Entry Proxy: L’ID del tenant (CMK) viene assegnato già al primo ingresso nel sistema. Solo le richieste verificate con un’assegnazione valida del tenant possono accedere ai dati corrispondenti. Questa separazione rigorosa viene applicata per tutto il ciclo di vita della richiesta.

Database (Row-Level Security): Ogni query filtra obbligatoriamente per l’ID del tenant. Tutte le entità richiedono questo campo. Tutte le query utilizzano esclusivamente metodi parametrizzati e tipizzati — l’iniezione SQL è quindi prevenuta per architettura.

Storage: I dati dei clienti in S3 sono criptati con chiavi KMS specifiche per tenant (CMK). Ogni tenant ha la propria chiave di crittografia, assegnata già al momento dell’ingresso tramite l’Entry Proxy.

Autorizzazione: I controlli di autorizzazione basati su oggetti applicano controlli di accesso (ACL) a livello di singoli documenti, casi e altre entità — inclusa la delega e la scadenza.

API: L’ID del tenant viene risolto dai claim JWT autenticati. Ogni endpoint applica un controllo di accesso basato sui ruoli.