Veilig, conform en transparant van ontwerp.
We houden klantfondsen in afzonderlijke trustrekeningen. Uw geld wordt nooit vermengd met het onze of dat van andere klanten.
Betalingen stromen via gelicentieerde partners. Qualy faciliteert, maar houdt uw fondsen nooit vast of verplaatst ze direct.
We werken alleen met gereguleerde en gelicentieerde betalingsproviders in hun jurisdicties.
Zodra de fondsen zijn verrekend, boeken we ze over naar scholen of agenten. Geen onnodige vertragingen. Het risico en de impact in het geval van een schending worden geminimaliseerd.
Elke betaling heeft een volledig auditspoor. U kunt volgen wanneer het is betaald, verrekend en overgemaakt.
Kaartgegevens worden alleen verwerkt door PCI DSS-conforme providers.
We slaan nooit kaartgegevens op in onze systemen. Alle gevoelige gegevens worden door onze partners verwerkt.
We hebben systemen om terugboekingen en geschillen efficiënt af te handelen, waardoor de impact voor scholen en agenten wordt geminimaliseerd.
Waar mogelijk gebruiken we 3D Secure en andere maatregelen om ervoor te zorgen dat de aansprakelijkheid voor frauduleuze transacties wordt verschoven naar de kaartuitgever, waardoor onze klanten worden beschermd tegen eventuele verliezen.
We werken op de veilige infrastructuur van Google Cloud met de beste beschikbaarheid en beveiliging in zijn klasse.
Alle klantgegevens worden in rust versleuteld met sterke versleutelingsstandaarden.
We dwingen het gebruik van HTTPS af met HSTS en gebruiken TLS 1.2+ end-to-end voor veilige communicatie.
Onze buildsystemen volgen SLSA 3-standaarden en beschermen tegen vervalsing en aanvallen op de toeleveringsketen.
De gegevens van elke klant zijn geïsoleerd. Er is geen gegevenslek tussen scholen, agenten of gebruikers.
We gebruiken meerdere lagen firewalls om onze infrastructuur te beschermen.
Onze infrastructuur wordt 24/7 gemonitord op beschikbaarheid, anomalieën en potentiële bedreigingen.
We gebruiken bescherming op platformniveau om ons te verdedigen tegen DDoS en andere veel voorkomende aanvallen.
Onze systemen gebruiken ZSP, wat betekent dat niemand permanente toegang heeft tot productieomgevingen. Toegang wordt alleen verleend wanneer nodig en wordt geregistreerd.
We handhaven een "reject"-beleid in DMARC om de levering van vervalste e-mails te voorkomen.
DNSSEC is geactiveerd op onze hoofddomeinen, waardoor DNS-query's worden geverifieerd en bestand zijn tegen vervalsing.
De reputatie en levering van uitgaande e-mails worden continu gemonitord om problemen met ontbrekende facturen of betalingslinks te voorkomen.
We isoleren transactionele e-mails van marketing- of interne communicatie-e-mails om het reputatierisico te verminderen.
We hebben maatregelen om brute force-aanvallen op gebruikersaccounts te voorkomen, inclusief snelheidsbeperking en accountblokkering. Ons authenticatiesysteem wordt geleverd door Google.
Alle payloads worden gescand en gesaneerd om exploits zoals XSS, SQL-injectie en andere veelvoorkomende kwetsbaarheden te voorkomen.
Onze subdomeinen zijn direct met de browser geïsoleerd, waardoor het instellen van cookies van kwaadaardige subdomeinen wordt voorkomen en onze beveiliging tegen cookie-tossing-aanvallen wordt versterkt.
Ons domein wordt gevalideerd door grote beveiligingsproviders zoals Norton, McAfee en Google Safe Browsing om ervoor te zorgen dat we worden erkend als een betrouwbare site.
Teamleden zien alleen wat ze nodig hebben om hun werk te doen. Er wordt geen brede toegang verleend.
Alle teamleden die gevoelige systemen beheren, ondergaan een achtergrondcontrole.
Het hele team voltooit regelmatige beveiligings- en nalevingstrainingen.
2FA is verplicht voor alle interne systemen en beschikbaar voor alle gebruikers op het platform.
We volgen het principe van minste privilege, waarbij teamleden alleen toegang hebben tot wat ze nodig hebben.
Hoewel Qualy geen financiële licentie heeft, zijn onze partners volledig gelicentieerd en conform.
We passen ons aan de regels van elke regio — zoals de BACEN-normen in Brazilië of de AML-wetten van Australië — via onze partners en met onze eigen controles.
Alle betalingen en systeemacties worden met datum en tijd geregistreerd om audit-klaar te zijn.
We voeren CDD uit op alle klanten om naleving van lokale regelgeving te waarborgen.
We volgen de AVG-principes en waarborgen dat de privacy van gegevens en gebruikersrechten worden gerespecteerd.
We voldoen aan Braziliaanse regelgeving, inclusief de Algemene Wet Gegevensbescherming (LGPD) en BACEN-normen voor betalingsverwerking.
We voldoen aan Australische regelgeving, inclusief de Anti-Money Laundering and Counter-Terrorism Financing Act (AML/CTF) en de Privacy Act. Transacties worden gemonitord en gerapporteerd aan AUSTRAC via onze betalingspartners.
We voldoen aan de SCA-vereisten en implementeren 2FA en andere maatregelen.
We delen de beveiligingsverantwoordelijkheden met u, onze leveranciers en onze partners, wat een alomvattende benadering van beveiliging waarborgt.
We gebruiken wachtrijen, back-ups en replicatie om ervoor te zorgen dat het platform snel kan herstellen van problemen.
Als er iets fout gaat, schakelen systemen over naar back-ups zonder de service voor de gebruiker te onderbreken.
Alle betalingen en processen worden in de wachtrij geplaatst en veilig opnieuw geprobeerd bij storingen.
We maken regelmatig back-ups van alle kritieke gegevens, zodat we indien nodig snel kunnen herstellen.
We hebben geplande release freeze-vensters om het risico tijdens kritieke periodes te minimaliseren.
We gebruiken geavanceerde foutopsporing en waarschuwingen om problemen te detecteren voordat ze gebruikers beïnvloeden.
We weten wie we moeten bellen, wat we moeten doen en hoe we moeten communiceren in het geval van incidenten. Ons incident response plan is klaar en getest.
We verbergen nooit wie onze partners zijn — we geloven dat transparantie vertrouwen opbouwt.
We communiceren openlijk over incidenten, storingen en wijzigingen die klanten beïnvloeden.
Onze statuspagina toont de systeemgezondheid in realtime, incidenten en onderhoudsuppdates.
Onze prijzen zijn eenvoudig, zonder verborgen kosten of verrassingen.
We binden u niet met contracten. U kunt op elk moment vertrekken, zonder vragen.
Qualy is opgericht om te helpen bij het innen van betalingen voor uitwisselingsagentschappen. Het helpt hogescholen, scholen en uitwisselingsagentschappen van alle omvang.
