Skip to main content
Didit 融资 750 万美元,打造身份与欺诈基础设施
Didit
Didit
商业条款和条件
更新于 2026年5月16日 · didit.me/terms/business
法律

商业条款和条件

更新于2026年5月16日

本页内容

0. 协议的接受

通过 (i) 在商业控制台或Didit网站上点击“注册”、“我接受”或类似按钮,(ii) 签署引用本条款的订单,或 (iii) 以其他方式访问或使用服务,(“客户”)即代表您所代表的法律实体或组织合法接受并同意受本协议的约束。

通过接受本协议,客户声明并保证其拥有完全的法律授权,可使其实体或组织受本条款及任何相关附件或订单的约束。如果您不具备此权限,或不同意本条款,则不得使用或访问服务。

继续使用DIDIT平台即表示明确且具有约束力地接受本协议的全部内容。

1. 协议方

本协议涉及以下各方:

  • 服务提供商(“Didit”、“我们”、“我方”): 与客户签订合同的Didit实体。适用的合同实体由第16.6节(管辖法律和司法管辖区)确定:
    • Didit Identity Spain, S.L., CIF B22929327,Calle Nápoles 227, P. 1, 08013 Barcelona, Spain。与在欧盟、欧洲经济区、英国、瑞士和拉丁美洲成立的客户签订合同。
    • Didit Identity, Inc., EIN 39-2860573,1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States。与在美国、加拿大、亚太地区、中东和所有未分配给Didit Identity Spain, S.L.的其他司法管辖区成立的客户签订合同。
  • 客户(“您”、“您的”):

在Didit平台注册账户或使用服务的法律实体或个人。客户将是Didit的合同方。

  • 通知:

所有与本协议相关的正式通知和通信必须发送至 legal@didit.me 或上述适用合同实体的实际地址。

2. 结构和优先顺序

本协议由以下文件组成,应联合解释。如果这些文件中的任何条款发生冲突,应按以下降序优先:

  1. 订单(客户特定的商业文件,详细说明服务的获取、数量和定价)。
  2. 附件2, 数据处理协议 (DPA)(管辖个人数据的处理)。
  3. 本服务条款和条件。
  4. 附件1, 服务水平协议 (SLA)(确立服务的可用性承诺)。

3. 目录

  1. 协议的接受
  2. 协议方
  3. 结构和优先顺序
  4. 目录
  5. 定义和解释
  6. 协议期限
  7. 服务的访问和使用
  8. 知识产权
  9. 费用和支付条款
  10. 保密性
  11. 数据保护和安全
  12. 免责声明
  13. 责任限制
  14. 赔偿
  15. 陈述和保证
  16. 暂停和终止
  17. 一般规定

    附件1, 服务水平协议 (SLA) 附件2, 数据处理协议 (DPA)

    4. 定义和解释

    就本协议而言,以下术语应具有以下含义:

    • 协议: 指本服务条款和条件,以及任何订单、附件1 (SLA) 和附件2 (DPA),以及其中引用的任何其他政策或附件。
    • API: 指Didit为与服务集成而提供的应用程序编程接口。
    • 商业控制台: 指Didit的网页管理门户,可通过 https://business.didit.me 或Didit可能指定的任何其他URL访问,允许客户管理其账户和服务。
    • 积分: 指客户根据Didit指定的定价和条件,为使用服务而购买的以美元计价的预付单位。
    • 访问凭证: 包括但不限于密码、API密钥、身份验证令牌或Didit提供给客户以访问服务的任何其他安全信息。
    • 客户数据: 客户或授权用户通过服务提交、上传或处理的所有数据,包括机密信息和终端用户的个人数据。
    • 个人数据: 应具有欧盟通用数据保护条例 (GDPR)(条例 (EU) 2016/679)和/或任何其他适用数据保护法律中赋予的含义。
    • 文档: 指Didit提供给客户的与服务相关的任何用户手册、技术规范、实施指南、API指南、政策或支持材料。
    • 生效日期: 客户首次接受本协议的日期,如第0节所述。
    • 订单: 任何正式确定客户购买积分或特定服务的实体文件或在线表格,该文件引用本条款并构成本协议的一部分。
    • 不可抗力: 任何超出一方合理控制范围的事件或情况,导致其无法或延迟履行本协议项下的义务,例如天灾、战争、恐怖主义、叛乱、流行病、自然灾害、全球互联网中断、能源短缺、罢工、蓄意破坏或政府决策。
    • 机密信息: 一方以口头、书面或电子方式向另一方披露的所有非公开信息,这些信息被指定为机密,或根据信息的性质或披露情况应合理理解为机密。这包括但不限于技术、财务、业务、客户、定价信息、营销计划、软件、源代码和客户数据。
    • 知识产权: 包括专利、版权、数据库权、设计权、商标、商号、专有技术、商业秘密以及任何其他知识产权,无论是否注册,以及在世界任何地方的申请。
    • SDK: 指Didit为方便服务集成和使用而提供的软件开发工具包。
    • 服务: 指Didit身份和欺诈基础设施平台,包括商业控制台、API、SDK、文档以及Didit提供给客户的任何产品线,包括用户验证 (KYC)、商业验证 (KYB)、交易监控、钱包筛选 (KYT)、工作流编排器、模型上下文协议 (MCP) 服务器以及Didit可能根据本协议发布的任何其他服务。
    • 授权用户: 客户授权代表客户访问和使用服务的任何个人,例如客户的员工或承包商,但须遵守本协议的条款。
    • 终端用户: 客户使用Didit服务寻求验证其身份的自然人。
    • 验证: Didit执行的验证终端用户身份的过程,最终结果为通过拒绝,或Didit或订单中定义的任何其他状态。
    • 验证功能: 验证流程的单个组件,例如身份证件验证、活体检测、人脸匹配、人脸搜索、AML筛选、地址证明、NFC读取、数据库验证、自定义问卷、电话验证、电子邮件验证、设备和IP分析、商业注册查询、UBO提取、官员数据、实体AML、关联KYC、交易监控规则评估、钱包筛选查询,或Didit在产品线中提供的任何其他独立步骤。

    解释:

    • 章节标题仅为方便起见,不影响本协议的解释。
    • 单数词包括复数,反之亦然。
    • “包括”或“包含”一词表示“包括但不限于”。
    • 任何对法律或法规的引用均指该法律或法规不时生效的版本,包括其修订或替换。

    5. 协议期限

    5.1 协议期限: 本协议自生效日期起生效,并持续有效,直至任何一方根据第16节终止本协议。

    5.2 无最低承诺(除非订单中另有规定): 除非客户签署的订单中另有规定(例如,对于有数量承诺的企业计划),客户可随时停止使用服务。但是,在任何情况下,未使用的积分均不可退款,如第9.4节所述。规定最低消费承诺的订单应优先于本条款。

    6. 服务的访问和使用

    6.1 账户创建和安全: 要访问和使用服务,客户必须在商业控制台中创建账户。客户全权负责维护其访问凭证(包括密码和API密钥)的机密性和安全性,以及其账户下发生的所有活动,无论是否获得授权。客户必须立即通知Didit任何未经授权使用或疑似未经授权使用其访问凭证或账户的情况。Didit对因客户未能遵守此义务而造成的任何损失或损害不承担责任。

    6.2 许可: 在客户持续遵守本协议并及时支付所有适用费用的前提下,Didit授予客户一项非排他性、全球性的许可,在协议期限内,为其业务目的访问和使用服务和文档,具体用于: (i) 验证其终端用户的身份。 (ii) 协助预防和检测欺诈。 (iii) 遵守适用的法律和监管义务(例如,KYC/AML)。

    6.3 转售和再许可权: 客户可以转售、再许可或以其他方式向第三方提供服务,前提是: (i) 客户确保此类第三方遵守本协议的所有适用条款。 (ii) 客户对该等第三方的任何行为或不作为对Didit承担全部责任。 (iii) 客户与该等第三方签订书面协议,其中包含对Didit的保护条款不低于本协议的条款。 (iv) 客户应要求通知Didit任何重要的再许可安排。

    6.4 使用限制: 客户同意不执行,也不允许第三方执行以下任何操作:

    • 复制、修改、改编、翻译、逆向工程、反编译、反汇编或试图发现服务或其任何部分的源代码或算法,除非适用且不可放弃的法律明确允许此类活动。
    • 使用服务或从中获得的任何信息构建或试图构建竞争性身份验证服务。
    • 将服务用于任何非法、歧视性、欺诈性、误导性、诽谤性、淫秽、辱骂、有害目的,或以侵犯第三方权利或适用法律的方式使用。
    • 未经Didit事先书面同意,使用验证结果或通过服务获得的任何客户数据来训练、开发或改进机器学习 (ML) 或人工智能 (AI) 模型,或任何其他类似的算法或技术。
    • 干扰或试图干扰服务的正常运行,包括但不限于引入病毒、木马、蠕虫、逻辑炸弹或任何其他恶意或技术上有害的材料。
    • 试图未经授权访问服务、计算机系统或连接到服务的网络。
    • 删除、更改或模糊服务或文档中包含的Didit或第三方的任何知识产权通知或商标。
    • 以超出购买的使用限制或积分数量的方式使用服务,或对Didit的基础设施造成不合理或过大的负载。
    • 通过在商业控制台 (https://business.didit.me) 中创建多个组织或账户(无论是直接还是间接,使用相同或不同的身份)来滥用或规避任何免费或试用计划的限制,以获取超出单个客户预期范围的额外免费层级权益。如果Didit有合理证据表明某个人或实体创建或运营多个组织以利用免费计划,Didit可能会暂停或终止受影响的组织和账户,并在可行的情况下发出通知。

    6.5 客户责任: 客户应全权负责:

    • 法律合规性: 确保其对服务的使用,包括客户数据和终端用户个人数据的收集、处理和使用,完全符合其司法管辖区的所有适用法律、法规和规范,包括但不限于数据保护法律、反洗钱 (AML) 和打击恐怖主义融资 (CFT) 法律。
    • 终端用户通知和同意: 根据适用的数据保护法律,获取并维护终端用户对收集、处理和传输其个人数据(包括生物识别数据,如果适用)给Didit及其子处理器的所有必要通知、明确同意和授权的记录。
    • 客户安全: 实施和维护合理且适当的安全措施,以保护在提交给Didit之前的客户数据,并保护其访问凭证。这包括但不限于使用安全连接 (HTTPS)、实施签名webhook以及其他信息安全最佳实践。
    • 数据准确性: 确保通过服务提交给Didit的客户数据的准确性、完整性和合法性。

    6.6 数据管理和删除: 验证结果和相关客户数据将通过webhook或Didit的API交付给客户。客户将能够随时通过API或商业控制台永久删除任何验证记录或客户数据,但须遵守Didit作为数据处理者的保留政策和法律义务,如附件2 (DPA) 所述。

    7. 知识产权

    7.1 Didit的所有权: Didit(及其许可方,如适用)保留服务(包括软件、代码、API、SDK、模型、算法、底层技术)、文档、Didit商标以及其任何改进、修改、更新、衍生品或开发的所有权利、所有权和权益。本协议中的任何内容均不应解释为知识产权所有权从Didit转移给客户。授予客户的权利仅为许可,本协议项下不授予任何默示许可。

    7.2 客户数据: 客户是并将始终是客户数据所有权利、所有权和权益的唯一所有者。客户授予Didit一项全球性、非排他性、免版税、可再许可和可转让的许可,仅为向客户提供服务和改进服务之目的处理客户数据,并符合附件2(数据处理协议)和Didit的隐私政策。

    7.3 反馈: 如果客户或其任何授权用户向Didit提供任何与服务相关的建议、想法、增强请求、评论、推荐或其他信息(“反馈”),客户特此授予Didit一项全球性、永久性、不可撤销、免版税、全额支付、可转让、可再许可的许可,以出于任何目的和以任何方式使用、利用、复制、修改、创建衍生作品、分发、公开展示、公开执行和以其他方式商业化此类反馈,而无需向客户承担任何义务或补偿。

    8. 费用和支付条款

    8.1 预付积分和不失效: Didit的服务基于预付积分模式。客户购买的积分不会过期,只要协议有效即可使用。

    8.2 已完成验证功能的支付: 客户将根据适用费率,为终端用户在验证流程中成功完成的每个验证功能付费。这意味着: (i) 如果终端用户完成身份证件验证步骤,客户将为此功能付费。 (ii) 如果终端用户完成活体检测步骤,客户将为此功能付费。 (iii) 完成的每个额外验证功能(例如AML筛选、地址证明、NFC验证等)将产生相应的费用。 (iv) 如果验证功能因Didit方面的系统故障而未能完成,则不收取任何费用。

    每个验证功能的具体定价在Didit的定价页面或适用的订单中列出。

    8.3 定价: 服务的适用价格发布在Didit的定价页面上,或者对于定制或企业计划,则在相应的订单中。Didit保留随时修改其价格的权利,并将根据第17.2节提前通知。

    8.4 支付流程和不可退款: 积分购买将通过Didit指定的支付平台(目前为Stripe或订单中约定的支付方式)进行。所有支付均为最终支付,购买的积分不可退款,除非本协议或订单中另有明确规定。所示价格不包括税费(如增值税)或银行或处理费,这些费用将由客户承担。

    8.5 支付失败/退款和账户暂停: 如果连续三次自动支付尝试失败(对于自动积分补充,如果已配置)或企业计划发出的发票未支付,Didit可自行决定暂停客户对服务的访问或根据第16节终止本协议。Didit保留对逾期支付收取利息的权利,按适用法律允许的最高利率计算,从到期日到全额支付日每日计算。

    8.6 企业计划: 对于通过签署订单签订企业或定制计划的客户,该订单中规定的具体定价条件、支付条款、最低消费承诺和账单应取代或补充本第8节的规定。

    9. 保密性

    各方(“接收方”)同意以不低于其保护自身类似信息的合理程度的谨慎,保护另一方(“披露方”)的机密信息。接收方仅将披露方的机密信息用于履行本协议项下的义务或适用法律允许的范围。

    9.1 机密信息排除: 机密信息不包括以下任何信息:(a) 在接收方无过错的情况下已公开或将公开;(b) 在披露方披露之前,接收方已合法拥有,且无保密义务;(c) 由第三方向接收方披露,且无限制或违反任何保密义务;(d) 由接收方独立开发,且未参考披露方的机密信息;或 (e) Didit为改进其算法而以聚合或假名形式处理的客户数据,如附件2 (DPA) 所述。

    9.2 强制披露: 如果法律、法院命令或主管政府机构要求,接收方可以披露机密信息,前提是,在法律允许的范围内,接收方应提前充分通知披露方,以便披露方寻求保护令或豁免。

    9.3 人员义务: 各方应确保其有权访问另一方机密信息的员工、代理和承包商受至少与本第9节规定一样严格的保密义务的约束。

    9.4 存续: 本第9节规定的保密义务在本协议期限内以及自终止之日起五 (5) 年内保持有效,但商业秘密除外,对于商业秘密,只要此类信息保持其商业秘密状态,保密义务应无限期有效。

    10. 数据保护和安全

    Didit代表客户处理个人数据应受附件2, 数据处理协议 (DPA)的管辖,该协议构成本协议的组成部分。DPA详细说明了各方在遵守数据保护法律、安全措施以及数据处理者和数据控制者责任方面的义务。

    11. 免责声明

    DIDIT的服务,包括平台、API、SDK和文档,均“按原样”和“按可用”提供,不附带任何形式的保证。在适用法律允许的最大范围内,DIDIT明确否认所有明示或暗示的保证,包括但不限于适销性、特定用途适用性、不侵犯第三方权利、数据准确性、不中断或无错误的可用性的暗示保证。

    DIDIT不保证服务将不中断、安全或无错误运行,不保证缺陷将得到纠正,也不保证服务或提供服务的服务器没有病毒或其他有害组件。DIDIT对使用服务可能获得的结果或通过服务获得的任何信息的准确性、可靠性或完整性不作任何保证。客户承担使用服务相关的所有风险。

    特别是,客户承认身份验证是基于各种数据源和算法的复杂过程。DIDIT不保证任何终端用户的身份、任何身份文件的真实性或真实性,或不存在欺诈。DIDIT服务提供的结果仅供参考,并支持客户的决策过程。客户对其基于或不基于DIDIT结果的最终决策全权负责,DIDIT对此类决策或其后果不承担任何责任。

    12. 责任限制

    在适用法律允许的最大范围内,在任何情况下,DIDIT、其关联公司、董事、员工、代理、供应商或许可方均不对客户或任何第三方因合同、侵权(包括疏忽)或其他原因造成的任何间接、附带、特殊、后果性、惩罚性、惩戒性或利润、收入、数据、使用或商誉损失的损害承担责任,即使DIDIT已被告知此类损害的可能性。

    DIDIT在本协议项下因任何原因和任何责任理论而承担的总计和累计责任应限于客户在导致索赔事件发生前的十二 (12) 个月内实际支付给DIDIT的积分或服务费金额。

    本节规定的限制不适用于因DIDIT的重大过失或故意不当行为、第14节规定的相互赔偿义务,或适用法律不允许排除或限制某些损害赔偿的情况。

    13. 赔偿

    13.1 客户赔偿: 客户应为Didit、其关联公司、董事、员工、代理和供应商(“Didit受偿方”)辩护、赔偿并使其免受因以下原因引起或与之相关的任何及所有索赔、要求、损害、责任、损失、成本和费用(包括合理的律师费)的损害: (i) 客户违反本协议项下的任何义务、陈述或保证,包括但不限于与安全、数据保护或使用限制相关的义务、陈述或保证。 (ii) 终端用户或第三方提出的与客户收集或处理个人数据(包括未能获得必要的同意)或客户基于验证结果做出的决策相关的任何索赔。 (iii) 客户以不符合适用法律或法规的方式使用服务。 (iv) 客户或其客户数据侵犯任何第三方知识产权或隐私权。

    13.2 Didit赔偿: Didit应为客户、其关联公司、董事、员工和代理辩护、赔偿并使其免受因第三方声称Didit向客户提供的服务(并根据本协议使用)直接侵犯该第三方的专利、版权或商标而引起或与之相关的任何及所有索赔、要求、损害、责任、损失、成本和费用(包括合理的律师费)的损害。

    排除: Didit的赔偿义务不适用于因以下原因引起的索赔:(a) 客户将服务与Didit未提供的任何软件、硬件或数据结合使用;(b) 非Didit方对服务进行修改;或 (c) 如果Didit已提供更新的、不侵权的版本的服务,而客户仍使用过时版本的服务。

    13.3 赔偿程序: 寻求赔偿的一方(“受偿方”)应:(i) 及时书面通知赔偿方(“赔偿方”)任何索赔;(ii) 允许赔偿方独家控制索赔的辩护和解决(前提是和解不会对受偿方施加非金钱义务或在未经受偿方事先书面同意的情况下承认受偿方的责任);以及 (iii) 在赔偿方承担费用的情况下,向赔偿方提供所有合理的协助和合作。

    14. 陈述和保证

    14.1 客户的陈述和保证: 客户向Didit陈述并保证: (i) 其拥有签订和履行本协议的完全法律能力和授权。 (ii) 其在使用服务以及收集、处理和传输客户数据和个人数据时,将遵守所有适用的法律、法规和规范。 (iii) 其已获得并将维护终端用户和任何其他自然人对Didit根据本协议和DPA处理其个人数据所需的所有必要同意、许可和授权。 (iv) 提供给Didit的所有客户数据均准确、完整且合法,并且客户有权将此类数据提供给Didit进行处理。

    14.2 Didit的陈述和保证: Didit向客户陈述并保证: (i) 其拥有签订和履行本协议的完全法律能力和授权。 (ii) 服务将以专业方式并符合行业标准提供。 (iii) 服务将基本符合文档中包含的描述。

    15. 暂停和终止

    15.1 为方便起见终止:

    • 由客户终止: 客户可随时关闭其账户并终止本协议,这将导致未使用的积分被没收。
    • 由Didit终止: Didit可为方便起见,在无理由的情况下,提前三十 (30) 天书面通知后终止本协议和客户对服务的访问。在此情况下,Didit将退还客户任何未使用的积分的价值。

    15.2 因故终止: 如果发生以下情况,任何一方均可立即书面通知另一方终止本协议: (i) 另一方严重违反本协议项下的任何义务,并且在收到指明违约行为的书面通知后三十 (30) 天内未能纠正该违约行为。 (ii) 另一方破产、资不抵债、清算、解散、进入债权人自愿安排或任何类似程序。

    在以下情况下,Didit可立即暂停或终止客户对服务的访问,无需事先通知或纠正期: (a) 严重或重复违反第6.4节(使用限制)或6.5节(客户责任)。 (b) 非法、欺诈性或滥用服务。 (c) 未支付或重复违反支付条款。 (d) Didit自行决定认为服务或客户数据的安全性或完整性可能受到损害。 (e) 遵守法院命令或法律要求。 (f) 通过创建多个组织或账户滥用免费或试用计划,如第6.4节所述,受影响的组织和账户可能会被暂停或终止。

    15.3 终止的影响: 因任何原因终止本协议后: (i) 授予客户的所有许可和权利应立即终止。 (ii) 客户应停止使用服务和文档。 (iii) 客户在终止日期前欠Didit的任何未付款项应立即到期并支付。 (iv) 如果终止是由于客户原因造成的,未使用的积分将被没收且不可退款。 (v) 客户数据保留和删除义务应受附件2 (DPA) 的管辖。 (vi) 本协议中,根据其性质应在终止后继续有效的条款,包括但不限于与知识产权、保密性、免责声明、责任限制、赔偿、管辖法律和司法管辖区以及一般规定相关的条款,应保持完全有效。

    16. 一般规定

    16.1 不可抗力: 任何一方均不对因不可抗力造成的延迟或未能履行本协议项下的义务承担责任。受影响方应尽快通知另一方不可抗力事件,并应尽合理努力减轻其影响。

    16.2 协议修改: Didit保留随时修改或更新本条款和条件、附件或服务政策的权利。Didit将提前至少三十 (30) 天通过在其网站或商业控制台发布修订后的条款,或直接通知客户,告知客户此类修改。如果客户不同意修改,可在新条款生效日期之前书面通知终止协议。客户在修改生效日期后继续使用服务,即表示具有约束力地接受修订后的条款。

    16.3 转让: 未经Didit事先书面同意,客户不得转让或转移其在本协议项下的全部或部分权利或义务。任何不符合本规定的尝试转让或转移均属无效。Didit可自由地将本协议的全部或部分转让或转移给关联公司,或与合并、收购、公司重组或出售其全部或大部分资产相关联。

    16.4 可分割性: 如果本协议的任何条款被有管辖权的法院认定为无效或不可执行,则该条款应在必要的最少范围内受到限制或消除,本协议的其余条款应保持完全有效。

    16.5 不弃权: 任何一方未能行使或延迟行使本协议项下的任何权利或补救措施,不应视为放弃该权利或补救措施,也不应妨碍随后行使该权利或补救措施。对任何违约行为的明确放弃不应构成对任何后续违约行为的放弃。

    16.6 管辖法律和司法管辖区: 管辖法律和专属司法管辖区取决于客户的成立地点,这也决定了Didit的合同实体(参见第1节):

    • 在欧盟、欧洲经济区、英国、瑞士或拉丁美洲成立的客户Didit Identity Spain, S.L.签订合同。本协议受西班牙法律管辖(不参考其冲突法原则),双方不可撤销地服从西班牙巴塞罗那法院对因本协议引起或与之相关的任何争议的专属管辖权。
    • 在美国、加拿大、亚太地区、中东和所有其他司法管辖区成立的客户Didit Identity, Inc.签订合同。本协议受美国特拉华州法律管辖(不参考其冲突法原则),双方不可撤销地服从位于特拉华州新城堡县的州和联邦法院对因本协议引起或与之相关的任何争议的专属管辖权。

    本第16.6节不剥夺消费者根据其惯常居住国法律享有的强制性保护。《联合国国际货物销售合同公约》不适用。

    16.7 完整协议: 本协议,包括所有订单和附件,构成客户与Didit之间就其主题事项达成的完整且排他性协议,并取代双方之间所有先前或同时期的口头或书面通信、提议和协议。

    16.8 双方关系: 双方是独立的承包商。本协议不构成客户与Didit之间的合伙、合资、雇佣、特许经营或代理关系。任何一方均无权约束另一方或代表另一方承担义务。

    16.9 通知: 本协议要求或允许的所有通知应以书面形式发出,并应在以下情况下视为已送达:(a) 亲自送达;(b) 通过挂号信或注册邮件发送,要求回执;(c) 通过电子邮件发送至第1节或订单中指定的通知地址(并确认收到);或 (d) 对于Didit向客户发出的通用通知,在商业控制台或网站上发布。

    16.10 出口合规法律: 客户声明并保证其及其授权用户不受欧盟、美国或其他主管机构施加的经济制裁或禁运的约束,并且不会将服务用于此类出口管制法律禁止的目的。

    16.11 宣传: 客户同意Didit可在Didit的营销材料和客户列表中使用客户的名称和徽标,除非客户书面通知Didit反对此类使用。

    16.12 存续: 第7节(知识产权)、第8节(费用和支付条款, 与所欠金额相关)、第9节(保密性)、第11节(免责声明)、第12节(责任限制)、第13节(赔偿)、第15.3节(终止的影响)和第16节(一般规定)应在本协议的任何终止或期满后继续有效。

    附件1, 服务水平协议 (SLA)

    对于企业计划,您的订单中签署的运营条件和服务指标将优先于本附件。

    1. 范围: 本服务水平协议(“SLA”)适用于Didit核心验证API、商业控制台仪表板和Didit直接管理的SDK端点的运营可用性。

    2. 可用性承诺: Didit承诺根据以下指标维持核心服务的月度正常运行时间:

    指标承诺
    月度正常运行时间 (%)≥ 99.9 %

    3. 正常运行时间测量: 正常运行时间通过Didit的内部监控工具按分钟测量。停机时间应视为核心API或仪表板未能成功响应HTTPS请求(2XX/3XX状态码)的任何分钟,由Didit的监控系统检测到或由客户通过支持警报报告并验证。

    4. 正常运行时间排除: 月度正常运行时间不包括因以下原因造成的停机或服务中断:

    • 不可抗力: 超出Didit合理控制范围的事件,如主协议第16.1节所定义。
    • 计划维护: 服务的计划维护期。Didit将努力将计划维护限制在每月最多五 (5) 小时,并至少提前四十八 (48) 小时通过商业控制台或电子邮件发出通知。
    • 紧急维护: 为解决关键安全或性能问题所需的非计划维护。Didit将尝试提供合理的提前通知,但在所有情况下可能无法实现。
    • 超出Didit合理控制范围的因素: 包括但不限于客户端硬件或软件问题、非Didit造成的互联网网络中断、超出标准缓解阈值的拒绝服务攻击,或第三方服务提供商(如云提供商)的故障(除非Didit在选择或管理方面存在重大过失)。
    • 客户或其授权用户的行为或不作为: 包括任何违反协议的行为。

    5. 服务积分 (SLA积分): 如果Didit未能达到第2节规定的月度正常运行时间承诺,客户可根据下表请求将其Didit账户记入积分(以不可退款的Didit积分形式):

    月度正常运行时间 (%)月度消费(积分)的信用百分比
    < 99.9 % ≥ 99.0 %10 %
    < 99.0 % ≥ 95.0 %25 %
    < 95.0 %50 %

    5.1 积分索赔流程: 要请求积分,客户必须在SLA违约发生月份结束后的三十 (30) 个日历日内,向 billing@didit.me 提交书面请求。请求必须包括服务中断的日期和时间以及中断的简要描述。 服务积分是客户对本SLA项下任何正常运行时间承诺违约的唯一和排他性补救措施。 积分值将自动应用于客户账户的下一个账单周期或积分补充。

    附件2, 数据处理协议 (DPA)

    本数据处理协议(“DPA”)构成本主协议的组成部分,适用于Didit代表客户处理个人数据的情况,符合通用数据保护条例 (GDPR) 和其他适用的数据保护法律。

    1. 背景和范围: 本DPA规定了双方在Didit作为数据处理者,代表客户作为数据控制者处理个人数据方面的权利和义务。

    2. 角色和处理性质:

    角色身份
    客户数据控制者
    Didit(与服务相关)数据处理者
    Didit(聚合/假名化数据)独立控制者(用于算法改进)

    2.1 处理详情:

    • 处理目的: Didit处理个人数据仅用于向客户提供身份验证服务,包括但不限于客户的KYC/AML合规义务、年龄验证和欺诈预防。
    • 数据主体类别: 处理的个人数据涉及客户通过服务验证身份的终端用户。
    • 个人数据类别: 处理的数据可能包括:身份证明文件信息(姓名、出生日期、国籍、文件号码)、自拍/视频图像(包括生物识别数据,如面部数据)、联系数据(电子邮件、电话)、设备和连接数据(IP地址、设备类型、位置)以及AML/制裁筛选数据。
    • 处理和保留期限: 验证流程中处理的个人数据的默认保留期限是无限期的(“无限制”),除非客户配置了更短的期限。客户可以在商业控制台中为每个应用程序配置30天到10年的保留期限,并可以随时通过API端点 `POST /v3/sessions/:session_id/delete/` 或商业控制台删除任何单个会话或验证记录。除非适用法律要求保留,否则Didit将根据客户的指示或协议终止时删除或返回个人数据。生物识别数据保留在任何情况下均受适用生物识别隐私法律法规的约束和限制, 包括欧盟通用数据保护条例 (GDPR) 第9条、伊利诺伊州生物识别信息隐私法 (BIPA)、德克萨斯州生物识别标识符捕获或使用法 (CUBI)、华盛顿州H.B. 1493以及任何其他适用的生物识别隐私法;如果此类法律规定了更短的保留期限或更早的销毁义务,则该更短或更严格的规则优先于任何默认或客户配置的保留期限。

    2.2 处理的合法依据: 客户全权负责确定收集和处理终端用户个人数据以及将此类数据传输给Didit的有效合法依据。这可能包括,例如,数据主体的明确同意(特别是对于生物识别数据)、合同履行、遵守法律义务或合法利益。客户承诺在将任何个人数据发送给Didit之前,根据适用法律提供必要的隐私通知并获得终端用户的所需同意。

    2.3 匿名化/假名化模型训练和欺诈检测(Didit作为独立控制者): 客户承认并同意Didit可将源自客户数据的匿名化或假名化数据用于以下目的,作为独立控制者:

    (i) 训练和改进验证、生物识别和欺诈检测模型, 包括文档分类器、活体检测、人脸匹配、深度伪造检测、注入攻击检测和风险评分模型, 以增强安全性、减少欺诈并提高所有客户的服务准确性。

    (ii) 跨客户欺诈预防保障, 识别和标记使用Didit服务的不同客户应用程序中的已知欺诈行为者、攻击模式和重复欺诈尝试。

    Didit基于其运营安全准确的身份和欺诈基础设施的合法利益处理此数据,并应用匿名化、假名化、聚合和访问控制,以便用于这些目的的数据无法合理地追溯到基础验证记录之外的可识别个人。

    选择退出。 客户(或受影响的终端用户)可以通过 (a) 通过API或商业控制台删除基础验证记录,这将在下次刷新周期中从训练管道中删除该记录,或 (b) 向 privacy@didit.me 发送电子邮件,并附上相关会话标识符或账户,请求选择退出,从而选择退出本第2.3节所述的处理。选择退出自请求之日起生效;Didit还将尽商业上合理的努力从活跃训练数据集中清除符合条件的记录。

    3. Didit的义务(数据处理者): Didit承诺: (i) 仅根据客户的书面指示处理个人数据,除非欧盟或成员国法律要求,在此情况下,Didit应在处理前告知客户该法律要求,除非该法律基于重要的公共利益理由禁止此类信息。 (ii) 确保个人数据的机密性。 Didit将确保被授权处理个人数据的人员承诺遵守保密义务或受适当的法定保密义务的约束。 (iii) 实施适当且强大的技术和组织措施 (TOMs),以确保与风险相称的安全级别,包括静态数据加密 (AES-256) 和传输中数据加密 (TLS 1.3)、专用密钥管理服务 (KMS) 中的密钥管理、基于角色的访问控制、环境隔离、处理系统和服务的弹性、持续监控和定期安全测试。Didit保持 SOC 2 Type 1(安全、可用性、机密性;SOC 2 Type 2 审查进行中)、ISO/IEC 27001:2022、ISO/IEC 30107-3 下的 iBeta Level 1 演示攻击检测 (PAD) 以及根据西班牙Ley 7/2020金融沙盒颁发的 Tesoro / SEPBLAC / CNMV 沙盒认证。 (iv) 协助客户履行其作为数据控制者的义务,考虑到处理的性质和Didit可获得的信息,包括:

      (v) 在Didit知悉任何个人数据安全漏洞后,立即通知客户。 Didit将向客户提供有关漏洞的已知信息,并与客户合作减轻其影响并履行通知义务。

      4. 客户的义务(数据控制者): 客户承诺: (i) 建立并维护处理和向Didit传输个人数据的充分合法依据。 (ii) 在使用Didit服务之前,根据适用的数据保护法律,提供必要的隐私通知并获得终端用户的所需同意。 (iii) 根据其自身的法律义务和内部政策,通过Didit的控制台或API配置数据保留期限。 (iv) 响应Didit重定向给客户的监管机构或数据主体的请求。

      5. 子处理者: 客户授予Didit聘用子处理者处理个人数据的普遍授权。Didit维护其子处理者的最新列表,该列表在签署保密协议 (NDA) 后通过电子邮件与客户和潜在客户共享。要请求当前列表,请发送电子邮件至 security@didit.me。Didit通过电子邮件通知订阅客户任何子处理者列表的添加或更改,并提供足够的提前通知,以便客户提出异议。Didit对其子处理者施加与本DPA中规定的数据保护义务基本相似的义务,并对其子处理者遵守这些义务对客户承担全部责任。客户可以基于合理的数据保护理由反对新的子处理者,在此情况下,双方将真诚合作寻找解决方案,包括终止受影响服务的可能性。

      6. 安全漏洞: 如果发生个人数据安全漏洞: (i) Didit将在知悉后立即通知客户。 (ii) Didit将向客户提供有关漏洞的详细信息,包括漏洞的性质、受影响的数据类别、受影响的数据主体和数据记录的大致数量、可能造成的后果以及已采取或提议采取的措施以解决并减轻其可能的不利影响。 (iii) Didit将合理配合客户调查漏洞并履行其向监管机构和数据主体发出的通知义务,尽管此类通知的最终决定权应由客户掌握。

      7. 国际数据传输: Didit处理的主要数据托管在欧洲经济区 (EEA)。Didit或其子处理者向EEA以外传输个人数据,仅在GDPR下法律认可的传输机制基础上进行,例如欧盟委员会批准的标准合同条款 (SCCs)、充分性决定或任何其他适用的法律机制,以确保足够的保护水平。

      8. 个人数据的删除/返回: 根据客户的书面请求或本协议终止时,Didit将根据客户的选择删除或返回所有个人数据给客户,除非适用法律要求Didit保留个人数据。客户可以通过Didit的API或控制台根据其自身的保留政策管理其个人数据的删除。

      9. 审计和文档: Didit将根据请求并在合理提前通知(不少于30天)的情况下,向客户提供所有合理必要的信息,以证明符合本DPA中规定的义务。如果客户要求对Didit的设施或系统进行直接审计,此类审计应是有限且非侵入性的,须经双方就范围和方法达成一致,并且客户应承担相关的合理费用。根据请求并在签署保密协议后,Didit提供其 SOC 2 Type 1 报告(SOC 2 Type 2 正在进行中)、ISO/IEC 27001:2022 证书、iBeta Level 1 PAD 测试报告以及已发布的 Tesoro / SEPBLAC / CNMV 沙盒结论作为审计凭证。

      10. DPA期限: 本DPA应与主协议具有相同的期限。本DPA中与保密性、删除、责任和审计相关的条款应在协议终止后继续有效,以符合适用法律的要求。

      Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Spain
      Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
      © 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/business

      对特定文档有疑问?

      发送电子邮件至 legal@didit.me、privacy@didit.me 或 security@didit.me, 或在 WhatsApp 上给我们留言。我们会将您转接给合适的联系人。

      联系我们
      让 AI 总结此页面