Seguro, em conformidade e transparente por design.
Mantemos os fundos dos clientes em contas fiduciárias separadas. O seu dinheiro nunca se mistura com o nosso, nem com o de outros clientes.
Os pagamentos fluem através de parceiros licenciados. A Qualy facilita, mas nunca retém ou movimenta seus fundos diretamente.
Trabalhamos apenas com provedores de pagamento regulamentados e licenciados em suas jurisdições.
Assim que os fundos são compensados, nós os repassamos para as escolas ou agentes. Sem atrasos desnecessários. Minimizando o risco e o impacto em caso de violação.
Cada pagamento possui uma trilha de auditoria completa. Você pode rastrear quando foi pago, compensado e repassado.
Os dados de cartão são manuseados apenas por provedores em conformidade com o PCI DSS.
Nunca armazenamos detalhes de cartão em nossos sistemas. Todos os dados sensíveis são manuseados por nossos parceiros.
Todos os pagamentos são protegidos contra duplicatas acidentais. Se uma solicitação for repetida por problemas de rede, o sistema detecta automaticamente e impede cobranças duplicadas — protegendo pagadores e instituições.
As notificações de pagamento dos gateways passam por um canal seguro e verificado antes de chegar aos nossos sistemas. Isso impede que eventos de pagamento falsos ou adulterados sejam processados.
Temos sistemas para lidar com chargebacks e disputas de forma eficiente, minimizando o impacto para escolas e agentes.
Sempre que possível, usamos 3D Secure e outras medidas para garantir que a responsabilidade por transações fraudulentas seja transferida para o emissor do cartão, protegendo nossos clientes de quaisquer perdas potenciais.
Operamos na infraestrutura segura do Google Cloud com a melhor disponibilidade e segurança da categoria.
Todos os dados são criptografados em repouso usando criptografia AES-256. Os dados bancários recebem uma camada adicional de criptografia a nível de campo com chaves únicas para cada cliente — então mesmo um acesso direto ao banco de dados não revelaria detalhes financeiros sensíveis.
Forçamos o uso de HTTPS com HSTS e utilizamos TLS 1.2+ de ponta a ponta para comunicações seguras.
Nossos sistemas de build seguem os padrões SLSA 3, protegendo contra adulteração e ataques à cadeia de suprimentos.
Cada cliente recebe seu próprio banco de dados dedicado — não apenas filtragem por linha, mas separação física completa. Não existe uma camada de dados compartilhada entre clientes.
Usamos múltiplas camadas de firewalls para proteger nossa infraestrutura.
Nossa infraestrutura é monitorada 24 horas por dia com rastreamento distribuído, relatórios de erros e logs estruturados. Cada requisição pode ser rastreada de ponta a ponta, nos dando visibilidade total para identificar e resolver problemas rapidamente.
Usamos Cloudflare para mitigação de DDoS, filtragem de tráfego e proteções avançadas. Todas as conexões são validadas pelo Cloudflare para impedir falsificação e garantir que apenas tráfego legítimo chegue aos nossos sistemas.
Nossos sistemas usam ZSP, o que significa que ninguém tem acesso permanente aos ambientes de produção. O acesso é concedido apenas quando necessário e é registrado.
Aplicamos uma política de "rejeição" (reject) no DMARC para impedir a entrega de e-mails falsificados.
O DNSSEC está ativado em nossos domínios principais, garantindo que as consultas DNS sejam verificadas e resistentes a adulterações.
A reputação e a entrega de e-mails de saída são monitoradas continuamente para evitar problemas com faturas ou links de pagamento ausentes.
Isolamos os e-mails transacionais dos de marketing ou comunicação interna para reduzir o risco de reputação.
Três camadas independentes protegem contra ataques de força bruta e abusos — limitação de taxa em todos os endpoints, bloqueio inteligente de login que escala automaticamente e bloqueio progressivo de conta pelo Firebase. Tentativas repetidas geram bloqueios cada vez mais longos.
Todos os dados recebidos são validados e sanitizados para prevenir exploits como XSS, injeção NoSQL e outras vulnerabilidades comuns.
Nossos subdomínios são isolados diretamente com o navegador, prevenindo a definição de cookies de subdomínios maliciosos e fortalecendo nossa segurança contra ataques de cookie-tossing.
Nosso domínio é validado por grandes fornecedores de segurança como Norton, McAfee e Google Safe Browsing para garantir que somos reconhecidos como um site confiável.
Os dados sensíveis de cada cliente são criptografados com sua própria chave única. Mesmo no improvável caso de uma violação, os dados de um cliente não podem ser usados para acessar os de outro.
Números de contas bancárias, códigos de roteamento, IBAN, SWIFT e outros detalhes bancários são individualmente criptografados — não apenas no nível do banco de dados, mas campo a campo. Nem mesmo nossos administradores de banco de dados conseguem ler esses valores em texto simples.
Nossos logs são automaticamente limpos de dados sensíveis — senhas, tokens, números de contas bancárias, documentos de identificação e dados de cartão são removidos antes de qualquer armazenamento. Suas informações sensíveis nunca aparecem nos logs do sistema.
Usamos Cloudflare Turnstile para proteger páginas de login e formulários públicos contra bots e ataques automatizados — sem forçar usuários reais a resolver CAPTCHAs irritantes.
Nossos sistemas são protegidos contra falsificação de requisições do lado do servidor (SSRF). Requisições para redes internas, infraestrutura em nuvem e endereços privados são automaticamente bloqueadas.
Os domínios web permitidos de cada cliente são verificados individualmente. Nunca permitimos acesso irrestrito — apenas seus domínios registrados podem se comunicar com seus dados.
Alterar dados bancários ou configurações de segurança exige um login recente. Se muito tempo passou desde seu último acesso, será necessário autenticar novamente — adicionando uma camada extra de proteção para suas ações mais sensíveis.
Nossa plataforma executa verificações de segurança obrigatórias toda vez que é iniciada. Se algo crítico estiver mal configurado — criptografia, autenticação ou proteção contra bots — o sistema se recusa a iniciar. Uma versão insegura nunca chega à produção.
Cada requisição é rastreada de ponta a ponta em todos os nossos serviços. Se algo der errado, conseguimos identificar exatamente onde e quando — tornando a depuração mais rápida e as investigações de segurança mais completas.
Usamos mais de 940 códigos de erro únicos para que você e nossa equipe de suporte sempre recebam mensagens claras e acionáveis quando algo dá errado — enquanto detalhes internos do sistema permanecem ocultos.
Os membros da nossa equipe veem apenas o que precisam para realizar seu trabalho. Nenhum acesso amplo é concedido.
Todos os membros da equipe que lidam com sistemas sensíveis passam por verificação de antecedentes.
Toda a equipe completa sessões regulares de treinamento de segurança e conformidade.
A 2FA é obrigatória para todos os sistemas internos e está disponível para todos os usuários na plataforma.
Seguimos o princípio do menor privilégio, garantindo que os membros da equipe tenham acesso apenas ao que precisam.
Quando agentes de suporte precisam acessar a conta de um cliente, as sessões são limitadas no tempo, auditadas individualmente e restritas a um conjunto específico de permissões. Ações administrativas e destrutivas são permanentemente bloqueadas. Cada sessão requer uma justificativa documentada.
Embora a Qualy não possua licença financeira, nossos parceiros são totalmente licenciados e estão em conformidade.
Adaptamo-nos às regras de cada região — como as normas do BACEN no Brasil ou as leis de AML da Austrália — através dos nossos parceiros e com os nossos próprios controles.
Todos os pagamentos e ações do sistema são registrados com data e hora para estarem prontos para auditoria.
Realizamos a CDD em todos os clientes para garantir a conformidade com as regulamentações locais.
Seguimos os princípios do GDPR, garantindo que a privacidade dos dados e os direitos dos usuários sejam respeitados.
Estamos em conformidade com as regulamentações brasileiras, incluindo a Lei Geral de Proteção de Dados (LGPD) e as normas do BACEN para o manuseio de pagamentos.
Estamos em conformidade com as regulamentações australianas, incluindo a Lei de Combate à Lavagem de Dinheiro e ao Financiamento do Terrorismo (AML/CTF) e a Lei de Privacidade. As transações são monitoradas e reportadas à AUSTRAC através dos nossos parceiros de pagamento.
Estamos em conformidade com os requisitos da SCA, implementando 2FA e outras medidas.
Você pode solicitar acesso aos seus dados pessoais a qualquer momento, conforme exigido pela GDPR e LGPD. Ao exportar seus dados, campos sensíveis como dados bancários são automaticamente protegidos antes da entrega.
Mantemos uma base legal clara para cada tipo de dado pessoal que processamos — seja para cumprir um contrato, com seu consentimento, por obrigações legais ou por interesses comerciais legítimos — conforme exigido pela GDPR.
Compartilhamos as responsabilidades de segurança com você, nossos fornecedores e nossos parceiros, garantindo uma abordagem abrangente à segurança.
Usamos filas, backups e replicação para recuperação rápida. Se uma nova tentativa acontecer durante a recuperação, o sistema detecta duplicatas e impede o duplo processamento — para que ninguém seja cobrado duas vezes.
Se algo falhar, os sistemas mudam para os backups sem interromper o serviço para o usuário.
Todos os pagamentos e processos são enfileirados e tentados novamente com segurança em caso de falhas.
Fazemos backups regulares de todos os dados críticos, garantindo que possamos restaurar rapidamente, se necessário.
Temos janelas de congelamento de lançamentos programadas para minimizar o risco durante períodos críticos.
Usamos rastreamento de erros e alertas avançados para detectar problemas antes que afetem os usuários.
Sabemos para quem ligar, o que fazer e como nos comunicar em caso de incidentes. Nosso plano de resposta a incidentes está pronto e testado.
Nunca escondemos quem são nossos parceiros — acreditamos que a transparência constrói confiança.
Comunicamo-nos abertamente sobre incidentes, interrupções e mudanças que afetam os clientes.
Nossa página de status mostra a saúde do sistema em tempo real, incidentes e atualizações de manutenção.
Nossos preços são diretos, sem taxas ocultas ou surpresas.
Não prendemos você com contratos. Você pode sair a qualquer momento, sem perguntas.
Precisa de mais detalhes? Fornecemos um documento abrangente de segurança e conformidade para clientes enterprise sob solicitação. Entre em contato com nossa equipe de vendas.
A Qualy foi criada para ajudar a coletar pagamentos para agências de intercâmbio. Ela ajuda faculdades, escolas e agências de intercâmbio de todos os tamanhos.
