Die relationale Datenbank (Aurora PostgreSQL) ist mit AES-256 verschlüsselt. Der Zugriff erfolgt über IAM-authentifizierte Tokens mit einer Gültigkeit von nur 15 Minuten — effektiv ein Just-in-Time-Zugangsmechanismus.

Auf Anwendungsebene wird die Mandantentrennung durch zwingende Filterung nach Mandanten-ID auf jeder Abfrage sichergestellt. Alle Datenbankabfragen verwenden ausschliesslich parametrisierte, typsichere Methoden. SQL-Injection-Angriffe werden dadurch architekturbedingt verhindert.

Datenbankschema-Änderungen werden ausschliesslich über versionierte Migrationen verwaltet. Die Datenbank validiert das Schema beim Start, nimmt aber niemals eigenständige Änderungen vor. Produktionszugriffe erfordern eine spezielle Administratorberechtigung und werden vollständig über CloudTrail protokolliert.