# Trust API Operations fuer brigitte.de

Trust API Operations für brigitte.de: 11 Endpunkte, 5 Token-Regeln, 5 Sync-Jobs, Score 100.

> Trust API Operations ist ein Betreiber-Blueprint. Diese öffentliche Seite ruft keine fremden APIs auf, exportiert keine Tokens und gewährt keine echten Trust-Center-Zugriffe.

## Endpunkte
- **API Token Lifecycle**: HEADER X-API-KEY (admin:api_tokens)
- **Authorization Requests lesen**: GET /api/v2/exchange/authorization_requests (trust_audience:read)
- **Authorization Request bearbeiten**: PATCH /api/v2/exchange/authorization_requests/{id} (trust_audience:write)
- **Authorization erstellen**: POST /api/v2/exchange/authorizations (trust_audience:approve)
- **Access Groups lesen**: GET /api/v2/exchange/access_groups (trust_access_groups:read)
- **Dokumente und Ordner verwalten**: GET/POST/PATCH/DELETE /api/v2/exchange/documents (trust_documents:write)
- **Subprozessoren pflegen**: GET/POST/DELETE /api/v2/exchange/subprocessors (trust_designer:write)
- **Analytics Interactions lesen**: GET /api/v2/analytics/interactions (trust_analytics:read)
- **Curated Q&A pflegen**: GET/POST/PATCH /api/v2/knowledge_base/questions (knowledge:write)
- **Questionnaires importieren und aktualisieren**: GET/POST/PATCH /api/v2/questionnaires (questionnaires:write)
- **One-off Questions stellen**: GET/POST /api/v2/questions (questions:write)

## Runbook
- [ ] Jeden Write-Endpunkt zuerst als Dry-Run gegen lokale Payload-Regeln prüfen (Platform/Compliance)
- [ ] High-Risk-Schreibpfade brauchen Team-Rollen-Approval und Audit-Event (Trust Owner)
- [ ] Rate-Limits, Retry-Backoff und Dead-Letter-Queue pro Integration setzen (Platform)
- [ ] PATCH/POST-Änderungen mit vorherigem Snapshot und Rücksetzplan dokumentieren (Trust Operations)
- [ ] Viewer-, Questionnaire- und Analytics-Felder vor Export pseudonymisieren (Datenschutz)

## Guardrails
- [ ] Öffentliche SaferPage-Seite ruft keine fremden Trust-Center-APIs live auf: enforced
- [ ] API-Keys, Bearer Tokens, Webhook-Secrets und Magic Links werden nie exportiert: enforced
- [ ] POST/PATCH/DELETE brauchen Betreiberfreigabe, Rollenprüfung und Idempotency-Key: required
- [ ] Read-Jobs importieren nur erlaubte Felder und hashen Personenbezug: required
- [ ] Jeder produktive API-Aufruf erzeugt Auditlog mit Scope, Zweck und Ergebnis: required
- [ ] DACH/EU-Betrieb prüft AVV/DPA, Transferstatus und Löschpfade vor Integration: required