Sikker, compliant og gennemsigtig af design.
Vi holder kundemidler på separate klientkonti. Dine penge blandes aldrig med vores eller andre kunders.
Betalinger flyder gennem licenserede partnere. Qualy faciliterer, men opbevarer eller flytter aldrig dine midler direkte.
Vi arbejder kun med betalingsudbydere, der er regulerede og licenserede i deres jurisdiktioner.
Så snart midlerne er clearet, overfører vi dem til skoler eller agenter. Ingen unødvendige forsinkelser. Minimerer risiko og påvirkning i tilfælde af brud.
Hver betaling har et komplet revisionsspor. Du kan spore, hvornår den blev betalt, clearet og overført.
Kortdata håndteres kun af PCI DSS-kompatible udbydere.
Vi gemmer aldrig kortoplysninger i vores systemer. Alle følsomme data håndteres af vores partnere.
Hver betaling er beskyttet mod utilsigtede duplikater. Hvis en anmodning gentages på grund af netværksproblemer, registrerer systemet det automatisk og forhindrer dobbeltopkrævning — så betalere og institutioner altid er beskyttet.
Betalingsnotifikationer fra betalingsgateways passerer gennem en sikker, verificeret kanal, før de når vores systemer. Dette forhindrer falske eller manipulerede betalingshændelser i nogensinde at blive behandlet.
Vi har systemer til at håndtere tilbageførsler og tvister effektivt, hvilket minimerer påvirkningen for skoler og agenter.
Hvor det er muligt, bruger vi 3D Secure og andre foranstaltninger for at sikre, at ansvaret for svigagtige transaktioner overføres til kortudstederen, hvilket beskytter vores kunder mod potentielle tab.
Vi opererer på Google Clouds sikre infrastruktur med klassens bedste oppetid og sikkerhed.
Alle data er krypteret i hvile ved hjælp af AES-256-kryptering. Bankdata får et ekstra lag af feltniveau-kryptering med unikke nøgler for hver kunde — så selv direkte databaseadgang ikke ville afsløre følsomme finansielle oplysninger.
Vi gennemtvinger HTTPS med HSTS og bruger TLS 1.2+ end-to-end til sikker kommunikation.
Vores build-systemer følger SLSA 3-standarder, der beskytter mod manipulation og angreb på forsyningskæden.
Hver kunde får sin egen dedikerede database — ikke blot rækkefiltrering, men fuldstændig fysisk adskillelse. Der er intet delt datalag mellem kunder.
Vi bruger flere lag af firewalls til at beskytte vores infrastruktur.
Vores infrastruktur overvåges døgnet rundt med distribueret tracing, fejlrapportering og struktureret logning. Hver anmodning kan spores end-to-end, hvilket giver os fuld synlighed til at fange og løse problemer hurtigt.
Vi bruger Cloudflare til DDoS-afbødning, trafikfiltrering og avanceret beskyttelse. Alle forbindelser valideres gennem Cloudflare for at forhindre spoofing og sikre, at kun legitim trafik når vores systemer.
Vores systemer bruger ZSP, hvilket betyder, at ingen har permanent adgang til produktionsmiljøer. Adgang gives kun, når det er nødvendigt, og logges.
Vi håndhæver en "reject"-politik på DMARC for at forhindre levering af forfalskede e-mails.
DNSSEC er aktiveret på vores hoveddomæner, hvilket sikrer, at DNS-forespørgsler er verificerede og modstandsdygtige over for manipulation.
Omdømme og levering af udgående e-mails overvåges løbende for at undgå problemer med manglende fakturaer eller betalingslinks.
Vi isolerer transaktionelle e-mails fra marketing eller intern kommunikation for at reducere risikoen for omdømme.
Tre uafhængige lag beskytter mod brute force-angreb og misbrug — hastighedsbegrænsning på tværs af alle endpoints, intelligent loginblokering der eskalerer automatisk, og kontolåsning drevet af Firebase. Gentagne forsøg udløser stadig længere blokeringer.
Alle payloads valideres og renses for at forhindre exploits som XSS, NoSQL-injektion og andre almindelige sårbarheder.
Vores subdomæner er isoleret direkte med browseren, hvilket forhindrer indstilling af cookies fra ondsindede subdomæner og styrker vores sikkerhed mod cookie-tossing-angreb.
Vores domæne valideres af store sikkerhedsudbydere som Norton, McAfee og Google Safe Browsing for at sikre, at vi genkendes som et betroet websted.
Hver kundes følsomme data krypteres med sin egen unikke nøgle. Selv i det usandsynlige tilfælde af et brud kan én kundes data ikke bruges til at få adgang til en andens.
Bankkontonumre, registreringsnumre, IBAN, SWIFT og andre bankoplysninger krypteres hver især individuelt — ikke kun på databaseniveau, men felt for felt. Selv vores egne databaseadministratorer kan ikke læse disse værdier i klartekst.
Vores logs renses automatisk for følsomme data — adgangskoder, tokens, bankkontonumre, personnumre og kortoplysninger fjernes, før noget gemmes. Dine følsomme oplysninger optræder aldrig i systemlogs.
Vi bruger Cloudflare Turnstile til at beskytte loginsider og offentlige formularer mod bots og automatiserede angreb — uden at rigtige brugere skal løse irriterende CAPTCHA'er.
Vores systemer er hærdet mod server-side request forgery (SSRF). Udgående anmodninger til interne netværk, cloud-infrastruktur og private adresser blokeres automatisk.
Hver kundes tilladte webdomæner verificeres individuelt. Vi tillader aldrig generel adgang — kun dine registrerede domæner kan kommunikere med dine data.
Ændring af bankoplysninger eller sikkerhedsindstillinger kræver et nyt login. Hvis der er gået for lang tid siden dit sidste login, skal du autentificere dig igen — hvilket tilføjer et ekstra beskyttelseslag for dine mest følsomme handlinger.
Vores platform kører obligatoriske sikkerhedstjek hver gang den starter op. Hvis noget kritisk er forkert konfigureret — kryptering, autentificering eller botbeskyttelse — nægter systemet at starte. En usikker version kan aldrig nå produktion.
Hver anmodning spores end-to-end på tværs af alle vores tjenester. Hvis noget går galt, kan vi præcist lokalisere hvor og hvornår — hvilket gør fejlfinding hurtigere og sikkerhedsundersøgelser mere grundige.
Vi bruger over 940 unikke fejlkoder, så du og vores supportteam altid får klare, handlingsorienterede beskeder, når noget går galt — mens interne systemdetaljer forbliver skjulte.
Vores teammedlemmer ser kun det, de har brug for, for at udføre deres arbejde. Ingen bred adgang gives.
Alle teammedlemmer, der håndterer følsomme systemer, gennemgår baggrundstjek.
Hele teamet gennemfører regelmæssige sikkerheds- og compliance-træningssessioner.
2FA er obligatorisk for alle interne systemer og er tilgængelig for alle brugere på platformen.
Vi følger princippet om mindste privilegium, hvilket sikrer, at teammedlemmer kun har adgang til det, de har brug for.
Når supportmedarbejdere har brug for at tilgå en kundekonto, er sessioner tidsbegrænsede, individuelt reviderede og begrænset til et specifikt sæt tilladelser. Administrative og destruktive handlinger er permanent blokeret. Hver session kræver en dokumenteret begrundelse.
Selvom Qualy ikke har en finansiel licens, er vores partnere fuldt licenserede og compliant.
Vi tilpasser os reglerne i hver region — som BACEN-regler i Brasilien eller AML-love i Australien — gennem vores partnere og med vores egne kontroller.
Alle betalinger og systemhandlinger logges med tidsstempel for at være klar til revision.
Vi udfører CDD på alle kunder for at sikre overholdelse af lokale regler.
Vi følger GDPR-principperne og sikrer, at databeskyttelse og brugerrettigheder respekteres.
Vi overholder brasilianske regler, herunder LGPD og BACEN-regler for betalingshåndtering.
Vi overholder australske regler, herunder AML/CTF-loven og Privacy Act. Transaktioner overvåges og rapporteres til AUSTRAC gennem vores betalingspartnere.
Vi overholder SCA-kravene ved at implementere 2FA og andre foranstaltninger.
Du kan til enhver tid anmode om adgang til dine persondata, som krævet af GDPR og LGPD. Når vi eksporterer dine data, beskyttes følsomme felter som bankoplysninger automatisk inden levering.
Vi opretholder et klart retsgrundlag for hver type persondata, vi behandler — uanset om det er for at opfylde en kontrakt, med dit samtykke, af juridiske forpligtelser eller til legitime forretningsmæssige formål — som krævet af GDPR.
Vi deler sikkerhedsansvaret med dig, vores leverandører og vores partnere, hvilket sikrer en omfattende tilgang til sikkerhed.
Vi bruger køer, backups og replikering til hurtig gendannelse. Hvis et forsøg gentages under gendannelse, registrerer systemet duplikater og forhindrer dobbeltbehandling — så ingen bliver opkrævet to gange.
Hvis noget fejler, skifter systemerne til backups uden at afbryde tjenesten for brugeren.
Alle betalinger og processer sættes i kø og prøves igen sikkert i tilfælde af fejl.
Vi tager regelmæssige backups af alle kritiske data, så vi hurtigt kan gendanne, hvis det er nødvendigt.
Vi har planlagte release freeze-vinduer for at minimere risikoen i kritiske perioder.
Vi bruger avanceret fejlsporing og alarmer til at opdage problemer, før de påvirker brugerne.
Vi ved, hvem vi skal ringe til, hvad vi skal gøre, og hvordan vi skal kommunikere i tilfælde af hændelser. Vores incident response plan er klar og testet.
Vi skjuler aldrig, hvem vores partnere er — vi tror på, at gennemsigtighed opbygger tillid.
Vi kommunikerer åbent om hændelser, nedbrud og ændringer, der påvirker kunderne.
Vores statusside viser systemets sundhed i realtid, hændelser og vedligeholdelsesopdateringer.
Vores priser er ligetil, uden skjulte gebyrer eller overraskelser.
Vi binder dig ikke med kontrakter. Du kan forlade os når som helst, uden spørgsmål.
Har du brug for flere detaljer? Vi stiller et omfattende sikkerheds- og compliance-dokument til rådighed for virksomhedskunder på forespørgsel. Kontakt vores salgsteam.
Qualy blev skabt til at hjælpe med at indsamle betalinger for udvekslingsbureauer. Hjælper gymnasier, skoler og udvekslingsbureauer af alle størrelser.
