Ak sa má projekt napájať na klientov a korporáty, bezpečnosť musí byť jadro produktu, nie dodatok. Toto je praktická baseline toho, čo už máme a čo má nasledovať bez odkladu.
CSP, HSTS, Referrer-Policy, Permissions-Policy, CORP a ďalšie bezpečnostné hlavičky na edge vrstve.
CORS allowlist, payload size limit, content-type enforcement, no-store cache politika, request-oriented traceability a rate limiting pri VIES endpointoch.
Workspace API key lifecycle už máme, ďalšia vrstva je SSO, SCIM, tvrdší server-side zápisový model a tenant observability.
Čím viac mutácií pôjde cez server-side policy a RPC, tým lepšie obstojíme pri enterprise review.
Correlation IDs, webhook logs, status vrstva a incident reporting majú byť rovnako presné ako auth baseline.
Archiving, audit export a sealing dotvárajú bezpečnostný príbeh až do daňovej kontroly.
SSO, lifecycle a access governance.
Webhook monitoring a traceability pre enterprise klientov.
Dôkazová vrstva a retention po spracovaní dokumentu.
Biznisový a technický obal pre celý security model.