## Modelo recomendado

Uma organização por entidade operacional, com separação clara entre responsabilidades técnicas, financeiras e de suporte.

## Passo a passo

<Steps>
  <Step title="1) Criar estrutura base">Define organização, owner e contexto de operação (`test` primeiro, depois `live`).</Step>
  <Step title="2) Configurar equipa">Convida membros por função e aplica princípio de menor privilégio.</Step>
  <Step title="3) Validar acessos críticos">Confirma quem pode executar ações sensíveis (billing, fiscal, webhooks e membros).</Step>
</Steps>

## Matriz mínima de permissões

| Papel | Acesso recomendado |
| --- | --- |
| `OWNER` | gestão completa, aprovações críticas e ownership final |
| `ADMIN` | operação diária, fiscal, billing e investigação operacional sem transferir ownership |

As funções de equipa como financeiro e suporte devem ser mapeadas para `OWNER` ou `ADMIN`; não existem roles dedicadas para essas funções na app actual.

## Checklist de segurança

1. Rever membros ativos e remover acessos obsoletos.
2. Garantir 2FA obrigatório para perfis com ações críticas.
3. Registar alterações de role com justificativa auditável.

<Tip title="Boa prática">Agenda revisão de acessos mensal para manter segregação de funções consistente.</Tip>
