En HSTS-policy är den uppsättning regler som definieras i HSTS-rubriken och som styr hur webbläsaren ska hantera HTTPS för en domän.

Policyn anger bland annat hur länge HSTS ska gälla och om den även ska omfatta underdomäner.

Genom att konfigurera HSTS-policyn korrekt kan webbplatsägare säkerställa att användare alltid ansluter säkert. Samtidigt kräver policyn försiktighet, eftersom en lång giltighetstid kan skapa problem om certifikat eller serverkonfigurationer ändras på ett felaktigt sätt.