业务条款和条件

0. 协议的接受

通过(i)点击业务控制台或Didit网站上的“注册”、“我接受”或其他类似按钮，(ii)签署引用本条款的订单，或(iii)以其他方式访问或使用服务，您（“客户”）代表您所代表的法律实体或组织，合法接受并同意受本协议的约束。

通过接受本协议，客户声明并保证其拥有完全的法律授权，使其代表的实体或组织受本条款及任何相关附件或订单的约束。如果您不具备此类授权，或者您不同意本条款，则您不得使用或访问服务。

继续使用DIDIT平台即构成对本协议的明确和具有约束力的完整接受。

1. 协议双方

本协议涉及以下各方：

• 服务提供商（“Didit”、“我们”、“我方”）： 与客户签订合同的Didit实体。适用的签约实体由第16.6节（管辖法律和司法管辖区）确定：
  • Didit Identity Spain, S.L. — CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelona, Spain。与在欧盟、欧洲经济区、英国、瑞士和拉丁美洲成立的客户签订合同。
  • Didit Identity, Inc. — EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States。与在美国、加拿大、亚太地区、中东和所有未分配给Didit Identity Spain, S.L.的其他司法管辖区成立的客户签订合同。
• 客户（“您”、“您的”）：

在Didit平台注册账户或使用服务的法律实体或个人。客户将是Didit的合同方。

• 通知：

所有与本协议相关的正式通知和通信必须发送至legal@didit.me或上述适用签约实体的实际地址。

2. 结构和优先顺序

本协议由以下文件组成，应联合解释。如果这些文件中的任何条款之间存在冲突，则应按以下降序优先：

1. 订单（客户特定的商业文件，详细说明服务的获取、数量和定价）。
2. 附件2 – 数据处理协议(DPA)（管辖个人数据的处理）。
3. 本服务条款和条件。
4. 附件1 – 服务水平协议(SLA)（确立服务的可用性承诺）。

3. 目录

1. 协议的接受
2. 协议双方
3. 结构和优先顺序
4. 目录
5. 定义和解释
6. 协议期限
7. 服务的访问和使用
8. 知识产权
9. 费用和支付条款
10. 保密性
11. 数据保护和安全
12. 免责声明
13. 责任限制
14. 赔偿
15. 陈述和保证
16. 暂停和终止
17. 一般规定

附件1 – 服务水平协议(SLA) 附件2 – 数据处理协议(DPA)

4. 定义和解释

就本协议而言，以下术语应具有以下含义：

• 协议： 指本服务条款和条件，以及任何订单、附件1 (SLA)和附件2 (DPA)，以及其中引用的任何其他政策或附件。
• API： 指Didit为与服务集成而提供的应用程序编程接口。
• 业务控制台： 指Didit的网络管理门户，可通过https://business.didit.me或Didit可能指定的任何其他URL访问，允许客户管理其账户和服务。
• 积分： 指客户根据Didit指定的定价和条件，为使用服务而购买的以美元计价的预付单位。
• 访问凭据： 包括但不限于密码、API密钥、身份验证令牌或Didit提供给客户以访问服务的任何其他安全信息。
• 客户数据： 客户或授权用户通过服务提交、上传或处理的所有数据，包括最终用户的机密信息和个人数据。
• 个人数据： 应具有欧盟通用数据保护条例(GDPR)（条例(EU) 2016/679）和/或任何其他适用数据保护法律中赋予的含义。
• 文档： 指Didit提供给客户的与服务相关的任何用户手册、技术规范、实施指南、API指南、政策或支持材料。
• 生效日期： 客户首次接受本协议的日期，如第0节所述。
• 订单： 任何正式化客户购买积分或特定服务的实体文件或在线表格，该文件或表格引用本条款并构成本协议的一部分。
• 不可抗力： 任何超出一方合理控制范围的事件或情况，导致其无法或延迟履行本协议项下的义务，例如天灾、战争、恐怖主义、叛乱、流行病、自然灾害、全球互联网中断、能源短缺、罢工、蓄意破坏或政府决定。
• 机密信息： 一方以口头、书面或电子方式向另一方披露的所有非公开信息，这些信息被指定为机密信息，或者根据信息的性质或披露情况，应合理地理解为机密信息。这包括但不限于技术、财务、业务、客户、定价信息、营销计划、软件、源代码和客户数据。
• 知识产权： 包括专利、版权、数据库权利、设计权利、商标、商号、专有技术、商业秘密以及任何其他知识产权，无论是否注册，以及在世界任何地方的申请。
• SDK： 指Didit为促进服务的集成和使用而提供的软件开发工具包。
• 服务： 指Didit身份和欺诈基础设施平台，包括业务控制台、API、SDK、文档以及Didit提供给客户的任何产品线，包括用户验证(KYC)、业务验证(KYB)、交易监控、钱包筛选(KYT)、工作流编排器、模型上下文协议(MCP)服务器以及Didit可能根据本协议发布的任何其他服务。
• 授权用户： 客户授权代表客户访问和使用服务的任何人，例如客户的员工或承包商，但须遵守本协议的条款。
• 最终用户： 客户寻求使用Didit服务验证其身份的自然人。
• 验证： Didit执行的验证最终用户身份的过程，最终结果为批准或拒绝，或Didit或订单中定义的任何其他状态。
• 验证功能： 验证流程的单个组件，例如身份证件验证、活体检测、人脸匹配、人脸搜索、AML筛选、地址证明、NFC读取、数据库验证、自定义问卷、电话验证、电子邮件验证、设备和IP分析、商业注册查询、UBO提取、官员数据、实体AML、关联KYC、交易监控规则评估、钱包筛选查询，或Didit在产品线中提供的任何其他独立步骤。

解释：

• 章节标题仅为方便起见，不影响本协议的解释。
• 单数词包括复数，反之亦然。
• “包括”或“包含”一词表示“包括但不限于”。
• 任何对法律或法规的引用均指该法律或法规不时生效的版本，包括其修订或替换。

5. 协议期限

5.1 协议期限： 本协议自生效日期起生效，并持续有效，直至任何一方根据本协议第16节终止。

5.2 无最低承诺（除非订单中另有规定）： 除非客户签署的订单中另有规定（例如，对于具有数量承诺的企业计划），客户可以随时停止使用服务。但是，未使用的积分在任何情况下均不可退款，如第9.4节所述。规定最低消费承诺的订单应优先于本条款。

6. 服务的访问和使用

6.1 账户创建和安全： 要访问和使用服务，客户必须在业务控制台中创建账户。客户全权负责维护其访问凭据（包括密码和API密钥）的机密性和安全性，并负责其账户下发生的所有活动，无论是否获得授权。客户必须立即通知Didit任何未经授权使用或怀疑未经授权使用其访问凭据或账户的情况。Didit不对因客户未能遵守此义务而造成的任何损失或损害承担责任。

6.2 许可： 在客户持续遵守本协议并及时支付所有适用费用的前提下，Didit授予客户一项非排他性、全球性许可，在协议期限内，客户可以访问和使用服务和文档，用于其业务目的，特别是： (i) 验证其最终用户的身份。 (ii) 协助预防和检测欺诈。 (iii) 遵守适用的法律和监管义务（例如，KYC/AML）。

6.3 转售和再许可权利： 客户可以转售、再许可或以其他方式向第三方提供服务，前提是： (i) 客户确保此类第三方遵守本协议的所有适用条款。 (ii) 客户对该等第三方的任何行为或不作为对Didit承担全部责任。 (iii) 客户与该等第三方签订书面协议，其中包含的条款对Didit的保护不低于本协议中的条款。 (iv) 客户应要求通知Didit任何重大的再许可安排。

6.4 使用限制： 客户同意不执行，也不会允许第三方执行以下任何操作：

• 复制、修改、改编、翻译、逆向工程、反编译、反汇编或试图发现服务或其任何部分的源代码或算法，除非适用且不可放弃的法律明确允许此类活动。
• 使用服务或从中获得的任何信息构建或试图构建竞争性身份验证服务。
• 将服务用于任何非法、歧视性、欺诈性、误导性、诽谤性、淫秽、辱骂、有害目的，或以侵犯第三方权利或适用法律的方式使用。
• 未经Didit事先书面同意，使用验证结果或通过服务获得的任何客户数据来训练、开发或改进机器学习(ML)或人工智能(AI)模型，或任何其他类似的算法或技术。
• 干扰或试图干扰服务的正常运行，包括但不限于引入病毒、木马、蠕虫、逻辑炸弹或任何其他恶意或技术上有害的材料。
• 试图未经授权访问服务、计算机系统或连接到服务的网络。
• 删除、更改或模糊服务或文档中包含的Didit或第三方的任何知识产权通知或商标。
• 以超出购买的使用限制或积分数量的方式使用服务，或对Didit的基础设施施加不合理或不成比例的巨大负载。
• 通过在业务控制台(https://business.didit.me)中创建多个组织或账户，无论是直接还是间接，使用相同或不同的身份，以获取超出单个客户预期额外免费层级福利的方式滥用或规避任何免费或试用计划的限制。如果Didit有合理证据表明某个人或实体已创建或正在运营多个组织以利用免费计划，Didit可能会暂停或终止受影响的组织和账户，并在可行的情况下发出通知。

6.5 客户责任： 客户应全权负责：

• 法律合规： 确保其对服务的使用，包括客户数据和最终用户个人数据的收集、处理和使用，完全符合其司法管辖区的所有适用法律、法规和规范，包括但不限于数据保护法律、反洗钱(AML)和打击恐怖主义融资(CFT)法律。
• 最终用户通知和同意： 根据适用的数据保护法律，获取并维护最终用户对收集、处理和传输其个人数据（包括生物识别数据，如果适用）给Didit及其子处理者的所有必要通知、明确同意和授权的记录。
• 客户安全： 实施和维护合理且适当的安全措施，以保护提交给Didit之前的客户数据并保护其访问凭据。这包括但不限于使用安全连接(HTTPS)、实施签名webhook以及其他信息安全最佳实践。
• 数据准确性： 确保通过服务提交给Didit的客户数据的准确性、完整性和合法性。

6.6 数据管理和删除： 验证结果和相关的客户数据将通过webhook或Didit的API交付给客户。客户将能够随时通过API或业务控制台永久删除任何验证记录或客户数据，但须遵守Didit作为数据处理者的保留政策和法律义务，如附件2 (DPA)中所述。

7. 知识产权

7.1 Didit的所有权： Didit（以及其许可方，如适用）保留服务（包括软件、代码、API、SDK、模型、算法、底层技术）、文档、Didit商标以及其任何改进、修改、更新、衍生品或开发的所有权利、所有权和利益。本协议中的任何内容均不应解释为将知识产权所有权从Didit转让给客户。授予客户的权利仅为许可，本协议项下不授予任何默示许可。

7.2 客户数据： 客户是并将始终是客户数据中所有权利、所有权和利益的唯一所有者。客户授予Didit一项全球性、非排他性、免版税、可再许可和可转让的许可，仅为向客户提供服务和改进服务之目的处理客户数据，并符合附件2（数据处理协议）和Didit的隐私政策。

7.3 反馈： 如果客户或其任何授权用户向Didit提供任何与服务相关的建议、想法、增强请求、评论、推荐或其他信息（“反馈”），客户特此授予Didit一项全球性、永久、不可撤销、免版税、全额支付、可转让、可再许可的许可，以使用、利用、复制、修改、创建衍生作品、分发、公开展示、公开执行和以其他方式将此类反馈商业化，用于任何目的和以任何方式，而无需对客户承担任何义务或补偿。

8. 费用和支付条款

8.1 预付积分和永不过期： Didit的服务基于预付积分模式。客户购买的积分永不过期，只要协议有效即可使用。

8.2 已完成验证功能的付款： 客户将根据适用费率，为最终用户在验证流程中成功完成的每个验证功能付费。这意味着： (i) 如果最终用户完成身份证件验证步骤，客户将为此功能付费。 (ii) 如果最终用户完成活体检测步骤，客户将为此功能付费。 (iii) 完成的每个额外验证功能（例如AML筛选、地址证明、NFC验证等）都将产生相应的费用。 (iv) 由于Didit方面的系统故障而未能完成的验证功能不收取任何费用。

每个验证功能的具体定价在Didit的定价页面或适用的订单中列出。

8.3 定价： 服务的适用价格发布在Didit的定价页面上，或者对于定制或企业计划，发布在相应的订单中。Didit保留随时修改其价格的权利，并将根据第17.2节提前通知。

8.4 支付流程和不可退款性： 积分的购买将通过Didit指定的支付平台（目前是Stripe或订单中约定的支付方式）进行。所有付款均为最终付款，购买的积分不可退款，除非本协议或订单中另有明确规定。所示价格不包括税费（如增值税）或银行或处理费，这些费用将由客户承担。

8.5 支付失败/退款和账户暂停： 如果连续三次自动支付尝试失败（对于自动积分补充，如果已配置）或企业计划发出的发票未支付，Didit可自行决定暂停客户对服务的访问或根据第16节终止本协议。Didit保留对逾期付款收取适用法律允许的最高利率利息的权利，从到期日到全额支付日按日计算。

8.6 企业计划： 对于通过签署订单签订企业或定制计划的客户，该订单中规定的具体定价条件、支付条款、最低消费承诺和账单应取代或补充本第8节的规定。

9. 保密性

各方（“接收方”）同意以至少与保护其自身类似性质信息相同的谨慎程度（但绝不低于合理谨慎）保护另一方（“披露方”）的机密信息。接收方将仅使用披露方的机密信息来履行其在本协议项下的义务或适用法律允许的范围。

9.1 机密信息排除： 机密信息不包括以下任何信息：(a) 在接收方无过错的情况下已公开或变为公开；(b) 在披露方披露之前，接收方合法拥有且无保密义务；(c) 由第三方在不受限制或不违反任何保密义务的情况下向接收方披露；(d) 由接收方独立开发，且未参考披露方的机密信息；或(e) Didit以聚合或假名化形式处理的客户数据，用于改进其算法，如附件2 (DPA)中所述。

9.2 强制披露： 如果法律、法院命令或主管政府机构要求，接收方可以披露机密信息，前提是，在法律允许的范围内，接收方应提前充分通知披露方，以便披露方寻求保护令或豁免。

9.3 人员义务： 各方应确保其员工、代理人和承包商（有权访问另一方机密信息的人员）受至少与本第9节中规定的保密义务同样严格的保密义务的约束。

9.4 存续： 本第9节中规定的保密义务在本协议期限内以及自终止之日起五(5)年内保持有效，但商业秘密除外，对于商业秘密，只要此类信息保持其商业秘密状态，保密义务应无限期有效。

10. 数据保护和安全

Didit代表客户处理个人数据应受附件2 – 数据处理协议(DPA)的管辖，该协议构成本协议的组成部分。DPA详细说明了各方在遵守数据保护法律、安全措施以及数据处理者和数据控制者责任方面的义务。

11. 免责声明

DIDIT的服务，包括平台、API、SDK和文档，均按“原样”和“可用”提供，不附带任何形式的保证。在适用法律允许的最大范围内，DIDIT明确否认所有明示或暗示的保证，包括但不限于适销性、特定用途适用性、不侵犯第三方权利、数据准确性、不中断或无错误的可用性的暗示保证。

DIDIT不保证服务将不中断、安全或无错误运行，不保证缺陷将得到纠正，也不保证服务或提供服务的服务器不含病毒或其他有害组件。DIDIT不就使用服务可能获得的结果或通过服务获得的任何信息的准确性、可靠性或完整性作出任何保证。客户承担使用服务相关的所有风险。

特别是，客户承认身份验证是基于各种数据源和算法的复杂过程。DIDIT不保证任何最终用户的身份、任何身份文件的真实性或真实性，或不存在欺诈。DIDIT服务提供的结果仅供参考，并支持客户的决策过程。客户对其基于或不基于DIDIT结果的最终决策全权负责，DIDIT对此类决策或其后果不承担任何责任。

12. 责任限制

在适用法律允许的最大范围内，在任何情况下，DIDIT、其关联公司、董事、员工、代理、供应商或许可方均不对客户或任何第三方因合同、侵权（包括疏忽）或其他原因造成的任何间接、附带、特殊、后果性、惩罚性、示范性损害或利润、收入、数据、使用或商誉损失承担责任，即使DIDIT已被告知此类损害的可能性。

DIDIT在本协议项下因任何原因和任何责任理论而承担的总累计责任应限于索赔事件发生前十二(12)个月内客户实际支付给DIDIT的积分或服务费用金额。

本节中规定的限制不适用于因DIDIT的重大过失或故意不当行为、第14节中规定的相互赔偿义务，或适用法律不允许排除或限制某些损害的情况。

13. 赔偿

13.1 客户赔偿： 客户应为Didit、其关联公司、董事、员工、代理和供应商（“Didit受偿方”）辩护、赔偿并使其免受因以下原因引起或与之相关的任何及所有索赔、要求、损害、责任、损失、成本和费用（包括合理的律师费）的损害： (i) 客户违反本协议项下的任何义务、陈述或保证，包括但不限于与安全、数据保护或使用限制相关的义务、陈述或保证。 (ii) 最终用户或第三方提出的与客户收集或处理个人数据（包括未能获得必要的同意）或客户基于验证结果做出的决定相关的任何索赔。 (iii) 客户以不符合适用法律或法规的方式使用服务。 (iv) 客户或其客户数据侵犯任何第三方知识产权或隐私权。

13.2 Didit赔偿： Didit应为客户、其关联公司、董事、员工和代理辩护、赔偿并使其免受因第三方声称Didit向客户提供的服务（并根据本协议使用）直接侵犯该第三方的专利、版权或商标而引起或与之相关的任何及所有索赔、要求、损害、责任、损失、成本和费用（包括合理的律师费）的损害。

排除： Didit的赔偿义务不适用于因以下原因引起的索赔：(a) 客户将服务与Didit未提供的任何软件、硬件或数据结合使用；(b) 非Didit方对服务进行修改；或(c) 如果Didit已提供更新的、不侵权的版本，客户仍使用过时版本的服务。

13.3 赔偿程序： 寻求赔偿的一方（“受偿方”）应：(i) 及时书面通知赔偿方（“赔偿方”）任何索赔；(ii) 允许赔偿方独家控制索赔的辩护和解决（前提是和解不会对受偿方施加非金钱义务或在未经其事先书面同意的情况下承认受偿方的责任）；以及(iii) 在赔偿方承担费用的情况下，向赔偿方提供所有合理的协助和合作。

14. 陈述和保证

14.1 客户的陈述和保证： 客户向Didit陈述并保证： (i) 其拥有完全的法律能力和授权来签订和履行本协议。 (ii) 其在使用服务以及收集、处理和传输客户数据和个人数据时将遵守所有适用的法律、法规和规范。 (iii) 其已获得并将维护最终用户和任何其他自然人对Didit根据本协议和DPA处理其个人数据所需的所有必要同意、许可和授权。 (iv) 提供给Didit的所有客户数据均准确、完整和合法，并且客户有权将此类数据提供给Didit进行处理。

14.2 Didit的陈述和保证： Didit向客户陈述并保证： (i) 其拥有完全的法律能力和授权来签订和履行本协议。 (ii) 服务将以专业方式并符合行业标准提供。 (iii) 服务将基本符合文档中包含的描述。

15. 暂停和终止

15.1 为方便起见终止：

• 由客户终止： 客户可以随时关闭其账户并终止本协议，这将导致未使用的积分被没收。
• 由Didit终止： Didit可以为方便起见，在不附带原因的情况下，提前三十(30)天书面通知终止本协议和客户对服务的访问。在这种情况下，Didit将退还客户任何未使用的积分的价值。

15.2 因故终止： 如果发生以下情况，任何一方均可立即书面通知另一方终止本协议： (i) 另一方严重违反本协议项下的任何义务，并且在收到说明违约行为的书面通知后三十(30)天内未能纠正该违约行为。 (ii) 另一方破产、资不抵债、清算、解散、进入债权人自愿安排或任何类似程序。

在以下情况下，Didit可以立即暂停或终止客户对服务的访问，无需事先通知或纠正期： (a) 严重或重复违反第6.4节（使用限制）或6.5节（客户责任）。 (b) 非法、欺诈或滥用服务。 (c) 未付款或重复违反付款条款。 (d) 当Didit自行决定认为服务或客户数据的安全性或完整性可能受到损害时。 (e) 遵守法院命令或法律要求。 (f) 通过创建多个组织或账户滥用免费或试用计划，如第6.4节所述，受影响的组织和账户可能会被暂停或终止。

15.3 终止的影响： 本协议因任何原因终止后： (i) 授予客户的所有许可和权利应立即终止。 (ii) 客户应停止使用服务和文档。 (iii) 客户在终止日期欠Didit的任何未付款项应立即到期并支付。 (iv) 如果终止是由于客户原因造成的，未使用的积分将被没收且不可退款。 (v) 客户数据保留和删除义务应受附件2 (DPA)的管辖。 (vi) 本协议中，根据其性质应在终止后继续有效的条款，包括但不限于与知识产权、保密性、免责声明、责任限制、赔偿、管辖法律和司法管辖区以及一般规定相关的条款，应保持完全有效。

16. 一般规定

16.1 不可抗力： 如果任何一方因不可抗力而延迟或未能履行其在本协议项下的义务，则该方不承担责任。受影响方应尽快通知另一方不可抗力事件，并应尽合理努力减轻其影响。

16.2 协议修改： Didit保留随时修改或更新本条款和条件、附件或服务政策的权利。Didit将通过在其网站或业务控制台上发布修订后的条款，或直接向客户发送通知，至少提前三十(30)天通知客户此类修改。如果客户不同意修改，可以在新条款生效日期之前书面通知终止协议。客户在修改生效日期后继续使用服务应构成对修订条款的具有约束力的接受。

16.3 转让： 未经Didit事先书面同意，客户不得全部或部分转让或转移其在本协议项下的权利或义务。任何不符合本规定的尝试转让或转移均无效。Didit可以自由地全部或部分转让或转移本协议给关联公司，或与合并、收购、公司重组或出售其全部或大部分资产相关。

16.4 可分割性： 如果本协议的任何条款被有管辖权的法院认定为无效或不可执行，则该条款应在必要的最小范围内受到限制或删除，本协议的其余条款应保持完全有效。

16.5 不弃权： 任何一方未能行使或延迟行使本协议项下的任何权利或补救措施，不应视为放弃该权利或补救措施，也不应妨碍随后行使该权利或补救措施。对任何违约行为的明确弃权不应构成对任何后续违约行为的弃权。

16.6 管辖法律和司法管辖区： 管辖法律和专属司法管辖区取决于客户的注册地，这也决定了签约的Didit实体（参见第1节）：

• 在欧盟、欧洲经济区、英国、瑞士或拉丁美洲成立的客户与Didit Identity Spain, S.L.签订合同。本协议受西班牙法律管辖（不参考其冲突法原则），双方不可撤销地服从西班牙巴塞罗那法院对因本协议引起或与之相关的任何争议的专属管辖权。
• 在美国、加拿大、亚太地区、中东和所有其他司法管辖区成立的客户与Didit Identity, Inc.签订合同。本协议受美国特拉华州法律管辖（不参考其冲突法原则），双方不可撤销地服从位于特拉华州新城堡县的州和联邦法院对因本协议引起或与之相关的任何争议的专属管辖权。

本第16.6节不剥夺消费者在其惯常居住国法律的强制性保护。联合国国际货物销售合同公约不适用。

16.7 完整协议： 本协议，包括所有订单和附件，构成客户与Didit之间就其主题事项达成的完整且排他性协议，并取代双方之间所有先前或同时期的口头或书面通信、提案和协议。

16.8 双方关系： 双方是独立的承包商。本协议不构成客户与Didit之间的合伙、合资、雇佣、特许经营或代理关系。任何一方均无权约束另一方或代表另一方承担义务。

16.9 通知： 本协议要求或允许的所有通知均应采用书面形式，并在以下情况下视为已送达：(a) 亲自送达；(b) 通过挂号信或回执邮件发送；(c) 通过电子邮件发送至第1节或订单中指定的通知地址（并确认收到）；或(d) 在Didit向客户发出一般通知的情况下，发布在业务控制台或网站上。

16.10 出口合规法律： 客户声明并保证其及其授权用户不受欧盟、美国或其他主管机构施加的经济制裁或禁运的约束，并且不会将服务用于此类出口管制法律禁止的目的。

16.11 宣传： 客户同意Didit可以在其营销材料和客户列表中使用客户的名称和徽标，除非客户书面通知Didit反对此类使用。

16.12 存续： 第7节（知识产权）、第8节（费用和支付条款 – 与欠款相关）、第9节（保密性）、第11节（免责声明）、第12节（责任限制）、第13节（赔偿）、第15.3节（终止的影响）和第16节（一般规定）在本协议的任何终止或期满后仍应继续有效。

附件1 – 服务水平协议(SLA)

对于企业计划，您的订单中签署的运营条件和服务指标将优先于本附件。

1. 范围： 本服务水平协议（“SLA”）适用于Didit核心验证API、业务控制台仪表板和由Didit直接管理的SDK端点的运营可用性。

2. 可用性承诺： Didit承诺根据以下指标保持核心服务的月度正常运行时间：

3. 正常运行时间测量： 正常运行时间通过Didit的内部监控工具按分钟测量。停机时间应视为Didit监控系统检测到或客户通过支持警报报告并验证的核心API或仪表板未能成功响应HTTPS请求（2XX/3XX状态码）的任何分钟。

4. 正常运行时间排除： 月度正常运行时间不包括因以下原因造成的停机或服务中断：

• 不可抗力： 超出Didit合理控制范围的事件，如主协议第16.1节所定义。
• 计划维护： 服务的计划维护期。Didit将努力将计划维护限制在每月最多五(5)小时，并通过业务控制台或电子邮件提前至少四十八(48)小时通知。
• 紧急维护： 解决关键安全或性能问题所需的非计划维护。Didit将尝试提供合理的提前通知，但在所有情况下可能无法实现。
• 超出Didit合理控制范围的因素： 包括但不限于客户侧硬件或软件问题、不归因于Didit的互联网网络中断、超出标准缓解阈值的拒绝服务攻击，或第三方服务提供商（如云提供商，除非证明Didit在选择或管理方面存在重大过失）的故障。
• 客户或其授权用户的行为或不作为： 包括任何违反协议的行为。

5. 服务积分(SLA积分)： 如果Didit未能达到第2节中规定的月度正常运行时间承诺，客户可以根据下表请求将其Didit账户记入积分（以不可退款的Didit积分形式）：

5.1 积分索赔流程： 要请求积分，客户必须在SLA违约发生月份结束后的三十(30)个日历日内，向billing@didit.me提交书面请求。请求必须包括服务中断的日期和时间以及中断的简要描述。 服务积分是客户根据本SLA对任何违反正常运行时间承诺的唯一和排他性补救措施。 积分值将自动应用于客户账户的下一个账单周期或积分补充。

附件2 – 数据处理协议(DPA)

本数据处理协议（“DPA”）构成本主协议的组成部分，并适用于Didit代表客户处理个人数据，符合《通用数据保护条例》(GDPR)和其他适用数据保护法律的情况。

1. 背景和范围： 本DPA规定了双方在Didit作为数据处理者，代表客户作为数据控制者处理个人数据方面的权利和义务。

2. 角色和处理性质：

2.1 处理详情：

• 处理目的： Didit处理个人数据仅用于向客户提供身份验证服务，包括但不限于客户的KYC/AML合规义务、年龄验证和欺诈预防。
• 数据主体类别： 处理的个人数据涉及通过服务由客户验证身份的最终用户。
• 个人数据类别： 处理的数据可能包括：身份文件信息（姓名、出生日期、国籍、文件号码）、自拍照/视频图像（包括生物识别数据，如面部数据）、联系数据（电子邮件、电话）、设备和连接数据（IP地址、设备类型、位置）以及AML/制裁筛选数据。
• 处理和保留期限： 除非客户配置了更短的期限，否则验证流程中处理的个人数据的默认保留期限为无限期（“unlimited”）。客户可以通过业务控制台或API为每个应用程序配置30天到10年的保留期限，并可以随时通过API端点`POST /v3/sessions/:session_id/delete/`或业务控制台删除任何单个会话或验证记录。Didit将根据客户的指示或协议终止时删除或返回个人数据，除非适用法律要求保留。生物识别数据保留在任何情况下都受限于并受适用生物识别隐私法律法规的限制 — 包括欧盟通用数据保护条例(GDPR)第9条、伊利诺伊州生物识别信息隐私法(BIPA)、德克萨斯州生物识别标识符捕获或使用法(CUBI)、华盛顿州H.B. 1493以及任何其他适用的生物识别隐私法；如果此类法律规定了更短的保留期限或更早的销毁义务，则该更短或更严格的规则优先于任何默认或客户配置的保留期限。

2.2 处理的合法依据： 客户全权负责确定收集和处理最终用户个人数据以及将此类数据传输给Didit的有效合法依据。这可能包括，例如，数据主体的明确同意（特别是对于生物识别数据）、合同履行、遵守法律义务或合法利益。客户承诺在将任何个人数据发送给Didit之前，根据适用法律提供必要的隐私通知并获得最终用户所需的同意。

2.3 匿名化/假名化模型训练和欺诈检测（Didit作为独立控制者）： 客户承认并同意Didit可以作为独立控制者，将从客户数据中提取的匿名化或假名化数据用于以下目的：

(i) 验证、生物识别和欺诈检测模型的训练和改进 — 包括文档分类器、活体检测、人脸匹配、深度伪造检测、注入攻击检测和风险评分模型 — 以增强安全性、减少欺诈并提高所有客户服务的准确性。

(ii) 跨客户欺诈预防保障措施 — 识别和标记已知欺诈行为者、攻击模式以及通过Didit服务在不同客户应用程序中尝试的重复欺诈。

Didit基于其运营安全准确的身份和欺诈基础设施的合法利益处理这些数据，并应用匿名化、假名化、聚合和访问控制，以确保用于这些目的的数据无法合理地追溯到基础验证记录之外的可识别个人。

选择退出。 客户（或受影响的最终用户）可以通过以下方式选择退出本第2.3节所述的处理：(a) 通过API或业务控制台删除基础验证记录，该操作将在下一个刷新周期将记录从训练管道中移除，或(b) 发送电子邮件至privacy@didit.me，并附上相关的会话标识符或账户，请求选择退出。选择退出自请求之日起生效；Didit还将尽商业上合理的努力从活跃训练数据集中清除符合条件的记录。

3. Didit的义务（数据处理者）： Didit承诺： (i) 仅根据客户的记录指示处理个人数据，除非欧盟或成员国法律要求，在这种情况下，Didit应在处理前告知客户该法律要求，除非该法律基于重要的公共利益理由禁止此类信息。 (ii) 确保个人数据的机密性。 Didit将确保被授权处理个人数据的人员承诺遵守保密义务或受适当的法定保密义务的约束。 (iii) 实施适当且强大的技术和组织措施(TOMs)，以确保与风险相适应的安全级别，包括静态数据加密(AES-256)和传输中数据加密(TLS 1.3)、专用密钥管理服务(KMS)中的密钥管理、基于角色的访问控制、环境隔离、处理系统和服务的弹性、持续监控和定期安全测试。Didit持有SOC 2 Type 1（安全、可用性、机密性；SOC 2 Type 2审查进行中）、ISO/IEC 27001:2022、ISO/IEC 30107-3下的iBeta Level 1演示攻击检测(PAD)以及根据西班牙Ley 7/2020金融沙盒颁发的Tesoro / SEPBLAC / CNMV沙盒认证。 (iv) 协助客户履行其作为数据控制者的义务，同时考虑到处理的性质和Didit可获得的信息，包括：

(v) 在Didit知晓任何个人数据安全漏洞后，立即通知客户。Didit将向客户提供有关漏洞的已知信息，并与客户合作减轻其影响并履行通知义务。

4. 客户的义务（数据控制者）： 客户承诺： (i) 建立并维护收集和处理个人数据并将其传输给Didit的充分合法依据。 (ii) 在使用Didit服务之前，根据适用的数据保护法律，提供必要的隐私通知并获得最终用户所需的同意。 (iii) 根据其自身的法律义务和内部政策，通过Didit的控制台或API配置数据保留期限。 (iv) 响应Didit重定向给客户的监管机构或数据主体的请求。

5. 子处理者： 客户授予Didit聘用子处理者处理个人数据的普遍授权。Didit维护其子处理者的最新列表，该列表在签署保密协议(NDA)后通过电子邮件与客户和潜在客户共享。要请求当前列表，请发送电子邮件至security@didit.me。Didit会提前充分通知订阅客户任何子处理者的添加或更改，以便客户提出异议。Didit对其子处理者施加的与本DPA中规定的数据保护义务基本相似的义务，并对子处理者遵守这些义务的情况对客户承担全部责任。客户可以基于合理的数据保护理由反对新的子处理者，在这种情况下，双方将真诚合作寻找解决方案，包括终止受影响服务的可能性。

6. 安全漏洞： 如果发生个人数据安全漏洞： (i) Didit将在知晓后立即通知客户。 (ii) Didit将向客户提供有关漏洞的详细信息，包括漏洞的性质、受影响的数据类别、受影响的数据主体和数据记录的大致数量、可能造成的后果以及为解决和减轻其可能的不利影响而采取或提议的措施。 (iii) Didit将合理配合客户调查漏洞并履行其向监管机构和数据主体发出的通知义务，尽管此类通知的最终决定权在于客户。

7. 国际数据传输： Didit处理的主要数据托管在欧洲经济区(EEA)内。Didit或其子处理者向EEA之外传输个人数据将仅基于GDPR下法律认可的传输机制，例如欧盟委员会批准的标准合同条款(SCCs)、充分性决定或任何其他适用的法律机制，以确保足够的保护水平。

8. 个人数据的删除/返回： 根据客户的书面请求或本协议终止时，Didit将根据客户的选择，删除或返回所有个人数据给客户，除非适用法律要求Didit保留个人数据。客户可以随时通过Didit的API或控制台根据其自身的保留政策管理个人数据的删除。

9. 审计和文档： Didit将根据请求并在合理提前通知（不少于30天）的情况下，向客户提供证明遵守本DPA所需的所有合理信息。如果需要对Didit的设施或系统进行直接审计，此类审计应范围有限且非侵入性，并须经双方就范围和方法达成一致，客户应承担相关的合理费用。根据请求并在签署保密协议后，Didit提供其SOC 2 Type 1报告（SOC 2 Type 2正在进行中）、ISO/IEC 27001:2022证书、iBeta Level 1 PAD测试报告以及已发布的Tesoro / SEPBLAC / CNMV沙盒结论作为审计凭证。

10. DPA期限： 本DPA的期限与主协议相同。本DPA中与保密性、删除、责任和审计相关的条款应在协议终止后继续有效，以符合适用法律的要求。