Was ist MCP?
Das Model Context Protocol ermöglicht es KI-Assistenten, Tools mit strukturierten Argumenten aufzurufen. Der MCP-Server von Ovra stellt den vollständigen agentischen Payment-Lifecycle über 10 konsolidierte Tools bereit — jedes mit mehreren Aktionen.Unterstützte Clients
- Claude Desktop / Claude Code
- Cursor
- Jeder MCP-kompatible Client (Visa bietet außerdem einen MCP-Server für Visa Intelligent Commerce)
Tool-Überblick
| Tool | Aktionen | Beschreibung |
|---|---|---|
ovra_agent | list, create, get, update, fund, token_list, token_create, token_revoke | AI-Agents und deren begrenzte Auth-Tokens verwalten |
ovra_intent | list, create, get, approve, deny, cancel, verify | Payment-Intents deklarieren und verwalten |
ovra_checkout | execute, token, detect, fill | Zero-knowledge Checkout — Browser-Fill und API-execute |
ovra_card | list, freeze, unfreeze, close, rotate, spend_limit, | Virtuelle Cards verwalten und Zugriffs-Audit-Trail |
ovra_policy | get, update, simulate, template_list, template_create, template_delete, template_apply | Ausgaberegeln und Guardrails konfigurieren |
ovra_transaction | list, get, memo, evidence_list, evidence_attach | Zahlungshistorie einsehen und Belege anhängen |
ovra_dispute | list, get, create, resolve, reject | Zahlungsstreitigkeiten einreichen und verwalten |
ovra_customer | get, update, gdpr_export, gdpr_consent, gdpr_delete | Kontoprofil und GDPR-Compliance |
ovra_merchant | resolve, explain, list_mcc, suggest | Merchant-Intelligence für Policy-Allowlists |
ovra_config | key_list, key_create, key_revoke, webhook_list, webhook_create, webhook_delete | API keys und Webhooks |
action-Parameter zur Auswahl der Operation. Dieses konsolidierte Design hält die Gesamtzahl der Tools niedrig (10 statt 30+), um die Nutzung des LLM-Kontextfensters zu minimieren, und deckt gleichzeitig die gesamte API-Oberfläche ab.
Checkout-Pfade
- Browser:
ovra_checkoutmitaction: "token"→action: "detect"(optional) →action: "fill"mit{ token, cdpBaseUrl }. Ovra injiziert Card-Credentials über DevTools HTTP — der Agent sieht sie nie. - API execute:
ovra_checkoutmitaction: "execute"für API-seitige Belastung gegen eine HTTPS-targetUrlmit genehmigtem Intent.
Sicherheitsmerkmale
- Input-Validierung — Pflichtparameter werden vor API-Aufrufen geprüft; IDs werden gegen Path-Traversal bereinigt
- Response-Redaction — PAN, CVV, API keys und Webhook-Secrets werden maskiert, bevor sie in den Modellkontext gelangen
- Bestätigungsschwellen — destruktive Aktionen (
card/close,gdpr_delete,key_revoke) erfordernconfirm: true - URL-Validierung — Webhook-URLs und die
targetUrlbei execute müssen HTTPS nutzen; private/lokale Adressen sind wo zutreffend blockiert - Tool-Annotationen — jedes Tool trägt Metadaten
readOnlyHint,destructiveHint,idempotentHintfür sichere Client-UX