云原生银行基础设施

用于流动资金的
安静基础设施。

Swepay 为进入巴西市场的金融科技公司构建身份、证书与认证基础设施 —— FAPI-ready,符合 LGPD,兼容 ICP-Brasil。

与工程团队对话查看产品

合规FAPI 1.0 Advanced信任兼容 ICP-Brasil隐私默认遵循 LGPD区域原生部署在 sa-east-1

swepay-cli ~ realm:fintech-prod

# issue an mTLS client cert via CA Manager

$ swepay ca issue \

--realm "fintech-prod" \

--cn "acme-bank.client" \

--profile openfinance-bcb

# → cert.pem · key.pem · chain.pem

✓ issued crl-distribution: ocsp.swepay.co

# mint a FAPI-grade access token via Native Guard

$ swepay guard token \

--grant authorization_code \

--client-auth private_key_jwt \

--dpop --pkce

✓ access_token eyJhbGciOiJQUzI1NiIs…

01 — 本质

一条更短的支付路径。

Swepay 出售金融领域里那些不耀眼的部分 —— 身份、证书、认证。品牌也是如此:精确、克制、可靠。我们从北欧工程中借来纪律,从开发者工具中借来清晰,从那种就是能跑的基础设施中借来气质。

承诺

在设计上保持安静。

你客户的品牌很响亮。我们的品牌是它们背后稳定的低音。我们靠在工作中隐身来赢得信任。

受众

构建资金的人。

金融科技公司和银行里的 CTO、安全负责人和平台工程师。先读文档再选工具的那种人。

立场

为巴西本地而生。

我们把 Bacen、ICP-Brasil 和 LGPD 当作一等公民,不是事后补丁。合规边界就是产品。

02 — 巴西市场

巴西很难。
这正是关键。

巴西的金融技术栈有一个其他地方不存在的监管边界。外国金融科技公司通常要硬学 12 到 18 个月。Swepay 把这些月以基础设施的形式卖回给你。

我们处理什么

你与监管者之间的管道。

从主权证书信任链到 FAPI 级别的授权流程和同意账本,我们运营在你的产品与巴西金融监管者之间的那一层。你交付功能,我们承担审计轨迹。

在 sa-east-1 中构建,具备多区域故障切换。为不能在周日宕机的机构而设计。

监管边界

ICP-Brasil主权 PKI · A1/A3 客户端证书已解决

FAPI 1.0 Adv.PAR · JARM · mTLS · DPoP · PKCE已解决

Open FinanceBacen 目录 · 同意 · DCR已解决

Res. BCB 4.893网络安全政策 · 审计日志已解决

Circ. 3.978AML / CFT 信号钩子已解决

LGPD合法性基础 · 保留 · DSR已解决

03 — 产品

三款产品。
一张信任织物。

一起买,它们共享同一套身份、证书和审计轨迹。单独买,每一款都能干净地嵌入已有的技术栈。

swepay · native guard

Native Guard

对齐 FAPI 的 OIDC / OAuth 2.1 授权服务器。自托管 Keycloak 的托管替代方案,内置监管边界。多租户、多 realm、原生 AOT 运行时。

PAR · JARM · mTLS · DPoP · PKCE
Private Key JWT 客户端认证
PS256 / ES256 签名 · JWKS 轮换
Dynamic Client Registration (DCR)
通过 Turnstile 在每个 realm 防御机器人

swepay · ca manager

CA Manager

API 优先的私有 CA,用于签发、吊销和打包 mTLS 客户端证书。开箱即用的 CRL 和 OCSP 端点。为 Open Finance Brasil 和银行双边集成而构建。

REST API · 按租户隔离密钥
CRL 分发 · OCSP 响应器
PKCS#12 / PEM 包 · 预签名 URL
按 profile 签发 (BCB、Bacen、内部)
端到端签名的审计轨迹

swepay · passkey

Passkey

FIDO2 / WebAuthn 无密码认证。可接入 Native Guard,也可独立运行在任何已有的 IdP 后面。在构造上抗钓鱼。对终端用户友好,对攻击者敌对。

WebAuthn 三级证明
跨设备 passkey 同步
平台与漫游认证器
为高价值流程升级认证强度
独立 JS SDK · 不锁定 IdP

04 — 规格

工程师真正在意的那几个数。

我们优化冷启动、p99 延迟和审计完整性。这些是无聊的数字 —— 凌晨三点事故频道亮起来时会出现的那些。

<50ms

冷启动

.NET 10 Native AOT,单二进制 lambda。没有 JIT 预热成本。

99.95%

SLA 目标

在 sa-east-1 跨可用区,关键路径具备跨区域故障切换。

审计保留

防篡改日志,对齐 Bacen / Open Finance 的保留规则。

100%

租户隔离

按租户做加密密钥隔离。不共享爆炸半径。

05 — 面向技术决策者

为挑选工具的人
而打造。

Swepay 卖给工程和安全的领导层。不是因为财务团队不聪明,而是因为我们卖的东西在本质上是一个架构决策。

CTO · VP Engineering

把接下来 12 个月买回来。

别再为一个你并不想自建的 OAuth 服务器塞进四个人的团队。我们已经做了;它对齐了 FAPI 1.0 Advanced;它在跑。

Head of Security · CISO

可辩护的审计轨迹。

加密签名的日志、sender-constrained 的 token、默认的 mTLS。设计上能支撑 Bacen 的审计。

Security Architect

标准,不是惊吓。

FAPI 1.0 Advanced、RFC 9449、RFC 9126、RFC 8705。我们跟规范走;不发明方言。

Head of Compliance

第一天就懂 LGPD。

按数据类别打合法性基础标签、同意账本、保留时间表、DSR 端点。把隐私写成合同。

06 — 联系

和工程对话,不是对接销售漏斗。

带一个真实问题来,我们会派一个真实架构师。我们从工作邮箱回复,不是从 CRM。预期一个工作日内回复。

engineering@swepay.com.br

→

安全披露

security@swepay.com.br

→

用于流动 资金 的安静基础设施。