# Security & Rights Model v0.2

## Zweck
Dieses Dokument ergänzt das Sicherheitsmodell um konkrete Entscheidungen aus den ADRs.

## Zentrale Sicherheitsentscheidungen

- tenant_id als Mandantenkontext
- PostgreSQL als Datenbank
- Laravel Sanctum als Auth-Basis
- Secrets nicht in Fachtabellen speichern
- Audit-Logs append-only
- API-Zugriffe auditierbar
- Plugin-Scopes später minimal halten

## Rollen V1

### Superadmin
Systemweiter Zugriff, aber alle mandantenübergreifenden Aktionen werden auditierbar.

### Tenant Admin
Verwaltet den eigenen Mandanten.

### Staff / Support
Bearbeitet Kunden, Tickets und operative Daten innerhalb eines Mandanten.

### Kunde
Nicht V1, erst Customer Portal V2.

## Tenant-Isolation
Alle mandantenbezogenen Daten benötigen:

- tenant_id
- Policy-Prüfung
- Query-Scope
- Tests gegen Tenant-Leaks

## Secrets
Secrets werden nur über einen Secret-Service gelesen/geschrieben.

## Audit
Kritische Aktionen werden in Audit-Logs erfasst.

## Offene Punkte
- genaue MFA-Pflicht
- Impersonation-Regeln
- RLS-Umsetzung im Detail