docs: cross-links updated to 3-level structure

CONTRIBUTING.md

@@ -0,0 +1,39 @@
+# Contributing
+
+Vielen Dank für dein Interesse an der hightrusted CAPTURE API.
+
+## Wer kann beitragen
+
+Diese Repositorys werden primär von hightrusted GmbH gepflegt. Wir freuen uns
+über Bug-Reports, Verbesserungsvorschläge und Pull-Requests aus der Community.
+
+## Issues
+
+- **Bug-Report:** beschreibe das erwartete vs. tatsächliche Verhalten und liefere
+  einen reproduzierbaren Code-Schnipsel mit. Bitte keine API-Keys mit posten.
+- **Feature-Request:** beschreibe den Use-Case — wir entscheiden, ob das Feature
+  in das SDK gehört oder besser direkt gegen die API umgesetzt wird.
+
+## Pull Requests
+
+1. Fork und Branch (`feat/...`, `fix/...`, `docs/...`).
+2. Tests anpassen oder ergänzen.
+3. Lokale Build-Pipeline grün bekommen (siehe README).
+4. **Commits signieren** — sowohl GPG als auch X.509 werden akzeptiert. Unsignierte
+   Commits werden nicht gemerged.
+5. PR öffnen mit klarer Beschreibung: Was ändert sich, warum, Breaking Change ja/nein.
+
+## Code-Stil
+
+Jede Sprache hat ihre eigene Konvention — siehe README des jeweiligen Repos.
+Tendenziell: Pflegt euch an den Standards, die wir bereits im Code verwenden.
+
+## Lizenz
+
+Beiträge gehen unter der MIT-Lizenz ein (siehe `LICENSE`). Mit dem Öffnen eines
+PRs bestätigst du, dass du das Recht hast, deinen Beitrag unter diese Lizenz zu
+stellen.
+
+## Kontakt
+
+`developers@hightrusted.net`

README.md

@@ -1,3 +1,95 @@
-# capture-postman
+# hightrusted CAPTURE — Postman Collection
 
-Postman Collection für die hightrusted CAPTURE API
+> **Status:** v0.1 Preview — API stabil, Collection wird mit jedem API-Release aktualisiert
+
+Postman-Collection für die [hightrusted CAPTURE API](https://capture.hightrusted.net) —
+forensische Web-Captures mit qualifiziertem Zeitstempel nach RFC 3161 / eIDAS Art. 41.
+
+**Made in Germany.** Server in Deutschland. DSGVO-nativ. Kein US-Cloud-Anbieter
+in der Verarbeitungskette.
+
+## Inhalt
+
+- `hightrusted-capture.postman_collection.json` — alle Endpoints mit Beispielen
+- `hightrusted-capture.postman_environment.json` — Environment-Template (`api_key`, `base_url`)
+
+## Endpoints in der Collection
+
+- `POST /captures` — Capture erstellen (sync / async / webhook)
+- `GET /captures/{id}` — Status abfragen
+- `GET /captures/{id}/pdf` — PDF herunterladen
+- `GET /captures/{id}/verify` — Capture verifizieren (kostenlos, ohne API-Key)
+- `GET /usage` — eigenen Verbrauch abrufen
+
+## Nutzung
+
+### Variante 1 — Direkt-Import in Postman
+
+1. Postman öffnen → **Import** → diese beiden Files auswählen
+2. Im Environment `hightrusted-capture` den Wert `api_key` setzen
+   (Dashboard: https://capture.hightrusted.net/dashboard/api-keys)
+3. Environment auswählen → Requests senden
+
+### Variante 2 — Öffentlicher Workspace
+
+Direkter Fork aus dem öffentlichen Postman-Workspace:
+https://www.postman.com/hightrusted/workspace/capture-api
+
+## Authentifizierung
+
+Bearer-Token. In der Collection bereits voreingestellt — du musst nur die
+Variable `{{api_key}}` im Environment befüllen.
+
+## Tests in der Collection
+
+Jede Request hat einfache Response-Tests:
+
+- HTTP-Status korrekt
+- `request_id`-Header gesetzt
+- Bei `POST /captures` (sync): `id`, `status`, `verify_url` vorhanden
+- Bei `GET /captures/{id}/verify`: `valid` ist Boolean
+
+Damit kannst du die Collection auch im Newman-CI nutzen:
+
+```bash
+newman run hightrusted-capture.postman_collection.json \
+  -e hightrusted-capture.postman_environment.json
+```
+
+## Versionierung
+
+Diese Collection folgt der API-Version (`/api/v1/...`). Breaking Changes der API
+führen zu einer neuen Major-Version der Collection. Non-Breaking Changes
+(neue Endpoints, neue Felder) werden ohne Versionssprung eingepflegt.
+
+## Verwandte Repositorys
+
+**Im selben Produkt** ([`hightrusted-capture`](https://git.hightrusted.net/hightrusted-capture)):
+
+- [`openapi`](https://git.hightrusted.net/hightrusted-capture/openapi) — OpenAPI 3.1 Spec (Single Source of Truth)
+- [`examples`](https://git.hightrusted.net/hightrusted-capture/examples) — Beispiel-Anwendungen
+- [`python`](https://git.hightrusted.net/hightrusted-capture/python) — Python-SDK
+- [`node`](https://git.hightrusted.net/hightrusted-capture/node) — Node.js-SDK
+- [`php`](https://git.hightrusted.net/hightrusted-capture/php) — PHP-SDK
+
+**Plattform-übergreifend** ([`hightrusted`](https://git.hightrusted.net/hightrusted)):
+
+- [`platform`](https://git.hightrusted.net/hightrusted/platform) — Plattform-Übersicht, Architektur, Produkt-Liste
+- [`developer-portal`](https://git.hightrusted.net/hightrusted/developer-portal) — gemeinsame Konventionen, Auth, Errors, Rate-Limits
+- [`compliance`](https://git.hightrusted.net/hightrusted/compliance) — DSGVO, AGB-Templates, Whitepaper
+
+## Support
+
+- **Doku:** https://capture.hightrusted.net/api/docs
+- **Status-Page:** https://status.hightrusted.net
+- **Developer Support:** developers@hightrusted.net
+- **Sicherheitslücken:** siehe [SECURITY.md](./SECURITY.md)
+
+## Lizenz
+
+MIT — siehe [LICENSE](./LICENSE).
+
+---
+
+**hightrusted GmbH** — *The European Trust Infrastructure.*
+Made in Germany. DSGVO-nativ. eIDAS-konform.

SECURITY.md

@@ -0,0 +1,33 @@
+# Security Policy
+
+## Sicherheitslücken melden
+
+Wenn du eine Sicherheitslücke in diesem SDK oder in der hightrusted CAPTURE API
+findest, **öffne kein öffentliches Issue**. Stattdessen:
+
+- **E-Mail:** `security@hightrusted.net`
+- **PGP-Key:** veröffentlicht auf https://hightrusted.net/.well-known/security.txt
+
+Bitte gib in der Meldung an:
+
+- Betroffenes Repository / SDK-Version
+- Beschreibung der Schwachstelle und potenzielle Auswirkung
+- Schritte zur Reproduktion
+- Falls vorhanden: Proof-of-Concept-Code
+
+Wir bestätigen den Eingang innerhalb von 48 Stunden und arbeiten an einer
+zeitnahen Behebung. Verantwortliche Offenlegung wird honoriert — wir nennen
+Reporter (auf Wunsch) in den Release-Notes.
+
+## Unterstützte Versionen
+
+Während der `v0.x`-Phase werden nur die jeweils aktuellste Minor-Version und
+deren letzte zwei Patch-Versionen aktiv mit Sicherheits-Updates versorgt.
+
+Ab `v1.0` gilt: aktuelle Major + vorherige Major (12 Monate Übergangsfrist).
+
+## Out of Scope
+
+Diese Policy gilt für die SDKs in diesem Repository und die zugehörige
+hightrusted CAPTURE API. Für Schwachstellen in anderen hightrusted-Produkten
+(SIGN, ID, MEET, PAY, …) gilt jeweils die dortige `SECURITY.md`.