Consenso e prova di autorizzazione

Chi installa o collega MailSenpai MCP accetta i termini e l'informativa privacy nel client AI/marketplace e durante l'OAuth MailSenpai. Per poter dimostrare l'accettazione, il server salva una prova tecnica del consenso.

Come viene raccolto

1. Marketplace o client AI: l'utente approva l'installazione secondo il flusso del provider AI.
2. OAuth MailSenpai: la pagina di autorizzazione mostra termini, privacy, scope richiesti e checkbox obbligatoria.
3. Access token: il token viene rilasciato solo dopo consenso e autenticazione validi.

Cosa viene salvato

La prova e' salvata come JSON Lines in data/oauth_consents.log e contiene: timestamp, policy_version, terms_url, privacy_url, client_id, redirect host, scope, resource, customer/user id dove disponibili, hash email, hash IP, hash user-agent e hash PKCE/state.

Come dimostrarlo

In caso di richiesta, l'amministratore puo' estrarre le righe relative all'utente/customer e mostrarle insieme alla versione di privacy/termini pubblicata in quella data. Non e' necessario esporre indirizzi IP o email in chiaro: sono salvati come hash.

Retention

Retention predefinita: 24 mesi, salvo obblighi contrattuali o legali diversi.

{
  "schema_version": "1.0.26",
  "policy_version": "2026-05-13",
  "terms_url": "https://mcp-claude.mailsenpai.com/terms",
  "privacy_url": "https://mcp-claude.mailsenpai.com/privacy",
  "retention_months": 24,
  "evidence_file": "data/oauth_consents.log",
  "evidence_format": "JSON Lines",
  "event_name": "oauth_authorization_consent"
}