| NFR-SEC-001 | The system shall enforce authentication for protected resources. | يجب أن يطبق النظام المصادقة للموارد المحمية | High | Confirmed |
| NFR-SEC-002 | The system shall enforce RBAC on backend APIs. | يجب أن يطبق النظام RBAC على API الخلفية | High | Confirmed |
| NFR-SEC-003 | The system shall prevent cross-tenant data access. | يجب أن يمنع النظام الوصول بين النطاقات المختلفة | High | Confirmed by technical team; Evidence Pending |
| NFR-SEC-004 | The system shall restrict financial and credential actions with stricter authorization. | يجب تقييد الإجراءات المالية وإجراءات بيانات الاعتماد بصلاحيات أقوى | High | Confirmed |
| NFR-SEC-005 | The system shall not rely on frontend-only authorization. | يجب ألا يعتمد النظام على صلاحيات الواجهة فقط | High | Confirmed |
| NFR-SEC-006 | Sensitive logs, secrets, and tokens shall not be exposed in documentation. | يجب عدم كشف السجلات الحساسة أو الأسرار أو التوكنات في الوثائق | High | Confirmed |