Seguro, en conformidad y transparente por diseño.
Mantenemos los fondos de los clientes en cuentas fiduciarias separadas. Su dinero nunca se mezcla con el nuestro, ni con el de otros clientes.
Los pagos fluyen a través de partners licenciados. Qualy facilita, pero nunca retiene o mueve sus fondos directamente.
Trabajamos solo con proveedores de pago regulados y licenciados en sus jurisdicciones.
Tan pronto como los fondos son compensados, los transferimos a las escuelas o agentes. Sin retrasos innecesarios. Minimizando el riesgo y el impacto en caso de violación.
Cada pago posee una pista de auditoría completa. Puede rastrear cuándo fue pagado, compensado y transferido.
Los datos de tarjeta son manejados solo por proveedores en conformidad con PCI DSS.
Nunca almacenamos detalles de tarjeta en nuestros sistemas. Todos los datos sensibles son manejados por nuestros partners.
Todos los pagos están protegidos contra duplicados accidentales. Si una solicitud se repite por problemas de red, el sistema lo detecta automáticamente e impide cobros dobles — protegiendo a pagadores e instituciones.
Las notificaciones de pago de los gateways pasan por un canal seguro y verificado antes de llegar a nuestros sistemas. Esto impide que eventos de pago falsos o manipulados sean procesados.
Tenemos sistemas para manejar contracargos y disputas de forma eficiente, minimizando el impacto para escuelas y agentes.
Siempre que es posible, usamos 3D Secure y otras medidas para garantizar que la responsabilidad por transacciones fraudulentas sea transferida al emisor de la tarjeta, protegiendo a nuestros clientes de cualquier pérdida potencial.
Operamos en la infraestructura segura de Google Cloud con la mejor disponibilidad y seguridad de la categoría.
Todos los datos están cifrados en reposo usando cifrado AES-256. Los datos bancarios reciben una capa adicional de cifrado a nivel de campo con claves únicas para cada cliente — así que incluso un acceso directo a la base de datos no revelaría detalles financieros sensibles.
Forzamos el uso de HTTPS con HSTS y utilizamos TLS 1.2+ de extremo a extremo para comunicaciones seguras.
Nuestros sistemas de build siguen los estándares SLSA 3, protegiendo contra adulteración y ataques a la cadena de suministro.
Cada cliente recibe su propia base de datos dedicada — no solo filtrado por filas, sino separación física completa. No existe una capa de datos compartida entre clientes.
Usamos múltiples capas de firewalls para proteger nuestra infraestructura.
Nuestra infraestructura es monitoreada las 24 horas con rastreo distribuido, reportes de errores y registros estructurados. Cada solicitud puede rastrearse de extremo a extremo, dándonos visibilidad total para detectar y resolver problemas rápidamente.
Usamos Cloudflare para mitigación de DDoS, filtrado de tráfico y protecciones avanzadas. Todas las conexiones son validadas a través de Cloudflare para prevenir suplantación y garantizar que solo tráfico legítimo llegue a nuestros sistemas.
Nuestros sistemas usan ZSP, lo que significa que nadie tiene acceso permanente a los entornos de producción. El acceso se concede solo cuando es necesario y se registra.
Aplicamos una política de "rechazo" (reject) en DMARC para impedir la entrega de correos falsificados.
DNSSEC está activado en nuestros dominios principales, garantizando que las consultas DNS sean verificadas y resistentes a adulteraciones.
La reputación y la entrega de correos salientes son monitoreadas continuamente para evitar problemas con facturas o enlaces de pago ausentes.
Aislamos los correos transaccionales de los de marketing o comunicación interna para reducir el riesgo de reputación.
Tres capas independientes protegen contra ataques de fuerza bruta y abuso — limitación de velocidad en todos los endpoints, bloqueo inteligente de inicio de sesión que escala automáticamente y bloqueo progresivo de cuenta por Firebase. Los intentos repetidos generan bloqueos cada vez más largos.
Todos los datos recibidos son validados y saneados para prevenir exploits como XSS, inyección NoSQL y otras vulnerabilidades comunes.
Nuestros subdominios están aislados directamente con el navegador, previniendo la definición de cookies de subdominios maliciosos y fortaleciendo nuestra seguridad contra ataques de cookie-tossing.
Nuestro dominio es validado por grandes proveedores de seguridad como Norton, McAfee y Google Safe Browsing para garantizar que somos reconocidos como un sitio confiable.
Los datos sensibles de cada cliente se cifran con su propia clave única. Incluso en el improbable caso de una brecha, los datos de un cliente no pueden usarse para acceder a los de otro.
Números de cuenta bancaria, números de ruta, IBAN, SWIFT y otros datos bancarios se cifran individualmente — no solo a nivel de base de datos, sino campo por campo. Ni siquiera nuestros administradores de bases de datos pueden leer estos valores en texto plano.
Nuestros logs se limpian automáticamente de datos sensibles — contraseñas, tokens, números de cuenta bancaria, documentos de identidad y datos de tarjeta se eliminan antes de almacenarse. Su información sensible nunca aparece en los logs del sistema.
Usamos Cloudflare Turnstile para proteger páginas de inicio de sesión y formularios públicos contra bots y ataques automatizados — sin obligar a los usuarios reales a resolver CAPTCHAs molestos.
Nuestros sistemas están reforzados contra la falsificación de solicitudes del lado del servidor (SSRF). Las solicitudes a redes internas, infraestructura en la nube y direcciones privadas se bloquean automáticamente.
Los dominios web permitidos de cada cliente se verifican individualmente. Nunca permitimos acceso generalizado — solo sus dominios registrados pueden comunicarse con sus datos.
Cambiar datos bancarios o configuraciones de seguridad requiere un inicio de sesión reciente. Si ha pasado demasiado tiempo desde su último acceso, deberá volver a autenticarse — añadiendo una capa extra de protección para sus acciones más sensibles.
Nuestra plataforma ejecuta verificaciones de seguridad obligatorias cada vez que se inicia. Si algo crítico está mal configurado — cifrado, autenticación o protección contra bots — el sistema se niega a arrancar. Una versión insegura nunca llega a producción.
Cada solicitud se rastrea de extremo a extremo en todos nuestros servicios. Si algo sale mal, podemos identificar exactamente dónde y cuándo — haciendo la depuración más rápida y las investigaciones de seguridad más completas.
Usamos más de 940 códigos de error únicos para que usted y nuestro equipo de soporte siempre reciban mensajes claros y accionables cuando algo sale mal — mientras los detalles internos del sistema permanecen ocultos.
Los miembros de nuestro equipo ven solo lo que necesitan para realizar su trabajo. No se concede ningún acceso amplio.
Todos los miembros del equipo que manejan sistemas sensibles pasan por verificación de antecedentes.
Todo el equipo completa sesiones regulares de entrenamiento de seguridad y conformidad.
La 2FA es obligatoria para todos los sistemas internos y está disponible para todos los usuarios en la plataforma.
Seguimos el principio de menor privilegio, garantizando que los miembros del equipo tengan acceso solo a lo que necesitan.
Cuando los agentes de soporte necesitan acceder a la cuenta de un cliente, las sesiones son limitadas en tiempo, auditadas individualmente y restringidas a un conjunto específico de permisos. Las acciones administrativas y destructivas están permanentemente bloqueadas. Cada sesión requiere una justificación documentada.
Aunque Qualy no posee licencia financiera, nuestros partners están totalmente licenciados y en conformidad.
Nos adaptamos a las reglas de cada región — como las normas del BACEN en Brasil o las leyes de AML de Australia — a través de nuestros partners y con nuestros propios controles.
Todos los pagos y acciones del sistema se registran con fecha y hora para estar listos para auditoría.
Realizamos la CDD en todos los clientes para garantizar la conformidad con las regulaciones locales.
Seguimos los principios del GDPR, garantizando que la privacidad de los datos y los derechos de los usuarios sean respetados.
Estamos en conformidad con las regulaciones brasileñas, incluyendo la Ley General de Protección de Datos (LGPD) y las normas del BACEN para el manejo de pagos.
Estamos en conformidad con las regulaciones australianas, incluyendo la Ley de Lucha contra el Lavado de Dinero y el Financiamiento del Terrorismo (AML/CTF) y la Ley de Privacidad. Las transacciones son monitoreadas y reportadas a AUSTRAC a través de nuestros partners de pago.
Estamos en conformidad con los requisitos de la SCA, implementando 2FA y otras medidas.
Puede solicitar acceso a sus datos personales en cualquier momento, según lo requiere el GDPR y la LGPD. Al exportar sus datos, los campos sensibles como datos bancarios se protegen automáticamente antes de la entrega.
Mantenemos una base legal clara para cada tipo de dato personal que procesamos — ya sea para cumplir un contrato, con su consentimiento, por obligaciones legales o por intereses comerciales legítimos — según lo requiere el GDPR.
Compartimos las responsabilidades de seguridad con usted, nuestros proveedores y nuestros partners, garantizando un enfoque integral de la seguridad.
Usamos colas, copias de seguridad y replicación para una recuperación rápida. Si ocurre un reintento durante la recuperación, el sistema detecta duplicados e impide el doble procesamiento — para que nadie sea cobrado dos veces.
Si algo falla, los sistemas cambian a las copias de seguridad sin interrumpir el servicio para el usuario.
Todos los pagos y procesos se encolan y se reintentan con seguridad en caso de fallas.
Hacemos copias de seguridad regulares de todos los datos críticos, garantizando que podamos restaurar rápidamente, si es necesario.
Tenemos ventanas de congelación de lanzamientos programadas para minimizar el riesgo durante períodos críticos.
Usamos rastreo de errores y alertas avanzados para detectar problemas antes de que afecten a los usuarios.
Sabemos a quién llamar, qué hacer y cómo comunicarnos en caso de incidentes. Nuestro plan de respuesta a incidentes está listo y probado.
Nunca ocultamos quiénes son nuestros partners — creemos que la transparencia construye confianza.
Nos comunicamos abiertamente sobre incidentes, interrupciones y cambios que afectan a los clientes.
Nuestra página de estado muestra la salud del sistema en tiempo real, incidentes y actualizaciones de mantenimiento.
Nuestros precios son directos, sin tasas ocultas o sorpresas.
No le atamos con contratos. Puede salir en cualquier momento, sin preguntas.
¿Necesita más detalles? Proporcionamos un documento integral de seguridad y conformidad a clientes enterprise bajo solicitud. Contacte a nuestro equipo de ventas.
Qualy fue creada para ayudar a cobrar pagos para agencias de intercambio. Ayuda a facultades, escuelas y agencias de intercambio de todos los tamaños.
