A plataforma Swepay
A Swepay constrói as camadas que fintechs reguladas no Brasil usam para operar. Hoje: certificados mTLS em produção. Em desenvolvimento ativo: identidade, passwordless, e-mail transacional. Uma stack, quatro produtos, atuando como uma só.
Por que uma plataforma
A maioria das fintechs brasileiras constrói sua stack de segurança e identidade do mesmo jeito: escolher um fornecedor para cada camada, escrever código interno para conectar, e manter esse código para sempre. Funciona até parar de funcionar.
Before
Cada fornecedor: o próprio modelo de API, a própria interpretação de LGPD, o próprio formato de auditoria, o próprio roadmap.
After
Modelo de identidade compartilhado. Trilha de auditoria compartilhada. Postura regulatória compartilhada. Um contrato, um roadmap, uma relação com fornecedor.
O custo da fragmentação não é a soma das faturas dos fornecedores. É o tecido conjuntivo que apodrece.
A arquitetura
Não construímos uma plataforma de cima pra baixo. Construímos produto por produto, cada um resolvendo um problema real que uma fintech brasileira enfrenta quando atinge escala regulatória. Cada camada vai pra produção quando estiver pronta, com o status visível o tempo todo.
Identidade de Máquina & mTLS
API REST para emitir e gerenciar certificados mTLS. Construído para fintechs que autenticam dezenas a centenas de parceiros B2B. CRL e OCSP gerenciados, trilha de auditoria incluída, integração pronta com o resto da stack Swepay.
Identidade & Acesso
Servidor de identidade OIDC/OAuth2 multi-realm para fintechs que precisam de uma alternativa gerenciada ao Keycloak. Em validação técnica, estamos construindo para production readiness primeiro com cargas internas reais, depois com clientes externos.
Autenticação Passwordless
API de autenticação passwordless FIDO2/WebAuthn para apps mobile. Desenhada para fintechs que precisam de autenticação forte do cliente sem aumentar fricção do usuário. Arquitetura em revisão com a AWS.
Comunicação Transacional
API de e-mail transacional para serviços regulados. Desenhada desde o início para entregabilidade, trilha auditável e residência brasileira por padrão, não retrofitada para compliance.
Integração por design
Comprar quatro produtos de um único fornecedor não é uma plataforma. Coexistência é uma plataforma. Veja como a coexistência se materializa na prática.
Por design, o Native Guard emite tokens OAuth2 atrelados ao certificado mTLS emitido pelo CA Manager. Quando a API da sua fintech recebe uma chamada, ela sabe quem é o cliente (pelo token) e tem prova de que esse cliente controla a chave privada (pelo mTLS). Essa integração está construída na arquitetura da plataforma hoje e estará disponível ponta a ponta quando o Native Guard chegar à produção.
Quando o Native Email envia uma mensagem transacional, o envio fica registrado com a identidade do remetente vinda do Native Guard. Quando um auditor pergunta 'quem enviou esse e-mail', você responde em segundos, não em uma caça ao SQL atravessando três fornecedores.
O seu time financeiro negocia com uma entidade só. O seu time de compliance revisa um único DPA. O seu time de plataforma lê um único conjunto de docs. A economia aqui não é teórica, pergunte a qualquer fintech que já renegociou a stack inteira de fornecedores ao mesmo tempo.
Fundação técnica
Fazemos escolhas técnicas conservadoras de propósito. Infraestrutura chata é a que sobrevive a uma auditoria regulatória.
Cada endpoint carrega um caminho de versão explícito (/v1/, /v2/). Mudanças que quebram contrato saem em uma nova versão com janela de depreciação, a sua integração existente continua funcionando. O spec OpenAPI é o contrato em que você pode se apoiar atravessando ciclos de auditoria.
A infraestrutura roda em São Paulo. Residência de dados não é toggle de configuração, é o padrão. Budgets de latência são calibrados para cargas brasileiras.
O CA Manager é vendido via AWS Marketplace. A sua fatura AWS inclui a linha; sem fatura separada, sem ciclo de procurement separado. Quando você escala, o billing escala com você, não contra você.
Toda chamada de API deixa registro de auditoria. Logs são imutáveis, retidos conforme o seu plano, e consultáveis. Quando o auditor pede evidência, você tem.
O Native Guard é a fonte de verdade de identidade para a plataforma. CA Manager valida contra ele. Native Email autentica contra ele. Quando o Native Guard chegar à produção, isso vira uma cadeia única de identidade da máquina até a mensagem.
Construído para o Brasil
Direitos do titular, políticas de retenção e base legal fazem parte da fundação de cada produto. Documentamos a base legal de tratamento por endpoint, expomos APIs de direitos do titular onde se aplicam, e desenhamos retenção para ser configurável por contexto regulatório.
A Swepay não emite certificados para infraestrutura regulada brasileira. Quando você precisa deles (para SPB, para conexões com sistemas regulados específicos), obtém esses certificados de provedores brasileiros estabelecidos. Nossos produtos integram com esses certificados como consumidores quando relevante. A emissão não está no nosso escopo.
Todo serviço Swepay roda em São Paulo. Nenhum dado transita fora do Brasil por padrão. Quando você precisa de um Data Processing Agreement, o nosso assume residência brasileira, não uma derrogação dela.
Assine via AWS Marketplace para contratação direta, ou fale com engenharia para contratos com volume.
Ver CA ManagerQuickstart de cinco minutos, referência completa de API e detalhes de arquitetura.
Ir para desenvolvedoresFale com engenharia diretamente. A gente passa pelo seu cenário e o que está disponível hoje vs. em desenvolvimento.
Falar com engenharia