目录
KeepPay 是什么核心概念总体接入流程数据流图(按角色)第一步 · 开通 S2S 接入第二步 · 用 Vault 收卡第三步 · 经代理扣款容器与数据隔离Flow 智能编排(即将上线)安全与合规常见问题获取支持全球收款,牢牢握在自己手里
这份指南带你从开通通道的 S2S 接入、把卡数据收进自己的保险箱,到用令牌经代理安全扣款——把卡数据和收入同时握紧。
KeepPay 是什么
为全球开展业务的团队打造的支付基础设施。卡数据是你的资产,通道由你自选。
跨境收款常被三件事卡住:合规太重不敢自建、卡数据被通道锁死、单通道一抖就掉单。KeepPay 用两个产品分两步解决——你既不用背 PCI 合规重担,也不再被任何一家支付公司绑架。
KeepPay Vault · 保险箱
你的专属卡库保险箱。卡号在前端当场令牌化,明文永不进你的服务器,令牌存在你自己名下、按项目隔离,免 PCI 自建。现可接入。
KeepPay Flow · 智能编排即将上线
在 Vault 之上的智能支付编排:一次接入统一调度你自选的多个海外 PSP,通道挂了自动改道,拒付的钱智能重试追回。
两步走,零迁移。先用 Vault 把卡数据攥回自己手里;业务跑起来后无需重新收集任何卡号,再升级到 Flow 编排。卡已在库,升级不打扰任何一个用户。
核心概念
开始前,先认识贯穿全文的几个词。理解它们,后面的接入会非常顺。
| 概念 | 是什么 | 你需要知道的一点 |
|---|---|---|
| 令牌(Token) | 卡号被替换成的一串无意义字符 | 明文卡号令牌化后才离开浏览器;之后你的系统只接触令牌,不接触真实卡号。 |
| 保险箱(Vault) | 存放你所有令牌的合规仓库,挂在你名下 | 不是存在某家支付公司那里——这是「卡数据是你的资产」的关键。 |
| 容器(Container) | 保险箱里的目录路径,用来分区 | 按项目隔离令牌,多项目互不可见。 |
| 通道 / PSP | 真正帮你扣款的支付服务商(如 Stripe、Adyen、Checkout.com) | KeepPay 中立转发——接谁、换谁、同时接几家,都由你决定。 |
| S2S 接入 | 服务器到服务器、能接收原始卡数据(卡号 / 有效期 / CVC)的 PSP 接口 | 接入前提:PSP 需在 PCI 资质下开放它——这正是「第一步」。 |
| 临时代理(Proxy) | 扣款瞬间临时还原卡数据、并安全转发给 PSP 的机制 | 还原只发生在传输途中,你的服务器全程不碰明文卡号。 |
| 合规证明(AOC) | PCI DSS 合规证明文件 | 由 KeepPay 提供给你的 PSP,你自己无需通过 PCI 认证。 |
完整术语见 术语表 →
总体接入流程
从打通通道到收到第一笔扣款,全流程长这样——前三步把数据握紧,最后一步把收入做大。
- ① 开通你的 PSP「S2S 接入」(PCI 资质下)
让你选定的支付通道开放「能接收原始卡数据的服务端接口」。PSP 通常要 PCI 合规证明才开通——这份证明由 KeepPay 提供,你自己无需过 PCI 认证。 - ② 开通 KeepPay 账户与项目容器
我们为你开通租户、按项目分配保险箱容器与访问权限,你拿到中文控制台。 - ③ 用 Vault 收卡入库
在收银页放上 KeepPay 安全采集组件,用户的卡号当场令牌化、存进你名下的保险箱,明文不进你的服务器。 - ④ 经 KeepPay 代理,S2S 扣款
扣款时由 KeepPay 临时代理在传输中还原卡数据,安全转发给第一步开通的 PSP 完成授权。 - ⑤ 升级 Flow,让钱流更聪明 即将上线
接上更多 PSP,配置智能路由、失败级联与智能追回,把掉单堵在发生前。
第一步的 S2S 开通通常需要几天(取决于 PSP 审核);之后 Vault 收卡入库可几天内上线。Flow 编排按需开启,无需让任何用户重新输入卡号。
整体逻辑:支付数据流
一张图看清责任边界:卡数据怎么流、令牌怎么流,以及明文卡号到底碰不碰你的服务器。明文卡号(PAN)只出现在 ① ⑤ 两段,商家服务器全程只接触令牌。
| 步骤 | 方向 | 说明 |
|---|---|---|
| ① | KeepPay 前端组件 → KeepPay 服务器 | 卡号在安全组件内采集后上送令牌化(明文 PAN,仅此一段在 KeepPay 侧) |
| ② | KeepPay 服务器 → 用户客户端 | 返回令牌,存入你名下保险箱、按容器隔离 |
| ③ | 用户客户端 → 商家服务器 | 把令牌提交给你的后端 |
| ④ | 商家服务器 → KeepPay 服务器 | 用令牌发起扣款 |
| ⑤ | KeepPay(临时代理)→ PSP | 临时还原卡数据,经 S2S 转发给 PSP(明文 PAN) |
| ⑥ | PSP → KeepPay 服务器 | 同步授权结果原路返回发起调用的 KeepPay 代理 |
| ⑦ | KeepPay 服务器 → 商家服务器 | 把扣款结果作为 ④ 调用的同步响应返回商家 |
| ⑧ | 商家服务器 → 用户客户端 | 把支付结果返回给用户 |
| ⑨ | PSP → 商家服务器(异步) | webhook 直连商家:成功 / 退款 / 争议 / 续费,不经过 KeepPay |
看图重点:明文卡号(PAN,橙色)只在 ① 组件→KeepPay 与 ⑤ KeepPay→PSP 两段出现;商家服务器全程只接触令牌与结果。扣款结果的同步回程走 ⑥ PSP→KeepPay→⑦ 商家;最终事件由 ⑨ webhook 异步直连商家、不经过 KeepPay(这也是 KeepPay 默认看不到交易最终结果的原因)。
开通你的 PSP「S2S 接入」
这是整个接入的前提,也是最容易被忽略的一步:先拿到通道这张「许可」,后面的收卡与扣款才跑得通。
KeepPay(中立卡库 + 编排)的本质,是在扣款那一刻、由 KeepPay 在合规环境里把卡数据通过「服务器到服务器(S2S)」安全送达你选定的 PSP。所以第一件事,是确认 / 开通你的 PSP 接受这种 S2S 接入。需要落实三件事:
PSP 有「收原始卡数据」的 S2S 接口
即一个能接收卡号 / 有效期 / CVC 的服务端接口(而非只给你托管收银台或跳转页)。主流 PSP 多数支持,但通常是「申请开通」而非默认开放。
用 PCI 合规证明(AOC)开通
PSP 会要求 PCI DSS 合规证明才开放这些接口。这份证明由 KeepPay 提供——你自己无需通过 PCI 认证。交给 PSP,通常几天即可开通。
把 KeepPay 出站 IP 加入白名单
部分 PSP 有 IP 限制,需要把 KeepPay 的出站 IP 加入白名单,扣款请求才会被放行。我们会提供这份 IP 清单。
一句话理解这一步:拿到一张「许可」——让你选的 PSP 允许 KeepPay 代表你、在合规前提下把卡数据 S2S 送过去扣款。日后换通道 / 加通道,只是对新 PSP 把这一步再走一遍;卡数据始终在你的保险箱里,用户永远不用重输。
不确定你在用 / 想用的 PSP 支持哪种接入?把通道名单发给我们,KeepPay 帮你确认 S2S 可行性、提供 AOC、对接 IP 白名单,全程陪跑。
用 Vault 把卡收进你的保险箱
把海外用户的卡号,安全锁进属于你自己的保险箱——免去 PCI 合规重担,且永不被任何支付通道绑架。
核心只有一句话:明文卡号永远不经过你的服务器。采集、令牌化都发生在 KeepPay 的安全环境里,你的系统从头到尾只接触令牌。
(安全组件)
存入你名下容器
令牌
转发给 PSP
① 前端:放上安全采集组件
在你的收银页放入 KeepPay 的卡号安全采集组件。它运行在 KeepPay 托管的安全 iframe 内,明文卡号永不进入你的页面 DOM 与服务器,因此你的 PCI 合规范围降到最小。组件外观可按你的品牌定制。
② 令牌化并存入你的保险箱
用户提交支付时,卡号当场令牌化,存进你名下的保险箱,并按项目容器隔离。你的后端收到的是令牌、而不是卡号;后续所有操作都基于这枚令牌。
合规底座。令牌化与存储由卡组织审核许可的组织(PCI DSS Level 1)提供能力支撑,明文卡号既不落你的服务器、也不落 KeepPay 的业务服务器。
经 KeepPay 代理,S2S 扣款
卡已在库,扣款时由 KeepPay 的临时代理在传输途中还原卡数据,安全送达你在第一步开通的 PSP。
- ① 你的后端发起扣款
用令牌(而非卡号)向 KeepPay 发起扣款,带上金额、币种与目标通道。只用单通道时指定那一家。 - ② 临时代理还原并转发
KeepPay 临时代理在传输过程中临时还原卡数据,经 S2S 转发给 PSP 完成授权——你的服务器全程不接触明文卡号。 - ③ 结果返回与 webhook 回调
授权结果实时返回;状态变化(成功 / 失败 / 退款)也通过 webhook 推送到你的回调地址,便于异步处理。 - ④ 复用令牌再次扣款
续费 / 复购时复用同一令牌即可,无需用户重输。KeepPay 会携带网络交易标识等信息以提升续费通过率。
到这里,你已经在不碰明文卡号、不背 PCI 自建的前提下跑通了一笔完整扣款,而且卡数据稳稳存在你自己名下。
容器与数据隔离
容器是保险箱里的目录,决定了令牌「存在哪、谁能访问」。多项目共用一个账户时,靠容器做干净的数据隔离。
- 按项目分区:建议「项目在前、分类在后」,各项目的卡数据互不串门。
- 权限锁定:每个项目只能访问自己的容器——这才是真正的隔离,不是仅靠目录名区分。
- 提前规划:令牌进库后再搬容器成本较高,开户时就把结构定好。
不确定怎么划分容器?开户时告诉我们你的项目结构,我们会帮你把路径和权限一次配好。
给钱流装上智能大脑 即将上线
下面是 Vault 之上即将上线的编排能力(路由 / 级联 / 智能追回 / 订阅自动改道)。Vault 是它的前提——卡已在你的保险箱里,Flow 上线后零迁移升级:收卡前端一行不用改,把扣款的目标通道从「指定某家」改成「交给 Flow」即可。
智能路由
按地区、卡种、成本、成功率自动选最优通道。规则在控制台可视化配置,无需写代码。
失败级联
主通道一抖(风控、抖动、被封),同一笔交易自动改走下一个健康通道——把掉单堵在发生前,用户毫无感知。
智能追回
针对短剧、订阅这类高拒付场景,在最优时机、用最优通道重试被拒交易,把能救回的收入救回来。
订阅续费自动改道
赖以续费的 PSP 一夜被封,下一笔续费自动改走健康备用 PSP,会员无感、不掉单。
失败级联:一笔交易换条路就过
(风控/抖动)
这正是「保险箱」带来的两个收益之一——卡不锁死在一家 PSP,换条路常常就过,过单率通常提升约 5–10%。详见 保险箱 →
安全与合规
明文卡号不落你的环境,PCI 合规范围降到最小。下面是底座的关键能力。
| 能力 | 说明 |
|---|---|
| 端到端令牌化 | 卡号前端当场令牌化,明文永不进入你的服务器,也不落 KeepPay 业务服务器。 |
| PCI DSS Level 1 | 令牌化与存储由卡组织审核许可的组织(PCI DSS Level 1)提供能力支撑,你的 PCI 合规范围降到最小。 |
| 合规证明(AOC) | 由 KeepPay 向你的 PSP 提供 PCI 合规证明,用于开通 S2S 接入;你自己无需通过 PCI 认证。 |
| S2S 安全转发 | 扣款时由临时代理在传输中还原卡数据并 S2S 转发 PSP,明文不落地;支持 PSP 侧 IP 白名单。 |
| 3DS / SCA | 支持 3D Secure 与强客户认证,满足欧洲等地区的合规扣款要求。 |
| 数据隔离 | 按项目容器隔离令牌,权限锁定到指定容器,多项目互不可见。 |
更多见 安全与合规 →
常见问题
「S2S 接入」到底是什么?为什么是第一步?
服务器到服务器(Server-to-Server,S2S)是指 PSP 提供一个能接收原始卡数据的服务端接口。KeepPay 在扣款时通过它把卡数据安全送达你的通道。PSP 通常默认不开放、且要 PCI 合规证明才开通,所以必须先把它办妥,后续收卡与扣款才跑得通。
我自己需要做 PCI 认证吗?
不需要。卡号在前端当场令牌化、明文不落你的服务器;向 PSP 开通 S2S 所需的 PCI 合规证明(AOC)由 KeepPay 提供。
我的 PSP 不支持 S2S 怎么办?
把通道名单发给我们,KeepPay 帮你确认可行性;若该通道确实不支持,可改用支持 S2S 的同区域通道。
接入需要多久?
第一步的 S2S 开通取决于 PSP 审核,通常几天;之后 Vault 收卡入库可几天内上线。日后升级到 Flow 编排无需重新收集卡号。
我们已经在用 Stripe / Antom / Airwallex,为什么还要 KeepPay?
它们把卡数据锁在自家系统里。KeepPay 是中立保险箱——卡是你的资产,可同时对接任意收单 / PSP,随时切换、永不被绑架。
支持哪些支付方式和 PSP?
以卡支付为主:可对接任意提供 API 收卡接口的卡处理商 / 收单机构,已有 Checkout.com / Stripe / Adyen 等现成对接示例。你想接谁就接谁,不依赖固定的连接器清单。
我的卡数据存在哪里、安全吗?
以令牌形式存于合规保险箱,令牌化与存储能力由卡组织审核许可的组织(PCI DSS Level 1)提供支撑,明文不落你我的业务服务器。
只用 Vault、不用 Flow 可以吗?
可以。Vault 与 Flow 解耦——你可以只用保险箱令牌化 + 转发固定通道;等需要多通道编排时再开启 Flow(即将上线),无需迁移、无需让用户重输卡号。
获取支持
母语级专属陪跑——真人对接,随时找得到人,不是冷冰冰的工单。
预约演示
看看 KeepPay 如何帮你把卡数据和收入同时握紧。我们会按你的业务与通道给出接入方案。
微信群陪跑
成长版起提供微信群专属陪跑,S2S 开通、收卡上线、调优全程有人。
先把卡攥回来,再谈后面的灵活
我们用中文带你把这条链路跑通。