Veilig, conform en transparant van ontwerp.
We houden klantfondsen in afzonderlijke trustrekeningen. Uw geld wordt nooit vermengd met het onze of dat van andere klanten.
Betalingen stromen via gelicentieerde partners. Qualy faciliteert, maar houdt uw fondsen nooit vast of verplaatst ze direct.
We werken alleen met gereguleerde en gelicentieerde betalingsproviders in hun jurisdicties.
Zodra de fondsen zijn verrekend, boeken we ze over naar scholen of agenten. Geen onnodige vertragingen. Het risico en de impact in het geval van een schending worden geminimaliseerd.
Elke betaling heeft een volledig auditspoor. U kunt volgen wanneer het is betaald, verrekend en overgemaakt.
Kaartgegevens worden alleen verwerkt door PCI DSS-conforme providers.
We slaan nooit kaartgegevens op in onze systemen. Alle gevoelige gegevens worden door onze partners verwerkt.
Elke betaling is beschermd tegen onbedoelde duplicaten. Als een verzoek opnieuw wordt verzonden vanwege netwerkproblemen, detecteert het systeem dit automatisch en voorkomt dubbele afschrijvingen — zodat betalers en instellingen altijd beschermd zijn.
Betalingsmeldingen van gateways gaan via een beveiligd, geverifieerd kanaal voordat ze onze systemen bereiken. Dit voorkomt dat valse of gemanipuleerde betalingsgebeurtenissen ooit worden verwerkt.
We hebben systemen om terugboekingen en geschillen efficiënt af te handelen, waardoor de impact voor scholen en agenten wordt geminimaliseerd.
Waar mogelijk gebruiken we 3D Secure en andere maatregelen om ervoor te zorgen dat de aansprakelijkheid voor frauduleuze transacties wordt verschoven naar de kaartuitgever, waardoor onze klanten worden beschermd tegen eventuele verliezen.
We werken op de veilige infrastructuur van Google Cloud met de beste beschikbaarheid en beveiliging in zijn klasse.
Alle gegevens worden in rust versleuteld met AES-256-versleuteling. Bankgegevens krijgen een extra laag van veldniveau-versleuteling met unieke sleutels per klant — zodat zelfs directe toegang tot de database geen gevoelige financiële details onthult.
We dwingen het gebruik van HTTPS af met HSTS en gebruiken TLS 1.2+ end-to-end voor veilige communicatie.
Onze buildsystemen volgen SLSA 3-standaarden en beschermen tegen vervalsing en aanvallen op de toeleveringsketen.
Elke klant krijgt een eigen dedicated database — niet alleen rijfiltering, maar volledige fysieke scheiding. Er is geen gedeelde gegevenslaag tussen klanten.
We gebruiken meerdere lagen firewalls om onze infrastructuur te beschermen.
Onze infrastructuur wordt continu gemonitord met gedistribueerde tracing, foutrapportage en gestructureerde logging. Elk verzoek kan end-to-end worden getraceerd, wat ons volledig zicht geeft om problemen snel op te sporen en op te lossen.
We gebruiken Cloudflare voor DDoS-mitigatie, verkeersfiltering en geavanceerde beschermingen. Alle verbindingen worden via Cloudflare geverifieerd om spoofing te voorkomen en ervoor te zorgen dat alleen legitiem verkeer onze systemen bereikt.
Onze systemen gebruiken ZSP, wat betekent dat niemand permanente toegang heeft tot productieomgevingen. Toegang wordt alleen verleend wanneer nodig en wordt geregistreerd.
We handhaven een "reject"-beleid in DMARC om de levering van vervalste e-mails te voorkomen.
DNSSEC is geactiveerd op onze hoofddomeinen, waardoor DNS-query's worden geverifieerd en bestand zijn tegen vervalsing.
De reputatie en levering van uitgaande e-mails worden continu gemonitord om problemen met ontbrekende facturen of betalingslinks te voorkomen.
We isoleren transactionele e-mails van marketing- of interne communicatie-e-mails om het reputatierisico te verminderen.
Drie onafhankelijke lagen beschermen tegen brute force-aanvallen en misbruik — snelheidsbeperking op alle eindpunten, slimme inlogblokkering die automatisch escaleert, en accountvergrendeling aangedreven door Firebase. Herhaalde pogingen activeren steeds langere blokkeringen.
Alle payloads worden gescand en gesaneerd om exploits zoals XSS, NoSQL-injectie en andere veelvoorkomende kwetsbaarheden te voorkomen.
Onze subdomeinen zijn direct met de browser geïsoleerd, waardoor het instellen van cookies van kwaadaardige subdomeinen wordt voorkomen en onze beveiliging tegen cookie-tossing-aanvallen wordt versterkt.
Ons domein wordt gevalideerd door grote beveiligingsproviders zoals Norton, McAfee en Google Safe Browsing om ervoor te zorgen dat we worden erkend als een betrouwbare site.
De gevoelige gegevens van elke klant worden versleuteld met een eigen unieke sleutel. Zelfs in het onwaarschijnlijke geval van een inbreuk kunnen de gegevens van de ene klant niet worden gebruikt om toegang te krijgen tot die van een andere.
Bankrekeningnummers, routeringsnummers, IBAN, SWIFT en andere bankgegevens worden elk afzonderlijk versleuteld — niet alleen op databaseniveau, maar veld voor veld. Zelfs onze eigen databasebeheerders kunnen deze waarden niet in platte tekst lezen.
Onze logs worden automatisch geschoond van gevoelige gegevens — wachtwoorden, tokens, bankrekeningnummers, identiteitsdocumenten en kaartgegevens worden verwijderd voordat iets wordt opgeslagen. Uw gevoelige informatie verschijnt nooit in systeemlogboeken.
We gebruiken Cloudflare Turnstile om inlogpagina's en openbare formulieren te beschermen tegen bots en geautomatiseerde aanvallen — zonder dat echte gebruikers vervelende CAPTCHA's hoeven op te lossen.
Onze systemen zijn beveiligd tegen server-side request forgery (SSRF). Uitgaande verzoeken naar interne netwerken, cloudinfrastructuur en privéadressen worden automatisch geblokkeerd.
De toegestane webdomeinen van elke klant worden individueel geverifieerd. We staan nooit brede toegang toe — alleen uw geregistreerde domeinen kunnen communiceren met uw gegevens.
Het wijzigen van bankgegevens of beveiligingsinstellingen vereist een nieuwe login. Als er te veel tijd is verstreken sinds uw laatste aanmelding, moet u zich opnieuw authenticeren — wat een extra beschermingslaag toevoegt voor uw gevoeligste acties.
Ons platform voert verplichte beveiligingscontroles uit bij elke opstart. Als er iets essentieels verkeerd is geconfigureerd — versleuteling, authenticatie of botbescherming — weigert het systeem te starten. Een onveilige versie kan nooit productie bereiken.
Elk verzoek wordt end-to-end getraceerd over al onze diensten. Als er iets fout gaat, kunnen we precies bepalen waar en wanneer — waardoor debugging sneller en beveiligingsonderzoeken grondiger worden.
We gebruiken meer dan 940 unieke foutcodes zodat u en ons supportteam altijd duidelijke, bruikbare berichten krijgen wanneer er iets misgaat — terwijl interne systeemdetails verborgen blijven.
Teamleden zien alleen wat ze nodig hebben om hun werk te doen. Er wordt geen brede toegang verleend.
Alle teamleden die gevoelige systemen beheren, ondergaan een achtergrondcontrole.
Het hele team voltooit regelmatige beveiligings- en nalevingstrainingen.
2FA is verplicht voor alle interne systemen en beschikbaar voor alle gebruikers op het platform.
We volgen het principe van minste privilege, waarbij teamleden alleen toegang hebben tot wat ze nodig hebben.
Wanneer supportmedewerkers toegang nodig hebben tot een klantaccount, zijn sessies tijdgebonden, individueel gecontroleerd en beperkt tot een specifieke set machtigingen. Administratieve en destructieve acties zijn permanent geblokkeerd. Elke sessie vereist een gedocumenteerde reden.
Hoewel Qualy geen financiële licentie heeft, zijn onze partners volledig gelicentieerd en conform.
We passen ons aan de regels van elke regio — zoals de BACEN-normen in Brazilië of de AML-wetten van Australië — via onze partners en met onze eigen controles.
Alle betalingen en systeemacties worden met datum en tijd geregistreerd om audit-klaar te zijn.
We voeren CDD uit op alle klanten om naleving van lokale regelgeving te waarborgen.
We volgen de AVG-principes en waarborgen dat de privacy van gegevens en gebruikersrechten worden gerespecteerd.
We voldoen aan Braziliaanse regelgeving, inclusief de Algemene Wet Gegevensbescherming (LGPD) en BACEN-normen voor betalingsverwerking.
We voldoen aan Australische regelgeving, inclusief de Anti-Money Laundering and Counter-Terrorism Financing Act (AML/CTF) en de Privacy Act. Transacties worden gemonitord en gerapporteerd aan AUSTRAC via onze betalingspartners.
We voldoen aan de SCA-vereisten en implementeren 2FA en andere maatregelen.
U kunt op elk moment toegang tot uw persoonsgegevens aanvragen, zoals vereist door de AVG en LGPD. Wanneer we uw gegevens exporteren, worden gevoelige velden zoals bankgegevens automatisch beschermd voor levering.
We hanteren een duidelijke rechtsgrondslag voor elk type persoonsgegevens dat we verwerken — of het nu gaat om het uitvoeren van een contract, met uw toestemming, voor wettelijke verplichtingen of voor gerechtvaardigde bedrijfsdoeleinden — zoals vereist door de AVG.
We delen de beveiligingsverantwoordelijkheden met u, onze leveranciers en onze partners, wat een alomvattende benadering van beveiliging waarborgt.
We gebruiken wachtrijen, back-ups en replicatie voor snel herstel. Als er een herpoging plaatsvindt tijdens herstel, detecteert het systeem duplicaten en voorkomt dubbele verwerking — zodat niemand twee keer wordt belast.
Als er iets fout gaat, schakelen systemen over naar back-ups zonder de service voor de gebruiker te onderbreken.
Alle betalingen en processen worden in de wachtrij geplaatst en veilig opnieuw geprobeerd bij storingen.
We maken regelmatig back-ups van alle kritieke gegevens, zodat we indien nodig snel kunnen herstellen.
We hebben geplande release freeze-vensters om het risico tijdens kritieke periodes te minimaliseren.
We gebruiken geavanceerde foutopsporing en waarschuwingen om problemen te detecteren voordat ze gebruikers beïnvloeden.
We weten wie we moeten bellen, wat we moeten doen en hoe we moeten communiceren in het geval van incidenten. Ons incident response plan is klaar en getest.
We verbergen nooit wie onze partners zijn — we geloven dat transparantie vertrouwen opbouwt.
We communiceren openlijk over incidenten, storingen en wijzigingen die klanten beïnvloeden.
Onze statuspagina toont de systeemgezondheid in realtime, incidenten en onderhoudsuppdates.
Onze prijzen zijn eenvoudig, zonder verborgen kosten of verrassingen.
We binden u niet met contracten. U kunt op elk moment vertrekken, zonder vragen.
Meer details nodig? We bieden een uitgebreid beveiligings- en nalevingsdocument aan zakelijke klanten op aanvraag. Neem contact op met ons verkoopteam.
Qualy is opgericht om te helpen bij het innen van betalingen voor uitwisselingsagentschappen. Het helpt hogescholen, scholen en uitwisselingsagentschappen van alle omvang.
