Zum Hauptinhalt springen

Documentation Index

Fetch the complete documentation index at: https://docs.getovra.com/llms.txt

Use this file to discover all available pages before exploring further.

Ovra ist eine deutsche Technologie-Plattform. Die regulierten Aktivitäten — Issuing, Custody, Settlement — werden von lizenzierten EU-Partnern betrieben. Wir sind die Orchestrierungsschicht; sie sind die regulierten Counterparts.

Rollen

RolleCounterpartRegulierung
Card-Issuing (CaaS)Banking-Partner (Berlin EMI)EU-E-Geld-Lizenz
Card-NetworkVisaEU + nationale Regulatoren
Network-TokenisierungVisa Token Service via Banking-Partner
Fund-CustodyBanking-PartnerEU-Bankenregulierung
Tokenisierung (PCI-Proxy)Tokenisierungs-PartnerPCI-DSS Level 1
OvraSaaS-Tech-PlattformDeutsches Gewerberecht, DSGVO
Wir nennen Partner in user-facing Copy by design nicht namentlich — die Architektur ist sichtbar, die regulierten Entitäten sind gegenüber Investoren und Auditoren klar identifiziert. Public-Docs sagen „Banking-Partner” / „Card-Issuer” / „Tokenisierungs-Partner”.

EU-Datenresidenz

Jede Response trägt X-Data-Residency: EU. Konkret:
  • Postgres in EU gehostet
  • Banking-Partner in Berlin (EMI)
  • PostHog Product-Analytics auf EU-Endpoint
  • Alle Logs und Audit-Events bleiben in EU-Infrastruktur

DSGVO-Posture

RechtEndpointVerhalten
AuskunftGET /gdpr/exportVoller Datendump, JSON
EinwilligungPOST /gdpr/consentTrack AGB / Datenschutz / Marketing-Flags pro Customer
LöschungPOST /gdpr/deleteAnonymisieren, nicht löschen — Transaktionen müssen per GwG §8 (10 Jahre) aufbewahrt werden
Alle PII werden vom Runtime-Logger automatisch redaktiert (email, firstName, lastName, phone, Adresse, companyName, dateOfBirth).

PCI DSS

Card-Data (PAN, CVV, Expiry) wird ausschließlich server-seitig unter AES-256-GCM at rest gehandhabt. Der Agent sieht PAN/CVV in keinem Code-Pfad — requireIntent und die Credential-Grenze erzwingen das architektonisch. Du benötigst keine PCI-DSS-Zertifizierung um Ovra zu integrieren.

Sacred Invariants die wir erzwingen

  1. PAN/CVV verlassen niemals den Server in Richtung Agent-Kontext.
  2. requireIntent ist nicht verhandelbar.
  3. Strict Agent-Isolation via at_* Tokens.
  4. Money-moving POSTs benötigen Idempotency-Key.
  5. Append-only Audit- und Decision-Logs (PG RULES schreiben UPDATE/DELETE zu NOTHING um).
  6. Alle IDs aus crypto.randomBytes.
  7. SHA-256-gehashte API-Keys + timingSafeEqual für alle Secret-Compares.
  8. Webhooks fail-closed in Production; HMAC-signiert; SSRF + DNS-Rebind-Block.
  9. EU-Datenresidenz.

Was wir heute nicht claimen

  • Noch kein SOC2. Compliance-Posture (SOC2 Type 2, ISO 27001) ist auf der Post-Pre-Seed-Roadmap. Investoren und Enterprise-Buyer können unseren Security-Questionnaire und AVV anfragen.
  • Noch kein Live-Mode. Sandbox-only durch Pre-Seed. Live mit echtem KYC und SEPA öffnet in v1.3+.
  • Keine Money-Services-Lizenz auf Ovra-Entity. Wir sind tech-only; der Banking-Partner hält die Lizenz.

Public-Trust-Pages

Für deutsche Markt-Compliance exposed die Marketing-Site:
  • /impressum
  • /datenschutz
  • /agb
Ein AVV-Template ist auf Anfrage verfügbar via legal@getovra.com.

Weiter

Sandbox

Was simuliert vs real ist heute.

Intelligenz

Audit-Log-Details die Auditoren befriedigen.