--- title: "Qualy Gennemsigtighedscenter" description: "Se hvordan vi holder dine betalinger, data og operationer sikre. Fra infrastruktur til mennesker, alt hos Qualy er bygget med tillid i tankerne." lang: "da" url: https://qualyhq.com/da/gennemsigtighedscenter --- ## Site navigation - [For skoler](/da/udveksling/for-skoler.md) — For skoler med internationale studerende - [For bureauer](/da/udveksling/for-bureauer.md) — For uddannelsesagenter - [Priser](/da/priser) - [5-min demo](/da/demo.md) — 5-minutters demo - [Login](https://dashboard.qualyhq.com) # Qualy Gennemsigtighedscenter > Sikker, compliant og gennemsigtig af design. ## Betalinger - **Adskilte midler:** Vi holder kundemidler på separate klientkonti. Dine penge blandes aldrig med vores eller andre kunders. - **Vi rører ikke pengene:** Betalinger flyder gennem licenserede partnere. Qualy faciliterer, men opbevarer eller flytter aldrig dine midler direkte. - **Globale licenserede partnere:** Vi arbejder kun med betalingsudbydere, der er regulerede og licenserede i deres jurisdiktioner. - **Hurtige overførsler:** Så snart midlerne er clearet, overfører vi dem til skoler eller agenter. Ingen unødvendige forsinkelser. Minimerer risiko og påvirkning i tilfælde af brud. - **Gennemsigtigt betalingsflow:** Hver betaling har et komplet revisionsspor. Du kan spore, hvornår den blev betalt, clearet og overført. - **PCI DSS-compliance:** Kortdata håndteres kun af PCI DSS-kompatible udbydere. - **Vi gemmer ikke kortdata:** Vi gemmer aldrig kortoplysninger i vores systemer. Alle følsomme data håndteres af vores partnere. - **Beskyttelse mod duplikatbetalinger:** Hver betaling er beskyttet mod utilsigtede duplikater. Hvis en anmodning gentages på grund af netværksproblemer, registrerer systemet det automatisk og forhindrer dobbeltopkrævning — så betalere og institutioner altid er beskyttet. - **Sikker webhook-arkitektur:** Betalingsnotifikationer fra betalingsgateways passerer gennem en sikker, verificeret kanal, før de når vores systemer. Dette forhindrer falske eller manipulerede betalingshændelser i nogensinde at blive behandlet. - **Beskyttelse mod tilbageførsler:** Vi har systemer til at håndtere tilbageførsler og tvister effektivt, hvilket minimerer påvirkningen for skoler og agenter. - **Prioritet på ansvarsoverdragelse:** Hvor det er muligt, bruger vi 3D Secure og andre foranstaltninger for at sikre, at ansvaret for svigagtige transaktioner overføres til kortudstederen, hvilket beskytter vores kunder mod potentielle tab. ## Teknologi - **Hosted på Google Cloud:** Vi opererer på Google Clouds sikre infrastruktur med klassens bedste oppetid og sikkerhed. - **Kryptering i hvile:** Alle data er krypteret i hvile ved hjælp af AES-256-kryptering. Bankdata får et ekstra lag af feltniveau-kryptering med unikke nøgler for hver kunde — så selv direkte databaseadgang ikke ville afsløre følsomme finansielle oplysninger. - **Databeskyttelse under overførsel, HSTS og TLS 1.2+:** Vi gennemtvinger HTTPS med HSTS og bruger TLS 1.2+ end-to-end til sikker kommunikation. - **SLSA Niveau 3:** Vores build-systemer følger SLSA 3-standarder, der beskytter mod manipulation og angreb på forsyningskæden. - **Database-per-kunde-isolering:** Hver kunde får sin egen dedikerede database — ikke blot rækkefiltrering, men fuldstændig fysisk adskillelse. Der er intet delt datalag mellem kunder. - **Always-on firewalls:** Vi bruger flere lag af firewalls til at beskytte vores infrastruktur. - **24/7 overvågning:** Vores infrastruktur overvåges døgnet rundt med distribueret tracing, fejlrapportering og struktureret logning. Hver anmodning kan spores end-to-end, hvilket giver os fuld synlighed til at fange og løse problemer hurtigt. - **DDoS-beskyttelse:** Vi bruger Cloudflare til DDoS-afbødning, trafikfiltrering og avanceret beskyttelse. Alle forbindelser valideres gennem Cloudflare for at forhindre spoofing og sikre, at kun legitim trafik når vores systemer. - **Zero Standing Privileges (ZSP):** Vores systemer bruger ZSP, hvilket betyder, at ingen har permanent adgang til produktionsmiljøer. Adgang gives kun, når det er nødvendigt, og logges. - **Strikd DMARC-politik:** Vi håndhæver en "reject"-politik på DMARC for at forhindre levering af forfalskede e-mails. - **DNSSEC aktiveret:** DNSSEC er aktiveret på vores hoveddomæner, hvilket sikrer, at DNS-forespørgsler er verificerede og modstandsdygtige over for manipulation. - **Overvågning af e-mail-levering:** Omdømme og levering af udgående e-mails overvåges løbende for at undgå problemer med manglende fakturaer eller betalingslinks. - **Isolering af e-mail-levering:** Vi isolerer transaktionelle e-mails fra marketing eller intern kommunikation for at reducere risikoen for omdømme. - **Flerlags hastighedsbegrænsning:** Tre uafhængige lag beskytter mod brute force-angreb og misbrug — hastighedsbegrænsning på tværs af alle endpoints, intelligent loginblokering der eskalerer automatisk, og kontolåsning drevet af Firebase. Gentagne forsøg udløser stadig længere blokeringer. - **Beskyttelse mod ondsindede payloads:** Alle payloads valideres og renses for at forhindre exploits som XSS, NoSQL-injektion og andre almindelige sårbarheder. - **Subdomæne-isolering:** Vores subdomæner er isoleret direkte med browseren, hvilket forhindrer indstilling af cookies fra ondsindede subdomæner og styrker vores sikkerhed mod cookie-tossing-angreb. - **Validering af sikkerhedsudbydere:** Vores domæne valideres af store sikkerhedsudbydere som Norton, McAfee og Google Safe Browsing for at sikre, at vi genkendes som et betroet websted. - **Krypteringsnøgler per kunde:** Hver kundes følsomme data krypteres med sin egen unikke nøgle. Selv i det usandsynlige tilfælde af et brud kan én kundes data ikke bruges til at få adgang til en andens. - **Feltniveau-kryptering af bankdata:** Bankkontonumre, registreringsnumre, IBAN, SWIFT og andre bankoplysninger krypteres hver især individuelt — ikke kun på databaseniveau, men felt for felt. Selv vores egne databaseadministratorer kan ikke læse disse værdier i klartekst. - **Automatisk redigering af persondata i logs:** Vores logs renses automatisk for følsomme data — adgangskoder, tokens, bankkontonumre, personnumre og kortoplysninger fjernes, før noget gemmes. Dine følsomme oplysninger optræder aldrig i systemlogs. - **Botbeskyttelse (Cloudflare Turnstile):** Vi bruger Cloudflare Turnstile til at beskytte loginsider og offentlige formularer mod bots og automatiserede angreb — uden at rigtige brugere skal løse irriterende CAPTCHA'er. - **Intern netværksbeskyttelse:** Vores systemer er hærdet mod server-side request forgery (SSRF). Udgående anmodninger til interne netværk, cloud-infrastruktur og private adresser blokeres automatisk. - **Domænevalidering per kunde:** Hver kundes tilladte webdomæner verificeres individuelt. Vi tillader aldrig generel adgang — kun dine registrerede domæner kan kommunikere med dine data. - **Token-aktualitet for følsomme handlinger:** Ændring af bankoplysninger eller sikkerhedsindstillinger kræver et nyt login. Hvis der er gået for lang tid siden dit sidste login, skal du autentificere dig igen — hvilket tilføjer et ekstra beskyttelseslag for dine mest følsomme handlinger. - **Sikkerhedsvalidering ved opstart:** Vores platform kører obligatoriske sikkerhedstjek hver gang den starter op. Hvis noget kritisk er forkert konfigureret — kryptering, autentificering eller botbeskyttelse — nægter systemet at starte. En usikker version kan aldrig nå produktion. - **Distribueret tracing (OpenTelemetry):** Hver anmodning spores end-to-end på tværs af alle vores tjenester. Hvis noget går galt, kan vi præcist lokalisere hvor og hvornår — hvilket gør fejlfinding hurtigere og sikkerhedsundersøgelser mere grundige. - **Strukturerede fejlkoder:** Vi bruger over 940 unikke fejlkoder, så du og vores supportteam altid får klare, handlingsorienterede beskeder, når noget går galt — mens interne systemdetaljer forbliver skjulte. ## Mennesker - **Rollebaseret adgang:** Vores teammedlemmer ser kun det, de har brug for, for at udføre deres arbejde. Ingen bred adgang gives. - **Baggrundstjek:** Alle teammedlemmer, der håndterer følsomme systemer, gennemgår baggrundstjek. - **Sikkerhedstræning:** Hele teamet gennemfører regelmæssige sikkerheds- og compliance-træningssessioner. - **To-faktor-autentificering (2FA):** 2FA er obligatorisk for alle interne systemer og er tilgængelig for alle brugere på platformen. - **Princip om mindste privilegium:** Vi følger princippet om mindste privilegium, hvilket sikrer, at teammedlemmer kun har adgang til det, de har brug for. - **Adgangskontrol for support:** Når supportmedarbejdere har brug for at tilgå en kundekonto, er sessioner tidsbegrænsede, individuelt reviderede og begrænset til et specifikt sæt tilladelser. Administrative og destruktive handlinger er permanent blokeret. Hver session kræver en dokumenteret begrundelse. ## Compliance - **Opererer kun med licenserede partnere:** Selvom Qualy ikke har en finansiel licens, er vores partnere fuldt licenserede og compliant. - **Tilpasset lokal regulering:** Vi tilpasser os reglerne i hver region — som BACEN-regler i Brasilien eller AML-love i Australien — gennem vores partnere og med vores egne kontroller. - **Revisionsklare logs:** Alle betalinger og systemhandlinger logges med tidsstempel for at være klar til revision. - **Kundekendskab (CDD):** Vi udfører CDD på alle kunder for at sikre overholdelse af lokale regler. - **GDPR-compliance:** Vi følger GDPR-principperne og sikrer, at databeskyttelse og brugerrettigheder respekteres. - **Specifik compliance for Brasilien:** Vi overholder brasilianske regler, herunder LGPD og BACEN-regler for betalingshåndtering. - **Specifik compliance for Australien:** Vi overholder australske regler, herunder AML/CTF-loven og Privacy Act. Transaktioner overvåges og rapporteres til AUSTRAC gennem vores betalingspartnere. - **SCA-compliance (Strong Customer Authentication):** Vi overholder SCA-kravene ved at implementere 2FA og andre foranstaltninger. - **DSAR-support (anmodning om adgang til persondata):** Du kan til enhver tid anmode om adgang til dine persondata, som krævet af GDPR og LGPD. Når vi eksporterer dine data, beskyttes følsomme felter som bankoplysninger automatisk inden levering. - **Dokumenterede retsgrundlag for behandling:** Vi opretholder et klart retsgrundlag for hver type persondata, vi behandler — uanset om det er for at opfylde en kontrakt, med dit samtykke, af juridiske forpligtelser eller til legitime forretningsmæssige formål — som krævet af GDPR. ## Operationer - **Model for delt sikkerhedsansvar:** Vi deler sikkerhedsansvaret med dig, vores leverandører og vores partnere, hvilket sikrer en omfattende tilgang til sikkerhed. - **Klar til katastrofeberedskab:** Vi bruger køer, backups og replikering til hurtig gendannelse. Hvis et forsøg gentages under gendannelse, registrerer systemet duplikater og forhindrer dobbeltbehandling — så ingen bliver opkrævet to gange. - **Automatiseret failover:** Hvis noget fejler, skifter systemerne til backups uden at afbryde tjenesten for brugeren. - **Pålidelige beskedkøer:** Alle betalinger og processer sættes i kø og prøves igen sikkert i tilfælde af fejl. - **Regelmæssige backups:** Vi tager regelmæssige backups af alle kritiske data, så vi hurtigt kan gendanne, hvis det er nødvendigt. - **Release freeze-vinduer:** Vi har planlagte release freeze-vinduer for at minimere risikoen i kritiske perioder. - **Fejlsporing og alarmer:** Vi bruger avanceret fejlsporing og alarmer til at opdage problemer, før de påvirker brugerne. - **Incident response plan:** Vi ved, hvem vi skal ringe til, hvad vi skal gøre, og hvordan vi skal kommunikere i tilfælde af hændelser. Vores incident response plan er klar og testet. ## Gennemsigtighed - **Gennemsigtighed over for kunden:** Vi skjuler aldrig, hvem vores partnere er — vi tror på, at gennemsigtighed opbygger tillid. - **Åben kommunikation:** Vi kommunikerer åbent om hændelser, nedbrud og ændringer, der påvirker kunderne. - **Offentlig statusside:** Vores statusside viser systemets sundhed i realtid, hændelser og vedligeholdelsesopdateringer. - **Klare priser:** Vores priser er ligetil, uden skjulte gebyrer eller overraskelser. - **Forlad når du vil:** Vi binder dig ikke med kontrakter. Du kan forlade os når som helst, uden spørgsmål. - **Sikkerhedsdokumentation tilgængelig på forespørgsel:** Har du brug for flere detaljer? Vi stiller et omfattende sikkerheds- og compliance-dokument til rådighed for virksomhedskunder på forespørgsel. Kontakt vores salgsteam. ## More on Qualy **Industrier** - [For skoler](/da/udveksling/for-skoler.md) — For skoler med internationale studerende - [For bureauer](/da/udveksling/for-bureauer.md) — For uddannelsesagenter **Support** - [Systemstatus](https://qualyhq.statuspage.io/) — Qualy systemstatus - [Kontakt](/da/kontakt.md) **Produkt** - [Demo](/da/demo.md) - [Udtalelser](/da/udtalelser.md) — Se hvad nogle kunder siger om Qualy - [Gennemsigtighedscenter](/da/gennemsigtighedscenter.md) - [API](/da/api.md) — Qualy API til betalinger for studier i udlandet og uddannelsesagenter **Juridisk (på engelsk)** - [Generelle vilkår](/terms-and-conditions.md) — Vilkår og betingelser - [Vilkår for betalere](/terms-for-payers.md)