MANDACT

Vergleiche · Stand Juni 2026

Feature-Matrix: die Agent-Authorization-Landschaft

Sechzehn Dimensionen, fünf Anbieter-Klassen. Vier Zeilen besetzt nur Mandact: Nicht-Zahlungs-Handlungen, das zweiseitige Netzwerk, juristische Vorlagen und verifier-eigene Annahme-Policies. Legende: ✓ vorhanden · (✓) teilweise oder angekündigt · – nicht vorhanden oder nicht Ziel.

FeatureMandactAP2 (FIDO)Visa TAP / MC Agent PayStripe (ACP/SPT/MPP)Okta (AI Agents/XAA)
SchichtVollmacht / RechtZahlungs-MandateKarten-NetzwerkProcessor / Dev-ToolsEnterprise-IAM
Nicht-Zahlungs-Handlungen (Kündigung, Termin, Datenfreigabe, HR, Behörde)✓ 27 Aktionen, 9 Domänen(✓) nur intern, app-bezogen
Zahlungs-Mandate(✓) payment.* kapselt AP2✓ Intent / Cart / Payment✓ Agentic Tokens / Verified Agent ID✓ SPT, scoped Virtual Cards
Zweiseitiges Netzwerk (Mandant und Verifier als Kunden)✓ einzig– Protokoll, kein Betreiber– händlerseitig– händlerseitig– arbeitgeberseitig
Staatliche Identitäts-Wurzel (E-ID/EUDI, SD-JWT/OID4VC)✓ Schema-nativ, Stack = Swiyu(✓) W3C VCs, keine staatliche Wurzel– Karten-Credential– Konto-Credential(✓) VDC erst FY27
Juristische Vorlagen (OR 32 ff. / BGB 164 ff., Review-Pflicht)✓ einzig
Beweiskette (append-only, hash-verkettet, DB-erzwungen, Export)✓ + qualifizierter Zeitstempel-Pfad(✓) signierte Mandate, kein Vault(✓) Netzwerk-Logs(✓) Stripe-Logs(✓) Audit-Logs
Kill Switch / Widerruf < 1 s, Echtzeit-Status-Pflicht✓ MD-201 bewiesen– Spec-offen(✓) Token-Sperre(✓) Card-Cancel(✓) Session-Logout
Eskalation / Step-up (Mensch ab Schwelle)✓ E2E: 600 s, einmalige Token(✓) v0.2 geht Richtung Human Not Present(✓) Async Approvals (Auth0)
Vier-Augen / Org-Zeichnungslogik✓ DB-Trigger-erzwungen(✓) Governance-Workflows
Constraints: Betrag + Frequenz + Geo + Zeitfenster✓ alle vier, 19 stabile MD-Codes(✓) Betrag / Intent(✓) Betrag / Scope✓ Betrag / Merchant / Zeit(✓) Scopes / Policies
Verifier-eigene Annahme-Policies (LoA, maxAmount, Attestierung)✓ Regel-Editor– (umgekehrte Rolle)
MCP-Integration (Agent nutzt Mandate als Tool)✓ 5 Tools, über Stdio bewiesen(✓) MCP-Extension✓ Agent Toolkit(✓) XAA-Protokoll
Offene Governance✓ OMP als Profil über den Standards✓ FIDO Alliance– proprietär– proprietär(✓) XAA offen
EU-Datenhaltung / eIDAS-Beweiswert / AI-Act-Art.-14-Mapping✓ Kernpositionierung– US-zentriert
Enterprise-interne Agenten-Discovery– (AgentryGov-Bundle)✓ Kernprodukt

Status & Positionierung in einem Satz

AP2 (FIDO Alliance)

An die FIDO Alliance gespendet (April 2026), v0.2 mit Human-Not-Present-Zahlungen; PSPs stellen AP2-Mandate aus, die Mastercard als Verifiable Intent akzeptiert.

Das neutrale Mandats-Format für Zahlungen — Mandact kapselt es als payment.*-Subtyp statt zu konkurrieren.

Visa TAP / Mastercard Agent Pay

US-Mastercard-Karteninhaber seit November 2025 flächendeckend enabled, globaler Rollout läuft; erste Live-Agentenzahlung Europas Anfang 2026.

Karten-Credential für Agenten — besetzt die Zahlung, nie die Handlung.

Stripe (ACP / SPT / MPP)

MPP als GA ausgeliefert, Shared Payment Tokens im Rollout mit Visa, Mastercard, Klarna und Affirm.

Entwickler-Rail für Agenten-Checkouts — Integrations-Ziel, kein Wettbewerber.

Okta for AI Agents / XAA

GA seit 30. April 2026; Microsoft Entra und Google Workspace mit Konkurrenzprodukten in Entwicklung; Verifiable Digital Credentials für FY27 angekündigt.

Beantwortet, welche internen Agenten ein Unternehmen hat — der nächste funktionale Nachbar, komplementär zur externen Vollmacht.

Mandact (OMP)

OMP v0.5.2: 19 Ablehnungscodes, API-Keys, Rate Limits, Evidence-Export — durchgängig maschinell verifiziert.

Durfte dieser fremde Agent das gegenüber mir — und wer beweist es vor Gericht?