--- title: "Qualy Transparenzzentrum" description: "Sehen Sie, wie wir Ihre Zahlungen, Daten und Operationen sicher halten. Von der Infrastruktur bis zu den Menschen ist alles bei Qualy mit Vertrauen im Hinterkopf aufgebaut." lang: "de" url: https://qualyhq.com/de/transparenzzentrum --- ## Site navigation - [Für Schulen](/de/austausch/fuer-schulen.md) — Für Schulen mit internationalen Schülern - [Für Agenturen](/de/austausch/fuer-agenturen.md) — Für Bildungsagenten - [Preise](/de/preise) - [5-Min-Demo](/de/demo.md) — 5-Minuten-Demo - [Login](https://dashboard.qualyhq.com) # Qualy Transparenzzentrum > Sicher, konform und transparent durch Design. ## Zahlungen - **Getrennte Gelder:** Wir halten Kundengelder auf separaten Treuhandkonten. Ihr Geld vermischt sich niemals mit unserem oder dem anderer Kunden. - **Wir berühren das Geld nicht:** Zahlungen fließen über lizenzierte Partner. Qualy erleichtert dies, hält oder bewegt Ihre Gelder jedoch niemals direkt. - **Lizenzierte globale Partner:** Wir arbeiten nur mit regulierten und lizenzierten Zahlungsanbietern in ihren Gerichtsbarkeiten zusammen. - **Schnelle Überweisungen:** Sobald die Gelder verrechnet sind, überweisen wir sie an Schulen oder Agenten. Keine unnötigen Verzögerungen. Minimierung des Risikos und der Auswirkungen im Falle einer Verletzung. - **Transparenter Zahlungsfluss:** Jede Zahlung verfügt über einen vollständigen Prüfpfad. Sie können verfolgen, wann sie bezahlt, verrechnet und überwiesen wurde. - **PCI DSS-Konformität:** Kartendaten werden nur von Anbietern verarbeitet, die PCI DSS-konform sind. - **Wir speichern keine Kartendaten:** Wir speichern niemals Kartendetails in unseren Systemen. Alle sensiblen Daten werden von unseren Partnern verarbeitet. - **Schutz vor doppelten Zahlungen:** Jede Zahlung ist vor versehentlichen Doppelbuchungen geschützt. Wenn eine Anfrage aufgrund von Netzwerkproblemen wiederholt wird, erkennt das System dies automatisch und verhindert eine doppelte Belastung — so sind Zahler und Einrichtungen immer geschützt. - **Sichere Webhook-Architektur:** Zahlungsbenachrichtigungen von Gateways durchlaufen einen sicheren, verifizierten Kanal, bevor sie unsere Systeme erreichen. Dies verhindert, dass gefälschte oder manipulierte Zahlungsereignisse jemals verarbeitet werden. - **Schutz vor Rückbuchungen:** Wir haben Systeme, um Rückbuchungen und Streitigkeiten effizient zu bearbeiten und die Auswirkungen für Schulen und Agenten zu minimieren. - **Priorität bei der Haftungsübertragung:** Wann immer möglich, verwenden wir 3D Secure und andere Maßnahmen, um sicherzustellen, dass die Haftung für betrügerische Transaktionen auf den Kartenaussteller übertragen wird, um unsere Kunden vor möglichen Verlusten zu schützen. ## Technologie - **Gehostet auf Google Cloud:** Wir arbeiten auf der sicheren Infrastruktur von Google Cloud mit der besten Verfügbarkeit und Sicherheit der Klasse. - **Verschlüsselung im Ruhezustand:** Alle Daten werden im Ruhezustand mit AES-256-Verschlüsselung geschützt. Bankdaten erhalten eine zusätzliche Ebene der feldbasierten Verschlüsselung mit eigenen Schlüsseln für jeden Kunden — selbst ein direkter Datenbankzugriff würde keine sensiblen Finanzdaten offenlegen. - **Schutz von Daten bei der Übertragung, HSTS und TLS 1.2+:** Wir erzwingen die Verwendung von HTTPS mit HSTS und verwenden TLS 1.2+ Ende-zu-Ende für sichere Kommunikation. - **SLSA Level 3:** Unsere Build-Systeme folgen den SLSA 3-Standards und schützen vor Manipulationen und Angriffen auf die Lieferkette. - **Datenbank-pro-Mandant-Isolierung:** Jeder Kunde erhält seine eigene dedizierte Datenbank — nicht nur zeilenbasierte Filterung, sondern vollständige physische Trennung. Es gibt keine gemeinsame Datenschicht zwischen Mandanten. - **Immer aktive Firewalls:** Wir verwenden mehrere Firewall-Ebenen, um unsere Infrastruktur zu schützen. - **24/7 Überwachung:** Unsere Infrastruktur wird rund um die Uhr mit verteiltem Tracing, Fehlerberichterstattung und strukturiertem Logging überwacht. Jede Anfrage kann Ende-zu-Ende nachverfolgt werden, was uns volle Transparenz gibt, um Probleme schnell zu erkennen und zu beheben. - **DDoS-Schutz:** Wir nutzen Cloudflare für DDoS-Abwehr, Traffic-Filterung und erweiterten Schutz. Alle Verbindungen werden über Cloudflare validiert, um Spoofing zu verhindern und sicherzustellen, dass nur legitimer Datenverkehr unsere Systeme erreicht. - **Zero Standing Privileges (ZSP):** Unsere Systeme verwenden ZSP, was bedeutet, dass niemand dauerhaften Zugriff auf Produktionsumgebungen hat. Der Zugriff wird nur bei Bedarf gewährt und protokolliert. - **Strenge DMARC-Richtlinie:** Wir wenden eine "Reject"-Richtlinie in DMARC an, um die Zustellung gefälschter E-Mails zu verhindern. - **DNSSEC aktiviert:** DNSSEC ist auf unseren Hauptdomains aktiviert, um sicherzustellen, dass DNS-Abfragen verifiziert und manipulationssicher sind. - **E-Mail-Zustellungsüberwachung:** Der Ruf und die Zustellung ausgehender E-Mails werden kontinuierlich überwacht, um Probleme mit fehlenden Rechnungen oder Zahlungslinks zu vermeiden. - **Isolierung bei der E-Mail-Zustellung:** Wir isolieren Transaktions-E-Mails von Marketing- oder interner Kommunikation, um das Reputationsrisiko zu verringern. - **Mehrstufige Ratenbegrenzung:** Drei unabhängige Schutzebenen gegen Brute-Force-Angriffe und Missbrauch — Ratenbegrenzung über alle Endpunkte, intelligente Anmeldeblockierung mit automatischer Eskalation und kontobasierte Sperrung durch Firebase. Wiederholte Versuche lösen zunehmend längere Sperren aus. - **Schutz vor Ausnutzung bösartiger Payloads:** Alle Payloads werden validiert und bereinigt, um Exploits wie XSS, NoSQL-Injection und andere häufige Schwachstellen zu verhindern. - **Subdomain-Isolierung:** Unsere Subdomains sind direkt im Browser isoliert, was das Setzen von Cookies durch bösartige Subdomains verhindert und unsere Sicherheit gegen Cookie-Tossing-Angriffe stärkt. - **Validierung durch Sicherheitsanbieter:** Unsere Domain wird von großen Sicherheitsanbietern wie Norton, McAfee und Google Safe Browsing validiert, um sicherzustellen, dass wir als vertrauenswürdige Website anerkannt werden. - **Mandantenspezifische Verschlüsselungsschlüssel:** Die sensiblen Daten jedes Kunden werden mit einem eigenen, einzigartigen Schlüssel verschlüsselt. Selbst im unwahrscheinlichen Fall eines Verstoßes können die Daten eines Kunden nicht verwendet werden, um auf die eines anderen zuzugreifen. - **Feldbasierte Verschlüsselung von Bankdaten:** Kontonummern, Bankleitzahlen, IBAN, SWIFT und andere Bankdaten werden einzeln verschlüsselt — nicht nur auf Datenbankebene, sondern Feld für Feld. Selbst unsere eigenen Datenbankadministratoren können diese Werte nicht im Klartext lesen. - **Automatische PII-Schwärzung in Logs:** Unsere Logs werden automatisch von sensiblen Daten bereinigt — Passwörter, Tokens, Kontonummern, Ausweisdaten und Kartendetails werden entfernt, bevor etwas gespeichert wird. Ihre sensiblen Informationen erscheinen niemals in Systemprotokollen. - **Bot-Schutz (Cloudflare Turnstile):** Wir nutzen Cloudflare Turnstile, um Anmeldeseiten und öffentliche Formulare vor Bots und automatisierten Angriffen zu schützen — ohne dass echte Benutzer nervige CAPTCHAs lösen müssen. - **Interner Netzwerkschutz:** Unsere Systeme sind gegen Server-Side Request Forgery (SSRF) gehärtet. Ausgehende Anfragen an interne Netzwerke, Cloud-Infrastruktur und private Adressen werden automatisch blockiert. - **Kundenspezifische Domain-Validierung:** Die erlaubten Web-Domains jedes Kunden werden einzeln überprüft. Wir erlauben niemals pauschalen Zugriff — nur Ihre registrierten Domains können mit Ihren Daten kommunizieren. - **Token-Aktualität für sensible Vorgänge:** Das Ändern von Bankdaten oder Sicherheitseinstellungen erfordert eine erneute Anmeldung. Wenn seit Ihrer letzten Anmeldung zu viel Zeit vergangen ist, müssen Sie sich erneut authentifizieren — eine zusätzliche Schutzebene für Ihre sensibelsten Aktionen. - **Sicherheitsvalidierung beim Start:** Unsere Plattform führt bei jedem Start obligatorische Sicherheitsprüfungen durch. Wenn etwas Kritisches falsch konfiguriert ist — Verschlüsselung, Authentifizierung oder Bot-Schutz — verweigert das System den Start. Eine unsichere Version kann niemals die Produktion erreichen. - **Verteiltes Tracing (OpenTelemetry):** Jede Anfrage wird Ende-zu-Ende über alle unsere Dienste nachverfolgt. Wenn etwas schiefgeht, können wir genau feststellen, wo und wann — was das Debugging beschleunigt und Sicherheitsuntersuchungen gründlicher macht. - **Strukturierte Fehlercodes:** Wir verwenden über 940 einzigartige Fehlercodes, damit Sie und unser Support-Team immer klare, umsetzbare Meldungen erhalten, wenn etwas schiefgeht — während interne Systemdetails verborgen bleiben. ## Menschen - **Rollenbasierter Zugriff:** Unsere Teammitglieder sehen nur das, was sie für ihre Arbeit benötigen. Es wird kein umfassender Zugriff gewährt. - **Hintergrundüberprüfung:** Alle Teammitglieder, die mit sensiblen Systemen arbeiten, durchlaufen eine Hintergrundüberprüfung. - **Sicherheitstraining:** Das gesamte Team absolviert regelmäßige Sicherheits- und Compliance-Schulungen. - **Zwei-Faktor-Authentifizierung (2FA):** 2FA ist für alle internen Systeme obligatorisch und für alle Benutzer auf der Plattform verfügbar. - **Prinzip der geringsten Rechte:** Wir folgen dem Prinzip der geringsten Rechte und stellen sicher, dass Teammitglieder nur Zugriff auf das haben, was sie benötigen. - **Zugriffskontrollen für den Support:** Wenn Support-Mitarbeiter auf ein Kundenkonto zugreifen müssen, sind die Sitzungen zeitlich begrenzt, einzeln auditiert und auf bestimmte Berechtigungen beschränkt. Administrative und destruktive Aktionen sind dauerhaft blockiert. Jede Sitzung erfordert einen dokumentierten Grund. ## Compliance - **Betrieb nur mit lizenzierten Partnern:** Obwohl Qualy keine Finanzlizenz besitzt, sind unsere Partner vollständig lizenziert und konform. - **Ausgerichtet auf lokale Vorschriften:** Wir passen uns den Regeln jeder Region an — wie den BACEN-Normen in Brasilien oder den AML-Gesetzen Australiens — durch unsere Partner und mit unseren eigenen Kontrollen. - **Audit-bereite Aufzeichnungen:** Alle Zahlungen und Systemaktionen werden mit Zeitstempel protokolliert, um für Audits bereit zu sein. - **Customer Due Diligence (CDD):** Wir führen CDD bei allen Kunden durch, um die Einhaltung lokaler Vorschriften zu gewährleisten. - **DSGVO-Konformität:** Wir folgen den Prinzipien der DSGVO und stellen sicher, dass der Datenschutz und die Rechte der Benutzer respektiert werden. - **Spezifische Compliance für Brasilien:** Wir halten uns an die brasilianischen Vorschriften, einschließlich des Allgemeinen Datenschutzgesetzes (LGPD) und der BACEN-Normen für die Zahlungsabwicklung. - **Spezifische Compliance für Australien:** Wir halten uns an die australischen Vorschriften, einschließlich des Gesetzes zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML/CTF) und des Datenschutzgesetzes. Transaktionen werden über unsere Zahlungspartner überwacht und an AUSTRAC gemeldet. - **Konformität mit der Starken Kundenauthentifizierung (SCA):** Wir erfüllen die SCA-Anforderungen durch Implementierung von 2FA und anderen Maßnahmen. - **Unterstützung von Betroffenenrechten (DSAR):** Sie können jederzeit Zugang zu Ihren personenbezogenen Daten anfordern, wie es die DSGVO und LGPD vorschreiben. Wenn wir Ihre Daten exportieren, werden sensible Felder wie Bankdaten vor der Zustellung automatisch geschützt. - **Dokumentierte Rechtsgrundlagen für die Verarbeitung:** Wir pflegen eine klare Rechtsgrundlage für jede Art von personenbezogenen Daten, die wir verarbeiten — ob zur Vertragserfüllung, mit Ihrer Einwilligung, für gesetzliche Verpflichtungen oder für berechtigte Geschäftsinteressen — wie von der DSGVO gefordert. ## Betrieb - **Modell der geteilten Sicherheitsverantwortung:** Wir teilen die Sicherheitsverantwortung mit Ihnen, unseren Anbietern und unseren Partnern und gewährleisten einen umfassenden Sicherheitsansatz. - **Bereit für Disaster Recovery:** Wir verwenden Warteschlangen, Backups und Replikation für eine schnelle Wiederherstellung. Wenn während der Wiederherstellung ein erneuter Versuch stattfindet, erkennt das System Duplikate und verhindert eine doppelte Verarbeitung — so wird niemand doppelt belastet. - **Automatisierter Failover:** Wenn etwas ausfällt, wechseln die Systeme zu Backups, ohne den Dienst für den Benutzer zu unterbrechen. - **Zuverlässige Nachrichtenwarteschlangen:** Alle Zahlungen und Prozesse werden in eine Warteschlange gestellt und im Fehlerfall sicher wiederholt. - **Regelmäßige Backups:** Wir erstellen regelmäßige Backups aller kritischen Daten, um sicherzustellen, dass wir sie bei Bedarf schnell wiederherstellen können. - **Release-Freeze-Fenster:** Wir haben geplante Release-Freeze-Fenster, um das Risiko in kritischen Zeiträumen zu minimieren. - **Fehlerverfolgung und Warnungen:** Wir verwenden fortschrittliche Fehlerverfolgung und Warnungen, um Probleme zu erkennen, bevor sie Benutzer betreffen. - **Vorfallreaktionsplan:** Wir wissen, wen wir anrufen, was zu tun ist und wie wir im Falle von Vorfällen kommunizieren. Unser Vorfallreaktionsplan ist bereit und getestet. ## Transparenz - **Transparenz gegenüber dem Kunden:** Wir verbergen nie, wer unsere Partner sind — wir glauben, dass Transparenz Vertrauen schafft. - **Offene Kommunikation:** Wir kommunizieren offen über Vorfälle, Ausfälle und Änderungen, die Kunden betreffen. - **Öffentliche Statusseite:** Unsere Statusseite zeigt den Systemzustand in Echtzeit, Vorfälle und Wartungsupdates. - **Klare Preise:** Unsere Preise sind direkt, ohne versteckte Gebühren oder Überraschungen. - **Gehen Sie, wann Sie wollen:** Wir binden Sie nicht mit Verträgen. Sie können jederzeit gehen, ohne Fragen. - **Sicherheitsdokumentation auf Anfrage verfügbar:** Benötigen Sie mehr Details? Wir stellen Unternehmenskunden auf Anfrage ein umfassendes Sicherheits- und Compliance-Dokument zur Verfügung. Kontaktieren Sie unser Vertriebsteam. --- ## More on Qualy **Branchen** - [Für Schulen](/de/austausch/fuer-schulen.md) — Für Schulen mit internationalen Schülern - [Für Agenturen](/de/austausch/fuer-agenturen.md) — Für Bildungsagenten **Support** - [Systemstatus](https://qualyhq.statuspage.io/) — Qualy Systemstatus - [Kontakt](/de/kontakt.md) **Produkt** - [Demo](/de/demo.md) - [Referenzen](/de/referenzen.md) — Erfahren Sie, was Kunden über Qualy sagen - [Transparenzzentrum](/de/transparenzzentrum.md) - [API](/de/api.md) — Qualy API für Zahlungen im Auslandsstudium und Bildungsagenten **Rechtliches (auf Englisch)** - [AGB](/terms-and-conditions.md) — Allgemeine Geschäftsbedingungen - [Bedingungen für Zahler](/terms-for-payers.md)