> ## Documentation Index
> Fetch the complete documentation index at: https://docs.zopay.cash/llms.txt
> Use this file to discover all available pages before exploring further.

# Cuenta y claves

> Panel de integración y claves Connect (sk_test_ / sk_live_) — una sola clave cubre API y SDK.

## Panel de integración

1. Accede al [panel de integración](https://connect.zopay.cash/auth) con tu cuenta de organización.
2. En la sección de desarrolladores, genera una clave **sandbox** (`sk_test_...`) para pruebas.
3. Cuando tu organización esté aprobada, genera una clave **live** (`sk_live_...`) para producción.

Guarda cada clave en un gestor de secretos. **Solo se muestra una vez** al crearla; no podrás recuperarla después.

## Una sola clave para todo

La misma clave Connect autentica todas tus llamadas a la API. **El SDK del navegador no usa claves** — sólo monta el widget con un `paymentIntentId` que tu servidor ya creó.

| Componente                      | Usa una clave                                                 |
| ------------------------------- | ------------------------------------------------------------- |
| Connect API (servidor)          | Sí — `sk_test_…` o `sk_live_…` en el header `Authorization`   |
| SDK del navegador (`@zopay/js`) | No — sólo recibe el envelope `PaymentIntent` desde tu backend |

<Warning>
  Nunca expongas una clave `sk_live_…` ni `sk_test_…` en código que corre en el navegador. El SDK fue diseñado para que no la necesite — tu backend crea el intent y devuelve sólo el `id` al cliente.
</Warning>

## Formato de las claves

| Tipo       | Prefijo    | Modo en `/health` |
| ---------- | ---------- | ----------------- |
| Sandbox    | `sk_test_` | `sandbox`         |
| Producción | `sk_live_` | `live`            |

## Uso en peticiones

Incluye la clave en el header `Authorization` con esquema **Bearer**:

```bash theme={null}
curl -X GET "https://api.zopay.cash/connect/v1/health" \
  -H "Authorization: Bearer sk_test_xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
```

## Cuenta aprobada

Los endpoints que implican movimiento de fondos exigen que tu organización esté **activa** en Connect. Si aún está en `pending_verification` o `suspended`, recibirás HTTP 403 con código `account_pending_approval`.

`/connect/v1/health` es la excepción: funciona con cualquier clave válida para comprobar autenticación, aunque la cuenta no esté aprobada.

Más detalle en [Autenticación](/api-reference/authentication).
