---
title: "Centro de transparencia de Qualy"
description: "Vea cómo mantenemos sus pagos, datos y operaciones seguros. Desde la infraestructura hasta las personas, todo en Qualy está construido con la confianza en mente."
lang: "es"
url: https://qualyhq.com/es/centro-de-transparencia
---
## Site navigation

- [Para escuelas](/es/intercambio/para-escuelas.md) — Para escuelas con estudiantes internacionales
- [Para agencias](/es/intercambio/para-agencias.md) — Para agencias de intercambio
- [Precios](/es/precios)
- [5-min demo](/es/demo.md) — Demostración de 5 minutos
- [Login](https://dashboard.qualyhq.com)

# Centro de transparencia de Qualy

> Seguro, en conformidad y transparente por diseño.

## Pagos

- **Fondos segregados:** Mantenemos los fondos de los clientes en cuentas fiduciarias separadas. Su dinero nunca se mezcla con el nuestro, ni con el de otros clientes.
- **No tocamos el dinero:** Los pagos fluyen a través de partners licenciados. Qualy facilita, pero nunca retiene o mueve sus fondos directamente.
- **Partners globales licenciados:** Trabajamos solo con proveedores de pago regulados y licenciados en sus jurisdicciones.
- **Transferencias rápidas:** Tan pronto como los fondos son compensados, los transferimos a las escuelas o agentes. Sin retrasos innecesarios. Minimizando el riesgo y el impacto en caso de violación.
- **Flujo de pago transparente:** Cada pago posee una pista de auditoría completa. Puede rastrear cuándo fue pagado, compensado y transferido.
- **Conformidad con PCI DSS:** Los datos de tarjeta son manejados solo por proveedores en conformidad con PCI DSS.
- **No almacenamos datos de tarjeta:** Nunca almacenamos detalles de tarjeta en nuestros sistemas. Todos los datos sensibles son manejados por nuestros partners.
- **Protección contra pagos duplicados:** Todos los pagos están protegidos contra duplicados accidentales. Si una solicitud se repite por problemas de red, el sistema lo detecta automáticamente e impide cobros dobles — protegiendo a pagadores e instituciones.
- **Arquitectura segura de notificaciones:** Las notificaciones de pago de los gateways pasan por un canal seguro y verificado antes de llegar a nuestros sistemas. Esto impide que eventos de pago falsos o manipulados sean procesados.
- **Protección contra contracargos:** Tenemos sistemas para manejar contracargos y disputas de forma eficiente, minimizando el impacto para escuelas y agentes.
- **Prioridad en la transferencia de responsabilidad:** Siempre que es posible, usamos 3D Secure y otras medidas para garantizar que la responsabilidad por transacciones fraudulentas sea transferida al emisor de la tarjeta, protegiendo a nuestros clientes de cualquier pérdida potencial.

## Tecnología

- **Alojado en Google Cloud:** Operamos en la infraestructura segura de Google Cloud con la mejor disponibilidad y seguridad de la categoría.
- **Cifrado en reposo:** Todos los datos están cifrados en reposo usando cifrado AES-256. Los datos bancarios reciben una capa adicional de cifrado a nivel de campo con claves únicas para cada cliente — así que incluso un acceso directo a la base de datos no revelaría detalles financieros sensibles.
- **Protección de datos en tránsito, HSTS y TLS 1.2+:** Forzamos el uso de HTTPS con HSTS y utilizamos TLS 1.2+ de extremo a extremo para comunicaciones seguras.
- **SLSA Nivel 3:** Nuestros sistemas de build siguen los estándares SLSA 3, protegiendo contra adulteración y ataques a la cadena de suministro.
- **Aislamiento por base de datos dedicada:** Cada cliente recibe su propia base de datos dedicada — no solo filtrado por filas, sino separación física completa. No existe una capa de datos compartida entre clientes.
- **Firewalls siempre activos:** Usamos múltiples capas de firewalls para proteger nuestra infraestructura.
- **Monitoreo 24/7:** Nuestra infraestructura es monitoreada las 24 horas con rastreo distribuido, reportes de errores y registros estructurados. Cada solicitud puede rastrearse de extremo a extremo, dándonos visibilidad total para detectar y resolver problemas rápidamente.
- **Protección contra DDoS:** Usamos Cloudflare para mitigación de DDoS, filtrado de tráfico y protecciones avanzadas. Todas las conexiones son validadas a través de Cloudflare para prevenir suplantación y garantizar que solo tráfico legítimo llegue a nuestros sistemas.
- **Privilegios de acceso cero (ZSP):** Nuestros sistemas usan ZSP, lo que significa que nadie tiene acceso permanente a los entornos de producción. El acceso se concede solo cuando es necesario y se registra.
- **Política DMARC estricta:** Aplicamos una política de "rechazo" (reject) en DMARC para impedir la entrega de correos falsificados.
- **DNSSEC activado:** DNSSEC está activado en nuestros dominios principales, garantizando que las consultas DNS sean verificadas y resistentes a adulteraciones.
- **Monitoreo de entrega de correos:** La reputación y la entrega de correos salientes son monitoreadas continuamente para evitar problemas con facturas o enlaces de pago ausentes.
- **Aislamiento en la entrega de correos:** Aislamos los correos transaccionales de los de marketing o comunicación interna para reducir el riesgo de reputación.
- **Limitación de velocidad en múltiples capas:** Tres capas independientes protegen contra ataques de fuerza bruta y abuso — limitación de velocidad en todos los endpoints, bloqueo inteligente de inicio de sesión que escala automáticamente y bloqueo progresivo de cuenta por Firebase. Los intentos repetidos generan bloqueos cada vez más largos.
- **Protección contra explotación de payloads maliciosos:** Todos los datos recibidos son validados y saneados para prevenir exploits como XSS, inyección NoSQL y otras vulnerabilidades comunes.
- **Aislamiento de subdominio:** Nuestros subdominios están aislados directamente con el navegador, previniendo la definición de cookies de subdominios maliciosos y fortaleciendo nuestra seguridad contra ataques de cookie-tossing.
- **Validación por proveedores de seguridad:** Nuestro dominio es validado por grandes proveedores de seguridad como Norton, McAfee y Google Safe Browsing para garantizar que somos reconocidos como un sitio confiable.
- **Claves de cifrado por cliente:** Los datos sensibles de cada cliente se cifran con su propia clave única. Incluso en el improbable caso de una brecha, los datos de un cliente no pueden usarse para acceder a los de otro.
- **Cifrado a nivel de campo en datos bancarios:** Números de cuenta bancaria, números de ruta, IBAN, SWIFT y otros datos bancarios se cifran individualmente — no solo a nivel de base de datos, sino campo por campo. Ni siquiera nuestros administradores de bases de datos pueden leer estos valores en texto plano.
- **Eliminación automática de datos personales en logs:** Nuestros logs se limpian automáticamente de datos sensibles — contraseñas, tokens, números de cuenta bancaria, documentos de identidad y datos de tarjeta se eliminan antes de almacenarse. Su información sensible nunca aparece en los logs del sistema.
- **Protección contra bots (Cloudflare Turnstile):** Usamos Cloudflare Turnstile para proteger páginas de inicio de sesión y formularios públicos contra bots y ataques automatizados — sin obligar a los usuarios reales a resolver CAPTCHAs molestos.
- **Protección de red interna:** Nuestros sistemas están reforzados contra la falsificación de solicitudes del lado del servidor (SSRF). Las solicitudes a redes internas, infraestructura en la nube y direcciones privadas se bloquean automáticamente.
- **Validación de dominios por cliente:** Los dominios web permitidos de cada cliente se verifican individualmente. Nunca permitimos acceso generalizado — solo sus dominios registrados pueden comunicarse con sus datos.
- **Sesión reciente para operaciones sensibles:** Cambiar datos bancarios o configuraciones de seguridad requiere un inicio de sesión reciente. Si ha pasado demasiado tiempo desde su último acceso, deberá volver a autenticarse — añadiendo una capa extra de protección para sus acciones más sensibles.
- **Validación de seguridad al inicio:** Nuestra plataforma ejecuta verificaciones de seguridad obligatorias cada vez que se inicia. Si algo crítico está mal configurado — cifrado, autenticación o protección contra bots — el sistema se niega a arrancar. Una versión insegura nunca llega a producción.
- **Rastreo distribuido (OpenTelemetry):** Cada solicitud se rastrea de extremo a extremo en todos nuestros servicios. Si algo sale mal, podemos identificar exactamente dónde y cuándo — haciendo la depuración más rápida y las investigaciones de seguridad más completas.
- **Códigos de error estructurados:** Usamos más de 940 códigos de error únicos para que usted y nuestro equipo de soporte siempre reciban mensajes claros y accionables cuando algo sale mal — mientras los detalles internos del sistema permanecen ocultos.

## Personas

- **Acceso basado en roles:** Los miembros de nuestro equipo ven solo lo que necesitan para realizar su trabajo. No se concede ningún acceso amplio.
- **Verificación de antecedentes:** Todos los miembros del equipo que manejan sistemas sensibles pasan por verificación de antecedentes.
- **Entrenamiento de seguridad:** Todo el equipo completa sesiones regulares de entrenamiento de seguridad y conformidad.
- **Autenticación de dos factores (2FA):** La 2FA es obligatoria para todos los sistemas internos y está disponible para todos los usuarios en la plataforma.
- **Principio de menor privilegio:** Seguimos el principio de menor privilegio, garantizando que los miembros del equipo tengan acceso solo a lo que necesitan.
- **Controles de acceso del soporte:** Cuando los agentes de soporte necesitan acceder a la cuenta de un cliente, las sesiones son limitadas en tiempo, auditadas individualmente y restringidas a un conjunto específico de permisos. Las acciones administrativas y destructivas están permanentemente bloqueadas. Cada sesión requiere una justificación documentada.

## Conformidad

- **Operando solo con partners licenciados:** Aunque Qualy no posee licencia financiera, nuestros partners están totalmente licenciados y en conformidad.
- **Alineado con la regulación local:** Nos adaptamos a las reglas de cada región — como las normas del BACEN en Brasil o las leyes de AML de Australia — a través de nuestros partners y con nuestros propios controles.
- **Registros listos para auditoría:** Todos los pagos y acciones del sistema se registran con fecha y hora para estar listos para auditoría.
- **Diligencia Debida del Cliente (CDD):** Realizamos la CDD en todos los clientes para garantizar la conformidad con las regulaciones locales.
- **Conformidad con GDPR:** Seguimos los principios del GDPR, garantizando que la privacidad de los datos y los derechos de los usuarios sean respetados.
- **Conformidad específica para Brasil:** Estamos en conformidad con las regulaciones brasileñas, incluyendo la Ley General de Protección de Datos (LGPD) y las normas del BACEN para el manejo de pagos.
- **Conformidad específica para Australia:** Estamos en conformidad con las regulaciones australianas, incluyendo la Ley de Lucha contra el Lavado de Dinero y el Financiamiento del Terrorismo (AML/CTF) y la Ley de Privacidad. Las transacciones son monitoreadas y reportadas a AUSTRAC a través de nuestros partners de pago.
- **Conformidad con la Autenticación Fuerte de Cliente (SCA):** Estamos en conformidad con los requisitos de la SCA, implementando 2FA y otras medidas.
- **Soporte DSAR (Solicitud de Acceso a Datos Personales):** Puede solicitar acceso a sus datos personales en cualquier momento, según lo requiere el GDPR y la LGPD. Al exportar sus datos, los campos sensibles como datos bancarios se protegen automáticamente antes de la entrega.
- **Bases legales documentadas para el procesamiento:** Mantenemos una base legal clara para cada tipo de dato personal que procesamos — ya sea para cumplir un contrato, con su consentimiento, por obligaciones legales o por intereses comerciales legítimos — según lo requiere el GDPR.

## Operaciones

- **Modelo de responsabilidad de seguridad compartida:** Compartimos las responsabilidades de seguridad con usted, nuestros proveedores y nuestros partners, garantizando un enfoque integral de la seguridad.
- **Listo para recuperación ante desastres:** Usamos colas, copias de seguridad y replicación para una recuperación rápida. Si ocurre un reintento durante la recuperación, el sistema detecta duplicados e impide el doble procesamiento — para que nadie sea cobrado dos veces.
- **Conmutación por error automatizada:** Si algo falla, los sistemas cambian a las copias de seguridad sin interrumpir el servicio para el usuario.
- **Colas de mensajes confiables:** Todos los pagos y procesos se encolan y se reintentan con seguridad en caso de fallas.
- **Copias de seguridad regulares:** Hacemos copias de seguridad regulares de todos los datos críticos, garantizando que podamos restaurar rápidamente, si es necesario.
- **Ventanas de congelación de lanzamientos:** Tenemos ventanas de congelación de lanzamientos programadas para minimizar el riesgo durante períodos críticos.
- **Rastreo de errores y alertas:** Usamos rastreo de errores y alertas avanzados para detectar problemas antes de que afecten a los usuarios.
- **Plan de respuesta a incidentes:** Sabemos a quién llamar, qué hacer y cómo comunicarnos en caso de incidentes. Nuestro plan de respuesta a incidentes está listo y probado.

## Transparencia

- **Transparencia con el cliente:** Nunca ocultamos quiénes son nuestros partners — creemos que la transparencia construye confianza.
- **Comunicación abierta:** Nos comunicamos abiertamente sobre incidentes, interrupciones y cambios que afectan a los clientes.
- **Página de estado pública:** Nuestra página de estado muestra la salud del sistema en tiempo real, incidentes y actualizaciones de mantenimiento.
- **Precios claros:** Nuestros precios son directos, sin tasas ocultas o sorpresas.
- **Salga cuando quiera:** No le atamos con contratos. Puede salir en cualquier momento, sin preguntas.
- **Documentación de seguridad disponible bajo solicitud:** ¿Necesita más detalles? Proporcionamos un documento integral de seguridad y conformidad a clientes enterprise bajo solicitud. Contacte a nuestro equipo de ventas.

## More on Qualy

**Industrias**

- [Para escuelas](/es/intercambio/para-escuelas.md) — Para escuelas con estudiantes internacionales
- [Para agencias](/es/intercambio/para-agencias.md) — Para agencias de intercambio

**Soporte**

- [Estado del sistema](https://qualyhq.statuspage.io/) — Estado del sistema Qualy
- [Contacto](/es/contacto.md)

**Producto**

- [Demostración](/es/demo.md)
- [Testimonios](/es/testimonios.md) — Vea lo que algunos clientes tienen que decir sobre Qualy
- [Centro de transparencia](/es/centro-de-transparencia.md)
- [API](/es/api.md) — API de Qualy para pagos para estudios en el extranjero y agencias de intercambio

**Legal (en inglés)**

- [Términos generales](/terms-and-conditions.md) — Términos y condiciones
- [Términos para pagadores](/terms-for-payers.md)