Sécurisé, conforme et transparent par conception.
Nous maintenons les fonds des clients dans des comptes fiduciaires séparés. Votre argent n'est jamais mélangé avec le nôtre, ni avec celui d'autres clients.
Les paiements transitent par des partenaires agréés. Qualy facilite, mais ne détient ni ne déplace jamais vos fonds directement.
Nous travaillons uniquement avec des fournisseurs de paiement réglementés et agréés dans leurs juridictions.
Dès que les fonds sont compensés, nous les transférons aux écoles ou aux agents. Pas de retards inutiles. Minimisant le risque et l'impact en cas de violation.
Chaque paiement possède une piste d'audit complète. Vous pouvez suivre quand il a été payé, compensé et transféré.
Les données de carte sont gérées uniquement par des fournisseurs conformes à la norme PCI DSS.
Nous ne stockons jamais les détails de carte dans nos systèmes. Toutes les données sensibles sont gérées par nos partenaires.
Nous avons des systèmes pour gérer les rétrofacturations et les litiges efficacement, minimisant l'impact pour les écoles et les agents.
Dans la mesure du possible, nous utilisons 3D Secure et d'autres mesures pour garantir que la responsabilité des transactions frauduleuses soit transférée à l'émetteur de la carte, protégeant nos clients de toute perte potentielle.
Nous opérons sur l'infrastructure sécurisée de Google Cloud avec la meilleure disponibilité et sécurité de sa catégorie.
Toutes les données clients sont chiffrées au repos en utilisant des normes de chiffrement fortes.
Nous forçons l'utilisation de HTTPS avec HSTS et utilisons TLS 1.2+ de bout en bout pour des communications sécurisées.
Nos systèmes de build suivent les normes SLSA 3, protégeant contre la falsification et les attaques de la chaîne d'approvisionnement.
Les données de chaque client sont isolées. Il n'y a pas de fuite de données entre les écoles, les agents ou les utilisateurs.
Nous utilisons plusieurs couches de pare-feu pour protéger notre infrastructure.
Notre infrastructure est surveillée 24/7 pour vérifier la disponibilité, les anomalies et les menaces potentielles.
Nous utilisons des protections au niveau de la plateforme pour nous défendre contre les DDoS et autres attaques courantes.
Nos systèmes utilisent ZSP, ce qui signifie que personne n'a un accès permanent aux environnements de production. L'accès est accordé uniquement lorsque nécessaire et est enregistré.
Nous appliquons une politique de "rejet" (reject) dans DMARC pour empêcher la livraison d'e-mails falsifiés.
DNSSEC est activé sur nos domaines principaux, garantissant que les requêtes DNS sont vérifiées et résistantes aux falsifications.
La réputation et la livraison des e-mails sortants sont surveillées en continu pour éviter les problèmes avec les factures ou les liens de paiement manquants.
Nous isolons les e-mails transactionnels de ceux de marketing ou de communication interne pour réduire le risque de réputation.
Nous avons des mesures pour prévenir les attaques de force brute sur les comptes utilisateurs, y compris la limitation de débit et le verrouillage de compte. Notre système d'authentification est fourni par Google.
Toutes les charges utiles sont scannées et nettoyées pour prévenir les exploits comme XSS, l'injection SQL et autres vulnérabilités courantes.
Nos sous-domaines sont isolés directement avec le navigateur, empêchant la définition de cookies de sous-domaines malveillants et renforçant notre sécurité contre les attaques de cookie-tossing.
Notre domaine est validé par de grands fournisseurs de sécurité comme Norton, McAfee et Google Safe Browsing pour garantir que nous sommes reconnus comme un site de confiance.
Les membres de notre équipe ne voient que ce dont ils ont besoin pour faire leur travail. Aucun accès large n'est accordé.
Tous les membres de l'équipe qui gèrent des systèmes sensibles passent par une vérification des antécédents.
Toute l'équipe suit des sessions régulières de formation à la sécurité et à la conformité.
La 2FA est obligatoire pour tous les systèmes internes et est disponible pour tous les utilisateurs sur la plateforme.
Nous suivons le principe du moindre privilège, garantissant que les membres de l'équipe n'ont accès qu'à ce dont ils ont besoin.
Bien que Qualy ne possède pas de licence financière, nos partenaires sont entièrement agréés et conformes.
Nous nous adaptons aux règles de chaque région — comme les normes du BACEN au Brésil ou les lois AML d'Australie — via nos partenaires et avec nos propres contrôles.
Tous les paiements et actions du système sont enregistrés avec date et heure pour être prêts pour l'audit.
Nous effectuons la CDD sur tous les clients pour garantir la conformité avec les réglementations locales.
Nous suivons les principes du RGPD, garantissant que la confidentialité des données et les droits des utilisateurs sont respectés.
Nous sommes en conformité avec les réglementations brésiliennes, y compris la Loi Générale de Protection des Données (LGPD) et les normes du BACEN pour le traitement des paiements.
Nous sommes en conformité avec les réglementations australiennes, y compris la Loi de Lutte contre le Blanchiment d'Argent et le Financement du Terrorisme (AML/CTF) et la Loi sur la Confidentialité. Les transactions sont surveillées et signalées à AUSTRAC via nos partenaires de paiement.
Nous sommes en conformité avec les exigences de la SCA, mettant en œuvre la 2FA et d'autres mesures.
Nous partageons les responsabilités de sécurité avec vous, nos fournisseurs et nos partenaires, garantissant une approche globale de la sécurité.
Nous utilisons des files d'attente, des sauvegardes et la réplication pour garantir que la plateforme puisse se remettre rapidement des problèmes.
Si quelque chose échoue, les systèmes basculent vers les sauvegardes sans interrompre le service pour l'utilisateur.
Tous les paiements et processus sont mis en file d'attente et réessayés en toute sécurité en cas d'échec.
Nous effectuons des sauvegardes régulières de toutes les données critiques, garantissant que nous pouvons restaurer rapidement, si nécessaire.
Nous avons des fenêtres de gel des versions programmées pour minimiser le risque pendant les périodes critiques.
Nous utilisons un suivi des erreurs et des alertes avancés pour détecter les problèmes avant qu'ils n'affectent les utilisateurs.
Nous savons qui appeler, quoi faire et comment communiquer en cas d'incidents. Notre plan de réponse aux incidents est prêt et testé.
Nous ne cachons jamais qui sont nos partenaires — nous croyons que la transparence renforce la confiance.
Nous communiquons ouvertement sur les incidents, les interruptions et les changements qui affectent les clients.
Notre page de statut montre la santé du système en temps réel, les incidents et les mises à jour de maintenance.
Nos tarifs sont directs, sans frais cachés ou surprises.
Nous ne vous lions pas avec des contrats. Vous pouvez partir à tout moment, sans questions.
Qualy a été créée pour aider à collecter les paiements pour les agences d'échange. Elle aide les collèges, les écoles et les agences d'échange de toutes tailles.
