Issue: Gestione segreti centralizzata
Summary
Spostare segreti da .env locali a un secret manager (Vault / cloud SM) e abilitare rotazione per JWT secret e provider notifiche.
Motivation / Risk
- Rischio leakage di credenziali (JWT, Twilio, SendGrid, FCM) in file o log.
- Rotazione manuale complessa → segreti longevi.
Plan
- Scegliere secret manager (compatibile con ambiente attuale).
- Mappare variabili sensibili per servizio; sostituire lettura da file con fetch runtime/sidecar.
- Implementare rotazione periodica JWT secret (con key id) e provider keys.
- Aggiornare CI/CD per injection sicura.
- Documentare procedura di roll/rollback.
Acceptance Criteria
- Nessun secret hardcoded in repo/compose; caricati da manager.
- Rotazione JWT supporta key rollover senza downtime.
- Playbook di rotazione disponibile.
Notes / Dependencies
- Richiede accesso a secret manager scelto; coordinare con SecOps.
- JWT rotation implica gestione kid e doppia validazione temporanea.