Tutti i dati sono cifrati at-rest (Postgres) e in-transit (TLS 1.3). I documenti d'identità caricati al check-in stanno in storage privato con URL firmati a tempo limitato, nessun accesso pubblico.
I server sono in EU (Irlanda, AWS/Supabase). Il controllo accessi è granulare per ruolo: staff non vede i dati sensibili di ospiti se non previsto dal flusso.