跳到主要内容
Didit 融资 750 万美元,打造身份与欺诈基础设施
Didit
信任

我们承担合规重任,助您 一键

我们负责处理许可证、子公司和审计,让您的合规和风控团队能够更快行动。一键切换,即可在任何国家合规上线, 包括 SOC 2 Type 1、ISO/IEC 27001 和 Tesoro 欧盟政府认证。

数据一览

数据一览
  • 0%
    过去 12 个月的实际正常运行时间。在 status.didit.me 上实时记录,符合 99.99% SLO (Service Level Objective)。
  • 0
    Didit 推出以来无重大安全漏洞。自 2023 年起在生产环境中久经考验。
  • 数百万
    每月在生产集群上验证的用户数量。
  • 已认证
    Didit 运营所在地的所有区域均符合合规要求, SOC 2 Type 1、ISO/IEC 27001、iBeta Level 1 PAD 和西班牙监管机构认证。
公开记录

监管机构称 Didit 比线下验证更安全。

西班牙对 Didit 的远程近场通信 (NFC) 芯片读取和主动活体检测进行了压力测试,并公开记录其安全性至少与线下身份验证相当。没有其他身份提供商获得此认证。
受以下机构监管
  • Tesoro Público, 西班牙财政部
  • Banco de España, 西班牙银行
  • SEPBLAC, 西班牙金融情报机构
  • CNMV, 西班牙国家证券市场委员会
Didit 的 NFC + 主动活体验证提供的安全性等同或高于线下验证。
西班牙财政部, Informe de Conclusiones DIDIT,2026 年 2 月

2024 年 11 月, 2025 年 7 月 · 金融沙盒 (Ley 7/2020),第四批 · 由 Tesoro Público、西班牙银行、SEPBLAC 和 CNMV 监管。

欺诈工程

专业的欺诈团队。 模型、监控、预防。

一个专注于欺诈的团队构建、训练和监控每个 Didit 会话背后的检测模型, 包括深度伪造、注入攻击、伪造、合成身份、洗钱骡子。野外出现新攻击?本周就会有新信号。合法用户永远不会察觉。
  • 模型, 内部构建与再训练。

    活体检测、深度伪造检测、文档分类器、人脸匹配、注入攻击检测、行为风险, 所有模型都在我们自己的训练和服务管道中运行。

  • 监控, 每时每刻,每个会话。

    生产流量实时进入审查队列。漂移、误报率、攻击模式变化和各国信号质量持续受到监控;阈值无需客户代码更改即可重新调整。

  • 预防, 内联,用户无感知。

    每个模型都在会话中内联集成。p99 推理时间低于 2 秒,无需额外往返,无需额外操作。合法用户在同一流程中完成验证;只有攻击者会看到不同的路径。

认证

每项声明都有文件支持。

六项外部认证涵盖安全性、隐私、生物识别防欺骗、监管合规性和政府认可。每张卡片都提供真实文件,而非营销 PDF。
SOC 2 Type 1 认证徽章
AICPA · 2026-04-09

SOC 2 Type 1

由 ATOM 于 2026 年 4 月发布的,对我们安全性、可用性和保密性控制的独立审计。Type 2 审查正在进行中。

Bureau Veritas 颁发的 ISO 27001 证书
ES144068 · Bureau Veritas

ISO/IEC 27001:2022

证明我们的信息安全管理涵盖 Didit 验证的端到端流程。由 Bureau Veritas 颁发,有效期至 2027 年 6 月。

iBeta Level 1 PAD 合规徽章
ISO/IEC 30107-3 · NIST/NVLAP

iBeta Level 1 PAD

生物识别防欺骗测试, 六类攻击共 360 次尝试,无一成功。在 NIST 认可的 NVLAP 实验室 200962 进行。

Tesoro Público, 西班牙财政部标志
西班牙 · CNMV · SEPBLAC · BdE

Tesoro 沙盒认证

西班牙四家金融监管机构为期一年的沙盒测试得出结论:Didit 的远程验证至少与现场身份检查一样安全。其他身份验证供应商均未获得此认证。

GDPR 就绪徽章
EU 2016/679 · DPA · TOMs

GDPR 第 32 条

作为数据处理者,完全符合通用数据保护条例 (GDPR)。可应要求提供数据处理协议以及技术和组织措施。

EBA / MiCA 合规徽章
EBA/GL/2022/15 · MiCA

EBA / MiCA 合规性

独立法律意见:Didit 的远程入驻符合欧洲银行管理局关于远程客户入驻的指南 (EBA/GL/2022/15),并与即将生效的欧盟反洗钱 (AML) 单一规则手册和加密资产市场 (MiCA) 法规兼容。

EBA / MiCA 合规徽章
EBA/GL/2022/15 · MiCA

EBA / MiCA 合规

独立法律意见:Didit 的远程入驻方案符合欧洲银行管理局关于远程客户入驻的指南 (EBA/GL/2022/15),并与即将生效的欧盟反洗钱 (AML) 单一规则手册和加密资产市场 (MiCA) 法规兼容。

数据保护

我们存储什么、存储在哪里、存储多久。

您拥有数据;Didit 代表您处理数据。根据 GDPR(通用数据保护条例),您是数据控制者,Didit 是数据处理者。平台内置 GDPR 第 32 条控制和本地数据保护规则。
  • 静态加密AES-256.

    每个会话都使用 256 位 AES(高级加密标准)密钥进行静态加密。密钥不会接触我们的应用程序代码,它们存储在 AWS KMS(密钥管理服务)中,沙盒和生产环境使用不同的密钥。

  • 传输加密TLS 1.3.

    每个 API 调用、Webhook 和业务控制台会话都通过 TLS(传输层安全)1.3 进行加密,并采用严格的密码规则。旧协议无法回退;HSTS(HTTP 严格传输安全)在全站强制执行。

  • 数据驻留默认欧盟.

    会话默认在 AWS 上的欧盟地区进行处理和存储。企业可以启用国家内驻留,具体取决于可用性, 因此任何市场的团队都可以合规地运行 Didit。

  • 数据保留1 个月到 10 年.

    在业务控制台中,您可以为每个应用程序选择 Didit 保留每个会话的时长, 从一个月到十年。最小化部署可以在 Webhook 到达后立即删除会话。

  • 生物识别处理数据最小化.

    您精确选择 Didit 收集哪些数据, 其他所有数据都将被丢弃。默认情况下,只保留生物识别模板和元数据;原始自拍和活体视频在会话关闭时立即删除。

  • 数据主体权利通过一个端点删除数据.

    通过公共 API 按需提供完整的 DSAR(数据主体访问请求)和删除权。终端用户从 Didit Identity 应用程序发送 DSAR;您的团队通过对会话端点进行一次 DELETE 调用来触发它们。在每个副本上强制执行, 无软删除,无归档存储桶。

FAQ

安全问题,已解答。

我们发送给企业安全团队的相同答案。其他问题请发送至 security@didit.me。
Didit 有多安全?

Didit 2023 年推出以来,零数据泄露。 安全性已融入平台每一层。

  • 零泄露,覆盖数百万次验证和 1,500 多个付费客户。
  • 所有数据均已加密, 无论数据存储还是系统间传输。加密密钥存储在 Amazon Web Services (AWS) 中,并进行隔离,以防止沙盒读取生产数据。
  • 每个请求都经过检查。每个操作都已记录。 客户之间没有共享密钥。
  • 独立审计, SOC 2 Type 1(Type 2 正在进行中)、ISO/IEC 27001:2022 iBeta Level 1 Presentation Attack Detection (PAD),360 次尝试中攻击成功率为 0%。
  • 实时公开状态页面 status.didit.me, 每次事件、每次事后分析,无需登录。过去 6 个月 100% 正常运行时间。
  • 如果发生任何情况,我们会在数小时内通知您, 远在通用数据保护条例 (GDPR) 33 条报告窗口期内。企业客户可获得 24/7 待命的指定工程师,并设有专属 Slack WhatsApp 频道。

在此页面请求信任包, SOC 2 报告、ISO 证书、iBeta 报告、Tesoro 证明、数据处理协议 (DPA)、子处理器列表, 签署保密协议 (NDA) 后,同日发送。

我有大量验证需求。Didit 能支持我的业务量吗?

是的。基础设施实时自动扩展,每天支持数百万次验证。

  • 自动扩展。 当您的流量一夜之间翻倍时,平台会自动扩展。无需销售电话,无需重新编写容量计划,无需预警。
  • 每次检查都在 2 秒内完成,即使在高峰负载下也是如此。基础设施针对端到端快速推理进行了优化。
  • 过去 6 个月 100% 正常运行时间。 status.didit.me 实时跟踪, 无需登录。
  • 经过生产环境实战检验, 2023 年以来,已在 220 多个国家/地区拥有 1,500 多个付费客户。
  • 专为峰值事件设计, 体育博彩开赛、市场发布、年龄验证推广。平台无需 Didit 任何人干预即可处理峰值。
  • 企业合同包含书面保证, 关于速度、正常运行时间和容量的服务水平协议 (SLA),如果未能达到,将提供账单抵免。

定价页面上的业务量分级会随着您的增长自动生效, 无需更改合同,无需手动重新谈判。

Didit 存储哪些数据,我对其有多少控制权?

您可根据每个工作流进行选择。 Didit 没有固定保留列表。您的合规团队在业务控制台 (Business Console) 中配置每个应用程序,工作流仅收集和存储您指定的数据。

返回数据”选项卡为您提供了每个类别的开关:

  • 身份 (ID) 文档图像和机器可读区 (MRZ) 字段
  • 近场通信 (NFC) 芯片数据
  • 提取的身份字段(姓名、出生日期、证件号码、有效期、地址)
  • 生物识别模板
  • 原始自拍和完整活体视频
  • 设备指纹、浏览器、操作系统、平台
  • 互联网协议 (IP) 地理定位、虚拟专用网络 (VPN) / Tor 信号
  • 文档位置匹配坐标
  • 反洗钱 (AML) 筛选命中,包括制裁、政治公众人物 (PEP) 和负面媒体匹配详情
  • Webhook 有效负载、审计日志和每个会话的元数据

开关的确切列表取决于您工作流中的模块, 在业务控制台 (Business Console) 的“返回数据”下设置工作流时进行检查。

谁是数据控制者,谁是数据处理者?

您是数据控制者。Didit 是数据处理者。 这是大多数受监管买家所期望的通用数据保护条例 (GDPR) 28 条设置。

  • 您决定数据收集的原因、保留的字段、保留的时长以及团队中可以对其进行操作。此页面上的数据处理协议 (DPA) 是约束 Didit 遵守这些指示的合同。
  • Didit 代表您处理数据, 根据您的 DPA 以及我们自己的 SOC 2、ISO/IEC 27001 和通用数据保护条例 (GDPR) 32 条控制措施,运行验证、筛选、生物识别检查、文档分类和 Webhook。

我们建议您让 Didit 代表您存储和访问数据。 我们的大多数客户都这样做。在互联网规模下保护身份数据是一项全职工作:强化加密、密钥轮换、入侵检测、漏洞管理、认证续期、区域驻留、数据主体权利工具、违规通知。Didit 的安全和平台团队每天都专注于此,因此您的合规和工程团队无需如此。您通过业务控制台 (Business Console) 保留完全控制权, 每个保留规则、每个数据主体访问请求 (DSAR)、每个删除都由您触发。

如果您的政策要求数据完全存储在您自己的环境中(您的云账户、您的本地数据库),我们也支持, Didit 作为处理器以“获取即忘”的方式运行,您的团队拥有端到端的保留权。

数据存储在哪里,我可以选择区域吗?

默认在欧盟。特定区域或境内存储适用于企业客户。

默认部署在欧盟的 Amazon Web Services (AWS) 上运行。数据在静态和传输过程中均已加密,加密密钥由 AWS 持有并按环境隔离。

  • 欧盟(默认), 所有账户。涵盖通用数据保护条例 (GDPR)、Schrems II / 欧盟-美国数据隐私框架和 eIDAS 2.0。
  • 特定区域(美国东部、亚太地区等), 企业合同,当您的监管机构要求时。
  • 境内驻留(巴西、印度等), 企业客户,视可用性而定,适用于巴西的 Lei Geral de Proteção de Dados (LGPD) 和印度的 Digital Personal Data Protection Act (DPDPA) 等地方法律。

当数据跨境传输时,受欧盟委员会 2021 年标准合同条款 (SCCs) 保护。匹配的传输影响评估 (TIA) 随此页面上的信任包一起提供。

您保留数据多长时间,以及如何配置保留策略?

您设置保留窗口。每个应用程序从 1 个月到 10 年。 自动执行。

在业务控制台 (Business Console) 中,您可以设置:

  • 全局保留窗口, 1 个月(当您希望 Didit 在您的 webhook 触发后不保留任何数据)到 10 年(反洗钱指令 6 (AMLD6) 的上限)。
  • 按数据类别保留, 生物识别模板可以比原始图像保留更长时间;筛选命中可以比身份数据保留更长时间;文档位置匹配可以完全删除。
  • 自动执行, 每晚,平台会删除所有副本中超出其保留窗口的任何内容。每次删除都会记录在审计日志中。

如果您希望 Didit 在判决后不保留任何数据,请从您的 webhook 处理程序调用 POST /v3/sessions/:session_id/delete/,会话将在您的系统记录其结果副本后立即删除, Didit 绝不会在调用后保留数据。完整参考请访问 docs.didit.me/sessions-api/delete-session

您如何处理数据主体访问请求 (DSAR)、删除和可移植性?

每个权利一个端点。

  • 访问权(第 15 条)和数据可移植权(第 20 条), 通过 GET /v3/sessions/:session_id/decision/ 获取完整的会话有效负载。参考 docs.didit.me/sessions-api/retrieve-session
  • 删除权(第 17 条), POST /v3/sessions/:session_id/delete/ 删除会话和所有关联的工件。参考 docs.didit.me/sessions-api/delete-session
您持有哪些认证和证明?

五项外部证明已备案。所有这些都包含在信任包中。

  • SOC 2 Type 1, 安全性、可用性和保密性,由 ATOM 2026 4 月根据美国注册会计师协会 (AICPA) 信任服务标准发布。SOC 2 Type 2 审查正在进行中。
  • ISO/IEC 27001:2022, 信息安全管理系统,由必维国际检验集团 (Bureau Veritas) 认证(证书 ES144068,有效期至 2027 6 3 日)。
  • iBeta Level 1 Presentation Attack Detection (PAD), 独立生物识别反欺骗测试,根据 ISO/IEC 30107-3 在美国国家标准与技术研究院 (NIST) 认可的实验室进行。360 次尝试中 0 次成功攻击。
  • GDPR 32 , 数据处理协议 (DPA)、子处理器列表和技术与组织措施 (TOMs),全部公开。
  • 欧洲银行管理局 (EBA) / 加密资产市场 (MiCA) 备忘录, 独立法律意见,表明 Didit 符合 EBA 远程客户入职指南 (EBA/GL/2022/15) MiCA 法规。

在此页面请求信任包,我们将在签署保密协议 (NDA) 后,同日发送所有报告、证书和备忘录。

西班牙监管机构的证明对我来说意味着什么?

欧盟范围内的相互认可, 以及可供监管机构辩护的审计追踪。

西班牙的 Tesoro PúblicoBanco de EspañaSEPBLAC CNMV Didit 的近场通信 (NFC) 芯片读取加主动活体入职流程进行了为期一年的金融沙盒测试(2024 11 月至 2025 7 月)。官方结论报告发布在 tesoro.es 上,发现 Didit 的远程验证达到或超过反洗钱指令 (AMLD) 下的面对面身份识别安全级别

这对您的合规团队意味着:

  • AMLD6 相互认可, 该证明可在所有其他欧盟成员国之间移植,无需重新认证。
  • eIDAS 2.0 对齐, Didit NFC + 活体流程已公开记录为适用于合格电子签名 (QES) 入职。
  • 可辩护的审计追踪, 当您的当地金融情报机构 (FIU) 审查您的入职流程时,您可以指出您的欧盟同行监管机构已签署的同一份报告。

Didit 是唯一一家拥有此公开记录证明的身份验证供应商。

我可以要求 Didit 获得特定的许可证或认证吗?

是的, 我们可能已经在着手处理了。 Didit 随时都在积极寻求 10 多项跨市场和垂直领域的认证、许可证和监管批准:支付授权、加密和加密资产市场 (MiCA) 注册、反洗钱 (AML) 监管机构批准、eIDAS 2.0 合格信任服务提供商 (QTSP) 状态、区域金融情报机构 (FIU) 报告以及特定垂直领域的授权(iGaming、医疗保健、银行)。

如果您的合规团队需要 Didit 持有某个许可证或认证,请发送电子邮件至 `security@didit.me`。很有可能它已经在我们的队列中, 如果不在,您的请求会将其提前。我们会回复:

  • 该认证在我们的路线图中的位置。
  • 预期时间表。
  • 范围(全面覆盖、特定区域、特定模块)。

身份与欺诈基础设施。

一个 API 即可实现 KYC、KYB、交易监控和钱包筛选。5 分钟即可集成。

让 AI 总结此页面