> ## Documentation Index
> Fetch the complete documentation index at: https://docs.getovra.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Compliance

> EU-regulierte Zahlungsinfrastruktur über lizenzierte Partner. DSGVO by design.

Ovra ist eine deutsche Technologie-Plattform. Die regulierten Aktivitäten — Issuing, Custody, Settlement — werden von lizenzierten EU-Partnern betrieben. Wir sind die Orchestrierungsschicht; sie sind die regulierten Counterparts.

## Rollen

| Rolle                     | Counterpart                            | Regulierung                   |
| ------------------------- | -------------------------------------- | ----------------------------- |
| Card-Issuing (CaaS)       | Banking-Partner (Berlin EMI)           | EU-E-Geld-Lizenz              |
| Card-Network              | Visa                                   | EU + nationale Regulatoren    |
| Network-Tokenisierung     | Visa Token Service via Banking-Partner | –                             |
| Fund-Custody              | Banking-Partner                        | EU-Bankenregulierung          |
| Tokenisierung (PCI-Proxy) | Tokenisierungs-Partner                 | PCI-DSS Level 1               |
| Ovra                      | SaaS-Tech-Plattform                    | Deutsches Gewerberecht, DSGVO |

Wir nennen Partner in user-facing Copy by design nicht namentlich — die Architektur ist sichtbar, die regulierten Entitäten sind gegenüber Investoren und Auditoren klar identifiziert. Public-Docs sagen „Banking-Partner" / „Card-Issuer" / „Tokenisierungs-Partner".

## EU-Datenresidenz

Jede Response trägt `X-Data-Residency: EU`. Konkret:

* Postgres in EU gehostet
* Banking-Partner in Berlin (EMI)
* PostHog Product-Analytics auf EU-Endpoint
* Alle Logs und Audit-Events bleiben in EU-Infrastruktur

## DSGVO-Posture

| Recht        | Endpoint             | Verhalten                                                                                       |
| ------------ | -------------------- | ----------------------------------------------------------------------------------------------- |
| Auskunft     | `GET /gdpr/export`   | Voller Datendump, JSON                                                                          |
| Einwilligung | `POST /gdpr/consent` | Track AGB / Datenschutz / Marketing-Flags pro Customer                                          |
| Löschung     | `POST /gdpr/delete`  | **Anonymisieren, nicht löschen** — Transaktionen müssen per GwG §8 (10 Jahre) aufbewahrt werden |

Alle PII werden vom Runtime-Logger automatisch redaktiert (`email`, `firstName`, `lastName`, `phone`, Adresse, `companyName`, `dateOfBirth`).

## PCI DSS

Card-Data (PAN, CVV, Expiry) wird ausschließlich server-seitig unter AES-256-GCM at rest gehandhabt. Der Agent sieht PAN/CVV in keinem Code-Pfad — `requireIntent` und die Credential-Grenze erzwingen das architektonisch. **Du benötigst keine PCI-DSS-Zertifizierung um Ovra zu integrieren.**

## Sacred Invariants die wir erzwingen

1. PAN/CVV verlassen niemals den Server in Richtung Agent-Kontext.
2. `requireIntent` ist nicht verhandelbar.
3. Strict Agent-Isolation via `at_*` Tokens.
4. Money-moving POSTs benötigen `Idempotency-Key`.
5. Append-only Audit- und Decision-Logs (PG RULES schreiben UPDATE/DELETE zu NOTHING um).
6. Alle IDs aus `crypto.randomBytes`.
7. SHA-256-gehashte API-Keys + `timingSafeEqual` für alle Secret-Compares.
8. Webhooks fail-closed in Production; HMAC-signiert; SSRF + DNS-Rebind-Block.
9. EU-Datenresidenz.

## Was wir heute *nicht* claimen

* **Noch kein SOC2.** Compliance-Posture (SOC2 Type 2, ISO 27001) ist auf der Post-Pre-Seed-Roadmap. Investoren und Enterprise-Buyer können unseren Security-Questionnaire und AVV anfragen.
* **Noch kein Live-Mode.** Sandbox-only durch Pre-Seed. Live mit echtem KYC und SEPA öffnet in v1.3+.
* **Keine Money-Services-Lizenz auf Ovra-Entity.** Wir sind tech-only; der Banking-Partner hält die Lizenz.

## Public-Trust-Pages

Für deutsche Markt-Compliance exposed die Marketing-Site:

* `/impressum`
* `/datenschutz`
* `/agb`

Ein AVV-Template ist auf Anfrage verfügbar via [legal@getovra.com](mailto:legal@getovra.com).

## Weiter

<CardGroup cols={2}>
  <Card title="Sandbox" icon="flask" href="/de/concepts/sandbox">
    Was simuliert vs real ist heute.
  </Card>

  <Card title="Intelligenz" icon="chart-line" href="/de/concepts/intelligence">
    Audit-Log-Details die Auditoren befriedigen.
  </Card>
</CardGroup>
