Tutti i segreti (chiavi API, credenziali di accesso al database, certificati) sono memorizzati tramite AWS SSM Parameter Store come stringhe crittografate (SecureString), protette dalla crittografia KMS. La distribuzione all’applicazione avviene in modo automatizzato e crittografato — senza passaggi manuali.

I segreti non vengono mai memorizzati nel codice sorgente, nei file di ambiente committati o nei log. Uno scanner automatico per i segreti controlla ogni commit nella pipeline CI/CD per individuare credenziali inserite accidentalmente. All’avvio in produzione si verifica che non vengano utilizzate chiavi di sviluppo o test — l’applicazione rifiuta l’avvio se rileva tali chiavi.

I report di errore vengono automaticamente ripuliti dai dati personali (PII-scrubbing).