Trafiłem na dość teoretycznie dość proste zlecenie, klient jest trenerem osobistym / fizjoterapeutą / ortopedą, czymś tam jeszcze, generalnie prowadzi sesje z ludźmi i klika w wordzie ich przebieg i zalecenia czy też rozpisuje im trening przed kolejną sesją i potem wysyła to mailem. Chciałby mieć do tego dedykowany system, czyli zamiast w wordzie, klika coś w aplikacji, a jego klient ma w tej aplikacji swoje konto, więc w domu może się zalogować w domu i zobaczyć historię treningów czy też znaleźć najnowsze zalecenia, itp.
Generalnie, prosty jak budowa cepa CRUD, który można zaimplementować w jeden weekend, tyle, że w grę wchodzi przechowywanie danych osobowych (imię, nazwisko, email, potencjalnie jakieś dane zdrowotne). Z tego względu pytanie, czy warto? Czy potencjalne kary sprawiają, że trzeba do ceny doliczyć kilka zer?
Pod względem samego bezpieczeństwa, powiedzmy że system i baza danych mają silne hasła, które nie wpadną w niepowołane ręce, a komunikacja server-client i client-user odbywa się poprzez HTTPS. Dodatkowo całość jest zabezpieczona przed najpopularniejszymi atakami i kod został sprawdzony przez jakieś Veracode, Defendboty czy coś podobnego. Czy atak i wyciek danych osobowych z aplikacji, która ma 100~ użytkowników jest realny? Druga sprawa, co jeszcze zrobić by móc spać spokojnie? Jakieś sprawdzone materiały na temat bezpieczeństwa aplikacji webowych są mile widziane. A może jakieś kruczki prawne, bądź po prostu umowa sformułowana w ten sposób, że jako programista dostarczam jedynie aplikację, ale nie odpowiadam za to co się z nią później dzieje?