ORSF (Otvorený register slovenských firiem) je nezávislý open-data projekt agregujúci 14 oficiálnych slovenských registrov (RPO, ORSR, RÚZ, FS DPH a ďalšie) do jedného REST API a MCP servera. Pre AI agentov, novinárov, compliance a due diligence.

How is ORSF different from ORSR?

ORSR (Obchodný register SR, orsr.sk) is the official Ministry of Justice registry — no public REST API. ORSF (orsf.sk) is an independent open project that uses ORSR as ONE of 14 sources, adding REST API, MCP server, CLI and bulk export.

Yes, public business data is free under CC-BY 4.0. The REST API at https://api.orsf.sk/v1 is publicly accessible. Personal data (sole traders, full director details) requires authentication per GDPR Art. 5(1)(c).

How do AI agents access ORSF?

AI agents can use either the public REST API (https://api.orsf.sk/v1, OpenAPI spec at /v1/openapi.json) or the MCP server (@orsf/mcp-server) for direct integration with Claude Desktop and other MCP-compatible clients.

Pravidlá používania

Verzia 1.0.0 · DRAFT — vyžaduje právny review

Pravidlá používania (AUP) — ORSF

⚠️ DRAFT — čaká na právny review.

Cieľom týchto Pravidiel je zabezpečiť, aby Služba ORSF slúžila legitímnemu účelu transparentnosti obchodného styku a nebola zneužitá proti jednotlivcom.

1. Účel ORSF

Služba je určená na:

overovanie obchodných partnerov pred uzavretím zmluvy
analýzu trhu, konkurencie, dodávateľov
investigatívnu žurnalistiku a akademický výskum
compliance (KYC, AML, sankčné kontroly)
osobný záujem o stav slovenskej ekonomiky

2. ZAKÁZANÉ používanie

Služba NESMIE byť použitá na:

2.1. Zneužitie fyzických osôb

Stalking alebo obťažovanie konkrétnej fyzickej osoby
Doxxing — publikovanie adries štatutárov mimo kontextu obchodného záujmu
Diskriminácia pri prijímaní do zamestnania, bývania, poistenia na základe údajov zo Služby
Mass-mailing alebo cold-call kampane na kontakty získané zo Služby

2.2. Technické zneužitie

Automatizovaný scraping nad rámec zverejneného API rate-limitu
Obchádzanie rate-limitu cez rotáciu IP, viacnásobné účty
Reverse-engineering alebo pokus o obídenie autentifikácie
DoS/DDoS útoky alebo iné aktivity poškodzujúce Službu
Injection / XSS / SSRF pokusy
Použitie zraniteľností pred ich nahlásením Prevádzkovateľovi

2.3. Komerčná redistribúcia

Predávanie dát tretím stranám bez písomnej dohody s Prevádzkovateľom
Vytváranie konkurenčnej služby na základe dát zo Služby
Public republishing celých datasetov (napr. torrenty, github repo s DB dumpom)

2.4. Nezákonné aktivity

Akékoľvek použitie, ktoré porušuje slovenské alebo európske právo
Pranie špinavých peňazí, financovanie terorizmu
Spracovanie údajov zo Služby v rozpore s GDPR

3. API a automatizácia

Povolené s API prístupom (Bearer token, dokumentované limity):

Free tier: 100 requests/deň, 10/minútu
Paid tier: rozšírené limity podľa predplatného (viď cenník)
Server-to-server, CLI, MCP agents — všetko OK v rámci limitov

Nie je povolené:

Paralelné volania z viacerých IP pre obídenie limitu
Používanie API na real-time verejnú službu, ktorá by Službu de-facto nahradila bez dohody

4. AI agenti (MCP / autonomous)

Ak používaš ORSF MCP server alebo CLI s autonómnym agentom:

Agent musí mať attestation v tokene (kto je odosielateľ, aký je účel, limit akcií)
Lidský dohľad — každá operácia typu „export všetkých firiem v NACE X" vyžaduje ľudský confirm
Logging — agent kroky sa logujú v audit log rovnako ako user akcie

Detaily: apps/mcp-server/README.md (pri implementácii Fázy 4).

5. Reportovanie bezpečnostných nálezov

Zraniteľnosti prosím hláste na [email protected] (predmet „SECURITY"), nie cez public issue tracker.

Responsible disclosure — 90 dní pred zverejnením
Bounty — zatiaľ nie oficiálny, ale ďakujeme a uvedieme v Hall of Fame (ak súhlasíš)
Žiadne právne kroky voči bona-fide security researcherom, ktorí dodržia responsible disclosure

6. Následky porušenia

Pri porušení týchto Pravidiel:

Varovanie (pri menšom porušení) + 24h na nápravu
Suspendácia účtu (pri opakovanom alebo vážnom porušení)
Trvalé zablokovanie + nahlásenie orgánom činným v trestnom konaní (pri nezákonnej aktivite)
Občianskoprávna zodpovednosť za spôsobenú škodu

7. Kontakt

Abuse / porušenie AUP: [email protected] (predmet „ABUSE")
Security / responsible disclosure: [email protected] (predmet „SECURITY")
Všeobecný kontakt: [email protected]
GDPR žiadosti: [email protected] (predmet „GDPR") alebo /gdpr/namietka, /gdpr/access

Verzia: 1.0.0 (DRAFT) Dátum účinnosti: TBD (po právnom review)