--- title: "Centre de transparence de Qualy" description: "Découvrez comment nous gardons vos paiements, données et opérations sécurisés. De l'infrastructure aux personnes, tout chez Qualy est construit avec la confiance à l'esprit." lang: "fr" url: https://qualyhq.com/fr/centre-de-transparence --- ## Site navigation - [Pour les écoles](/fr/education-internationale/pour-ecoles.md) — Pour les écoles avec des étudiants internationaux - [Pour les agences](/fr/education-internationale/pour-agences.md) — Pour les agents éducatifs - [Tarifs](/fr/tarifs) - [Démo 5-min](/fr/demo.md) — Démo de 5 minutes - [Connexion](https://dashboard.qualyhq.com) # Centre de transparence de Qualy > Sécurisé, conforme et transparent par conception. ## Paiements - **Fonds ségrégués:** Nous maintenons les fonds des clients dans des comptes fiduciaires séparés. Votre argent n'est jamais mélangé avec le nôtre, ni avec celui d'autres clients. - **Nous ne touchons pas l'argent:** Les paiements transitent par des partenaires agréés. Qualy facilite, mais ne détient ni ne déplace jamais vos fonds directement. - **Partenaires mondiaux agréés:** Nous travaillons uniquement avec des fournisseurs de paiement réglementés et agréés dans leurs juridictions. - **Transferts rapides:** Dès que les fonds sont compensés, nous les transférons aux écoles ou aux agents. Pas de retards inutiles. Minimisant le risque et l'impact en cas de violation. - **Flux de paiement transparent:** Chaque paiement possède une piste d'audit complète. Vous pouvez suivre quand il a été payé, compensé et transféré. - **Conformité PCI DSS:** Les données de carte sont gérées uniquement par des fournisseurs conformes à la norme PCI DSS. - **Nous ne stockons pas les données de carte:** Nous ne stockons jamais les détails de carte dans nos systèmes. Toutes les données sensibles sont gérées par nos partenaires. - **Protection contre les paiements en double:** Chaque paiement est protégé contre les doublons accidentels. Si une demande est réessayée en raison de problèmes réseau, le système le détecte automatiquement et empêche le double débit — les payeurs et les établissements sont toujours protégés. - **Architecture webhook sécurisée:** Les notifications de paiement des passerelles passent par un canal sécurisé et vérifié avant d'atteindre nos systèmes. Cela empêche le traitement d'événements de paiement falsifiés ou altérés. - **Protection contre les rétrofacturations:** Nous avons des systèmes pour gérer les rétrofacturations et les litiges efficacement, minimisant l'impact pour les écoles et les agents. - **Priorité au transfert de responsabilité:** Dans la mesure du possible, nous utilisons 3D Secure et d'autres mesures pour garantir que la responsabilité des transactions frauduleuses soit transférée à l'émetteur de la carte, protégeant nos clients de toute perte potentielle. ## Technologie - **Hébergé sur Google Cloud:** Nous opérons sur l'infrastructure sécurisée de Google Cloud avec la meilleure disponibilité et sécurité de sa catégorie. - **Chiffrement au repos:** Toutes les données sont chiffrées au repos avec un chiffrement AES-256. Les données bancaires bénéficient d'une couche supplémentaire de chiffrement au niveau des champs avec des clés uniques pour chaque client — même un accès direct à la base de données ne révélerait pas les détails financiers sensibles. - **Protection des données en transit, HSTS et TLS 1.2+:** Nous forçons l'utilisation de HTTPS avec HSTS et utilisons TLS 1.2+ de bout en bout pour des communications sécurisées. - **SLSA Niveau 3:** Nos systèmes de build suivent les normes SLSA 3, protégeant contre la falsification et les attaques de la chaîne d'approvisionnement. - **Isolation base de données par client:** Chaque client dispose de sa propre base de données dédiée — pas un simple filtrage par lignes, mais une séparation physique complète. Il n'y a aucune couche de données partagée entre les clients. - **Pare-feu toujours actifs:** Nous utilisons plusieurs couches de pare-feu pour protéger notre infrastructure. - **Surveillance 24/7:** Notre infrastructure est surveillée en permanence avec du traçage distribué, du suivi d'erreurs et des logs structurés. Chaque requête peut être tracée de bout en bout, nous donnant une visibilité complète pour détecter et résoudre les problèmes rapidement. - **Protection contre les DDoS:** Nous utilisons Cloudflare pour l'atténuation des DDoS, le filtrage du trafic et les protections avancées. Toutes les connexions sont validées par Cloudflare pour empêcher l'usurpation et garantir que seul le trafic légitime atteint nos systèmes. - **Privilèges d'accès zéro (ZSP):** Nos systèmes utilisent ZSP, ce qui signifie que personne n'a un accès permanent aux environnements de production. L'accès est accordé uniquement lorsque nécessaire et est enregistré. - **Politique DMARC stricte:** Nous appliquons une politique de "rejet" (reject) dans DMARC pour empêcher la livraison d'e-mails falsifiés. - **DNSSEC activé:** DNSSEC est activé sur nos domaines principaux, garantissant que les requêtes DNS sont vérifiées et résistantes aux falsifications. - **Surveillance de la livraison des e-mails:** La réputation et la livraison des e-mails sortants sont surveillées en continu pour éviter les problèmes avec les factures ou les liens de paiement manquants. - **Isolation de la livraison des e-mails:** Nous isolons les e-mails transactionnels de ceux de marketing ou de communication interne pour réduire le risque de réputation. - **Limitation de débit multi-couches:** Trois couches indépendantes protègent contre les attaques de force brute et les abus — limitation de débit sur tous les endpoints, blocage intelligent de connexion avec escalade automatique, et verrouillage au niveau du compte via Firebase. Les tentatives répétées déclenchent des blocages de plus en plus longs. - **Protection contre l'exploitation de charges utiles malveillantes:** Toutes les charges utiles sont validées et nettoyées pour prévenir les exploits comme XSS, l'injection NoSQL et autres vulnérabilités courantes. - **Isolation de sous-domaine:** Nos sous-domaines sont isolés directement avec le navigateur, empêchant la définition de cookies de sous-domaines malveillants et renforçant notre sécurité contre les attaques de cookie-tossing. - **Validation par les fournisseurs de sécurité:** Notre domaine est validé par de grands fournisseurs de sécurité comme Norton, McAfee et Google Safe Browsing pour garantir que nous sommes reconnus comme un site de confiance. - **Clés de chiffrement par client:** Les données sensibles de chaque client sont chiffrées avec une clé unique. Même dans le cas improbable d'une violation, les données d'un client ne peuvent pas être utilisées pour accéder à celles d'un autre. - **Chiffrement au niveau des champs pour les données bancaires:** Les numéros de compte bancaire, les numéros de routage, l'IBAN, le SWIFT et autres détails bancaires sont chacun chiffrés individuellement — pas seulement au niveau de la base de données, mais champ par champ. Même nos propres administrateurs de base de données ne peuvent pas lire ces valeurs en clair. - **Suppression automatique des données personnelles dans les logs:** Nos logs sont automatiquement nettoyés des données sensibles — mots de passe, jetons, numéros de compte bancaire, pièces d'identité et détails de carte sont supprimés avant tout stockage. Vos informations sensibles n'apparaissent jamais dans les logs système. - **Protection contre les bots (Cloudflare Turnstile):** Nous utilisons Cloudflare Turnstile pour protéger les pages de connexion et les formulaires publics contre les bots et les attaques automatisées — sans obliger les vrais utilisateurs à résoudre des CAPTCHAs ennuyeux. - **Protection du réseau interne:** Nos systèmes sont protégés contre les attaques de type SSRF (Server-Side Request Forgery). Les requêtes sortantes vers les réseaux internes, l'infrastructure cloud et les adresses privées sont automatiquement bloquées. - **Validation de domaine par client:** Les domaines web autorisés de chaque client sont vérifiés individuellement. Nous n'accordons jamais d'accès global — seuls vos domaines enregistrés peuvent communiquer avec vos données. - **Fraîcheur du jeton pour les opérations sensibles:** La modification des coordonnées bancaires ou des paramètres de sécurité nécessite une connexion récente. Si trop de temps s'est écoulé depuis votre dernière connexion, vous devrez vous ré-authentifier — ajoutant une couche de protection supplémentaire pour vos actions les plus sensibles. - **Validation de sécurité au démarrage:** Notre plateforme effectue des vérifications de sécurité obligatoires à chaque démarrage. Si quelque chose de critique est mal configuré — chiffrement, authentification ou protection contre les bots — le système refuse de se lancer. Une version non sécurisée ne peut jamais atteindre la production. - **Traçage distribué (OpenTelemetry):** Chaque requête est tracée de bout en bout à travers tous nos services. Si quelque chose ne va pas, nous pouvons identifier exactement où et quand — rendant le débogage plus rapide et les investigations de sécurité plus approfondies. - **Codes d'erreur structurés:** Nous utilisons plus de 940 codes d'erreur uniques pour que vous et notre équipe de support receviez toujours des messages clairs et exploitables quand quelque chose ne va pas — tandis que les détails techniques internes restent masqués. ## Personnes - **Accès basé sur les rôles:** Les membres de notre équipe ne voient que ce dont ils ont besoin pour faire leur travail. Aucun accès large n'est accordé. - **Vérification des antécédents:** Tous les membres de l'équipe qui gèrent des systèmes sensibles passent par une vérification des antécédents. - **Formation à la sécurité:** Toute l'équipe suit des sessions régulières de formation à la sécurité et à la conformité. - **Authentification à deux facteurs (2FA):** La 2FA est obligatoire pour tous les systèmes internes et est disponible pour tous les utilisateurs sur la plateforme. - **Principe du moindre privilège:** Nous suivons le principe du moindre privilège, garantissant que les membres de l'équipe n'ont accès qu'à ce dont ils ont besoin. - **Contrôles d'accès du support:** Lorsque les agents du support ont besoin d'accéder à un compte client, les sessions sont limitées dans le temps, auditées individuellement et restreintes à un ensemble spécifique de permissions. Les actions administratives et destructives sont définitivement bloquées. Chaque session nécessite un motif documenté. ## Conformité - **Opérant uniquement avec des partenaires agréés:** Bien que Qualy ne possède pas de licence financière, nos partenaires sont entièrement agréés et conformes. - **Aligné avec la réglementation locale:** Nous nous adaptons aux règles de chaque région — comme les normes du BACEN au Brésil ou les lois AML d'Australie — via nos partenaires et avec nos propres contrôles. - **Registres prêts pour l'audit:** Tous les paiements et actions du système sont enregistrés avec date et heure pour être prêts pour l'audit. - **Diligence raisonnable client (CDD):** Nous effectuons la CDD sur tous les clients pour garantir la conformité avec les réglementations locales. - **Conformité RGPD:** Nous suivons les principes du RGPD, garantissant que la confidentialité des données et les droits des utilisateurs sont respectés. - **Conformité spécifique pour le Brésil:** Nous sommes en conformité avec les réglementations brésiliennes, y compris la Loi Générale de Protection des Données (LGPD) et les normes du BACEN pour le traitement des paiements. - **Conformité spécifique pour l'Australie:** Nous sommes en conformité avec les réglementations australiennes, y compris la Loi de Lutte contre le Blanchiment d'Argent et le Financement du Terrorisme (AML/CTF) et la Loi sur la Confidentialité. Les transactions sont surveillées et signalées à AUSTRAC via nos partenaires de paiement. - **Conformité à l'Authentification Forte du Client (SCA):** Nous sommes en conformité avec les exigences de la SCA, mettant en œuvre la 2FA et d'autres mesures. - **Support DSAR (demande d'accès aux données personnelles):** Vous pouvez demander l'accès à vos données personnelles à tout moment, comme l'exigent le RGPD et la LGPD. Lorsque nous exportons vos données, les champs sensibles comme les coordonnées bancaires sont automatiquement protégés avant la livraison. - **Bases légales documentées pour le traitement:** Nous maintenons une base juridique claire pour chaque type de données personnelles que nous traitons — que ce soit pour exécuter un contrat, avec votre consentement, pour des obligations légales ou pour des intérêts commerciaux légitimes — comme l'exige le RGPD. ## Opérations - **Modèle de responsabilité de sécurité partagée:** Nous partageons les responsabilités de sécurité avec vous, nos fournisseurs et nos partenaires, garantissant une approche globale de la sécurité. - **Prêt pour la reprise après sinistre:** Nous utilisons des files d'attente, des sauvegardes et la réplication pour une reprise rapide. Si une nouvelle tentative se produit pendant la reprise, le système détecte les doublons et empêche le double traitement — personne n'est débité deux fois. - **Basculement automatisé:** Si quelque chose échoue, les systèmes basculent vers les sauvegardes sans interrompre le service pour l'utilisateur. - **Files d'attente de messages fiables:** Tous les paiements et processus sont mis en file d'attente et réessayés en toute sécurité en cas d'échec. - **Sauvegardes régulières:** Nous effectuons des sauvegardes régulières de toutes les données critiques, garantissant que nous pouvons restaurer rapidement, si nécessaire. - **Fenêtres de gel des versions:** Nous avons des fenêtres de gel des versions programmées pour minimiser le risque pendant les périodes critiques. - **Suivi des erreurs et alertes:** Nous utilisons un suivi des erreurs et des alertes avancés pour détecter les problèmes avant qu'ils n'affectent les utilisateurs. - **Plan de réponse aux incidents:** Nous savons qui appeler, quoi faire et comment communiquer en cas d'incidents. Notre plan de réponse aux incidents est prêt et testé. ## Transparence - **Transparence avec le client:** Nous ne cachons jamais qui sont nos partenaires — nous croyons que la transparence renforce la confiance. - **Communication ouverte:** Nous communiquons ouvertement sur les incidents, les interruptions et les changements qui affectent les clients. - **Page de statut publique:** Notre page de statut montre la santé du système en temps réel, les incidents et les mises à jour de maintenance. - **Tarifs clairs:** Nos tarifs sont directs, sans frais cachés ou surprises. - **Partez quand vous voulez:** Nous ne vous lions pas avec des contrats. Vous pouvez partir à tout moment, sans questions. - **Documentation de sécurité disponible sur demande:** Besoin de plus de détails ? Nous fournissons un document complet de sécurité et de conformité aux clients entreprise sur demande. Contactez notre équipe commerciale. --- ## More on Qualy **Industries** - [Pour les écoles](/fr/education-internationale/pour-ecoles.md) — Pour les écoles avec des étudiants internationaux - [Pour les agences](/fr/education-internationale/pour-agences.md) — Pour les agents éducatifs **Support** - [Statut du système](https://qualyhq.statuspage.io/) — Statut du système Qualy - [Contact](/fr/contact.md) **Produit** - [Démo](/fr/demo.md) - [Témoignages](/fr/temoignages.md) — Voyez ce que certains clients disent de Qualy - [Centre de transparence](/fr/centre-de-transparence.md) - [API](/fr/api.md) — API Qualy pour les paiements d'études à l'étranger et les agents éducatifs **Légal (en anglais)** - [Conditions générales](/terms-and-conditions.md) - [Conditions pour les payeurs](/terms-for-payers.md)