Sicuro, conforme e trasparente per design.
Manteniamo i fondi dei clienti in conti fiduciari separati. Il tuo denaro non viene mai mescolato con il nostro, né con quello di altri clienti.
I pagamenti fluiscono attraverso partner autorizzati. Qualy facilita, ma non trattiene o sposta mai i tuoi fondi direttamente.
Lavoriamo solo con fornitori di pagamento regolamentati e autorizzati nelle loro giurisdizioni.
Non appena i fondi vengono compensati, li trasferiamo alle scuole o agli agenti. Nessun ritardo inutile. Minimizzando il rischio e l'impatto in caso di violazione.
Ogni pagamento possiede una traccia di audit completa. Puoi tracciare quando è stato pagato, compensato e trasferito.
I dati della carta sono gestiti solo da fornitori conformi a PCI DSS.
Non archiviamo mai i dettagli della carta nei nostri sistemi. Tutti i dati sensibili sono gestiti dai nostri partner.
Ogni pagamento è protetto contro duplicati accidentali. Se una richiesta viene ripetuta a causa di problemi di rete, il sistema la rileva automaticamente e impedisce il doppio addebito — così paganti e istituzioni sono sempre protetti.
Le notifiche di pagamento dai gateway passano attraverso un canale sicuro e verificato prima di raggiungere i nostri sistemi. Questo impedisce che eventi di pagamento falsi o manomessi vengano elaborati.
Abbiamo sistemi per gestire chargeback e dispute in modo efficiente, minimizzando l'impatto per scuole e agenti.
Quando possibile, usiamo 3D Secure e altre misure per garantire che la responsabilità per transazioni fraudolente sia trasferita all'emittente della carta, proteggendo i nostri clienti da qualsiasi perdita potenziale.
Operiamo sull'infrastruttura sicura di Google Cloud con la migliore disponibilità e sicurezza della categoria.
Tutti i dati sono crittografati a riposo utilizzando la crittografia AES-256. I dati bancari ricevono un ulteriore livello di crittografia a livello di campo con chiavi uniche per ogni cliente — così anche un accesso diretto al database non rivelerebbe dettagli finanziari sensibili.
Forziamo l'uso di HTTPS con HSTS e utilizziamo TLS 1.2+ end-to-end per comunicazioni sicure.
I nostri sistemi di build seguono gli standard SLSA 3, proteggendo contro manomissioni e attacchi alla catena di approvvigionamento.
Ogni cliente ha il proprio database dedicato — non solo un filtraggio a livello di riga, ma una separazione fisica completa. Non esiste uno strato di dati condiviso tra i clienti.
Usiamo molteplici livelli di firewall per proteggere la nostra infrastruttura.
La nostra infrastruttura è monitorata 24 ore su 24 con tracciamento distribuito, segnalazione degli errori e logging strutturato. Ogni richiesta può essere tracciata end-to-end, dandoci piena visibilità per individuare e risolvere i problemi rapidamente.
Usiamo Cloudflare per la mitigazione DDoS, il filtraggio del traffico e protezioni avanzate. Tutte le connessioni sono validate tramite Cloudflare per prevenire lo spoofing e garantire che solo traffico legittimo raggiunga i nostri sistemi.
I nostri sistemi usano ZSP, il che significa che nessuno ha accesso permanente agli ambienti di produzione. L'accesso è concesso solo quando necessario e viene registrato.
Applichiamo una politica di "rifiuto" (reject) in DMARC per impedire la consegna di email falsificate.
DNSSEC è attivato sui nostri domini principali, garantendo che le query DNS siano verificate e resistenti a manomissioni.
La reputazione e la consegna delle email in uscita sono monitorate continuamente per evitare problemi con fatture o link di pagamento mancanti.
Isoliamo le email transazionali da quelle di marketing o comunicazione interna per ridurre il rischio di reputazione.
Tre livelli indipendenti proteggono contro attacchi di forza bruta e abusi — limitazione della velocità su tutti gli endpoint, blocco intelligente del login che si intensifica automaticamente e blocco a livello di account fornito da Firebase. I tentativi ripetuti attivano blocchi progressivamente più lunghi.
Tutti i payload vengono validati e sanificati per prevenire exploit come XSS, iniezione NoSQL e altre vulnerabilità comuni.
I nostri sottodomini sono isolati direttamente con il browser, prevenendo la definizione di cookie da sottodomini dannosi e rafforzando la nostra sicurezza contro attacchi di cookie-tossing.
Il nostro dominio è validato da grandi fornitori di sicurezza come Norton, McAfee e Google Safe Browsing per garantire che siamo riconosciuti come un sito affidabile.
I dati sensibili di ogni cliente sono crittografati con una chiave unica. Anche nell'improbabile evento di una violazione, i dati di un cliente non possono essere usati per accedere a quelli di un altro.
Numeri di conto bancario, numeri di routing, IBAN, SWIFT e altri dettagli bancari sono ciascuno crittografati individualmente — non solo a livello di database, ma campo per campo. Nemmeno i nostri amministratori di database possono leggere questi valori in chiaro.
I nostri log vengono automaticamente ripuliti dai dati sensibili — password, token, numeri di conto bancario, documenti d'identità e dettagli delle carte vengono rimossi prima che qualsiasi cosa venga memorizzata. Le tue informazioni sensibili non appaiono mai nei log di sistema.
Usiamo Cloudflare Turnstile per proteggere le pagine di login e i moduli pubblici da bot e attacchi automatizzati — senza far risolvere CAPTCHA fastidiosi agli utenti reali.
I nostri sistemi sono protetti contro il server-side request forgery (SSRF). Le richieste in uscita verso reti interne, infrastruttura cloud e indirizzi privati vengono bloccate automaticamente.
I domini web consentiti per ogni cliente sono verificati individualmente. Non permettiamo mai l'accesso generico — solo i tuoi domini registrati possono comunicare con i tuoi dati.
Modificare i dettagli del conto bancario o le impostazioni di sicurezza richiede un nuovo login. Se è passato troppo tempo dal tuo ultimo accesso, dovrai ri-autenticarti — aggiungendo un ulteriore livello di protezione per le tue azioni più sensibili.
La nostra piattaforma esegue controlli di sicurezza obbligatori ogni volta che si avvia. Se qualcosa di critico è configurato male — crittografia, autenticazione o protezione bot — il sistema si rifiuta di avviarsi. Una versione insicura non può mai raggiungere la produzione.
Ogni richiesta viene tracciata end-to-end attraverso tutti i nostri servizi. Se qualcosa va storto, possiamo individuare esattamente dove e quando — rendendo il debug più veloce e le indagini di sicurezza più approfondite.
Utilizziamo oltre 940 codici di errore unici in modo che tu e il nostro team di supporto riceviate sempre messaggi chiari e utilizzabili quando qualcosa va storto — mentre i dettagli interni del sistema restano nascosti.
I membri del nostro team vedono solo ciò di cui hanno bisogno per svolgere il loro lavoro. Non viene concesso alcun accesso ampio.
Tutti i membri del team che gestiscono sistemi sensibili passano attraverso la verifica dei precedenti.
Tutto il team completa sessioni regolari di formazione sulla sicurezza e conformità.
La 2FA è obbligatoria per tutti i sistemi interni ed è disponibile per tutti gli utenti sulla piattaforma.
Seguiamo il principio del privilegio minimo, garantendo che i membri del team abbiano accesso solo a ciò di cui hanno bisogno.
Quando gli agenti del supporto devono accedere a un account cliente, le sessioni sono limitate nel tempo, verificate individualmente e ristrette a un set specifico di permessi. Le azioni amministrative e distruttive sono permanentemente bloccate. Ogni sessione richiede un motivo documentato.
Sebbene Qualy non possieda licenza finanziaria, i nostri partner sono completamente autorizzati e conformi.
Ci adattiamo alle regole di ogni regione — come le norme del BACEN in Brasile o le leggi AML dell'Australia — attraverso i nostri partner e con i nostri controlli.
Tutti i pagamenti e le azioni del sistema sono registrati con data e ora per essere pronti per l'audit.
Eseguiamo la CDD su tutti i clienti per garantire la conformità con le normative locali.
Seguiamo i principi del GDPR, garantendo che la privacy dei dati e i diritti degli utenti siano rispettati.
Siamo conformi alle normative brasiliane, inclusa la Legge Generale sulla Protezione dei Dati (LGPD) e le norme del BACEN per la gestione dei pagamenti.
Siamo conformi alle normative australiane, inclusa la Legge contro il Riciclaggio di Denaro e il Finanziamento del Terrorismo (AML/CTF) e la Legge sulla Privacy. Le transazioni sono monitorate e segnalate ad AUSTRAC attraverso i nostri partner di pagamento.
Siamo conformi ai requisiti della SCA, implementando 2FA e altre misure.
Puoi richiedere l'accesso ai tuoi dati personali in qualsiasi momento, come previsto da GDPR e LGPD. Quando esportiamo i tuoi dati, i campi sensibili come i dettagli bancari vengono automaticamente protetti prima della consegna.
Manteniamo una base giuridica chiara per ogni tipo di dato personale che trattiamo — sia per adempiere un contratto, con il tuo consenso, per obblighi legali o per legittimi interessi aziendali — come richiesto dal GDPR.
Condividiamo le responsabilità di sicurezza con te, i nostri fornitori e i nostri partner, garantendo un approccio completo alla sicurezza.
Usiamo code, backup e replicazione per un recupero rapido. Se un tentativo viene ripetuto durante il recupero, il sistema rileva i duplicati e impedisce la doppia elaborazione — così nessuno viene addebitato due volte.
Se qualcosa fallisce, i sistemi passano ai backup senza interrompere il servizio per l'utente.
Tutti i pagamenti e i processi vengono accodati e riprovati in sicurezza in caso di guasti.
Facciamo backup regolari di tutti i dati critici, garantendo di poter ripristinare rapidamente, se necessario.
Abbiamo finestre di blocco dei rilasci programmate per minimizzare il rischio durante periodi critici.
Usiamo tracciamento degli errori e avvisi avanzati per rilevare problemi prima che colpiscano gli utenti.
Sappiamo chi chiamare, cosa fare e come comunicare in caso di incidenti. Il nostro piano di risposta agli incidenti è pronto e testato.
Non nascondiamo mai chi sono i nostri partner — crediamo che la trasparenza costruisca fiducia.
Comunichiamo apertamente su incidenti, interruzioni e cambiamenti che colpiscono i clienti.
La nostra pagina di stato mostra la salute del sistema in tempo reale, incidenti e aggiornamenti di manutenzione.
I nostri prezzi sono diretti, senza tasse nascoste o sorprese.
Non ti leghiamo con contratti. Puoi uscire in qualsiasi momento, senza domande.
Hai bisogno di maggiori dettagli? Forniamo un documento completo di sicurezza e conformità ai clienti enterprise su richiesta. Contatta il nostro team commerciale.
Qualy è stata creata per aiutare a riscuotere pagamenti per agenzie di scambio. Aiuta facoltà, scuole e agenzie di scambio di tutte le dimensioni.
