SECURITY NOTES

- Jangan upload file .env ke tempat publik yang bisa diakses langsung.
- Pakai subdomain khusus Node.js App.
- Pakai password admin kuat.
- Pakai ADMIN_PASSWORD_HASH lebih aman:
  node tools/hash-password.js password_baru
  lalu isi hasilnya ke ADMIN_PASSWORD_HASH dan kosongkan ADMIN_PASSWORD.
- Semua query database memakai prepared statement dari mysql2.
- Callback Pakasir tidak dipercaya mentah; sistem cek ulang ke API Pakasir.
- RumahOTP dibatasi antrean request minimal 2100 ms/request agar tidak melebihi 5 request/10 detik.
- Tetap test nominal kecil sebelum dibuka publik.