---
title: "Centro di trasparenza di Qualy"
description: "Scopri come manteniamo i tuoi pagamenti, dati e operazioni al sicuro. Dall'infrastruttura alle persone, tutto in Qualy è costruito con la fiducia in mente."
lang: "it"
url: https://qualyhq.com/it/centro-trasparenza
---
## Site navigation

- [Per scuole](/it/scambio/per-scuole.md) — Per scuole con studenti internazionali
- [Per agenzie](/it/scambio/per-agenzie.md) — Per agenzie di scambio
- [Prezzi](/it/prezzi)
- [5-min demo](/it/demo.md) — Demo di 5 minuti
- [Login](https://dashboard.qualyhq.com)

# Centro di trasparenza di Qualy

> Sicuro, conforme e trasparente per design.

## Pagamenti

- **Fondi segregati:** Manteniamo i fondi dei clienti in conti fiduciari separati. Il tuo denaro non viene mai mescolato con il nostro, né con quello di altri clienti.
- **Non tocchiamo il denaro:** I pagamenti fluiscono attraverso partner autorizzati. Qualy facilita, ma non trattiene o sposta mai i tuoi fondi direttamente.
- **Partner globali autorizzati:** Lavoriamo solo con fornitori di pagamento regolamentati e autorizzati nelle loro giurisdizioni.
- **Trasferimenti rapidi:** Non appena i fondi vengono compensati, li trasferiamo alle scuole o agli agenti. Nessun ritardo inutile. Minimizzando il rischio e l'impatto in caso di violazione.
- **Flusso di pagamento trasparente:** Ogni pagamento possiede una traccia di audit completa. Puoi tracciare quando è stato pagato, compensato e trasferito.
- **Conformità PCI DSS:** I dati della carta sono gestiti solo da fornitori conformi a PCI DSS.
- **Non archiviamo dati della carta:** Non archiviamo mai i dettagli della carta nei nostri sistemi. Tutti i dati sensibili sono gestiti dai nostri partner.
- **Protezione contro pagamenti duplicati:** Ogni pagamento è protetto contro duplicati accidentali. Se una richiesta viene ripetuta a causa di problemi di rete, il sistema la rileva automaticamente e impedisce il doppio addebito — così paganti e istituzioni sono sempre protetti.
- **Architettura webhook sicura:** Le notifiche di pagamento dai gateway passano attraverso un canale sicuro e verificato prima di raggiungere i nostri sistemi. Questo impedisce che eventi di pagamento falsi o manomessi vengano elaborati.
- **Protezione contro chargeback:** Abbiamo sistemi per gestire chargeback e dispute in modo efficiente, minimizzando l'impatto per scuole e agenti.
- **Priorità nel trasferimento di responsabilità:** Quando possibile, usiamo 3D Secure e altre misure per garantire che la responsabilità per transazioni fraudolente sia trasferita all'emittente della carta, proteggendo i nostri clienti da qualsiasi perdita potenziale.

## Tecnologia

- **Ospitato su Google Cloud:** Operiamo sull'infrastruttura sicura di Google Cloud con la migliore disponibilità e sicurezza della categoria.
- **Crittografia a riposo:** Tutti i dati sono crittografati a riposo utilizzando la crittografia AES-256. I dati bancari ricevono un ulteriore livello di crittografia a livello di campo con chiavi uniche per ogni cliente — così anche un accesso diretto al database non rivelerebbe dettagli finanziari sensibili.
- **Protezione dei dati in transito, HSTS e TLS 1.2+:** Forziamo l'uso di HTTPS con HSTS e utilizziamo TLS 1.2+ end-to-end per comunicazioni sicure.
- **SLSA Livello 3:** I nostri sistemi di build seguono gli standard SLSA 3, proteggendo contro manomissioni e attacchi alla catena di approvvigionamento.
- **Isolamento database per cliente:** Ogni cliente ha il proprio database dedicato — non solo un filtraggio a livello di riga, ma una separazione fisica completa. Non esiste uno strato di dati condiviso tra i clienti.
- **Firewall sempre attivi:** Usiamo molteplici livelli di firewall per proteggere la nostra infrastruttura.
- **Monitoraggio 24/7:** La nostra infrastruttura è monitorata 24 ore su 24 con tracciamento distribuito, segnalazione degli errori e logging strutturato. Ogni richiesta può essere tracciata end-to-end, dandoci piena visibilità per individuare e risolvere i problemi rapidamente.
- **Protezione contro DDoS:** Usiamo Cloudflare per la mitigazione DDoS, il filtraggio del traffico e protezioni avanzate. Tutte le connessioni sono validate tramite Cloudflare per prevenire lo spoofing e garantire che solo traffico legittimo raggiunga i nostri sistemi.
- **Privilegi di accesso zero (ZSP):** I nostri sistemi usano ZSP, il che significa che nessuno ha accesso permanente agli ambienti di produzione. L'accesso è concesso solo quando necessario e viene registrato.
- **Politica DMARC rigorosa:** Applichiamo una politica di "rifiuto" (reject) in DMARC per impedire la consegna di email falsificate.
- **DNSSEC attivato:** DNSSEC è attivato sui nostri domini principali, garantendo che le query DNS siano verificate e resistenti a manomissioni.
- **Monitoraggio della consegna delle email:** La reputazione e la consegna delle email in uscita sono monitorate continuamente per evitare problemi con fatture o link di pagamento mancanti.
- **Isolamento nella consegna delle email:** Isoliamo le email transazionali da quelle di marketing o comunicazione interna per ridurre il rischio di reputazione.
- **Limitazione della velocità multilivello:** Tre livelli indipendenti proteggono contro attacchi di forza bruta e abusi — limitazione della velocità su tutti gli endpoint, blocco intelligente del login che si intensifica automaticamente e blocco a livello di account fornito da Firebase. I tentativi ripetuti attivano blocchi progressivamente più lunghi.
- **Protezione contro sfruttamento di payload dannosi:** Tutti i payload vengono validati e sanificati per prevenire exploit come XSS, iniezione NoSQL e altre vulnerabilità comuni.
- **Isolamento del sottodominio:** I nostri sottodomini sono isolati direttamente con il browser, prevenendo la definizione di cookie da sottodomini dannosi e rafforzando la nostra sicurezza contro attacchi di cookie-tossing.
- **Validazione da fornitori di sicurezza:** Il nostro dominio è validato da grandi fornitori di sicurezza come Norton, McAfee e Google Safe Browsing per garantire che siamo riconosciuti come un sito affidabile.
- **Chiavi di crittografia per cliente:** I dati sensibili di ogni cliente sono crittografati con una chiave unica. Anche nell'improbabile evento di una violazione, i dati di un cliente non possono essere usati per accedere a quelli di un altro.
- **Crittografia a livello di campo sui dati bancari:** Numeri di conto bancario, numeri di routing, IBAN, SWIFT e altri dettagli bancari sono ciascuno crittografati individualmente — non solo a livello di database, ma campo per campo. Nemmeno i nostri amministratori di database possono leggere questi valori in chiaro.
- **Rimozione automatica dei dati personali nei log:** I nostri log vengono automaticamente ripuliti dai dati sensibili — password, token, numeri di conto bancario, documenti d'identità e dettagli delle carte vengono rimossi prima che qualsiasi cosa venga memorizzata. Le tue informazioni sensibili non appaiono mai nei log di sistema.
- **Protezione contro bot (Cloudflare Turnstile):** Usiamo Cloudflare Turnstile per proteggere le pagine di login e i moduli pubblici da bot e attacchi automatizzati — senza far risolvere CAPTCHA fastidiosi agli utenti reali.
- **Protezione della rete interna:** I nostri sistemi sono protetti contro il server-side request forgery (SSRF). Le richieste in uscita verso reti interne, infrastruttura cloud e indirizzi privati vengono bloccate automaticamente.
- **Validazione del dominio per cliente:** I domini web consentiti per ogni cliente sono verificati individualmente. Non permettiamo mai l'accesso generico — solo i tuoi domini registrati possono comunicare con i tuoi dati.
- **Token aggiornato per operazioni sensibili:** Modificare i dettagli del conto bancario o le impostazioni di sicurezza richiede un nuovo login. Se è passato troppo tempo dal tuo ultimo accesso, dovrai ri-autenticarti — aggiungendo un ulteriore livello di protezione per le tue azioni più sensibili.
- **Validazione di sicurezza all'avvio:** La nostra piattaforma esegue controlli di sicurezza obbligatori ogni volta che si avvia. Se qualcosa di critico è configurato male — crittografia, autenticazione o protezione bot — il sistema si rifiuta di avviarsi. Una versione insicura non può mai raggiungere la produzione.
- **Tracciamento distribuito (OpenTelemetry):** Ogni richiesta viene tracciata end-to-end attraverso tutti i nostri servizi. Se qualcosa va storto, possiamo individuare esattamente dove e quando — rendendo il debug più veloce e le indagini di sicurezza più approfondite.
- **Codici di errore strutturati:** Utilizziamo oltre 940 codici di errore unici in modo che tu e il nostro team di supporto riceviate sempre messaggi chiari e utilizzabili quando qualcosa va storto — mentre i dettagli interni del sistema restano nascosti.

## Persone

- **Accesso basato sui ruoli:** I membri del nostro team vedono solo ciò di cui hanno bisogno per svolgere il loro lavoro. Non viene concesso alcun accesso ampio.
- **Verifica dei precedenti:** Tutti i membri del team che gestiscono sistemi sensibili passano attraverso la verifica dei precedenti.
- **Formazione sulla sicurezza:** Tutto il team completa sessioni regolari di formazione sulla sicurezza e conformità.
- **Autenticazione a due fattori (2FA):** La 2FA è obbligatoria per tutti i sistemi interni ed è disponibile per tutti gli utenti sulla piattaforma.
- **Principio del privilegio minimo:** Seguiamo il principio del privilegio minimo, garantendo che i membri del team abbiano accesso solo a ciò di cui hanno bisogno.
- **Controlli di accesso per il supporto:** Quando gli agenti del supporto devono accedere a un account cliente, le sessioni sono limitate nel tempo, verificate individualmente e ristrette a un set specifico di permessi. Le azioni amministrative e distruttive sono permanentemente bloccate. Ogni sessione richiede un motivo documentato.

## Conformità

- **Operando solo con partner autorizzati:** Sebbene Qualy non possieda licenza finanziaria, i nostri partner sono completamente autorizzati e conformi.
- **Allineato con la regolamentazione locale:** Ci adattiamo alle regole di ogni regione — come le norme del BACEN in Brasile o le leggi AML dell'Australia — attraverso i nostri partner e con i nostri controlli.
- **Registri pronti per l'audit:** Tutti i pagamenti e le azioni del sistema sono registrati con data e ora per essere pronti per l'audit.
- **Due Diligence del Cliente (CDD):** Eseguiamo la CDD su tutti i clienti per garantire la conformità con le normative locali.
- **Conformità GDPR:** Seguiamo i principi del GDPR, garantendo che la privacy dei dati e i diritti degli utenti siano rispettati.
- **Conformità specifica per il Brasile:** Siamo conformi alle normative brasiliane, inclusa la Legge Generale sulla Protezione dei Dati (LGPD) e le norme del BACEN per la gestione dei pagamenti.
- **Conformità specifica per l'Australia:** Siamo conformi alle normative australiane, inclusa la Legge contro il Riciclaggio di Denaro e il Finanziamento del Terrorismo (AML/CTF) e la Legge sulla Privacy. Le transazioni sono monitorate e segnalate ad AUSTRAC attraverso i nostri partner di pagamento.
- **Conformità con l'Autenticazione Forte del Cliente (SCA):** Siamo conformi ai requisiti della SCA, implementando 2FA e altre misure.
- **Supporto DSAR (Richiesta di Accesso ai Dati Personali):** Puoi richiedere l'accesso ai tuoi dati personali in qualsiasi momento, come previsto da GDPR e LGPD. Quando esportiamo i tuoi dati, i campi sensibili come i dettagli bancari vengono automaticamente protetti prima della consegna.
- **Basi giuridiche documentate per il trattamento:** Manteniamo una base giuridica chiara per ogni tipo di dato personale che trattiamo — sia per adempiere un contratto, con il tuo consenso, per obblighi legali o per legittimi interessi aziendali — come richiesto dal GDPR.

## Operazioni

- **Modello di responsabilità di sicurezza condivisa:** Condividiamo le responsabilità di sicurezza con te, i nostri fornitori e i nostri partner, garantendo un approccio completo alla sicurezza.
- **Pronto per il recupero da disastri:** Usiamo code, backup e replicazione per un recupero rapido. Se un tentativo viene ripetuto durante il recupero, il sistema rileva i duplicati e impedisce la doppia elaborazione — così nessuno viene addebitato due volte.
- **Failover automatizzato:** Se qualcosa fallisce, i sistemi passano ai backup senza interrompere il servizio per l'utente.
- **Code di messaggi affidabili:** Tutti i pagamenti e i processi vengono accodati e riprovati in sicurezza in caso di guasti.
- **Backup regolari:** Facciamo backup regolari di tutti i dati critici, garantendo di poter ripristinare rapidamente, se necessario.
- **Finestre di blocco dei rilasci:** Abbiamo finestre di blocco dei rilasci programmate per minimizzare il rischio durante periodi critici.
- **Tracciamento degli errori e avvisi:** Usiamo tracciamento degli errori e avvisi avanzati per rilevare problemi prima che colpiscano gli utenti.
- **Piano di risposta agli incidenti:** Sappiamo chi chiamare, cosa fare e come comunicare in caso di incidenti. Il nostro piano di risposta agli incidenti è pronto e testato.

## Trasparenza

- **Trasparenza con il cliente:** Non nascondiamo mai chi sono i nostri partner — crediamo che la trasparenza costruisca fiducia.
- **Comunicazione aperta:** Comunichiamo apertamente su incidenti, interruzioni e cambiamenti che colpiscono i clienti.
- **Pagina di stato pubblica:** La nostra pagina di stato mostra la salute del sistema in tempo reale, incidenti e aggiornamenti di manutenzione.
- **Prezzi chiari:** I nostri prezzi sono diretti, senza tasse nascoste o sorprese.
- **Esci quando vuoi:** Non ti leghiamo con contratti. Puoi uscire in qualsiasi momento, senza domande.
- **Documentazione di sicurezza disponibile su richiesta:** Hai bisogno di maggiori dettagli? Forniamo un documento completo di sicurezza e conformità ai clienti enterprise su richiesta. Contatta il nostro team commerciale.

## More on Qualy

**Settori di attività**

- [Per scuole](/it/scambio/per-scuole.md) — Per scuole con studenti internazionali
- [Per agenzie](/it/scambio/per-agenzie.md) — Per agenzie di scambio

**Supporto**

- [Stato del sistema](https://qualyhq.statuspage.io/) — Stato del sistema Qualy
- [Contatto](/it/contatto.md)

**Prodotto**

- [Demo](/it/demo.md)
- [Testimonianze](/it/testimonianze.md) — Vedi cosa dicono alcuni clienti su Qualy
- [Centro trasparenza](/it/centro-trasparenza.md)
- [API](/it/api.md) — API di Qualy per pagamenti per studi all'estero e agenzie di scambio

**Legale (in inglese)**

- [Termini generali](/terms-and-conditions.md) — Termini e condizioni
- [Termini per i pagatori](/terms-for-payers.md)