1. L'intero servizio web deve essere reso accessibile solo via HTTPS. In particolare, la configurazione preferibile è quella in cui il servizio non fornisce nessun contenuto via HTTP. Configurazioni in cui contenuti richiesti via HTTP sono serviti con una reindirizzamento alla home page del servizio su HTTPS sono accettabili.
2. Se il servizio prevede una sezione con accesso autenticato:

a)    Le utenze già inserite nel sistema AD di Ateneo devono essere preferibilmente autenticate con uno dei sistemi di autenticazione federata supportati in Ateneo o, in alternativa, con interrogazione LDAP su canale sicuro al sistema AD di Ateneo. Il servizio non deve memorizzare localmente le credenziali di autenticazione per queste utenze.

b)    Le utenze non inserite nel sistema AD di Ateneo possono essere autenticate localmente dal servizio. Le credenziali di autenticazione devono essere memorizzate in modalità hashed e salted, oppure in modalità hashed nel solo caso in cui siano usate tecnologie basate su Microsoft Windows.