La postura multi-utente dichiarata di Grom Security era una decisione architetturale prima ancora di essere un punto di marketing. Ogni proprietà è l'oggetto radice dei permessi; ogni zona ne eredita le impostazioni; e ogni utente riceve un ruolo per zona — proprietario, famiglia, dipendente, ospite — con capacità mappate per ruolo. I client mobile mostrano solo i controlli che l'utente è autorizzato a utilizzare sulla zona corrente, e il back office applica la stessa matrice di capacità a ogni chiamata API, così una richiesta contraffatta o riprodotta dal client non può escalare il perimetro. Non esiste tracciamento della posizione per utente, né acquisizione continua dal microfono del dispositivo, né pipeline di metadati verso un fornitore di osservabilità esterno al sistema di intervento dell'operatore.
Il registro di audit è il cuore del modello. Ogni attivazione, disattivazione, visualizzazione video e modifica di configurazione scrive un record immutabile identificato per zona, utente, dispositivo e tipo di evento. La finestra di conservazione predefinita di 90 giorni è estendibile in base alla normativa locale, e il proprietario può esportare il registro in formato JSON o CSV in qualsiasi momento. Le policy di infrastructure-as-code applicano gli invarianti di accesso — qualsiasi pull request che amplierebbe il perimetro di lettura di un ruolo o introdurrebbe un non-tracciamento per zona non supera la CI. La postura è costruita per allinearsi agli obblighi GDPR per gli utenti nell'Unione Europea e agli obblighi CCPA / CPRA per gli utenti in California e negli Stati Uniti — e per rendere una futura valutazione indipendente di conformità un esercizio documentale, non un intervento architetturale.
Postura di conformità: conforme al GDPR · pronto per ISO 27001 · SOC 2 Type II in corso · compatibile HIPAA · CCPA riconosciuto.