Bảo mật, tuân thủ và minh bạch ngay từ khâu thiết kế.
Chúng tôi duy trì tiền của khách hàng trong các tài khoản ủy thác riêng biệt. Tiền của bạn không bao giờ bị trộn lẫn với tiền của chúng tôi hoặc của các khách hàng khác.
Các khoản thanh toán được thực hiện thông qua các đối tác được cấp phép. Qualy hỗ trợ quy trình nhưng không bao giờ trực tiếp giữ hoặc di chuyển tiền của bạn.
Chúng tôi chỉ làm việc với các nhà cung cấp dịch vụ thanh toán được quản lý và cấp phép tại các khu vực pháp lý tương ứng.
Ngay khi tiền được đối soát xong, chúng tôi sẽ chuyển cho các trường học hoặc đại lý. Không có sự chậm trễ không cần thiết, giúp giảm thiểu rủi ro.
Mỗi khoản thanh toán đều có lịch sử kiểm tra đầy đủ. Bạn có thể theo dõi thời điểm thanh toán, đối soát và chuyển khoản.
Dữ liệu thẻ chỉ được xử lý bởi các nhà cung cấp tuân thủ tiêu chuẩn PCI DSS.
Chúng tôi không bao giờ lưu trữ thông tin thẻ trong hệ thống của mình. Tất cả dữ liệu nhạy cảm đều do các đối tác xử lý.
Mọi khoản thanh toán đều được bảo vệ khỏi việc trùng lặp do vô ý. Nếu yêu cầu được gửi lại do sự cố mạng, hệ thống sẽ tự động phát hiện và ngăn chặn việc tính phí hai lần — giúp người thanh toán và tổ chức luôn được bảo vệ.
Các thông báo thanh toán từ cổng thanh toán đều đi qua một kênh bảo mật, đã được xác minh trước khi đến hệ thống của chúng tôi. Điều này ngăn chặn các sự kiện thanh toán giả mạo hoặc bị can thiệp không bao giờ được xử lý.
Chúng tôi có hệ thống để quản lý các khiếu nại bồi hoàn hiệu quả, giảm thiểu tác động cho các trường học và đại lý.
Khi có thể, chúng tôi sử dụng 3D Secure và các biện pháp khác để đảm bảo trách nhiệm pháp lý đối với các giao dịch gian lận được chuyển sang ngân hàng phát hành thẻ, bảo vệ khách hàng khỏi tổn thất tiềm tàng.
Chúng tôi vận hành trên hạ tầng bảo mật của Google Cloud với độ tin cậy và an toàn hàng đầu thế giới.
Tất cả dữ liệu được mã hóa khi lưu trữ bằng chuẩn AES-256. Dữ liệu ngân hàng được bổ sung thêm một lớp mã hóa ở cấp độ từng trường với khóa riêng cho mỗi khách hàng — vì vậy ngay cả khi truy cập trực tiếp cơ sở dữ liệu cũng không thể xem được các thông tin tài chính nhạy cảm.
Chúng tôi bắt buộc sử dụng HTTPS với HSTS và TLS 1.2+ trong suốt quá trình truyền tải để đảm bảo thông tin liên lạc được bảo mật.
Hệ thống xây dựng của chúng tôi tuân theo tiêu chuẩn SLSA 3, bảo vệ chống lại các hành vi giả mạo và tấn công chuỗi cung ứng.
Mỗi khách hàng có cơ sở dữ liệu riêng biệt — không chỉ là lọc theo hàng, mà là tách biệt hoàn toàn về mặt vật lý. Không có lớp dữ liệu chung giữa các khách hàng.
Chúng tôi sử dụng nhiều lớp tường lửa để bảo vệ hạ tầng của mình.
Hạ tầng của chúng tôi được giám sát liên tục với hệ thống theo dõi phân tán, báo cáo lỗi và ghi nhật ký có cấu trúc. Mỗi yêu cầu đều có thể được truy vết từ đầu đến cuối, giúp chúng tôi có tầm nhìn toàn diện để phát hiện và xử lý sự cố nhanh chóng.
Chúng tôi sử dụng Cloudflare để chống DDoS, lọc lưu lượng truy cập và các biện pháp bảo vệ nâng cao. Tất cả kết nối đều được xác minh qua Cloudflare để ngăn chặn giả mạo và đảm bảo chỉ lưu lượng hợp lệ mới đến được hệ thống của chúng tôi.
Hệ thống của chúng tôi sử dụng ZSP, nghĩa là không ai có quyền truy cập vĩnh viễn vào môi trường sản xuất. Quyền truy cập chỉ được cấp khi cần thiết và được ghi nhật ký đầy đủ.
Chúng tôi áp dụng chính sách "từ chối" (reject) trong DMARC để ngăn chặn việc gửi các email giả mạo.
DNSSEC được kích hoạt trên các tên miền chính của chúng tôi, đảm bảo các yêu cầu DNS được xác minh và không bị giả mạo.
Uy tín và việc gửi email đi được giám sát liên tục để tránh các vấn đề về thất lạc hóa đơn hoặc liên kết thanh toán.
Chúng tôi tách biệt email giao dịch khỏi email marketing hoặc liên lạc nội bộ để giảm thiểu rủi ro về uy tín.
Ba lớp bảo vệ độc lập chống lại tấn công brute force và lạm dụng — giới hạn tốc độ trên tất cả các endpoint, chặn đăng nhập thông minh tự động nâng cấp, và khóa tài khoản được hỗ trợ bởi Firebase. Các lần thử lặp lại sẽ kích hoạt thời gian chặn ngày càng dài hơn.
Tất cả các dữ liệu gửi lên đều được kiểm tra và làm sạch để ngăn chặn các kiểu khai thác như XSS, NoSQL injection và các lỗ hổng phổ biến khác.
Các tên miền phụ của chúng tôi được cách ly trực tiếp với trình duyệt, ngăn chặn việc thiết lập cookie từ các tên miền phụ độc hại và tăng cường bảo mật.
Tên miền của chúng tôi được xác thực bởi các nhà cung cấp bảo mật lớn như Norton, McAfee và Google Safe Browsing để đảm bảo chúng tôi là một trang web đáng tin cậy.
Dữ liệu nhạy cảm của mỗi khách hàng được mã hóa bằng khóa riêng biệt. Ngay cả trong trường hợp hiếm hoi xảy ra vi phạm, dữ liệu của một khách hàng không thể được sử dụng để truy cập dữ liệu của khách hàng khác.
Số tài khoản ngân hàng, số định tuyến, IBAN, SWIFT và các thông tin ngân hàng khác đều được mã hóa riêng từng trường — không chỉ ở cấp cơ sở dữ liệu mà là từng trường một. Ngay cả quản trị viên cơ sở dữ liệu của chúng tôi cũng không thể đọc các giá trị này dưới dạng văn bản thuần.
Nhật ký hệ thống của chúng tôi được tự động loại bỏ dữ liệu nhạy cảm — mật khẩu, token, số tài khoản ngân hàng, số định danh cá nhân và thông tin thẻ đều được xóa trước khi lưu trữ. Thông tin nhạy cảm của bạn không bao giờ xuất hiện trong nhật ký hệ thống.
Chúng tôi sử dụng Cloudflare Turnstile để bảo vệ trang đăng nhập và biểu mẫu công khai khỏi bot và tấn công tự động — mà không yêu cầu người dùng thật phải giải các CAPTCHA phiền toái.
Hệ thống của chúng tôi được gia cố chống lại tấn công giả mạo yêu cầu phía máy chủ (SSRF). Các yêu cầu gửi đi đến mạng nội bộ, hạ tầng đám mây và địa chỉ riêng tư đều bị chặn tự động.
Các tên miền web được phép của mỗi khách hàng đều được xác minh riêng. Chúng tôi không bao giờ cho phép truy cập chung — chỉ các tên miền đã đăng ký của bạn mới có thể giao tiếp với dữ liệu của bạn.
Thay đổi thông tin tài khoản ngân hàng hoặc cài đặt bảo mật yêu cầu đăng nhập lại. Nếu đã quá lâu kể từ lần đăng nhập cuối, bạn sẽ cần xác thực lại — thêm một lớp bảo vệ cho các thao tác nhạy cảm nhất.
Nền tảng của chúng tôi chạy các kiểm tra bảo mật bắt buộc mỗi khi khởi động. Nếu bất kỳ thành phần quan trọng nào bị cấu hình sai — mã hóa, xác thực hoặc bảo vệ chống bot — hệ thống sẽ từ chối khởi chạy. Phiên bản không an toàn không bao giờ có thể đến được môi trường sản xuất.
Mỗi yêu cầu đều được truy vết từ đầu đến cuối qua tất cả các dịch vụ. Nếu có sự cố, chúng tôi có thể xác định chính xác vị trí và thời điểm — giúp gỡ lỗi nhanh hơn và điều tra bảo mật kỹ lưỡng hơn.
Chúng tôi sử dụng hơn 940 mã lỗi riêng biệt để bạn và đội ngũ hỗ trợ luôn nhận được thông báo rõ ràng, dễ xử lý khi có sự cố — trong khi các chi tiết nội bộ của hệ thống vẫn được ẩn đi.
Các thành viên trong nhóm của chúng tôi chỉ nhìn thấy những gì họ cần để làm việc. Không có quyền truy cập rộng rãi được cấp.
Tất cả các thành viên quản lý các hệ thống nhạy cảm đều phải qua kiểm tra lý lịch.
Toàn bộ nhân viên đều tham gia các buổi đào tạo định kỳ về bảo mật và tuân thủ.
2FA là bắt buộc đối với tất cả hệ thống nội bộ và sẵn sàng cho tất cả người dùng trên nền tảng.
Chúng tôi tuân theo nguyên tắc đặc quyền tối thiểu, đảm bảo nhân viên chỉ có quyền truy cập vào những gì thực sự cần thiết.
Khi nhân viên hỗ trợ cần truy cập tài khoản khách hàng, các phiên làm việc được giới hạn thời gian, kiểm toán riêng biệt và chỉ được cấp một bộ quyền hạn cụ thể. Các thao tác quản trị và xóa dữ liệu bị chặn vĩnh viễn. Mỗi phiên đều yêu cầu ghi nhận lý do.
Mặc dù Qualy không trực tiếp nắm giữ giấy phép tài chính, nhưng các đối tác của chúng tôi hoàn toàn được cấp phép và tuân thủ quy định.
Chúng tôi thích ứng với các quy định của từng khu vực – như tiêu chuẩn BACEN ở Brazil hay luật AML ở Úc – thông qua các đối tác và các biện pháp kiểm soát riêng.
Tất cả các thanh toán và hành động trên hệ thống đều được ghi lại với ngày giờ rõ ràng để sẵn sàng cho việc kiểm toán.
Chúng tôi thực hiện CDD trên tất cả các khách hàng để đảm bảo tuân thủ các quy định địa phương.
Chúng tôi tuân theo các nguyên tắc GDPR, đảm bảo quyền riêng tư dữ liệu và các quyền của người dùng được tôn trọng.
Chúng tôi tuân thủ các quy định của Brazil, bao gồm Luật Bảo vệ Dữ liệu Chung (LGPD) và các tiêu chuẩn BACEN về xử lý thanh toán.
Chúng tôi tuân thủ các quy định của Úc, bao gồm Luật Chống rửa tiền và Tài trợ khủng bố (AML/CTF) và Luật Quyền riêng tư. Các giao dịch được giám sát và báo cáo cho AUSTRAC thông qua các đối tác thanh toán.
Chúng tôi tuân thủ các yêu cầu của SCA, triển khai 2FA và các biện pháp bảo mật khác.
Bạn có thể yêu cầu truy cập dữ liệu cá nhân của mình bất kỳ lúc nào, theo yêu cầu của GDPR và LGPD. Khi chúng tôi xuất dữ liệu của bạn, các trường nhạy cảm như thông tin ngân hàng sẽ được bảo vệ tự động trước khi gửi.
Chúng tôi duy trì cơ sở pháp lý rõ ràng cho mọi loại dữ liệu cá nhân được xử lý — dù là để thực hiện hợp đồng, với sự đồng ý của bạn, theo nghĩa vụ pháp lý, hay vì mục đích kinh doanh hợp pháp — theo yêu cầu của GDPR.
Chúng tôi chia sẻ trách nhiệm bảo mật với bạn, các nhà cung cấp và đối tác của mình, đảm bảo một cách tiếp cận toàn diện về an toàn thông tin.
Chúng tôi sử dụng hàng đợi, sao lưu và nhân bản dữ liệu để phục hồi nhanh chóng. Nếu một lần thử lại xảy ra trong quá trình phục hồi, hệ thống sẽ phát hiện trùng lặp và ngăn chặn xử lý kép — để không ai bị tính phí hai lần.
Nếu có sự cố xảy ra, hệ thống sẽ tự động chuyển sang các bản sao lưu mà không làm gián đoạn dịch vụ của người dùng.
Tất cả các quy trình và thanh toán đều được đưa vào hàng đợi và thử lại an toàn nếu có thất bại.
Chúng tôi thực hiện sao lưu định kỳ tất cả dữ liệu quan trọng, đảm bảo có thể khôi phục nhanh chóng khi cần thiết.
Chúng tôi có các giai đoạn đóng băng thay đổi hệ thống được lập kế hoạch để giảm thiểu rủi ro trong các thời kỳ quan trọng.
Chúng tôi sử dụng công nghệ theo dõi lỗi và cảnh báo nâng cao để phát hiện vấn đề trước khi chúng ảnh hưởng đến người dùng.
Chúng tôi biết cần gọi ai, làm gì và liên lạc thế nào khi có sự cố. Kế hoạch ứng phó sự cố của chúng tôi luôn sẵn sàng và đã được thử nghiệm.
Chúng tôi không bao giờ che giấu đối tác của mình – chúng tôi tin rằng sự minh bạch sẽ củng cố niềm tin.
Chúng tôi thông báo cởi mở về các sự cố, tình trạng gián đoạn và các thay đổi ảnh hưởng đến khách hàng.
Trang trạng thái của chúng tôi hiển thị tình trạng hệ thống theo thời gian thực, các sự cố và cập nhật bảo trì.
Bảng giá của chúng tôi rất trực quan, không có phí ẩn hay các bất ngờ không đáng có.
Chúng tôi không ràng buộc bạn bằng các hợp đồng dài hạn. Bạn có thể rời đi bất cứ lúc nào mà không cần giải trình.
Cần thêm chi tiết? Chúng tôi cung cấp tài liệu bảo mật và tuân thủ toàn diện cho khách hàng doanh nghiệp theo yêu cầu. Liên hệ đội ngũ bán hàng của chúng tôi.
Qualy được thiết kế để hỗ trợ việc thu các khoản thanh toán cho các đại lý du học. Nó hỗ trợ các trường đại học, trường học và đại lý ở mọi quy mô.
