Il database relazionale (Aurora PostgreSQL) è criptato con AES-256. L’accesso avviene tramite token autenticati IAM con una validità di soli 15 minuti — un meccanismo di accesso effettivo just-in-time.

A livello applicativo, la separazione dei tenant è garantita da un filtro obbligatorio per l’ID del tenant in ogni query. Tutte le interrogazioni al database utilizzano esclusivamente metodi parametrizzati e tipizzati. In questo modo, gli attacchi di SQL injection sono prevenuti per architettura.

Le modifiche allo schema del database sono gestite esclusivamente tramite migrazioni versionate. Il database valida lo schema all’avvio, ma non effettua mai modifiche autonome. Gli accessi in produzione richiedono un’autorizzazione amministrativa speciale e sono completamente tracciati tramite CloudTrail.