--- title: "Hub da transparência da Qualy" description: "Veja como mantemos seus pagamentos, dados e operações seguros. Da infraestrutura às pessoas, tudo na Qualy é construído com a confiança em mente." lang: "pt-BR" url: https://qualyhq.com/pt-br/hub-transparencia --- ## Site navigation - [Para escolas](/pt-br/intercambio/para-escolas.md) — Para escolas de com estudantes internacionais - [Para agências](/pt-br/intercambio/para-agencias.md) — Para agências de intercâmbio - [Preço](/pt-br/preco) - [5-min demo](/pt-br/demo.md) — Demonstração de 5 minutos - [Login](https://dashboard.qualyhq.com) # Hub da transparência da Qualy > Seguro, em conformidade e transparente por design. ## Pagamentos - **Fundos segregados:** Mantemos os fundos dos clientes em contas fiduciárias separadas. O seu dinheiro nunca se mistura com o nosso, nem com o de outros clientes. - **Não tocamos no dinheiro:** Os pagamentos fluem através de parceiros licenciados. A Qualy facilita, mas nunca retém ou movimenta seus fundos diretamente. - **Parceiros globais licenciados:** Trabalhamos apenas com provedores de pagamento regulamentados e licenciados em suas jurisdições. - **Repasses rápidos:** Assim que os fundos são compensados, nós os repassamos para as escolas ou agentes. Sem atrasos desnecessários. Minimizando o risco e o impacto em caso de violação. - **Fluxo de pagamento transparente:** Cada pagamento possui uma trilha de auditoria completa. Você pode rastrear quando foi pago, compensado e repassado. - **Conformidade com PCI DSS:** Os dados de cartão são manuseados apenas por provedores em conformidade com o PCI DSS. - **Não armazenamos dados de cartão:** Nunca armazenamos detalhes de cartão em nossos sistemas. Todos os dados sensíveis são manuseados por nossos parceiros. - **Proteção contra pagamentos duplicados:** Todos os pagamentos são protegidos contra duplicatas acidentais. Se uma solicitação for repetida por problemas de rede, o sistema detecta automaticamente e impede cobranças duplicadas — protegendo pagadores e instituições. - **Arquitetura segura de notificações:** As notificações de pagamento dos gateways passam por um canal seguro e verificado antes de chegar aos nossos sistemas. Isso impede que eventos de pagamento falsos ou adulterados sejam processados. - **Proteção contra chargeback:** Temos sistemas para lidar com chargebacks e disputas de forma eficiente, minimizando o impacto para escolas e agentes. - **Prioridade na transferência de responsabilidade:** Sempre que possível, usamos 3D Secure e outras medidas para garantir que a responsabilidade por transações fraudulentas seja transferida para o emissor do cartão, protegendo nossos clientes de quaisquer perdas potenciais. ## Tecnologia - **Hospedado no Google Cloud:** Operamos na infraestrutura segura do Google Cloud com a melhor disponibilidade e segurança da categoria. - **Criptografia em repouso:** Todos os dados são criptografados em repouso usando criptografia AES-256. Os dados bancários recebem uma camada adicional de criptografia a nível de campo com chaves únicas para cada cliente — então mesmo um acesso direto ao banco de dados não revelaria detalhes financeiros sensíveis. - **Proteção de dados em trânsito, HSTS e TLS 1.2+:** Forçamos o uso de HTTPS com HSTS e utilizamos TLS 1.2+ de ponta a ponta para comunicações seguras. - **SLSA Nível 3:** Nossos sistemas de build seguem os padrões SLSA 3, protegendo contra adulteração e ataques à cadeia de suprimentos. - **Isolamento por banco de dados dedicado:** Cada cliente recebe seu próprio banco de dados dedicado — não apenas filtragem por linha, mas separação física completa. Não existe uma camada de dados compartilhada entre clientes. - **Firewalls sempre ativos:** Usamos múltiplas camadas de firewalls para proteger nossa infraestrutura. - **Monitoramento 24/7:** Nossa infraestrutura é monitorada 24 horas por dia com rastreamento distribuído, relatórios de erros e logs estruturados. Cada requisição pode ser rastreada de ponta a ponta, nos dando visibilidade total para identificar e resolver problemas rapidamente. - **Proteção contra DDoS:** Usamos Cloudflare para mitigação de DDoS, filtragem de tráfego e proteções avançadas. Todas as conexões são validadas pelo Cloudflare para impedir falsificação e garantir que apenas tráfego legítimo chegue aos nossos sistemas. - **Privilégios de acesso zero (ZSP):** Nossos sistemas usam ZSP, o que significa que ninguém tem acesso permanente aos ambientes de produção. O acesso é concedido apenas quando necessário e é registrado. - **Política DMARC restrita:** Aplicamos uma política de "rejeição" (reject) no DMARC para impedir a entrega de e-mails falsificados. - **DNSSEC ativado:** O DNSSEC está ativado em nossos domínios principais, garantindo que as consultas DNS sejam verificadas e resistentes a adulterações. - **Monitoramento de entrega de e-mails:** A reputação e a entrega de e-mails de saída são monitoradas continuamente para evitar problemas com faturas ou links de pagamento ausentes. - **Isolamento na entrega de e-mails:** Isolamos os e-mails transacionais dos de marketing ou comunicação interna para reduzir o risco de reputação. - **Limitação de taxa em múltiplas camadas:** Três camadas independentes protegem contra ataques de força bruta e abusos — limitação de taxa em todos os endpoints, bloqueio inteligente de login que escala automaticamente e bloqueio progressivo de conta pelo Firebase. Tentativas repetidas geram bloqueios cada vez mais longos. - **Proteção contra exploração de payloads maliciosos:** Todos os dados recebidos são validados e sanitizados para prevenir exploits como XSS, injeção NoSQL e outras vulnerabilidades comuns. - **Isolamento de subdomínio:** Nossos subdomínios são isolados diretamente com o navegador, prevenindo a definição de cookies de subdomínios maliciosos e fortalecendo nossa segurança contra ataques de cookie-tossing. - **Validação por fornecedores de segurança:** Nosso domínio é validado por grandes fornecedores de segurança como Norton, McAfee e Google Safe Browsing para garantir que somos reconhecidos como um site confiável. - **Chaves de criptografia por cliente:** Os dados sensíveis de cada cliente são criptografados com sua própria chave única. Mesmo no improvável caso de uma violação, os dados de um cliente não podem ser usados para acessar os de outro. - **Criptografia a nível de campo em dados bancários:** Números de contas bancárias, códigos de roteamento, IBAN, SWIFT e outros detalhes bancários são individualmente criptografados — não apenas no nível do banco de dados, mas campo a campo. Nem mesmo nossos administradores de banco de dados conseguem ler esses valores em texto simples. - **Redação automática de dados pessoais em logs:** Nossos logs são automaticamente limpos de dados sensíveis — senhas, tokens, números de contas bancárias, documentos de identificação e dados de cartão são removidos antes de qualquer armazenamento. Suas informações sensíveis nunca aparecem nos logs do sistema. - **Proteção contra bots (Cloudflare Turnstile):** Usamos Cloudflare Turnstile para proteger páginas de login e formulários públicos contra bots e ataques automatizados — sem forçar usuários reais a resolver CAPTCHAs irritantes. - **Proteção de rede interna:** Nossos sistemas são protegidos contra falsificação de requisições do lado do servidor (SSRF). Requisições para redes internas, infraestrutura em nuvem e endereços privados são automaticamente bloqueadas. - **Validação de domínios por cliente:** Os domínios web permitidos de cada cliente são verificados individualmente. Nunca permitimos acesso irrestrito — apenas seus domínios registrados podem se comunicar com seus dados. - **Sessão recente para operações sensíveis:** Alterar dados bancários ou configurações de segurança exige um login recente. Se muito tempo passou desde seu último acesso, será necessário autenticar novamente — adicionando uma camada extra de proteção para suas ações mais sensíveis. - **Validação de segurança na inicialização:** Nossa plataforma executa verificações de segurança obrigatórias toda vez que é iniciada. Se algo crítico estiver mal configurado — criptografia, autenticação ou proteção contra bots — o sistema se recusa a iniciar. Uma versão insegura nunca chega à produção. - **Rastreamento distribuído (OpenTelemetry):** Cada requisição é rastreada de ponta a ponta em todos os nossos serviços. Se algo der errado, conseguimos identificar exatamente onde e quando — tornando a depuração mais rápida e as investigações de segurança mais completas. - **Códigos de erro estruturados:** Usamos mais de 940 códigos de erro únicos para que você e nossa equipe de suporte sempre recebam mensagens claras e acionáveis quando algo dá errado — enquanto detalhes internos do sistema permanecem ocultos. ## Pessoas - **Acesso baseado em função:** Os membros da nossa equipe veem apenas o que precisam para realizar seu trabalho. Nenhum acesso amplo é concedido. - **Verificação de antecedentes:** Todos os membros da equipe que lidam com sistemas sensíveis passam por verificação de antecedentes. - **Treinamento de segurança:** Toda a equipe completa sessões regulares de treinamento de segurança e conformidade. - **Autenticação de dois fatores (2FA):** A 2FA é obrigatória para todos os sistemas internos e está disponível para todos os usuários na plataforma. - **Princípio do menor privilégio:** Seguimos o princípio do menor privilégio, garantindo que os membros da equipe tenham acesso apenas ao que precisam. - **Controles de acesso do suporte:** Quando agentes de suporte precisam acessar a conta de um cliente, as sessões são limitadas no tempo, auditadas individualmente e restritas a um conjunto específico de permissões. Ações administrativas e destrutivas são permanentemente bloqueadas. Cada sessão requer uma justificativa documentada. ## Conformidade - **Operando apenas com parceiros licenciados:** Embora a Qualy não possua licença financeira, nossos parceiros são totalmente licenciados e estão em conformidade. - **Alinhado com a regulamentação local:** Adaptamo-nos às regras de cada região — como as normas do BACEN no Brasil ou as leis de AML da Austrália — através dos nossos parceiros e com os nossos próprios controles. - **Logs prontos para auditoria:** Todos os pagamentos e ações do sistema são registrados com data e hora para estarem prontos para auditoria. - **Diligência Prévia do Cliente (CDD):** Realizamos a CDD em todos os clientes para garantir a conformidade com as regulamentações locais. - **Conformidade com GDPR:** Seguimos os princípios do GDPR, garantindo que a privacidade dos dados e os direitos dos usuários sejam respeitados. - **Conformidade específica para o Brasil:** Estamos em conformidade com as regulamentações brasileiras, incluindo a Lei Geral de Proteção de Dados (LGPD) e as normas do BACEN para o manuseio de pagamentos. - **Conformidade específica para a Austrália:** Estamos em conformidade com as regulamentações australianas, incluindo a Lei de Combate à Lavagem de Dinheiro e ao Financiamento do Terrorismo (AML/CTF) e a Lei de Privacidade. As transações são monitoradas e reportadas à AUSTRAC através dos nossos parceiros de pagamento. - **Conformidade com a Autenticação Forte de Cliente (SCA):** Estamos em conformidade com os requisitos da SCA, implementando 2FA e outras medidas. - **Suporte a DSAR (Solicitação de Acesso a Dados Pessoais):** Você pode solicitar acesso aos seus dados pessoais a qualquer momento, conforme exigido pela GDPR e LGPD. Ao exportar seus dados, campos sensíveis como dados bancários são automaticamente protegidos antes da entrega. - **Bases legais documentadas para processamento:** Mantemos uma base legal clara para cada tipo de dado pessoal que processamos — seja para cumprir um contrato, com seu consentimento, por obrigações legais ou por interesses comerciais legítimos — conforme exigido pela GDPR. ## Operações - **Modelo de responsabilidade de segurança compartilhada:** Compartilhamos as responsabilidades de segurança com você, nossos fornecedores e nossos parceiros, garantindo uma abordagem abrangente à segurança. - **Pronto para recuperação de desastres:** Usamos filas, backups e replicação para recuperação rápida. Se uma nova tentativa acontecer durante a recuperação, o sistema detecta duplicatas e impede o duplo processamento — para que ninguém seja cobrado duas vezes. - **Failover automatizado:** Se algo falhar, os sistemas mudam para os backups sem interromper o serviço para o usuário. - **Filas de mensagens confiáveis:** Todos os pagamentos e processos são enfileirados e tentados novamente com segurança em caso de falhas. - **Backups regulares:** Fazemos backups regulares de todos os dados críticos, garantindo que possamos restaurar rapidamente, se necessário. - **Janelas de congelamento de lançamentos:** Temos janelas de congelamento de lançamentos programadas para minimizar o risco durante períodos críticos. - **Rastreamento de erros e alertas:** Usamos rastreamento de erros e alertas avançados para detectar problemas antes que afetem os usuários. - **Plano de resposta a incidentes:** Sabemos para quem ligar, o que fazer e como nos comunicar em caso de incidentes. Nosso plano de resposta a incidentes está pronto e testado. ## Transparência - **Transparência com o cliente:** Nunca escondemos quem são nossos parceiros — acreditamos que a transparência constrói confiança. - **Comunicação aberta:** Comunicamo-nos abertamente sobre incidentes, interrupções e mudanças que afetam os clientes. - **Página de status pública:** Nossa página de status mostra a saúde do sistema em tempo real, incidentes e atualizações de manutenção. - **Preços claros:** Nossos preços são diretos, sem taxas ocultas ou surpresas. - **Saia quando quiser:** Não prendemos você com contratos. Você pode sair a qualquer momento, sem perguntas. - **Documentação de segurança disponível sob solicitação:** Precisa de mais detalhes? Fornecemos um documento abrangente de segurança e conformidade para clientes enterprise sob solicitação. Entre em contato com nossa equipe de vendas. ## More on Qualy **Indústrias** - [Para escolas](/pt-br/intercambio/para-escolas.md) — Para escolas de com estudantes internacionais - [Para agências](/pt-br/intercambio/para-agencias.md) — Para agências de intercâmbio **Suporte** - [Status do sistema](https://qualyhq.statuspage.io/) — Status do sistema Qualy - [Contato](/pt-br/contato.md) **Produto** - [Demonstração](/pt-br/demo.md) - [Depoimentos](/pt-br/depoimentos.md) — Veja o que alguns clientes têm a dizer sobre a Qualy - [Hub da transparência](/pt-br/hub-transparencia.md) - [API](/pt-br/api.md) — API da Qualy para pagamentos para estudo no exterior e agências de intercâmbio **Legal** - [Termos gerais](/pt-br/termos-e-condicoes.md) — Termos e condições - [Termos para pagadores](/pt-br/termos-para-pagadores.md)