A01 Broken Access Control: 11 ruoli, 38 permessi, separazione tenant basata su righe, autorizzazione basata su oggetti per entità, sessioni senza stato.

A02 Cryptographic Failures: TLS 1.2+/1.3, AES-256 a tutti i livelli di memorizzazione, chiavi di crittografia specifiche per tenant, nessuna memorizzazione locale delle password.

A03 Injection: Solo query tipizzate (niente SQL grezzo), pattern di injection WAF, auto-escaping Vue, deserializzazione sicura.

A04 Insecure Design: Architettura a strati, protezione CSRF, rate-limiting.

A05 Security Misconfiguration: Scansione IaC, porte di gestione isolate, nessuna credenziale predefinita, validazione degli schemi.

A06 Vulnerable Components: Controllo automatico delle dipendenze (CVSS ≥ 7 blocca la build), monitoraggio continuo.

A07 Authentication Failures: OAuth2/OIDC, MFA, validazione JWT con whitelist degli issuer.

A08 Data Integrity Failures: Gate CI/CD, scansione dei segreti, deserializzazione sicura.

A09 Logging Failures: Audit trail, CloudTrail, tracciamento errori in tempo reale.

A10 SSRF: IMDSv2 forzato, nessun URL personalizzato, WAF, isolamento VPC.