| AC-AUTH-001 | Valid users can login and receive role-scoped access. | المستخدم الصحيح يستطيع الدخول ويحصل على صلاحيات حسب دوره | Needs Evidence |
| AC-RBAC-001 | Unauthorized role access is denied. | يتم منع الوصول عند عدم امتلاك الدور المناسب | Needs Evidence |
| AC-TENANT-001 | Cross-school, cross-supplier, and cross-operator access is denied. | يتم منع الوصول بين المدارس والموردين والمشغلين خارج النطاق | Needs Evidence |
| AC-BCK-001 | Restore test date and result are documented. | يتم توثيق تاريخ ونتيجة اختبار الاستعادة | Needs Evidence |
| AC-PAY-001 | Duplicate payment/webhook does not duplicate financial effect. | لا يؤدي تكرار الدفع أو webhook إلى أثر مالي مكرر | Needs Confirmation |
| AC-API-001 | OpenAPI draft is reviewed against backend runtime routes. | تتم مراجعة OpenAPI مقابل routes الفعلية | Needs Technical Verification |