Privacy e sicurezza

La piattaforma applica HTTPS obbligatorio, antiforgery token, rate limiting, policy CSP restrittiva, cookie sicuri, cifratura applicativa dei campi sensibili e validazione server-side di ogni input.

I file caricati vengono accettati solo se coerenti per estensione, content-type e firma binaria. Gli upload sono salvati fuori da wwwroot per ridurre l'esposizione diretta.

Il modello dati è progettato per supportare GDPR, audit log, ruoli distinti e MFA per utenze ad alto privilegio. Prima della messa in produzione andranno completati i testi legali definitivi della privacy policy della società committente.