Entry Proxy: Die Mandanten-ID (CMK) wird bereits beim frühesten Eintritt in das System zugewiesen. Nur verifizierte Anfragen mit gültiger Mandantenzuordnung können auf die entsprechenden Daten zugreifen. Diese strikte Trennung wird über den gesamten Request-Lebenszyklus durchgesetzt.

Datenbank (Row-Level Security): Jede Abfrage filtert zwingend nach der Mandanten-ID. Sämtliche Entitäten erfordern dieses Feld. Alle Abfragen verwenden ausschliesslich parametrisierte, typsichere Methoden — SQL-Injection wird dadurch architekturbedingt verhindert.

Speicher: Kundendaten in S3 sind mit mandantenspezifischen KMS-Schlüsseln (CMK) verschlüsselt. Jeder Mandant verfügt über seinen eigenen Verschlüsselungsschlüssel, der bereits bei der Zuweisung am Entry Proxy festgelegt wird.

Autorisierung: Objekt-basierte Berechtigungsprüfungen erzwingen Zugriffskontrollen (ACL) auf Ebene einzelner Dokumente, Fälle und weiterer Entitäten — inklusive Delegation und Ablaufzeiten.

API: Die Mandanten-ID wird aus den authentifizierten JWT-Claims aufgelöst. Jeder Endpunkt erzwingt rollenbasierte Zugriffskontrolle.