--- title: "Centrum przejrzystości Qualy" description: "Zobacz, jak dbamy o bezpieczeństwo Twoich płatności, danych i operacji. Od infrastruktury po ludzi, wszystko w Qualy jest zbudowane z myślą o zaufaniu." lang: "pl" url: https://qualyhq.com/pl/centrum-przejrzystosci --- ## Site navigation - [Dla szkół](/pl/wymiana/dla-szkol.md) — Dla szkół z uczniami zagranicznymi - [Dla agencji](/pl/wymiana/dla-agencji.md) — Dla agencji edukacyjnych - [Cennik](/pl/cennik) - [5-min demo](/pl/demo.md) — 5-minutowe demo - [Logowanie](https://dashboard.qualyhq.com) # Centrum przejrzystości Qualy > Bezpieczne, zgodne i przejrzyste z założenia. ## Płatności - **Środki segregowane:** Utrzymujemy środki klientów na oddzielnych rachunkach powierniczych. Twoje pieniądze nigdy nie mieszają się z naszymi ani z pieniędzmi innych klientów. - **Nie dotykamy pieniędzy:** Płatności przepływają przez licencjonowanych partnerów. Qualy ułatwia, ale nigdy nie zatrzymuje ani nie przenosi Twoich środków bezpośrednio. - **Licencjonowani partnerzy globalni:** Pracujemy tylko z dostawcami płatności regulowanymi i licencjonowanymi w ich jurysdykcjach. - **Szybkie przelewy:** Gdy tylko środki zostaną rozliczone, przekazujemy je do szkół lub agentów. Bez zbędnych opóźnień. Minimalizując ryzyko i wpływ w przypadku naruszenia. - **Przejrzysty przepływ płatności:** Każda płatność posiada pełną ścieżkę audytu. Możesz śledzić, kiedy została zapłacona, rozliczona i przekazana. - **Zgodność z PCI DSS:** Dane kart są obsługiwane tylko przez dostawców zgodnych z PCI DSS. - **Nie przechowujemy danych kart:** Nigdy nie przechowujemy danych kart w naszych systemach. Wszystkie dane wrażliwe są obsługiwane przez naszych partnerów. - **Ochrona przed duplikatami płatności:** Każda płatność jest chroniona przed przypadkowymi duplikatami. Jeśli żądanie jest ponawiane z powodu problemów z siecią, system automatycznie je wykrywa i zapobiega podwójnemu obciążeniu — dzięki czemu płatnicy i instytucje są zawsze chronieni. - **Bezpieczna architektura webhooków:** Powiadomienia o płatnościach od bramek płatniczych przechodzą przez bezpieczny, zweryfikowany kanał, zanim dotrą do naszych systemów. Zapobiega to przetwarzaniu fałszywych lub sfałszowanych zdarzeń płatniczych. - **Ochrona przed obciążeniami zwrotnymi:** Mamy systemy do obsługi obciążeń zwrotnych i sporów w sposób wydajny, minimalizując wpływ na szkoły i agentów. - **Priorytet w przeniesieniu odpowiedzialności:** Zawsze, gdy to możliwe, używamy 3D Secure i innych środków, aby zapewnić, że odpowiedzialność za transakcje oszukańcze zostanie przeniesiona na wydawcę karty, chroniąc naszych klientów przed potencjalnymi stratami. ## Technologia - **Hostowane w Google Cloud:** Działamy na bezpiecznej infrastrukturze Google Cloud z najlepszą dostępnością i bezpieczeństwem w swojej klasie. - **Szyfrowanie w spoczynku:** Wszystkie dane są szyfrowane w spoczynku przy użyciu szyfrowania AES-256. Dane bankowe otrzymują dodatkową warstwę szyfrowania na poziomie pól z unikalnymi kluczami dla każdego klienta — dzięki czemu nawet bezpośredni dostęp do bazy danych nie ujawniłby wrażliwych danych finansowych. - **Ochrona danych w tranzycie, HSTS i TLS 1.2+:** Wymuszamy użycie HTTPS z HSTS i używamy TLS 1.2+ od końca do końca dla bezpiecznej komunikacji. - **SLSA Poziom 3:** Nasze systemy budowania są zgodne ze standardami SLSA 3, chroniąc przed manipulacją i atakami na łańcuch dostaw. - **Izolacja bazy danych na klienta:** Każdy klient otrzymuje własną, dedykowaną bazę danych — nie tylko filtrowanie na poziomie wierszy, ale pełną fizyczną separację. Nie ma współdzielonej warstwy danych między klientami. - **Firewalle zawsze aktywne:** Używamy wielu warstw firewalli, aby chronić naszą infrastrukturę. - **Monitoring 24/7:** Nasza infrastruktura jest monitorowana przez całą dobę za pomocą rozproszonego śledzenia, raportowania błędów i ustrukturyzowanego logowania. Każde żądanie można prześledzić od początku do końca, co daje nam pełną widoczność pozwalającą szybko wykrywać i rozwiązywać problemy. - **Ochrona przed DDoS:** Używamy Cloudflare do ochrony przed DDoS, filtrowania ruchu i zaawansowanych zabezpieczeń. Wszystkie połączenia są weryfikowane przez Cloudflare, aby zapobiec podszywaniu się i zapewnić, że tylko prawidłowy ruch dociera do naszych systemów. - **Zerowe przywileje dostępu (ZSP):** Nasze systemy używają ZSP, co oznacza, że nikt nie ma stałego dostępu do środowisk produkcyjnych. Dostęp jest przyznawany tylko w razie potrzeby i jest rejestrowany. - **Ścisła polityka DMARC:** Stosujemy politykę "odrzuć" (reject) w DMARC, aby zapobiec dostarczaniu sfałszowanych e-maili. - **DNSSEC włączony:** DNSSEC jest włączony na naszych głównych domenach, zapewniając, że zapytania DNS są weryfikowane i odporne na manipulacje. - **Monitorowanie dostarczania e-maili:** Reputacja i dostarczanie e-maili wychodzących są stale monitorowane, aby uniknąć problemów z brakującymi fakturami lub linkami do płatności. - **Izolacja w dostarczaniu e-maili:** Izolujemy e-maile transakcyjne od marketingowych lub komunikacji wewnętrznej, aby zmniejszyć ryzyko reputacyjne. - **Wielowarstwowe ograniczanie szybkości:** Trzy niezależne warstwy chronią przed atakami brute force i nadużyciami — ograniczanie szybkości na wszystkich endpointach, inteligentne blokowanie logowania z automatyczną eskalacją oraz blokada na poziomie konta obsługiwana przez Firebase. Powtarzające się próby powodują coraz dłuższe blokady. - **Ochrona przed wykorzystaniem złośliwych payloadów:** Wszystkie payloady są walidowane i oczyszczane, aby zapobiec exploitom takim jak XSS, NoSQL injection i innym powszechnym lukom. - **Izolacja subdomen:** Nasze subdomeny są izolowane bezpośrednio w przeglądarce, zapobiegając ustawianiu plików cookie przez złośliwe subdomeny i wzmacniając nasze bezpieczeństwo przed atakami cookie-tossing. - **Walidacja przez dostawców bezpieczeństwa:** Nasza domena jest walidowana przez dużych dostawców bezpieczeństwa, takich jak Norton, McAfee i Google Safe Browsing, aby zapewnić, że jesteśmy rozpoznawani jako zaufana witryna. - **Klucze szyfrowania na klienta:** Wrażliwe dane każdego klienta są szyfrowane własnym, unikalnym kluczem. Nawet w mało prawdopodobnym przypadku naruszenia, dane jednego klienta nie mogą zostać użyte do uzyskania dostępu do danych innego. - **Szyfrowanie na poziomie pól danych bankowych:** Numery kont bankowych, numery rozliczeniowe, IBAN, SWIFT i inne dane bankowe są indywidualnie szyfrowane — nie tylko na poziomie bazy danych, ale pole po polu. Nawet nasi administratorzy baz danych nie mogą odczytać tych wartości w postaci jawnej. - **Automatyczna redakcja danych osobowych w logach:** Nasze logi są automatycznie oczyszczane z danych wrażliwych — hasła, tokeny, numery kont bankowych, numery identyfikacyjne i dane kart są usuwane przed zapisaniem. Twoje wrażliwe informacje nigdy nie pojawiają się w logach systemowych. - **Ochrona przed botami (Cloudflare Turnstile):** Używamy Cloudflare Turnstile do ochrony stron logowania i publicznych formularzy przed botami i zautomatyzowanymi atakami — bez zmuszania prawdziwych użytkowników do rozwiązywania irytujących CAPTCHA. - **Ochrona sieci wewnętrznej:** Nasze systemy są zabezpieczone przed atakami SSRF (Server-Side Request Forgery). Żądania wychodzące do sieci wewnętrznych, infrastruktury chmurowej i adresów prywatnych są automatycznie blokowane. - **Walidacja domeny na klienta:** Dozwolone domeny internetowe każdego klienta są indywidualnie weryfikowane. Nigdy nie zezwalamy na dostęp ogólny — tylko Twoje zarejestrowane domeny mogą komunikować się z Twoimi danymi. - **Świeżość tokenu dla operacji wrażliwych:** Zmiana danych konta bankowego lub ustawień bezpieczeństwa wymaga świeżego logowania. Jeśli od ostatniego logowania minęło zbyt dużo czasu, konieczne będzie ponowne uwierzytelnienie — co stanowi dodatkową warstwę ochrony dla najważniejszych operacji. - **Walidacja bezpieczeństwa przy starcie:** Nasza platforma przeprowadza obowiązkowe kontrole bezpieczeństwa przy każdym uruchomieniu. Jeśli cokolwiek krytycznego jest źle skonfigurowane — szyfrowanie, uwierzytelnianie lub ochrona przed botami — system odmawia uruchomienia. Niebezpieczna wersja nigdy nie trafi na produkcję. - **Rozproszone śledzenie (OpenTelemetry):** Każde żądanie jest śledzone od początku do końca we wszystkich naszych usługach. Jeśli coś pójdzie nie tak, możemy dokładnie wskazać gdzie i kiedy — co przyspiesza debugowanie i czyni dochodzenia bezpieczeństwa bardziej dokładnymi. - **Ustrukturyzowane kody błędów:** Używamy ponad 940 unikalnych kodów błędów, dzięki czemu Ty i nasz zespół wsparcia zawsze otrzymujecie jasne, konkretne komunikaty, gdy coś pójdzie nie tak — podczas gdy wewnętrzne szczegóły systemu pozostają ukryte. ## Ludzie - **Dostęp oparty na rolach:** Członkowie naszego zespołu widzą tylko to, czego potrzebują do wykonywania swojej pracy. Nie przyznaje się szerokiego dostępu. - **Weryfikacja przeszłości:** Wszyscy członkowie zespołu obsługujący systemy wrażliwe przechodzą weryfikację przeszłości. - **Szkolenie z bezpieczeństwa:** Cały zespół regularnie odbywa sesje szkoleniowe z zakresu bezpieczeństwa i zgodności. - **Uwierzytelnianie dwuskładnikowe (2FA):** 2FA jest obowiązkowe dla wszystkich systemów wewnętrznych i dostępne dla wszystkich użytkowników na platformie. - **Zasada najmniejszych przywilejów:** Przestrzegamy zasady najmniejszych przywilejów, zapewniając, że członkowie zespołu mają dostęp tylko do tego, czego potrzebują. - **Kontrola dostępu wsparcia technicznego:** Gdy agenci wsparcia potrzebują dostępu do konta klienta, sesje są ograniczone czasowo, indywidualnie audytowane i ograniczone do określonego zestawu uprawnień. Działania administracyjne i destrukcyjne są trwale zablokowane. Każda sesja wymaga udokumentowanego powodu. ## Zgodność - **Działanie tylko z licencjonowanymi partnerami:** Chociaż Qualy nie posiada licencji finansowej, nasi partnerzy są w pełni licencjonowani i zgodni. - **Zgodność z lokalnymi regulacjami:** Dostosowujemy się do zasad każdego regionu — takich jak normy BACEN w Brazylii lub przepisy AML w Australii — poprzez naszych partnerów i własne kontrole. - **Rejestry gotowe do audytu:** Wszystkie płatności i działania systemowe są rejestrowane z datą i godziną, aby były gotowe do audytu. - **Należyta staranność wobec klienta (CDD):** Przeprowadzamy CDD na wszystkich klientach, aby zapewnić zgodność z lokalnymi regulacjami. - **Zgodność z RODO:** Przestrzegamy zasad RODO, zapewniając poszanowanie prywatności danych i praw użytkowników. - **Zgodność specyficzna dla Brazylii:** Jesteśmy zgodni z brazylijskimi regulacjami, w tym z Ogólną Ustawą o Ochronie Danych (LGPD) i normami BACEN dotyczącymi obsługi płatności. - **Zgodność specyficzna dla Australii:** Jesteśmy zgodni z australijskimi regulacjami, w tym z Ustawą o Przeciwdziałaniu Praniu Pieniędzy i Finansowaniu Terroryzmu (AML/CTF) oraz Ustawą o Prywatności. Transakcje są monitorowane i zgłaszane do AUSTRAC za pośrednictwem naszych partnerów płatniczych. - **Zgodność z Silnym Uwierzytelnianiem Klienta (SCA):** Jesteśmy zgodni z wymogami SCA, wdrażając 2FA i inne środki. - **Obsługa wniosków DSAR (żądanie dostępu do danych):** Możesz zażądać dostępu do swoich danych osobowych w dowolnym momencie, zgodnie z wymogami RODO i LGPD. Podczas eksportu Twoich danych wrażliwe pola, takie jak dane bankowe, są automatycznie chronione przed dostarczeniem. - **Udokumentowane podstawy prawne przetwarzania:** Utrzymujemy jasną podstawę prawną dla każdego rodzaju przetwarzanych danych osobowych — niezależnie od tego, czy chodzi o realizację umowy, Twoją zgodę, obowiązki prawne czy uzasadnione cele biznesowe — zgodnie z wymogami RODO. ## Operacje - **Model współdzielonej odpowiedzialności za bezpieczeństwo:** Dzielimy się odpowiedzialnością za bezpieczeństwo z Tobą, naszymi dostawcami i partnerami, zapewniając kompleksowe podejście do bezpieczeństwa. - **Gotowość do odzyskiwania po awarii:** Używamy kolejek, kopii zapasowych i replikacji do szybkiego odzyskiwania. Jeśli podczas odzyskiwania nastąpi ponowna próba, system wykrywa duplikaty i zapobiega podwójnemu przetwarzaniu — dzięki czemu nikt nie zostanie obciążony dwukrotnie. - **Zautomatyzowane przełączanie awaryjne:** Jeśli coś zawiedzie, systemy przełączają się na kopie zapasowe bez przerywania usługi dla użytkownika. - **Niezawodne kolejki wiadomości:** Wszystkie płatności i procesy są kolejkowane i bezpiecznie ponawiane w przypadku awarii. - **Regularne kopie zapasowe:** Robimy regularne kopie zapasowe wszystkich krytycznych danych, zapewniając, że możemy szybko przywrócić dane, jeśli to konieczne. - **Okna zamrożenia wydań:** Mamy zaplanowane okna zamrożenia wydań, aby zminimalizować ryzyko w okresach krytycznych. - **Śledzenie błędów i alerty:** Używamy zaawansowanego śledzenia błędów i alertów, aby wykrywać problemy, zanim wpłyną na użytkowników. - **Plan reagowania na incydenty:** Wiemy, do kogo dzwonić, co robić i jak się komunikować w przypadku incydentów. Nasz plan reagowania na incydenty jest gotowy i przetestowany. ## Przejrzystość - **Przejrzystość wobec klienta:** Nigdy nie ukrywamy, kim są nasi partnerzy — wierzymy, że przejrzystość buduje zaufanie. - **Otwarta komunikacja:** Otwarcie komunikujemy się o incydentach, przerwach i zmianach wpływających na klientów. - **Publiczna strona statusu:** Nasza strona statusu pokazuje stan systemu w czasie rzeczywistym, incydenty i aktualizacje konserwacyjne. - **Jasne ceny:** Nasze ceny są proste, bez ukrytych opłat czy niespodzianek. - **Odejdź kiedy chcesz:** Nie wiążemy Cię umowami. Możesz odejść w dowolnym momencie, bez pytań. - **Dokumentacja bezpieczeństwa dostępna na żądanie:** Potrzebujesz więcej szczegółów? Udostępniamy kompleksowy dokument dotyczący bezpieczeństwa i zgodności dla klientów korporacyjnych na żądanie. Skontaktuj się z naszym zespołem sprzedaży. ## More on Qualy **Branże** - [Dla szkół](/pl/wymiana/dla-szkol.md) — Dla szkół z uczniami zagranicznymi - [Dla agencji](/pl/wymiana/dla-agencji.md) — Dla agencji edukacyjnych **Wsparcie** - [Status systemu](https://qualyhq.statuspage.io/) — Status systemu Qualy - [Kontakt](/pl/kontakt.md) **Produkt** - [Demo](/pl/demo.md) - [Opinie](/pl/opinie.md) — Zobacz, co mówią klienci o Qualy - [Centrum przejrzystości](/pl/centrum-przejrzystosci.md) - [API](/pl/api.md) — API Qualy do płatności za studia za granicą i dla agencji **Informacje prawne (po angielsku)** - [Ogólne warunki](/terms-and-conditions.md) — Regulamin - [Warunki dla płatników](/terms-for-payers.md)