Bezpieczne, zgodne i przejrzyste z założenia.
Utrzymujemy środki klientów na oddzielnych rachunkach powierniczych. Twoje pieniądze nigdy nie mieszają się z naszymi ani z pieniędzmi innych klientów.
Płatności przepływają przez licencjonowanych partnerów. Qualy ułatwia, ale nigdy nie zatrzymuje ani nie przenosi Twoich środków bezpośrednio.
Pracujemy tylko z dostawcami płatności regulowanymi i licencjonowanymi w ich jurysdykcjach.
Gdy tylko środki zostaną rozliczone, przekazujemy je do szkół lub agentów. Bez zbędnych opóźnień. Minimalizując ryzyko i wpływ w przypadku naruszenia.
Każda płatność posiada pełną ścieżkę audytu. Możesz śledzić, kiedy została zapłacona, rozliczona i przekazana.
Dane kart są obsługiwane tylko przez dostawców zgodnych z PCI DSS.
Nigdy nie przechowujemy danych kart w naszych systemach. Wszystkie dane wrażliwe są obsługiwane przez naszych partnerów.
Każda płatność jest chroniona przed przypadkowymi duplikatami. Jeśli żądanie jest ponawiane z powodu problemów z siecią, system automatycznie je wykrywa i zapobiega podwójnemu obciążeniu — dzięki czemu płatnicy i instytucje są zawsze chronieni.
Powiadomienia o płatnościach od bramek płatniczych przechodzą przez bezpieczny, zweryfikowany kanał, zanim dotrą do naszych systemów. Zapobiega to przetwarzaniu fałszywych lub sfałszowanych zdarzeń płatniczych.
Mamy systemy do obsługi obciążeń zwrotnych i sporów w sposób wydajny, minimalizując wpływ na szkoły i agentów.
Zawsze, gdy to możliwe, używamy 3D Secure i innych środków, aby zapewnić, że odpowiedzialność za transakcje oszukańcze zostanie przeniesiona na wydawcę karty, chroniąc naszych klientów przed potencjalnymi stratami.
Działamy na bezpiecznej infrastrukturze Google Cloud z najlepszą dostępnością i bezpieczeństwem w swojej klasie.
Wszystkie dane są szyfrowane w spoczynku przy użyciu szyfrowania AES-256. Dane bankowe otrzymują dodatkową warstwę szyfrowania na poziomie pól z unikalnymi kluczami dla każdego klienta — dzięki czemu nawet bezpośredni dostęp do bazy danych nie ujawniłby wrażliwych danych finansowych.
Wymuszamy użycie HTTPS z HSTS i używamy TLS 1.2+ od końca do końca dla bezpiecznej komunikacji.
Nasze systemy budowania są zgodne ze standardami SLSA 3, chroniąc przed manipulacją i atakami na łańcuch dostaw.
Każdy klient otrzymuje własną, dedykowaną bazę danych — nie tylko filtrowanie na poziomie wierszy, ale pełną fizyczną separację. Nie ma współdzielonej warstwy danych między klientami.
Używamy wielu warstw firewalli, aby chronić naszą infrastrukturę.
Nasza infrastruktura jest monitorowana przez całą dobę za pomocą rozproszonego śledzenia, raportowania błędów i ustrukturyzowanego logowania. Każde żądanie można prześledzić od początku do końca, co daje nam pełną widoczność pozwalającą szybko wykrywać i rozwiązywać problemy.
Używamy Cloudflare do ochrony przed DDoS, filtrowania ruchu i zaawansowanych zabezpieczeń. Wszystkie połączenia są weryfikowane przez Cloudflare, aby zapobiec podszywaniu się i zapewnić, że tylko prawidłowy ruch dociera do naszych systemów.
Nasze systemy używają ZSP, co oznacza, że nikt nie ma stałego dostępu do środowisk produkcyjnych. Dostęp jest przyznawany tylko w razie potrzeby i jest rejestrowany.
Stosujemy politykę "odrzuć" (reject) w DMARC, aby zapobiec dostarczaniu sfałszowanych e-maili.
DNSSEC jest włączony na naszych głównych domenach, zapewniając, że zapytania DNS są weryfikowane i odporne na manipulacje.
Reputacja i dostarczanie e-maili wychodzących są stale monitorowane, aby uniknąć problemów z brakującymi fakturami lub linkami do płatności.
Izolujemy e-maile transakcyjne od marketingowych lub komunikacji wewnętrznej, aby zmniejszyć ryzyko reputacyjne.
Trzy niezależne warstwy chronią przed atakami brute force i nadużyciami — ograniczanie szybkości na wszystkich endpointach, inteligentne blokowanie logowania z automatyczną eskalacją oraz blokada na poziomie konta obsługiwana przez Firebase. Powtarzające się próby powodują coraz dłuższe blokady.
Wszystkie payloady są walidowane i oczyszczane, aby zapobiec exploitom takim jak XSS, NoSQL injection i innym powszechnym lukom.
Nasze subdomeny są izolowane bezpośrednio w przeglądarce, zapobiegając ustawianiu plików cookie przez złośliwe subdomeny i wzmacniając nasze bezpieczeństwo przed atakami cookie-tossing.
Nasza domena jest walidowana przez dużych dostawców bezpieczeństwa, takich jak Norton, McAfee i Google Safe Browsing, aby zapewnić, że jesteśmy rozpoznawani jako zaufana witryna.
Wrażliwe dane każdego klienta są szyfrowane własnym, unikalnym kluczem. Nawet w mało prawdopodobnym przypadku naruszenia, dane jednego klienta nie mogą zostać użyte do uzyskania dostępu do danych innego.
Numery kont bankowych, numery rozliczeniowe, IBAN, SWIFT i inne dane bankowe są indywidualnie szyfrowane — nie tylko na poziomie bazy danych, ale pole po polu. Nawet nasi administratorzy baz danych nie mogą odczytać tych wartości w postaci jawnej.
Nasze logi są automatycznie oczyszczane z danych wrażliwych — hasła, tokeny, numery kont bankowych, numery identyfikacyjne i dane kart są usuwane przed zapisaniem. Twoje wrażliwe informacje nigdy nie pojawiają się w logach systemowych.
Używamy Cloudflare Turnstile do ochrony stron logowania i publicznych formularzy przed botami i zautomatyzowanymi atakami — bez zmuszania prawdziwych użytkowników do rozwiązywania irytujących CAPTCHA.
Nasze systemy są zabezpieczone przed atakami SSRF (Server-Side Request Forgery). Żądania wychodzące do sieci wewnętrznych, infrastruktury chmurowej i adresów prywatnych są automatycznie blokowane.
Dozwolone domeny internetowe każdego klienta są indywidualnie weryfikowane. Nigdy nie zezwalamy na dostęp ogólny — tylko Twoje zarejestrowane domeny mogą komunikować się z Twoimi danymi.
Zmiana danych konta bankowego lub ustawień bezpieczeństwa wymaga świeżego logowania. Jeśli od ostatniego logowania minęło zbyt dużo czasu, konieczne będzie ponowne uwierzytelnienie — co stanowi dodatkową warstwę ochrony dla najważniejszych operacji.
Nasza platforma przeprowadza obowiązkowe kontrole bezpieczeństwa przy każdym uruchomieniu. Jeśli cokolwiek krytycznego jest źle skonfigurowane — szyfrowanie, uwierzytelnianie lub ochrona przed botami — system odmawia uruchomienia. Niebezpieczna wersja nigdy nie trafi na produkcję.
Każde żądanie jest śledzone od początku do końca we wszystkich naszych usługach. Jeśli coś pójdzie nie tak, możemy dokładnie wskazać gdzie i kiedy — co przyspiesza debugowanie i czyni dochodzenia bezpieczeństwa bardziej dokładnymi.
Używamy ponad 940 unikalnych kodów błędów, dzięki czemu Ty i nasz zespół wsparcia zawsze otrzymujecie jasne, konkretne komunikaty, gdy coś pójdzie nie tak — podczas gdy wewnętrzne szczegóły systemu pozostają ukryte.
Członkowie naszego zespołu widzą tylko to, czego potrzebują do wykonywania swojej pracy. Nie przyznaje się szerokiego dostępu.
Wszyscy członkowie zespołu obsługujący systemy wrażliwe przechodzą weryfikację przeszłości.
Cały zespół regularnie odbywa sesje szkoleniowe z zakresu bezpieczeństwa i zgodności.
2FA jest obowiązkowe dla wszystkich systemów wewnętrznych i dostępne dla wszystkich użytkowników na platformie.
Przestrzegamy zasady najmniejszych przywilejów, zapewniając, że członkowie zespołu mają dostęp tylko do tego, czego potrzebują.
Gdy agenci wsparcia potrzebują dostępu do konta klienta, sesje są ograniczone czasowo, indywidualnie audytowane i ograniczone do określonego zestawu uprawnień. Działania administracyjne i destrukcyjne są trwale zablokowane. Każda sesja wymaga udokumentowanego powodu.
Chociaż Qualy nie posiada licencji finansowej, nasi partnerzy są w pełni licencjonowani i zgodni.
Dostosowujemy się do zasad każdego regionu — takich jak normy BACEN w Brazylii lub przepisy AML w Australii — poprzez naszych partnerów i własne kontrole.
Wszystkie płatności i działania systemowe są rejestrowane z datą i godziną, aby były gotowe do audytu.
Przeprowadzamy CDD na wszystkich klientach, aby zapewnić zgodność z lokalnymi regulacjami.
Przestrzegamy zasad RODO, zapewniając poszanowanie prywatności danych i praw użytkowników.
Jesteśmy zgodni z brazylijskimi regulacjami, w tym z Ogólną Ustawą o Ochronie Danych (LGPD) i normami BACEN dotyczącymi obsługi płatności.
Jesteśmy zgodni z australijskimi regulacjami, w tym z Ustawą o Przeciwdziałaniu Praniu Pieniędzy i Finansowaniu Terroryzmu (AML/CTF) oraz Ustawą o Prywatności. Transakcje są monitorowane i zgłaszane do AUSTRAC za pośrednictwem naszych partnerów płatniczych.
Jesteśmy zgodni z wymogami SCA, wdrażając 2FA i inne środki.
Możesz zażądać dostępu do swoich danych osobowych w dowolnym momencie, zgodnie z wymogami RODO i LGPD. Podczas eksportu Twoich danych wrażliwe pola, takie jak dane bankowe, są automatycznie chronione przed dostarczeniem.
Utrzymujemy jasną podstawę prawną dla każdego rodzaju przetwarzanych danych osobowych — niezależnie od tego, czy chodzi o realizację umowy, Twoją zgodę, obowiązki prawne czy uzasadnione cele biznesowe — zgodnie z wymogami RODO.
Dzielimy się odpowiedzialnością za bezpieczeństwo z Tobą, naszymi dostawcami i partnerami, zapewniając kompleksowe podejście do bezpieczeństwa.
Używamy kolejek, kopii zapasowych i replikacji do szybkiego odzyskiwania. Jeśli podczas odzyskiwania nastąpi ponowna próba, system wykrywa duplikaty i zapobiega podwójnemu przetwarzaniu — dzięki czemu nikt nie zostanie obciążony dwukrotnie.
Jeśli coś zawiedzie, systemy przełączają się na kopie zapasowe bez przerywania usługi dla użytkownika.
Wszystkie płatności i procesy są kolejkowane i bezpiecznie ponawiane w przypadku awarii.
Robimy regularne kopie zapasowe wszystkich krytycznych danych, zapewniając, że możemy szybko przywrócić dane, jeśli to konieczne.
Mamy zaplanowane okna zamrożenia wydań, aby zminimalizować ryzyko w okresach krytycznych.
Używamy zaawansowanego śledzenia błędów i alertów, aby wykrywać problemy, zanim wpłyną na użytkowników.
Wiemy, do kogo dzwonić, co robić i jak się komunikować w przypadku incydentów. Nasz plan reagowania na incydenty jest gotowy i przetestowany.
Nigdy nie ukrywamy, kim są nasi partnerzy — wierzymy, że przejrzystość buduje zaufanie.
Otwarcie komunikujemy się o incydentach, przerwach i zmianach wpływających na klientów.
Nasza strona statusu pokazuje stan systemu w czasie rzeczywistym, incydenty i aktualizacje konserwacyjne.
Nasze ceny są proste, bez ukrytych opłat czy niespodzianek.
Nie wiążemy Cię umowami. Możesz odejść w dowolnym momencie, bez pytań.
Potrzebujesz więcej szczegółów? Udostępniamy kompleksowy dokument dotyczący bezpieczeństwa i zgodności dla klientów korporacyjnych na żądanie. Skontaktuj się z naszym zespołem sprzedaży.
Qualy zostało stworzone, aby pomóc w pobieraniu płatności dla agencji wymiany. Pomaga uczelniom, szkołom i agencjom wymiany każdej wielkości.
