Sicher, konform und transparent durch Design.
Wir halten Kundengelder auf separaten Treuhandkonten. Ihr Geld vermischt sich niemals mit unserem oder dem anderer Kunden.
Zahlungen fließen über lizenzierte Partner. Qualy erleichtert dies, hält oder bewegt Ihre Gelder jedoch niemals direkt.
Wir arbeiten nur mit regulierten und lizenzierten Zahlungsanbietern in ihren Gerichtsbarkeiten zusammen.
Sobald die Gelder verrechnet sind, überweisen wir sie an Schulen oder Agenten. Keine unnötigen Verzögerungen. Minimierung des Risikos und der Auswirkungen im Falle einer Verletzung.
Jede Zahlung verfügt über einen vollständigen Prüfpfad. Sie können verfolgen, wann sie bezahlt, verrechnet und überwiesen wurde.
Kartendaten werden nur von Anbietern verarbeitet, die PCI DSS-konform sind.
Wir speichern niemals Kartendetails in unseren Systemen. Alle sensiblen Daten werden von unseren Partnern verarbeitet.
Jede Zahlung ist vor versehentlichen Doppelbuchungen geschützt. Wenn eine Anfrage aufgrund von Netzwerkproblemen wiederholt wird, erkennt das System dies automatisch und verhindert eine doppelte Belastung — so sind Zahler und Einrichtungen immer geschützt.
Zahlungsbenachrichtigungen von Gateways durchlaufen einen sicheren, verifizierten Kanal, bevor sie unsere Systeme erreichen. Dies verhindert, dass gefälschte oder manipulierte Zahlungsereignisse jemals verarbeitet werden.
Wir haben Systeme, um Rückbuchungen und Streitigkeiten effizient zu bearbeiten und die Auswirkungen für Schulen und Agenten zu minimieren.
Wann immer möglich, verwenden wir 3D Secure und andere Maßnahmen, um sicherzustellen, dass die Haftung für betrügerische Transaktionen auf den Kartenaussteller übertragen wird, um unsere Kunden vor möglichen Verlusten zu schützen.
Wir arbeiten auf der sicheren Infrastruktur von Google Cloud mit der besten Verfügbarkeit und Sicherheit der Klasse.
Alle Daten werden im Ruhezustand mit AES-256-Verschlüsselung geschützt. Bankdaten erhalten eine zusätzliche Ebene der feldbasierten Verschlüsselung mit eigenen Schlüsseln für jeden Kunden — selbst ein direkter Datenbankzugriff würde keine sensiblen Finanzdaten offenlegen.
Wir erzwingen die Verwendung von HTTPS mit HSTS und verwenden TLS 1.2+ Ende-zu-Ende für sichere Kommunikation.
Unsere Build-Systeme folgen den SLSA 3-Standards und schützen vor Manipulationen und Angriffen auf die Lieferkette.
Jeder Kunde erhält seine eigene dedizierte Datenbank — nicht nur zeilenbasierte Filterung, sondern vollständige physische Trennung. Es gibt keine gemeinsame Datenschicht zwischen Mandanten.
Wir verwenden mehrere Firewall-Ebenen, um unsere Infrastruktur zu schützen.
Unsere Infrastruktur wird rund um die Uhr mit verteiltem Tracing, Fehlerberichterstattung und strukturiertem Logging überwacht. Jede Anfrage kann Ende-zu-Ende nachverfolgt werden, was uns volle Transparenz gibt, um Probleme schnell zu erkennen und zu beheben.
Wir nutzen Cloudflare für DDoS-Abwehr, Traffic-Filterung und erweiterten Schutz. Alle Verbindungen werden über Cloudflare validiert, um Spoofing zu verhindern und sicherzustellen, dass nur legitimer Datenverkehr unsere Systeme erreicht.
Unsere Systeme verwenden ZSP, was bedeutet, dass niemand dauerhaften Zugriff auf Produktionsumgebungen hat. Der Zugriff wird nur bei Bedarf gewährt und protokolliert.
Wir wenden eine "Reject"-Richtlinie in DMARC an, um die Zustellung gefälschter E-Mails zu verhindern.
DNSSEC ist auf unseren Hauptdomains aktiviert, um sicherzustellen, dass DNS-Abfragen verifiziert und manipulationssicher sind.
Der Ruf und die Zustellung ausgehender E-Mails werden kontinuierlich überwacht, um Probleme mit fehlenden Rechnungen oder Zahlungslinks zu vermeiden.
Wir isolieren Transaktions-E-Mails von Marketing- oder interner Kommunikation, um das Reputationsrisiko zu verringern.
Drei unabhängige Schutzebenen gegen Brute-Force-Angriffe und Missbrauch — Ratenbegrenzung über alle Endpunkte, intelligente Anmeldeblockierung mit automatischer Eskalation und kontobasierte Sperrung durch Firebase. Wiederholte Versuche lösen zunehmend längere Sperren aus.
Alle Payloads werden validiert und bereinigt, um Exploits wie XSS, NoSQL-Injection und andere häufige Schwachstellen zu verhindern.
Unsere Subdomains sind direkt im Browser isoliert, was das Setzen von Cookies durch bösartige Subdomains verhindert und unsere Sicherheit gegen Cookie-Tossing-Angriffe stärkt.
Unsere Domain wird von großen Sicherheitsanbietern wie Norton, McAfee und Google Safe Browsing validiert, um sicherzustellen, dass wir als vertrauenswürdige Website anerkannt werden.
Die sensiblen Daten jedes Kunden werden mit einem eigenen, einzigartigen Schlüssel verschlüsselt. Selbst im unwahrscheinlichen Fall eines Verstoßes können die Daten eines Kunden nicht verwendet werden, um auf die eines anderen zuzugreifen.
Kontonummern, Bankleitzahlen, IBAN, SWIFT und andere Bankdaten werden einzeln verschlüsselt — nicht nur auf Datenbankebene, sondern Feld für Feld. Selbst unsere eigenen Datenbankadministratoren können diese Werte nicht im Klartext lesen.
Unsere Logs werden automatisch von sensiblen Daten bereinigt — Passwörter, Tokens, Kontonummern, Ausweisdaten und Kartendetails werden entfernt, bevor etwas gespeichert wird. Ihre sensiblen Informationen erscheinen niemals in Systemprotokollen.
Wir nutzen Cloudflare Turnstile, um Anmeldeseiten und öffentliche Formulare vor Bots und automatisierten Angriffen zu schützen — ohne dass echte Benutzer nervige CAPTCHAs lösen müssen.
Unsere Systeme sind gegen Server-Side Request Forgery (SSRF) gehärtet. Ausgehende Anfragen an interne Netzwerke, Cloud-Infrastruktur und private Adressen werden automatisch blockiert.
Die erlaubten Web-Domains jedes Kunden werden einzeln überprüft. Wir erlauben niemals pauschalen Zugriff — nur Ihre registrierten Domains können mit Ihren Daten kommunizieren.
Das Ändern von Bankdaten oder Sicherheitseinstellungen erfordert eine erneute Anmeldung. Wenn seit Ihrer letzten Anmeldung zu viel Zeit vergangen ist, müssen Sie sich erneut authentifizieren — eine zusätzliche Schutzebene für Ihre sensibelsten Aktionen.
Unsere Plattform führt bei jedem Start obligatorische Sicherheitsprüfungen durch. Wenn etwas Kritisches falsch konfiguriert ist — Verschlüsselung, Authentifizierung oder Bot-Schutz — verweigert das System den Start. Eine unsichere Version kann niemals die Produktion erreichen.
Jede Anfrage wird Ende-zu-Ende über alle unsere Dienste nachverfolgt. Wenn etwas schiefgeht, können wir genau feststellen, wo und wann — was das Debugging beschleunigt und Sicherheitsuntersuchungen gründlicher macht.
Wir verwenden über 940 einzigartige Fehlercodes, damit Sie und unser Support-Team immer klare, umsetzbare Meldungen erhalten, wenn etwas schiefgeht — während interne Systemdetails verborgen bleiben.
Unsere Teammitglieder sehen nur das, was sie für ihre Arbeit benötigen. Es wird kein umfassender Zugriff gewährt.
Alle Teammitglieder, die mit sensiblen Systemen arbeiten, durchlaufen eine Hintergrundüberprüfung.
Das gesamte Team absolviert regelmäßige Sicherheits- und Compliance-Schulungen.
2FA ist für alle internen Systeme obligatorisch und für alle Benutzer auf der Plattform verfügbar.
Wir folgen dem Prinzip der geringsten Rechte und stellen sicher, dass Teammitglieder nur Zugriff auf das haben, was sie benötigen.
Wenn Support-Mitarbeiter auf ein Kundenkonto zugreifen müssen, sind die Sitzungen zeitlich begrenzt, einzeln auditiert und auf bestimmte Berechtigungen beschränkt. Administrative und destruktive Aktionen sind dauerhaft blockiert. Jede Sitzung erfordert einen dokumentierten Grund.
Obwohl Qualy keine Finanzlizenz besitzt, sind unsere Partner vollständig lizenziert und konform.
Wir passen uns den Regeln jeder Region an — wie den BACEN-Normen in Brasilien oder den AML-Gesetzen Australiens — durch unsere Partner und mit unseren eigenen Kontrollen.
Alle Zahlungen und Systemaktionen werden mit Zeitstempel protokolliert, um für Audits bereit zu sein.
Wir führen CDD bei allen Kunden durch, um die Einhaltung lokaler Vorschriften zu gewährleisten.
Wir folgen den Prinzipien der DSGVO und stellen sicher, dass der Datenschutz und die Rechte der Benutzer respektiert werden.
Wir halten uns an die brasilianischen Vorschriften, einschließlich des Allgemeinen Datenschutzgesetzes (LGPD) und der BACEN-Normen für die Zahlungsabwicklung.
Wir halten uns an die australischen Vorschriften, einschließlich des Gesetzes zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML/CTF) und des Datenschutzgesetzes. Transaktionen werden über unsere Zahlungspartner überwacht und an AUSTRAC gemeldet.
Wir erfüllen die SCA-Anforderungen durch Implementierung von 2FA und anderen Maßnahmen.
Sie können jederzeit Zugang zu Ihren personenbezogenen Daten anfordern, wie es die DSGVO und LGPD vorschreiben. Wenn wir Ihre Daten exportieren, werden sensible Felder wie Bankdaten vor der Zustellung automatisch geschützt.
Wir pflegen eine klare Rechtsgrundlage für jede Art von personenbezogenen Daten, die wir verarbeiten — ob zur Vertragserfüllung, mit Ihrer Einwilligung, für gesetzliche Verpflichtungen oder für berechtigte Geschäftsinteressen — wie von der DSGVO gefordert.
Wir teilen die Sicherheitsverantwortung mit Ihnen, unseren Anbietern und unseren Partnern und gewährleisten einen umfassenden Sicherheitsansatz.
Wir verwenden Warteschlangen, Backups und Replikation für eine schnelle Wiederherstellung. Wenn während der Wiederherstellung ein erneuter Versuch stattfindet, erkennt das System Duplikate und verhindert eine doppelte Verarbeitung — so wird niemand doppelt belastet.
Wenn etwas ausfällt, wechseln die Systeme zu Backups, ohne den Dienst für den Benutzer zu unterbrechen.
Alle Zahlungen und Prozesse werden in eine Warteschlange gestellt und im Fehlerfall sicher wiederholt.
Wir erstellen regelmäßige Backups aller kritischen Daten, um sicherzustellen, dass wir sie bei Bedarf schnell wiederherstellen können.
Wir haben geplante Release-Freeze-Fenster, um das Risiko in kritischen Zeiträumen zu minimieren.
Wir verwenden fortschrittliche Fehlerverfolgung und Warnungen, um Probleme zu erkennen, bevor sie Benutzer betreffen.
Wir wissen, wen wir anrufen, was zu tun ist und wie wir im Falle von Vorfällen kommunizieren. Unser Vorfallreaktionsplan ist bereit und getestet.
Wir verbergen nie, wer unsere Partner sind — wir glauben, dass Transparenz Vertrauen schafft.
Wir kommunizieren offen über Vorfälle, Ausfälle und Änderungen, die Kunden betreffen.
Unsere Statusseite zeigt den Systemzustand in Echtzeit, Vorfälle und Wartungsupdates.
Unsere Preise sind direkt, ohne versteckte Gebühren oder Überraschungen.
Wir binden Sie nicht mit Verträgen. Sie können jederzeit gehen, ohne Fragen.
Benötigen Sie mehr Details? Wir stellen Unternehmenskunden auf Anfrage ein umfassendes Sicherheits- und Compliance-Dokument zur Verfügung. Kontaktieren Sie unser Vertriebsteam.
Qualy wurde entwickelt, um den Empfang von Zahlungen für Auslandsstudien zu erleichtern. Es hilft Hochschulen, Schulen und Bildungsagenten jeder Größe.
