么原本需要数周的尽职调查周期就会缩短为一份文档文件夹。这就是“设计即合规”在实践中的含义：证据在买家提出要求之前就已存在。

为何重要

合规性证据不再是销售周期后期可有可无的东西——它是一个门槛。银行和电子货币机构的采购团队、加密货币虚拟资产服务提供商（VASP）的洗钱报告官员（MLRO）以及企业安全审查员，在没有这些证据的情况下是不会签字的。问卷会提前到来，交易会一直停滞，直到相关文件到位。

能够立即提供 SOC 2 报告、ISO 27001 证书、iBeta 结果、政府沙盒结论以及独立法律意见的供应商，不仅能通过门槛——它还能缩短周期，并降低买家合规团队的决策风险。每项证明都消除了一个说“不”的理由。

Didit 的帮助：五项证明

1. SOC 2 Type 1 (ATOM)

一份针对 AICPA 信任服务标准中安全性、可用性和保密性的服务机构控制证明，由 ATOM 签发。它报告了 Didit 控制措施截至 2026-04-09 的设计情况。计划进行Type 2 审查——针对一段时间内的运行有效性。根据 AICPA 规则，完整报告为受限使用，仅与具有合法需求并签订保密协议的潜在客户和现有客户共享。可用于美国企业安全问卷和金融科技采购。

2. ISO/IEC 27001:2022 (Bureau Veritas, 证书编号 ES144068)

Didit 信息安全、网络安全和隐私管理体系的认证，由 Bureau Veritas Certification（ENAC 认可）签发。证书编号 ES144068，最初认证日期为 2026-04-07，有效期至 2027-06-03。它证明了 Didit 拥有一个经过管理和审计的信息安全体系——这是欧盟采购和受监管金融客户所期望的基本要求。可根据请求分发。

3. iBeta Level 1 PAD (ISO/IEC 30107-3)

由 iBeta Quality Assurance（NIST/NVLAP 认可实验室）根据 ISO/IEC 30107-3, Level 1 进行的独立生物识别呈现攻击检测评估。测试对已注册对象进行了 6 种呈现攻击，共计 360 次攻击尝试——记录到 0% 的攻击成功率 / 0% 的 IAPAR。这是 Didit 防欺诈主张的审计证据。可根据请求分发。（它是 Level 1，而非 Level 2——精确说明。）

4. Tesoro / SEPBLAC / CNMV 沙盒结论

旗舰差异化优势。在西班牙金融沙盒内，西班牙 CNMV——与 SEPBLAC（西班牙金融情报机构）协调审查——得出结论，Didit 的远程身份验证（加密 NFC 芯片读取加上带主动活体检测的面部生物识别）达到并超越了面对面身份识别标准。测试运行时间为 2024-11 至 2025-07，结论于 2026 年 2 月在西班牙财政部网站上公布。这是唯一一份同类欧盟成员国政府证明，它公开出版，并且永久有效。可分发。

5. finReg360 — EBA/GL/2022/15 充分性备忘录

来自 finReg360（马德里）的独立法律意见，日期为 2026-04-28，结论是 Didit 的远程客户入职工具符合 EBA 远程客户入职指南（EBA/GL/2022/15），并且与即将生效的欧盟反洗钱单一规则手册兼容——当 Didit 的自动化控制措施到位时，视频识别过程不需要人工审查。这份文件可供洗钱报告官员（MLRO）提交给董事会或监管机构。可根据请求分发。

深入探讨：哪项证明回答哪个问题

不同的买家有不同的关注点。以下是如何选择正确文档的方法：

• “您的平台是否安全 / 您如何保护我们的数据？” → SOC 2 Type 1（需签订保密协议）和 ISO/IEC 27001:2022（证书 ES144068）。
• “您的活体检测是否会被欺骗？” → iBeta Level 1 PAD：360 次尝试中攻击成功率为 0%。
• “使用您是否真正满足我们的远程入职义务？” → finReg360 EBA/GL/2022/15 备忘录，由 Tesoro/SEPBLAC/CNMV 政府结论支持。
• “我们为什么要相信远程验证而非面对面验证？” → Tesoro/SEPBLAC/CNMV 结论，证明 Didit 达到并超越了面对面身份识别标准。

关于共享的说明：ISO 27001、iBeta、Tesoro/SEPBLAC/CNMV 报告和 finReg360 备忘录可根据请求分发；SOC 2 报告为受限使用，仅在签订保密协议后共享。证明文件在相关材料中引用——受限报告本身不公开发布。

使用场景

• 企业和银行采购，在签署前需要 SOC 2 和 ISO 27001。
• 加密货币虚拟资产服务提供商（VASP）的洗钱报告官员（MLRO），需要欧盟规则下远程入职的法律充分性证据。
• 安全团队，通过独立实验室结果评估生物识别防欺诈。
• 欧盟销售，政府沙盒结论是超越竞争对手的决定性差异化优势。

常见问题

Didit 的 SOC 2 是 Type 1 还是 Type 2？

它是一份 Type 1 证明，报告了截至 2026-04-09 的控制措施设计情况。已计划进行 Type 2 审查。该报告为受限使用，并在签订保密协议后共享。

iBeta PAD 结果的级别是多少？

符合 ISO/IEC 30107-3 的 Level 1，在 360 次攻击尝试中攻击成功率 / IAPAR 均为 0%。

Tesoro/SEPBLAC/CNMV 结论有何独特之处？

它是唯一一份欧盟成员国政府证明，表明远程身份验证工具达到并超越了面对面身份识别标准——并且它公开出版且永久有效。

哪些文件可以在不签订保密协议的情况下获得？

ISO/IEC 27001:2022、iBeta Level 1 PAD 函、Tesoro/SEPBLAC/CNMV 结论以及 finReg360 备忘录可根据请求分发。SOC 2 Type 1 报告需要签订保密协议。

Didit 是 eIDAS 认证的合格信任服务提供商吗？

不是。Didit 与相关的欧盟框架保持一致并提供支持，但并非认证的 QTSP；这五项证明是它目前所持有的。

准备好开始了吗？

请在信任中心查看 Didit 的所有证明，探索身份验证产品，并在定价页面查看透明定价。准备就绪后，免费开始——每月 500 次免费 KYC 检查，核心验证流程低至 0.33 美元。