Sécurisé, conforme et transparent par conception.
Nous maintenons les fonds des clients dans des comptes fiduciaires séparés. Votre argent n'est jamais mélangé avec le nôtre, ni avec celui d'autres clients.
Les paiements transitent par des partenaires agréés. Qualy facilite, mais ne détient ni ne déplace jamais vos fonds directement.
Nous travaillons uniquement avec des fournisseurs de paiement réglementés et agréés dans leurs juridictions.
Dès que les fonds sont compensés, nous les transférons aux écoles ou aux agents. Pas de retards inutiles. Minimisant le risque et l'impact en cas de violation.
Chaque paiement possède une piste d'audit complète. Vous pouvez suivre quand il a été payé, compensé et transféré.
Les données de carte sont gérées uniquement par des fournisseurs conformes à la norme PCI DSS.
Nous ne stockons jamais les détails de carte dans nos systèmes. Toutes les données sensibles sont gérées par nos partenaires.
Chaque paiement est protégé contre les doublons accidentels. Si une demande est réessayée en raison de problèmes réseau, le système le détecte automatiquement et empêche le double débit — les payeurs et les établissements sont toujours protégés.
Les notifications de paiement des passerelles passent par un canal sécurisé et vérifié avant d'atteindre nos systèmes. Cela empêche le traitement d'événements de paiement falsifiés ou altérés.
Nous avons des systèmes pour gérer les rétrofacturations et les litiges efficacement, minimisant l'impact pour les écoles et les agents.
Dans la mesure du possible, nous utilisons 3D Secure et d'autres mesures pour garantir que la responsabilité des transactions frauduleuses soit transférée à l'émetteur de la carte, protégeant nos clients de toute perte potentielle.
Nous opérons sur l'infrastructure sécurisée de Google Cloud avec la meilleure disponibilité et sécurité de sa catégorie.
Toutes les données sont chiffrées au repos avec un chiffrement AES-256. Les données bancaires bénéficient d'une couche supplémentaire de chiffrement au niveau des champs avec des clés uniques pour chaque client — même un accès direct à la base de données ne révélerait pas les détails financiers sensibles.
Nous forçons l'utilisation de HTTPS avec HSTS et utilisons TLS 1.2+ de bout en bout pour des communications sécurisées.
Nos systèmes de build suivent les normes SLSA 3, protégeant contre la falsification et les attaques de la chaîne d'approvisionnement.
Chaque client dispose de sa propre base de données dédiée — pas un simple filtrage par lignes, mais une séparation physique complète. Il n'y a aucune couche de données partagée entre les clients.
Nous utilisons plusieurs couches de pare-feu pour protéger notre infrastructure.
Notre infrastructure est surveillée en permanence avec du traçage distribué, du suivi d'erreurs et des logs structurés. Chaque requête peut être tracée de bout en bout, nous donnant une visibilité complète pour détecter et résoudre les problèmes rapidement.
Nous utilisons Cloudflare pour l'atténuation des DDoS, le filtrage du trafic et les protections avancées. Toutes les connexions sont validées par Cloudflare pour empêcher l'usurpation et garantir que seul le trafic légitime atteint nos systèmes.
Nos systèmes utilisent ZSP, ce qui signifie que personne n'a un accès permanent aux environnements de production. L'accès est accordé uniquement lorsque nécessaire et est enregistré.
Nous appliquons une politique de "rejet" (reject) dans DMARC pour empêcher la livraison d'e-mails falsifiés.
DNSSEC est activé sur nos domaines principaux, garantissant que les requêtes DNS sont vérifiées et résistantes aux falsifications.
La réputation et la livraison des e-mails sortants sont surveillées en continu pour éviter les problèmes avec les factures ou les liens de paiement manquants.
Nous isolons les e-mails transactionnels de ceux de marketing ou de communication interne pour réduire le risque de réputation.
Trois couches indépendantes protègent contre les attaques de force brute et les abus — limitation de débit sur tous les endpoints, blocage intelligent de connexion avec escalade automatique, et verrouillage au niveau du compte via Firebase. Les tentatives répétées déclenchent des blocages de plus en plus longs.
Toutes les charges utiles sont validées et nettoyées pour prévenir les exploits comme XSS, l'injection NoSQL et autres vulnérabilités courantes.
Nos sous-domaines sont isolés directement avec le navigateur, empêchant la définition de cookies de sous-domaines malveillants et renforçant notre sécurité contre les attaques de cookie-tossing.
Notre domaine est validé par de grands fournisseurs de sécurité comme Norton, McAfee et Google Safe Browsing pour garantir que nous sommes reconnus comme un site de confiance.
Les données sensibles de chaque client sont chiffrées avec une clé unique. Même dans le cas improbable d'une violation, les données d'un client ne peuvent pas être utilisées pour accéder à celles d'un autre.
Les numéros de compte bancaire, les numéros de routage, l'IBAN, le SWIFT et autres détails bancaires sont chacun chiffrés individuellement — pas seulement au niveau de la base de données, mais champ par champ. Même nos propres administrateurs de base de données ne peuvent pas lire ces valeurs en clair.
Nos logs sont automatiquement nettoyés des données sensibles — mots de passe, jetons, numéros de compte bancaire, pièces d'identité et détails de carte sont supprimés avant tout stockage. Vos informations sensibles n'apparaissent jamais dans les logs système.
Nous utilisons Cloudflare Turnstile pour protéger les pages de connexion et les formulaires publics contre les bots et les attaques automatisées — sans obliger les vrais utilisateurs à résoudre des CAPTCHAs ennuyeux.
Nos systèmes sont protégés contre les attaques de type SSRF (Server-Side Request Forgery). Les requêtes sortantes vers les réseaux internes, l'infrastructure cloud et les adresses privées sont automatiquement bloquées.
Les domaines web autorisés de chaque client sont vérifiés individuellement. Nous n'accordons jamais d'accès global — seuls vos domaines enregistrés peuvent communiquer avec vos données.
La modification des coordonnées bancaires ou des paramètres de sécurité nécessite une connexion récente. Si trop de temps s'est écoulé depuis votre dernière connexion, vous devrez vous ré-authentifier — ajoutant une couche de protection supplémentaire pour vos actions les plus sensibles.
Notre plateforme effectue des vérifications de sécurité obligatoires à chaque démarrage. Si quelque chose de critique est mal configuré — chiffrement, authentification ou protection contre les bots — le système refuse de se lancer. Une version non sécurisée ne peut jamais atteindre la production.
Chaque requête est tracée de bout en bout à travers tous nos services. Si quelque chose ne va pas, nous pouvons identifier exactement où et quand — rendant le débogage plus rapide et les investigations de sécurité plus approfondies.
Nous utilisons plus de 940 codes d'erreur uniques pour que vous et notre équipe de support receviez toujours des messages clairs et exploitables quand quelque chose ne va pas — tandis que les détails techniques internes restent masqués.
Les membres de notre équipe ne voient que ce dont ils ont besoin pour faire leur travail. Aucun accès large n'est accordé.
Tous les membres de l'équipe qui gèrent des systèmes sensibles passent par une vérification des antécédents.
Toute l'équipe suit des sessions régulières de formation à la sécurité et à la conformité.
La 2FA est obligatoire pour tous les systèmes internes et est disponible pour tous les utilisateurs sur la plateforme.
Nous suivons le principe du moindre privilège, garantissant que les membres de l'équipe n'ont accès qu'à ce dont ils ont besoin.
Lorsque les agents du support ont besoin d'accéder à un compte client, les sessions sont limitées dans le temps, auditées individuellement et restreintes à un ensemble spécifique de permissions. Les actions administratives et destructives sont définitivement bloquées. Chaque session nécessite un motif documenté.
Bien que Qualy ne possède pas de licence financière, nos partenaires sont entièrement agréés et conformes.
Nous nous adaptons aux règles de chaque région — comme les normes du BACEN au Brésil ou les lois AML d'Australie — via nos partenaires et avec nos propres contrôles.
Tous les paiements et actions du système sont enregistrés avec date et heure pour être prêts pour l'audit.
Nous effectuons la CDD sur tous les clients pour garantir la conformité avec les réglementations locales.
Nous suivons les principes du RGPD, garantissant que la confidentialité des données et les droits des utilisateurs sont respectés.
Nous sommes en conformité avec les réglementations brésiliennes, y compris la Loi Générale de Protection des Données (LGPD) et les normes du BACEN pour le traitement des paiements.
Nous sommes en conformité avec les réglementations australiennes, y compris la Loi de Lutte contre le Blanchiment d'Argent et le Financement du Terrorisme (AML/CTF) et la Loi sur la Confidentialité. Les transactions sont surveillées et signalées à AUSTRAC via nos partenaires de paiement.
Nous sommes en conformité avec les exigences de la SCA, mettant en œuvre la 2FA et d'autres mesures.
Vous pouvez demander l'accès à vos données personnelles à tout moment, comme l'exigent le RGPD et la LGPD. Lorsque nous exportons vos données, les champs sensibles comme les coordonnées bancaires sont automatiquement protégés avant la livraison.
Nous maintenons une base juridique claire pour chaque type de données personnelles que nous traitons — que ce soit pour exécuter un contrat, avec votre consentement, pour des obligations légales ou pour des intérêts commerciaux légitimes — comme l'exige le RGPD.
Nous partageons les responsabilités de sécurité avec vous, nos fournisseurs et nos partenaires, garantissant une approche globale de la sécurité.
Nous utilisons des files d'attente, des sauvegardes et la réplication pour une reprise rapide. Si une nouvelle tentative se produit pendant la reprise, le système détecte les doublons et empêche le double traitement — personne n'est débité deux fois.
Si quelque chose échoue, les systèmes basculent vers les sauvegardes sans interrompre le service pour l'utilisateur.
Tous les paiements et processus sont mis en file d'attente et réessayés en toute sécurité en cas d'échec.
Nous effectuons des sauvegardes régulières de toutes les données critiques, garantissant que nous pouvons restaurer rapidement, si nécessaire.
Nous avons des fenêtres de gel des versions programmées pour minimiser le risque pendant les périodes critiques.
Nous utilisons un suivi des erreurs et des alertes avancés pour détecter les problèmes avant qu'ils n'affectent les utilisateurs.
Nous savons qui appeler, quoi faire et comment communiquer en cas d'incidents. Notre plan de réponse aux incidents est prêt et testé.
Nous ne cachons jamais qui sont nos partenaires — nous croyons que la transparence renforce la confiance.
Nous communiquons ouvertement sur les incidents, les interruptions et les changements qui affectent les clients.
Notre page de statut montre la santé du système en temps réel, les incidents et les mises à jour de maintenance.
Nos tarifs sont directs, sans frais cachés ou surprises.
Nous ne vous lions pas avec des contrats. Vous pouvez partir à tout moment, sans questions.
Besoin de plus de détails ? Nous fournissons un document complet de sécurité et de conformité aux clients entreprise sur demande. Contactez notre équipe commerciale.
Qualy a été créée pour aider à collecter les paiements pour les agences d'échange. Elle aide les collèges, les écoles et les agences d'échange de toutes tailles.
