5. Segurança de Comunicação

5.1 HTTPS obrigatório

• Certificados TLS atualizados (Let’s Encrypt ou provedor confiável).
• Redirecionar automaticamente HTTP → HTTPS.

5.2 Cabeçalhos de Segurança

Adicionar no servidor/app:

• Strict-Transport-Security
• X-Content-Type-Options: nosniff
• Content-Security-Policy
• X-Frame-Options: DENY
• Referrer-Policy