O audit ledger é o contrato de integração.

A integração REST de um operador conta o que acabou de acontecer — uma aposta liquidada, uma rodada reembolsada, um reconnect de sessão. O audit ledger conta o que é verdade: um event stream totalmente ordenado, append-only, assinado e timestampado, que sobrevive a cada retry, cada replay e cada inspeção de regulador.

Se a superfície REST é a API, o ledger é o contrato.

Operadores que consomem o ledger reconciliam mais rápido. Um run noturno de settlement vira um stream-sync; uma consulta de regulador vira uma query, não uma escavação forense. Mesas de reconciliação param de construir ferramentas de reconciliação.

O ledger nunca dropa eventos em silêncio. Se ele para de emitir, isso em si é um evento.

Versionamos a event taxonomy e gateamos breaking changes atrás de uma major version, com janela de depreciação em meses, não semanas. O audit ledger é a superfície onde compatibilidade reversa é mais cara, então é onde somos mais disciplinados.

Idempotency keys, offsets monotonicamente crescentes, envelopes de evento assinados. Nada disso é glamoroso. Tudo isso é não-negociável.

Não colapsamos settlement em uma única chamada REST e escondemos o resto atrás de retries. Não embatchamos o ledger em um file dump diário. Não dizemos a operadores ‘só chama a API de novo’ quando algo parece estranho.

O ledger é o que construímos primeiro. Tudo o mais pendura nele.