Connexion protégée côté serveur pour gérer le budget, l'image d'en-tête et les actions sensibles.
Le code PIN n'est jamais exposé dans le JavaScript public. La vérification se fait côté serveur avec session.