Zum Hauptinhalt springen

Was ist Ovra?

Ovra ist Payment-Infrastruktur für autonome Software: Jeder Agent erhält eine virtuelle Visa-Karte, ein Wallet zur Finanzierung und einen Policy-Layer, der jede Ausgabe steuert. Agents können Käufe im Web abschließen, ohne jemals primäre Kartendaten zu erhalten — PAN und CVV gelangen niemals in den Modellkontext, in Logs oder in den Agent-Speicher. Ovra stellt auf Visa Network Tokens als Credential-Layer um, entfernt so rohe Kartennummern aus jedem Teil des Stacks und richtet sich nach Visa Intelligent Commerce — Visas Plattform für agentische Zahlungen.

So funktioniert es

1

Agent anlegen

Stellen Sie einen Agent mit eigener virtueller Visa-Karte, Ausgabelimits, Händlerbeschränkungen und optionalen Auto-Approve-Schwellen bereit.
2

Intent deklarieren

Vor der Zahlung dokumentiert der Agent, was er kaufen möchte. Die Policy-Engine genehmigt automatisch oder leitet zur menschlichen Prüfung weiter.
3

Bezahlen (Zero-Knowledge)

Verwenden Sie @ovra/pay oder POST /checkout/token, gefolgt von POST /checkout/fill in Ihrem automatisierten Browser. Kartendaten werden serverseitig zum Einlösungszeitpunkt über Visa Network Tokens aufgelöst; der Agent verarbeitet nur kurzlebige, undurchsichtige Tokens.

Browser-Checkout

  • Browser fill — Ihre Automation steuert eine echte Checkout-Seite. Ovra prägt einen merchant-scoped Token und füllt anschließend die Kartenfelder über CDP (Chrome DevTools Protocol, HTTP) von der API aus. Ideal für übliche Merchant-Checkouts.
Intents und Policy-Voraussetzungen gelten, bevor Tokens geprägt werden; Credentials bleiben außerhalb der Agent-Runtime.

Sicherheitsmodell

Ovra arbeitet mit einem Zero-Knowledge-Checkout relativ zum Agent: Credentials existieren nur innerhalb des kontrollierten Einlösungspfads von Ovra. Tokens sind kurzlebig, einmal nutzbar und an einen genehmigten Intent sowie die erwartete Merchant-Domain gebunden. Jeder Schritt ist über Intents, Ledger-Einträge und Webhooks nachvollziehbar. Verteidigungsebenen:
  • Input-Sanitization — alle IDs werden vor Erreichen der API auf Path-Traversal- und Injection-Angriffe geprüft
  • Response-Redaction — sensible Felder (PAN, CVV, API-Keys, Webhook-Secrets) werden automatisch maskiert, bevor sie in den Modellkontext gelangen
  • Confirmation-Gates — irreversible Aktionen (Karte schließen, GDPR-Löschung, Key widerrufen) erfordern explizit confirm: true, um versehentliche oder per Prompt injizierte Ausführung zu verhindern
  • URL-Validierung — Webhook-URLs müssen HTTPS nutzen und dürfen keine privaten/lokalen Netze ansprechen
  • Network Tokenization — Ovra stellt auf Visa Network Tokens um, sodass selbst der interne Einlösungspfad keine rohen PANs verarbeitet

Network Tokenization

Ovra führt Visa Network Tokens als Credential-Layer für Agent-Payments ein. Network Tokens ersetzen die Primary Account Number (PAN) durch einen von Visa ausgestellten, agent-scoped Token, der kryptografisch an einen bestimmten Agent, Merchant und Transaktionskontext gebunden ist. Was das bedeutet:
  • Rohe PAN/CVV entfallen auf jeder Ebene — Ovra-Datenbank, Einlösungspfad und Merchant-Autorisierung nutzen durchgängig Network Tokens
  • Jeder Token enthält ein Transaction Cryptogram, das Visa auf Netzebene prüft und so eine Authentifizierungsebene ergänzt, die allein mit PANs nicht möglich ist
  • Tokens aktualisieren sich automatisch, wenn die zugrunde liegende Karte abläuft oder neu ausgestellt wird — kein manuelles Credential-Rotation, kein Abo-Abbruch durch abgelaufene Daten
  • Autorisierungsquoten steigen (Branchendurchschnitt +3,2 %), Betrug sinkt (bis zu −28 % bei Card-not-present), weil Issuer Network-authentifizierten Transaktionen mehr vertrauen
Zuordnung zur Architektur von Ovra:
Ovra-KonzeptAktuellMit Visa Network Tokens
Checkout Fill TokenEinlösung gegen gespeicherte PANGestützt durch Visa Network Token + Cryptogram
Browser fillInjiziert PAN/CVV ins Merchant-FormularInjiziert Network-Token-Credentials — der Merchant sieht nie die echte PAN
Spend-ControlsPolicy-Engine auf AnwendungsebeneAnwendungsebene + Durchsetzung auf VisaNet-Ebene
Das entspricht Visa Intelligent Commerce, das dieselben Primitiven auf Netzebene bereitstellt: agent-spezifische Tokenisierung, Payment Instructions und netzwerkseitig durchgesetzte Kontrollen. Ovra fungiert als Middleware-Schicht, die diese Fähigkeiten in eine einfache, agent-native API abstrahiert.

Was Ovra auszeichnet

  • Agent-native Primitiven — Agents, Karten, Policies und Intents sind erstklassige API-Objekte, kein nachträglicher Aufsatz auf Consumer-Kartenprodukte.
  • Browser-Automations-Checkout — Echte, beim Merchant gehostete Seiten werden per DevTools gefüllt, ohne dass Credentials in Agent-Kontext oder Logs gelangen.
  • Policy vor Payment — Ausgaben werden deklariert und bewertet, bevor Tokens geprägt werden; Limits, Allowlists, MCC-Regeln und Simulation gelten einheitlich in Sandbox und Live.
  • Network-Token-ready — Ovra Zero-Knowledge-Architektur ist auf Visa Network Tokens ausgelegt und entfernt rohe PANs aus jeder Schicht.
  • Operator-ready — Scoped Agent-Tokens, MCP-Tools und ein SDK für Browser-Automation lassen sich in bestehende Agent-Stacks integrieren.

Zentrale Funktionen

  • Virtuelle Visa-Karten über Ovras lizenzierten EU-Issuing-Partner, mit Umstellung auf Visa Network Tokens
  • Policy-Engine — Limits, Allowlists, MCC-Codes, Cooldowns, Simulation — mit Durchsetzung auf Netzebene auf der Roadmap
  • Intent-System — jede Zahlung ist deklariert und auditierbar, analog zu Visas Payment-Instructions-Modell
  • Zero-Knowledge-Checkout — Token + Fill im Browser; @ovra/pay kapselt den Browser-Pfad
  • MCP-Server — 10 konsolidierte Tools für den gesamten Payment-Lifecycle von AI-Agents
  • EU-nativ — GDPR-orientiertes Design, deutscher Rechtsträger, EU-Datenresidenz
  • Ovra Sandboxsk_test_*-Keys, Testkarten, keine realen Geldbewegungen

Warum Fiat, nicht Krypto

Einige Agentic-Payment-Lösungen basieren auf Blockchain-Rails und Stablecoins. Ovra ist auf Visas Fiat-Netzwerk gebaut — akzeptiert bei über 80 Mio. Merchants weltweit. Fiat-Rails bieten etablierten Verbraucherschutz, regulatorische Klarheit in der EU (PSD2, DSGVO) und universelle Merchant-Akzeptanz, ohne dass Merchants neue Zahlungsmethoden einführen müssen. Mit Visa Network Tokens erreichen wir dieselben kryptografischen Sicherheitseigenschaften, die Krypto-Befürworter anführen, aber auf Schienen die heute überall funktionieren. Siehe Compliance & Regulatorik für Details zu Lizenzierung, BaFin und wie Ovra reguliert ist.

Für wen Ovra gedacht ist

Teams, die Agents bauen, die online bezahlen müssen: Einkauf und Beschaffung, Reisen und Buchungen, Infrastruktur- und API-Ausgaben — jeder Workflow, in dem Software Kartenzahlungen unter expliziter Policy autorisieren soll, ohne Credential-Leaks.