VIT — 007

VitSiteTrack — Security Architecture

Vitruvius Ecosystem · PLAN §3.5 · Defense in Depth

A

B

C

D

Access Control

Firestore / Storage Rules

Tenant Isolation

path-scoped · server truth

▢

deny-by-default

match /{**} → if false

▤

orgs/{orgId}/...

גבול ב-path לא בשדה

◈

custom claim orgId/role

setOrgClaim · Admin SDK

⊞

write validation

immutable · hasOnly · role gating

rules placeholder = breach חי

●

App Check

monitor→enforce · על Functions

Crypto · Tokens

Cloud KMS · Function-only

KMS Envelope

HSM · auto-rotate

◈

cryptoFn

decrypt רק כאן · לא בלקוח

▢

encryptedTokens

kmsKeyVersion · scope · expiresAt

✦

auditLog (append-only)

TOKEN_DECRYPTED · EMAIL_SENT

⟳

anomaly alert

נפח חריג mail-send/decrypt

Identity · OAuth

scope minimization

Least Privilege

send-only · PKCE

▷

Google gmail.send

sensitive · ללא CASA · אפס read

▷

MS delegated Mail.Send

לא .Shared · admin-consent Office

⊞

PKCE + exact redirect

allowlist · לא wildcard

●

App / Publisher Verification

Google + Microsoft

חוסם launch · lead-time שבועות

Legal Shield

תיקון 13 · GDPR · בעל המוצר

Controller / Processor

משרד=controller · אנחנו=processor

▣

DPA מול כל משרד

תקרות חבות · שיפוי

▦

Privacy Policy + ToS

sub-processor DPAs · תמלול EU/no-train

✦

consentRecords

בסיס חוקי PII צד ג'

⟳

retention TTL + breach

DPIA קל · נוהל breach לפני launch

Access / critical

Crypto

Identity

Legal

ProjectVitSiteTrack

DrawingSecurity

SubjectPLAN §3.5

Ref. No.VIT — 007

Vitruvius Design Language · 2025