초기 설계 단계부터 보안, 투명성, 그리고 글로벌 규정 준수를 최우선으로 고려합니다.
모든 고객 자금은 별도의 법적 신탁 계좌(Escrow)에 안전하게 보관됩니다. 고객 자금은 Qualy의 운영 자금이나 다른 고객의 자금과 엄격히 분리되어 관리됩니다.
모든 자금 흐름은 라이선스를 보유한 금융 파트너사를 통해 직접 처리됩니다. Qualy는 결제 프로세스를 고도화할 뿐, 귀사의 소중한 자금을 직접 보유하거나 임의로 이동시키지 않습니다.
각 국가별 관할권에서 정식 금융 라이선스를 보유하고 규제 기관의 감독을 받는 글로벌 결제 서비스 제공업체(PSP)와만 협력합니다.
자금이 정산되는 즉시 사전에 정의된 규칙에 따라 학교와 에이전트에게 지급됩니다. 불필요한 지연을 제거하여 자금 순환 속도를 높이고 리스크를 예방합니다.
모든 결제 데이터에는 상세한 감사 추적 정보가 포함됩니다. 수납부터 정산, 지급까지의 전 과정을 실시간 대시보드에서 투명하게 모니터링할 수 있습니다.
모든 카드 결제 데이터는 가장 엄격한 카드 보안 표준인 PCI DSS를 준수하는 신뢰할 수 있는 파트너사를 통해서만 처리됩니다.
Qualy 시스템 내부에는 카드 번호와 같은 민감한 결제 정보를 절대 저장하지 않습니다. 모든 민감 데이터는 보안이 입증된 금융 파트너사 서버에서 안전하게 관리됩니다.
모든 결제는 우발적인 중복 청구로부터 보호됩니다. 네트워크 문제로 인해 요청이 재시도되더라도 시스템이 자동으로 감지하여 이중 청구를 방지합니다. 결제자와 교육 기관 모두 안전하게 보호됩니다.
결제 게이트웨이의 알림은 당사 시스템에 도달하기 전에 안전하고 검증된 채널을 통해 처리됩니다. 위조되거나 변조된 결제 이벤트가 처리되는 것을 원천적으로 차단합니다.
부당한 차지백 및 결제 분쟁을 효율적으로 처리하기 위한 대응 프로세스를 갖추고 있어, 학교와 에이전트의 운영 리스크를 최소화합니다.
3D Secure 등 최신 보안 인증을 우선적으로 적용하여, 잠재적인 부정 거래에 대한 책임을 발급사로 전환함으로써 고객사의 비즈니스를 보호합니다.
세계 최고 수준의 가용성과 보안 안정성을 자랑하는 Google Cloud 엔터프라이즈 환경에서 모든 서비스가 안정적으로 운영됩니다.
모든 데이터는 AES-256 암호화를 사용하여 안전하게 보호됩니다. 금융 데이터에는 고객별 고유 키를 사용한 필드 수준 암호화가 추가로 적용되어, 데이터베이스에 직접 접근하더라도 민감한 금융 정보를 확인할 수 없습니다.
모든 통신 구간에 HTTPS 및 HSTS를 강제 적용하며, 최신 TLS 1.2 이상의 암호화 프로토콜을 사용하여 데이터 유출을 원천 차단합니다.
소프트웨어 공급망 공격으로부터 시스템을 보호하기 위해 엄격한 빌드 보안 표준인 SLSA 레벨 3를 준수하는 개발 프로세스를 운영합니다.
각 고객사에는 전용 데이터베이스가 제공됩니다. 단순한 행 수준 필터링이 아닌 완전한 물리적 분리를 제공합니다. 테넌트 간 공유되는 데이터 레이어는 존재하지 않습니다.
외부의 비정상적인 접근을 차단하고 인프라 내부 침입을 방지하기 위해 정교하게 설계된 다중 계층 네트워크 방화벽을 운용합니다.
분산 추적, 오류 보고, 구조화된 로깅을 통해 인프라를 24시간 연중무휴로 모니터링합니다. 모든 요청은 엔드투엔드로 추적할 수 있어, 문제를 신속하게 감지하고 해결할 수 있는 완전한 가시성을 제공합니다.
Cloudflare를 활용하여 DDoS 완화, 트래픽 필터링 및 고급 보호 기능을 제공합니다. 모든 연결은 Cloudflare를 통해 검증되어 스푸핑을 방지하고 정상적인 트래픽만 당사 시스템에 도달하도록 보장합니다.
프로덕션 환경에 대한 상시 접근 권한을 누구에게도 부여하지 않습니다. 관리 권한이 필요한 경우에만 엄격한 승인 후 최소 시간 동안 권한을 부여하며, 모든 활동은 로그로 기록됩니다.
Qualy를 사칭한 스푸핑 이메일로부터 파트너를 보호하기 위해 가장 강력한 이메일 인증 정책인 DMARC 'reject' 정책을 시행합니다.
주요 서비스 도메인에 DNSSEC을 적용하여 DNS 응답의 무결성을 보장하고 파밍 등의 공격으로부터 사용자를 보호합니다.
중요 결제 알람이나 영수증이 누락되지 않도록 이메일 발송 서버의 신뢰도(Reputation)를 지속적으로 관리하고 모니터링합니다.
결제 관련 중요 시스템 메일을 마케팅성 메일과 물리적으로 분리된 전용 인프라를 통해 발송하여 도달률과 보안성을 동시에 확보합니다.
3개의 독립적인 보호 계층이 무차별 대입 공격과 악용을 방지합니다. 모든 엔드포인트에 대한 속도 제한, 자동 에스컬레이션되는 스마트 로그인 차단, Firebase 기반의 계정 수준 잠금이 적용됩니다. 반복적인 시도 시 차단 시간이 점진적으로 증가합니다.
XSS(교차 사이트 스크립팅), NoSQL 인젝션 등 웹 취약점 공격으로부터 플랫폼을 보호하기 위해 모든 유입 데이터에 대한 정밀 스캔 및 정제(Sanitization)를 실시합니다.
브라우저 보안 정책을 강화하여 서브도메인 간의 쿠키 공유 및 악성 스크립트 전이를 차단함으로써 높은 수준의 프라이버시를 유지합니다.
Google Safe Browsing, Norton, McAfee 등 글로벌 공인 보안 벤더로부터 안전하고 신뢰할 수 있는 플랫폼으로 정기적인 검증을 받고 있습니다.
각 고객의 민감한 데이터는 고유한 전용 키로 암호화됩니다. 만약의 침해 상황에서도 한 고객의 데이터로 다른 고객의 데이터에 접근하는 것은 불가능합니다.
은행 계좌번호, 라우팅 번호, IBAN, SWIFT 등 금융 정보는 데이터베이스 수준이 아닌 필드 단위로 개별 암호화됩니다. 당사의 데이터베이스 관리자조차도 평문으로 이러한 값을 확인할 수 없습니다.
로그에서 민감한 데이터가 자동으로 제거됩니다. 비밀번호, 토큰, 은행 계좌번호, 정부 발급 신분증, 카드 정보는 저장 전에 삭제됩니다. 귀하의 민감한 정보는 시스템 로그에 절대 나타나지 않습니다.
Cloudflare Turnstile을 사용하여 로그인 페이지와 공개 양식을 봇 및 자동화된 공격으로부터 보호합니다. 실제 사용자에게 번거로운 CAPTCHA를 요구하지 않습니다.
서버 측 요청 위조(SSRF)에 대한 방어 체계를 갖추고 있습니다. 내부 네트워크, 클라우드 인프라, 사설 주소로의 아웃바운드 요청은 자동으로 차단됩니다.
각 고객의 허용 웹 도메인은 개별적으로 검증됩니다. 일괄 접근은 허용하지 않으며, 등록된 도메인만 고객 데이터와 통신할 수 있습니다.
은행 계좌 정보 변경이나 보안 설정 변경 시 최근 로그인이 필요합니다. 마지막 로그인 이후 일정 시간이 경과한 경우 재인증이 요구되어, 가장 민감한 작업에 대한 추가 보호 계층을 제공합니다.
플랫폼은 시작할 때마다 필수 보안 점검을 수행합니다. 암호화, 인증 또는 봇 방어 설정에 문제가 있으면 시스템은 구동을 거부합니다. 안전하지 않은 버전은 프로덕션에 도달할 수 없습니다.
모든 요청은 전체 서비스에 걸쳐 엔드투엔드로 추적됩니다. 문제 발생 시 정확한 위치와 시점을 특정할 수 있어 디버깅이 빠르고 보안 조사가 더욱 철저해집니다.
940개 이상의 고유 오류 코드를 사용하여 문제 발생 시 항상 명확하고 실행 가능한 메시지를 제공합니다. 내부 시스템 세부 정보는 안전하게 보호됩니다.
Qualy의 운영팀은 각자의 담당 업무 수행에 반드시 필요한 최소한의 데이터에만 접근할 수 있도록 권한이 세분화되어 관리됩니다.
고객 데이터 및 민감한 시스템에 접근하는 모든 임직원은 엄격한 신원 확인 및 배경 조사 과정을 거쳐 채용됩니다.
모든 구성원은 최신 보안 위협 트랜드와 개인정보 보호 규정 준수를 위한 정기적인 보안 교육 프로세스를 이수합니다.
Qualy의 모든 내부 운영 시스템 접근에는 2단계 인증(2FA)이 의무적으로 적용되며, 고객용 파트너 포털 사용자에게도 해당 기능을 제공합니다.
조직 내 모든 권한 할당 시 '최소 권한 부여 원칙'을 철저히 적용하여 권한 오남용 및 유출 사고를 사전에 예방합니다.
지원 담당자가 고객 계정에 접근할 때 세션은 시간이 제한되며, 개별적으로 감사 추적되고, 특정 권한 세트로 제한됩니다. 관리 및 파괴적 작업은 영구적으로 차단됩니다. 모든 세션에는 문서화된 사유가 필요합니다.
Qualy는 자체 금융 라이선스를 직접 보유하기보다, 각 국가별로 최적의 규제 승인을 받은 최고 수준의 금융 기관들과 기술적으로 연동하여 서비스를 제공합니다.
브라질 중앙은행(BACEN) 규정, 호주 금융 정보 분석 센터(AUSTRAC) 신고 요건 등 서비스 국가별 금융 관련 법규를 완벽하게 준수합니다.
시스템 상의 모든 주요 작업과 결제 이벤트는 수정 불가능한 형태의 타임스탬프와 함께 기록되어 보존되며, 필요 시 즉시 감사가 가능합니다.
금융 범죄 예방을 위해 글로벌 표준의 고객 실사(CDD) 프로세스를 운영하며, 모든 기업 파트너에 대한 정밀한 검증을 실시합니다.
유럽의 GDPR 및 각 국가별 개인정보 보호법을 준수하여 사용자의 데이터 주권을 존중하고 안전하게 관리합니다.
호주 자금세탁 방지법(AML/CTF) 및 Privacy Act를 철저히 준수합니다. 파트너사를 통해 모든 고액 거래 및 의심 거래 정보가 규제 당국에 적절히 보고됩니다.
최신 보안 표준인 SCA 요구 사항을 충족하기 위해 다중 인증 및 기기 인증 기술을 고도화하여 결제 안정성을 확보합니다.
GDPR 및 LGPD에 따라 언제든지 개인 데이터에 대한 접근을 요청할 수 있습니다. 데이터 내보내기 시 금융 정보와 같은 민감한 필드는 전달 전 자동으로 보호 처리됩니다.
당사가 처리하는 모든 유형의 개인 데이터에 대해 명확한 법적 근거를 유지합니다. 계약 이행, 동의, 법적 의무, 정당한 비즈니스 목적 등 GDPR이 요구하는 모든 처리 근거가 문서화되어 있습니다.
고객사, 금융 파트너, 그리고 Qualy가 함께 보안 책임을 공유하고 유기적으로 협력을 통해 비즈니스 전체의 보안 가이드를 구축합니다.
큐, 백업, 복제를 활용하여 신속한 복구를 지원합니다. 복구 중 재시도가 발생하면 시스템이 중복을 감지하여 이중 처리를 방지합니다. 누구에게도 이중 청구가 발생하지 않습니다.
특정 리전이나 서버 그룹에 코어 장애 발생 시, 실시간으로 예비 시스템으로 업무를 전환하여 사용자가 영향을 받지 않도록 설계되었습니다.
대량의 결제 요청을 순차적으로 안전하게 처리하고, 일시적인 오류 발생 시에도 데이터 유실 없이 자동 재시도를 수행하여 결제 무결성을 보장합니다.
모든 핵심 데이터에 대해 다중 경로 백업을 실시하며, 주기적인 복구 시뮬레이션을 통해 백업 데이터의 유효성을 지속적으로 점검합니다.
학기 결제 집중 기간 등 비즈니스 중요 시기에는 장애 리스크 차단을 위해 시스템 업데이트를 지양하는 정기 중지 기간을 엄격히 운영합니다.
고도화된 APM(애플리케이션 성능 관리) 도구를 통해 사용자 체감 전에 잠재적 오류를 먼저 발견하고 대응팀에 즉시 전파합니다.
보안 사고 발생 시나리오별로 수립된 단계별 대응 매뉴얼(IRP)과 소통 프로세스를 정기적으로 훈련하여 대응 역량을 극대화하고 있습니다.
Qualy가 협력하는 주요 금융 및 기술 파트너를 외부에 투명하게 공개합니다. 파트너에 대한 자부심이 곧 브랜드의 신뢰도라 믿기 때문입니다.
서비스 변경 사항이나 중요 안내에 대해 고객사와 신속하고 투명하게 소통하며, 정직한 피드백 수용을 통해 서비스를 개선합니다.
별도의 상태 페이지를 통해 모든 서비스의 현재 가동 상태, 과거 장애 이력 및 예정된 점검 일정을 실시간으로 공유합니다.
복잡한 할인 정책이나 숨겨진 비용 없이, 누구나 이해할 수 있는 명확한 요금 정보를 원칙으로 합니다.
무리한 장기 약정으로 고객사와의 관계를 유지하지 않습니다. 최상의 서비스 품질로 고객사의 자발적인 신뢰를 얻는 것이 Qualy의 목표입니다.
더 자세한 내용이 필요하신가요? 엔터프라이즈 고객에게는 요청 시 종합적인 보안 및 규정 준수 문서를 제공합니다. 영업팀에 문의해 주세요.
