
数据一览
- 0%过去 12 个月的实际正常运行时间。在 status.didit.me 上实时记录,符合 99.99% SLO (Service Level Objective)。
- 0Didit 推出以来无重大安全漏洞。自 2023 年起在生产环境中久经考验。
- 数百万每月在生产集群上验证的用户数量。
- 已认证Didit 运营所在地的所有区域均符合合规要求, SOC 2 Type 1、ISO/IEC 27001、iBeta Level 1 PAD 和西班牙监管机构认证。
监管机构称 Didit 比线下验证更安全。
“Didit 的 NFC + 主动活体验证提供的安全性等同或高于线下验证。”
2024 年 11 月, 2025 年 7 月 · 金融沙盒 (Ley 7/2020),第四批 · 由 Tesoro Público、西班牙银行、SEPBLAC 和 CNMV 监管。
专业的欺诈团队。 模型、监控、预防。
模型, 内部构建与再训练。
活体检测、深度伪造检测、文档分类器、人脸匹配、注入攻击检测、行为风险, 所有模型都在我们自己的训练和服务管道中运行。
监控, 每时每刻,每个会话。
生产流量实时进入审查队列。漂移、误报率、攻击模式变化和各国信号质量持续受到监控;阈值无需客户代码更改即可重新调整。
预防, 内联,用户无感知。
每个模型都在会话中内联集成。p99 推理时间低于 2 秒,无需额外往返,无需额外操作。合法用户在同一流程中完成验证;只有攻击者会看到不同的路径。
每项声明都有文件支持。


ISO/IEC 27001:2022
证明我们的信息安全管理涵盖 Didit 验证的端到端流程。由 Bureau Veritas 颁发,有效期至 2027 年 6 月。

iBeta Level 1 PAD
生物识别防欺骗测试, 六类攻击共 360 次尝试,无一成功。在 NIST 认可的 NVLAP 实验室 200962 进行。
Tesoro 沙盒认证
西班牙四家金融监管机构为期一年的沙盒测试得出结论:Didit 的远程验证至少与现场身份检查一样安全。其他身份验证供应商均未获得此认证。


EBA / MiCA 合规性
独立法律意见:Didit 的远程入驻符合欧洲银行管理局关于远程客户入驻的指南 (EBA/GL/2022/15),并与即将生效的欧盟反洗钱 (AML) 单一规则手册和加密资产市场 (MiCA) 法规兼容。

EBA / MiCA 合规
独立法律意见:Didit 的远程入驻方案符合欧洲银行管理局关于远程客户入驻的指南 (EBA/GL/2022/15),并与即将生效的欧盟反洗钱 (AML) 单一规则手册和加密资产市场 (MiCA) 法规兼容。
我们存储什么、存储在哪里、存储多久。
静态加密 — AES-256.
每个会话都使用 256 位 AES(高级加密标准)密钥进行静态加密。密钥不会接触我们的应用程序代码,它们存储在 AWS KMS(密钥管理服务)中,沙盒和生产环境使用不同的密钥。
传输加密 — TLS 1.3.
每个 API 调用、Webhook 和业务控制台会话都通过 TLS(传输层安全)1.3 进行加密,并采用严格的密码规则。旧协议无法回退;HSTS(HTTP 严格传输安全)在全站强制执行。
数据驻留 — 默认欧盟.
会话默认在 AWS 上的欧盟地区进行处理和存储。企业可以启用国家内驻留,具体取决于可用性, 因此任何市场的团队都可以合规地运行 Didit。
数据保留 — 1 个月到 10 年.
在业务控制台中,您可以为每个应用程序选择 Didit 保留每个会话的时长, 从一个月到十年。最小化部署可以在 Webhook 到达后立即删除会话。
生物识别处理 — 数据最小化.
您精确选择 Didit 收集哪些数据, 其他所有数据都将被丢弃。默认情况下,只保留生物识别模板和元数据;原始自拍和活体视频在会话关闭时立即删除。
数据主体权利 — 通过一个端点删除数据.
通过公共 API 按需提供完整的 DSAR(数据主体访问请求)和删除权。终端用户从 Didit Identity 应用程序发送 DSAR;您的团队通过对会话端点进行一次 DELETE 调用来触发它们。在每个副本上强制执行, 无软删除,无归档存储桶。
安全问题,已解答。
Didit 有多安全?
自 Didit 于 2023 年推出以来,零数据泄露。 安全性已融入平台每一层。
- 零泄露,覆盖数百万次验证和 1,500 多个付费客户。
- 所有数据均已加密, 无论数据存储还是系统间传输。加密密钥存储在 Amazon Web Services (AWS) 中,并进行隔离,以防止沙盒读取生产数据。
- 每个请求都经过检查。每个操作都已记录。 客户之间没有共享密钥。
- 独立审计, SOC 2 Type 1(Type 2 正在进行中)、ISO/IEC 27001:2022 和 iBeta Level 1 Presentation Attack Detection (PAD),360 次尝试中攻击成功率为 0%。
- 实时公开状态页面
status.didit.me, 每次事件、每次事后分析,无需登录。过去 6 个月 100% 正常运行时间。 - 如果发生任何情况,我们会在数小时内通知您, 远在通用数据保护条例 (GDPR) 第 33 条报告窗口期内。企业客户可获得 24/7 待命的指定工程师,并设有专属 Slack 和 WhatsApp 频道。
在此页面请求信任包, SOC 2 报告、ISO 证书、iBeta 报告、Tesoro 证明、数据处理协议 (DPA)、子处理器列表, 签署保密协议 (NDA) 后,同日发送。
我有大量验证需求。Didit 能支持我的业务量吗?
是的。基础设施实时自动扩展,每天支持数百万次验证。
- 自动扩展。 当您的流量一夜之间翻倍时,平台会自动扩展。无需销售电话,无需重新编写容量计划,无需预警。
- 每次检查都在 2 秒内完成,即使在高峰负载下也是如此。基础设施针对端到端快速推理进行了优化。
- 过去 6 个月 100% 正常运行时间。 在
status.didit.me实时跟踪, 无需登录。 - 经过生产环境实战检验, 自 2023 年以来,已在 220 多个国家/地区拥有 1,500 多个付费客户。
- 专为峰值事件设计, 体育博彩开赛、市场发布、年龄验证推广。平台无需 Didit 任何人干预即可处理峰值。
- 企业合同包含书面保证, 关于速度、正常运行时间和容量的服务水平协议 (SLA),如果未能达到,将提供账单抵免。
定价页面上的业务量分级会随着您的增长自动生效, 无需更改合同,无需手动重新谈判。
Didit 存储哪些数据,我对其有多少控制权?
您可根据每个工作流进行选择。 Didit 没有固定保留列表。您的合规团队在业务控制台 (Business Console) 中配置每个应用程序,工作流仅收集和存储您指定的数据。
“返回数据”选项卡为您提供了每个类别的开关:
- 身份 (ID) 文档图像和机器可读区 (MRZ) 字段
- 近场通信 (NFC) 芯片数据
- 提取的身份字段(姓名、出生日期、证件号码、有效期、地址)
- 生物识别模板
- 原始自拍和完整活体视频
- 设备指纹、浏览器、操作系统、平台
- 互联网协议 (IP) 地理定位、虚拟专用网络 (VPN) / Tor 信号
- 文档位置匹配坐标
- 反洗钱 (AML) 筛选命中,包括制裁、政治公众人物 (PEP) 和负面媒体匹配详情
- Webhook 有效负载、审计日志和每个会话的元数据
开关的确切列表取决于您工作流中的模块, 在业务控制台 (Business Console) 的“返回数据”下设置工作流时进行检查。
谁是数据控制者,谁是数据处理者?
您是数据控制者。Didit 是数据处理者。 这是大多数受监管买家所期望的通用数据保护条例 (GDPR) 第 28 条设置。
- 您决定数据收集的原因、保留的字段、保留的时长以及团队中谁可以对其进行操作。此页面上的数据处理协议 (DPA) 是约束 Didit 遵守这些指示的合同。
- Didit 代表您处理数据, 根据您的 DPA 以及我们自己的 SOC 2、ISO/IEC 27001 和通用数据保护条例 (GDPR) 第 32 条控制措施,运行验证、筛选、生物识别检查、文档分类和 Webhook。
我们建议您让 Didit 代表您存储和访问数据。 我们的大多数客户都这样做。在互联网规模下保护身份数据是一项全职工作:强化加密、密钥轮换、入侵检测、漏洞管理、认证续期、区域驻留、数据主体权利工具、违规通知。Didit 的安全和平台团队每天都专注于此,因此您的合规和工程团队无需如此。您通过业务控制台 (Business Console) 保留完全控制权, 每个保留规则、每个数据主体访问请求 (DSAR)、每个删除都由您触发。
如果您的政策要求数据完全存储在您自己的环境中(您的云账户、您的本地数据库),我们也支持, Didit 作为处理器以“获取即忘”的方式运行,您的团队拥有端到端的保留权。
数据存储在哪里,我可以选择区域吗?
默认在欧盟。特定区域或境内存储适用于企业客户。
默认部署在欧盟的 Amazon Web Services (AWS) 上运行。数据在静态和传输过程中均已加密,加密密钥由 AWS 持有并按环境隔离。
- 欧盟(默认), 所有账户。涵盖通用数据保护条例 (GDPR)、Schrems II / 欧盟-美国数据隐私框架和 eIDAS 2.0。
- 特定区域(美国东部、亚太地区等), 企业合同,当您的监管机构要求时。
- 境内驻留(巴西、印度等), 企业客户,视可用性而定,适用于巴西的 Lei Geral de Proteção de Dados (LGPD) 和印度的 Digital Personal Data Protection Act (DPDPA) 等地方法律。
当数据跨境传输时,受欧盟委员会 2021 年标准合同条款 (SCCs) 保护。匹配的传输影响评估 (TIA) 随此页面上的信任包一起提供。
您保留数据多长时间,以及如何配置保留策略?
您设置保留窗口。每个应用程序从 1 个月到 10 年。 自动执行。
在业务控制台 (Business Console) 中,您可以设置:
- 全局保留窗口, 从 1 个月(当您希望 Didit 在您的 webhook 触发后不保留任何数据)到 10 年(反洗钱指令 6 (AMLD6) 的上限)。
- 按数据类别保留, 生物识别模板可以比原始图像保留更长时间;筛选命中可以比身份数据保留更长时间;文档位置匹配可以完全删除。
- 自动执行, 每晚,平台会删除所有副本中超出其保留窗口的任何内容。每次删除都会记录在审计日志中。
如果您希望 Didit 在判决后不保留任何数据,请从您的 webhook 处理程序调用 POST /v3/sessions/:session_id/delete/,会话将在您的系统记录其结果副本后立即删除, Didit 绝不会在调用后保留数据。完整参考请访问 docs.didit.me/sessions-api/delete-session。
您如何处理数据主体访问请求 (DSAR)、删除和可移植性?
每个权利一个端点。
- 访问权(第 15 条)和数据可移植权(第 20 条), 通过
GET /v3/sessions/:session_id/decision/获取完整的会话有效负载。参考docs.didit.me/sessions-api/retrieve-session。 - 删除权(第 17 条),
POST /v3/sessions/:session_id/delete/删除会话和所有关联的工件。参考docs.didit.me/sessions-api/delete-session。
您持有哪些认证和证明?
五项外部证明已备案。所有这些都包含在信任包中。
- SOC 2 Type 1, 安全性、可用性和保密性,由 ATOM 于 2026 年 4 月根据美国注册会计师协会 (AICPA) 信任服务标准发布。SOC 2 Type 2 审查正在进行中。
- ISO/IEC 27001:2022, 信息安全管理系统,由必维国际检验集团 (Bureau Veritas) 认证(证书
ES144068,有效期至 2027 年 6 月 3 日)。 - iBeta Level 1 Presentation Attack Detection (PAD), 独立生物识别反欺骗测试,根据 ISO/IEC 30107-3 在美国国家标准与技术研究院 (NIST) 认可的实验室进行。360 次尝试中 0 次成功攻击。
- GDPR 第 32 条, 数据处理协议 (DPA)、子处理器列表和技术与组织措施 (TOMs),全部公开。
- 欧洲银行管理局 (EBA) / 加密资产市场 (MiCA) 备忘录, 独立法律意见,表明 Didit 符合 EBA 远程客户入职指南 (
EBA/GL/2022/15) 和 MiCA 法规。
在此页面请求信任包,我们将在签署保密协议 (NDA) 后,同日发送所有报告、证书和备忘录。
西班牙监管机构的证明对我来说意味着什么?
欧盟范围内的相互认可, 以及可供监管机构辩护的审计追踪。
西班牙的 Tesoro Público、Banco de España、SEPBLAC 和 CNMV 对 Didit 的近场通信 (NFC) 芯片读取加主动活体入职流程进行了为期一年的金融沙盒测试(2024 年 11 月至 2025 年 7 月)。官方结论报告发布在 tesoro.es 上,发现 Didit 的远程验证达到或超过反洗钱指令 (AMLD) 下的面对面身份识别安全级别。
这对您的合规团队意味着:
- AMLD6 相互认可, 该证明可在所有其他欧盟成员国之间移植,无需重新认证。
- eIDAS 2.0 对齐, Didit 的 NFC + 活体流程已公开记录为适用于合格电子签名 (QES) 入职。
- 可辩护的审计追踪, 当您的当地金融情报机构 (FIU) 审查您的入职流程时,您可以指出您的欧盟同行监管机构已签署的同一份报告。
Didit 是唯一一家拥有此公开记录证明的身份验证供应商。
我可以要求 Didit 获得特定的许可证或认证吗?
是的, 我们可能已经在着手处理了。 Didit 随时都在积极寻求 10 多项跨市场和垂直领域的认证、许可证和监管批准:支付授权、加密和加密资产市场 (MiCA) 注册、反洗钱 (AML) 监管机构批准、eIDAS 2.0 合格信任服务提供商 (QTSP) 状态、区域金融情报机构 (FIU) 报告以及特定垂直领域的授权(iGaming、医疗保健、银行)。
如果您的合规团队需要 Didit 持有某个许可证或认证,请发送电子邮件至 `security@didit.me`。很有可能它已经在我们的队列中, 如果不在,您的请求会将其提前。我们会回复:
- 该认证在我们的路线图中的位置。
- 预期时间表。
- 范围(全面覆盖、特定区域、特定模块)。