Zum Hauptinhalt springen
rogueai
Startseite / Portfolio / CyComply
Compliance

CyComply

DORA- und Wertpapieraufsicht-RegTech für kleine Wertpapierfirmen und Krypto-Dienstleister

Gebaut von Rogue AI · DORA-Informationsregister + Aufsichts-Pflichtentracking, selbst gehostet · Selbst gehostet · Frühe Phase

Allein als RegTech-Projekt in der Gerüst-Phase in einem selbst gehosteten Labor gebaut; der XBRL-CSV-Export des DORA-Informationsregisters ist das erste Teil, das sauber validiert, während der Vorfall-Workflow noch in Arbeit ist.

CyComply — DORA- und Wertpapieraufsicht-RegTech für kleine Wertpapierfirmen und Krypto-Dienstleister

Das Problem

Kleine Wertpapierfirmen und Krypto-Dienstleister fallen unter DORA, haben aber selten ein Compliance-Engineering-Team. Sie schulden trotzdem ein DORA-Informationsregister über ihre IKT-Drittparteien, IKT-Vorfallmeldungen gegen feste regulatorische Uhren und einen Weg, im Blick zu behalten, was ihre Wertpapieraufsicht veröffentlicht und was aktuell für sie gilt. Das Register muss als XBRL-CSV-Paket im EBA-Format eingereicht werden — von Hand leicht in Feinheiten falsch zu machen, und eine schwergewichtige Enterprise-GRC-Suite ist für eine Firma dieser Größe überdimensioniert.

Was ich gebaut habe

Ein selbst gehostetes Compliance-Cockpit, das die Teile von DORA und Wertpapieraufsicht abdeckt, die eine kleine Firma tatsächlich berührt: ein Informationsregister, das in ein EBA-validiertes XBRL-CSV-Paket exportiert, eine IKT-Vorfallansicht mit der DORA-Meldeuhr, ein Aufsichts-Rundschreiben-/Pflichtentracker und ein KI-Copilot, der 'was gilt für mich'-Fragen verankert in den indexierten Rundschreiben beantwortet statt aus dem Gedächtnis des Modells.

Architektur

Datengetriebener XBRL-CSV-Generator
Der Export des DORA-Informationsregisters wird aus geprüften EBA-Code-Maps und validierten Spaltenvorlagen erzeugt, nicht von Hand zusammengesetzt. Er produziert ein gezipptes Paket, das sauber gegen die EBA-Meldetaxonomie validiert, und protokolliert jeden Lauf als Einreichungs-Datensatz.
Prisma-7- + PostgreSQL-Domänenmodell
Ein typisiertes Schema für Firmen, IKT-Drittparteien und -Verträge, Vorfälle, Pflichten, Benennungen und Einreichungshistorie — die strukturierte Quelle, aus der Register und Copilot beide lesen. Prisma 7 läuft über seinen PostgreSQL-Adapter.
RAG-Copilot über Aufsichts-Rundschreiben
Rundschreiben werden ingestiert und indexiert, dann beantwortet der Copilot Pflichtenfragen, indem er zuerst die relevanten Quellpassagen abruft und eine verankerte Antwort generiert — so bleiben Antworten am Dokumenttext festgemacht, an dem eine Firma tatsächlich gemessen werden kann.
Lokal-zuerst-LLM mit Routing-Schalter
Die Generierung nutzt standardmäßig ein lokales Ollama-Modell, sodass nichts die Box verlässt. Ein Provider-Schalter kann dieselben Aufrufe über eine selbst gehostete Claude-Bridge leiten, wenn ein stärkeres Modell gewünscht ist; Retrieval läuft immer über die RAG-Endpunkte der Bridge, damit Sammlungsbenennung und Embeddings konsistent bleiben.
Custom-JWT-Auth mit Missbrauchskontrollen
Die Sitzung ist ein kurzlebiger HS256-JWT in einem httpOnly-Cookie mit bcrypt-Passwort-Hashing, Origin-Header-CSRF-Prüfungen bei Mutationen, einem Redis-Sliding-Window-Ratenbegrenzer und Kontosperrung pro E-Mail nach wiederholten Fehl-Logins.
Gehärteter selbst gehosteter Docker-Stack
Drei Container — App, PostgreSQL, Redis — in einem isolierten Netzwerk, alle Ports an Loopback gebunden, alle Capabilities entfernt, no-new-privileges, ein schreibgeschütztes Root-Dateisystem mit tmpfs-Scratch-Space, eine Datenbankrolle mit minimalen Rechten und per Digest gepinnte Images.

Tech-Stack

Next.js 16Prisma 7PostgreSQLOllamaClaude bridge

Was zuerst gebrochen ist

  • Der XBRL-CSV-Export des DORA-Informationsregisters folgt der EBA-Meldetaxonomie, die EU-weit gilt und bei jeder nationalen Aufsichtsbehörde identisch ist. Es gibt kein jurisdiktionsspezifisches Dateiformat, das man besitzen könnte — das Format ist also nie der Burggraben, sondern der Workflow, der ein sauberes Paket erzeugt.

  • Die Validierung gegen eine veröffentlichte Taxonomie ist auf nützliche Weise gnadenlos: Der Export besteht den offiziellen Validator oder nicht. Den Generator datengetrieben aus geprüften Code-Maps und validierten Spaltenvorlagen zu bauen, machte ihn deterministisch testbar statt zu einem Haufen handjustierter Zeichenketten.

  • Einen KI-Copiloten per Retrieval in den tatsächlichen Aufsichts-Rundschreiben zu verankern schlägt es, ein allgemeines Modell Pflichtenfragen aus dem Gedächtnis beantworten zu lassen. Retrieval hält Antworten am Quelltext fest, an dem eine kleine Firma gemessen werden kann, und macht eine falsche Antwort auf ein reales Dokument zurückführbar.

Ergebnis

Ein funktionierendes Gerüst, das den schwierigen Teil von Anfang bis Ende belegt: ein DORA-Informationsregister, das in ein EBA-valides XBRL-CSV-Paket exportiert, plus ein per Retrieval verankerter Copilot über die eigenen Rundschreiben der Aufsicht. Es ist ehrlich über seine Phase — keine Nutzer, Vorfall-Automatisierung steht noch aus, und die bewusste Position, dass der Wert im Workflow und in der lokalen Distribution liegt, nicht in einem proprietären Dateiformat.

Ehrliche Grenzen

Frühe Phase, und das ganz offen. Dies ist ein RegTech-Projekt in der Gerüst-Phase, allein gebaut und selbst gehostet in einem lokalen Labor betrieben (der alte VPS wurde stillgelegt). Der XBRL-CSV-Export des DORA-Informationsregisters ist gebaut und validiert sauber gegen die EBA-Taxonomie; die Leseansichten, Dashboard-Zähler, der Copilot und der Pflichtentracker funktionieren; die Automatisierung der ICT-Vorfalluhr und der vollständige Einreichungs-Workflow sind noch v1-Arbeit. Das XBRL-CSV-Format folgt dem EBA-Standard — es ist EU-weit geteilt, kein einzigartiger Vorteil. Keine zahlenden Nutzer, keine 'seit-Produktion'-Behauptungen, keine erfundenen Kennzahlen.

Verwandte Beiträge

← Zurück zum Portfolio