## Objetivo

Garantizar que cada persona tenga solo los accesos necesarios para su función.

## Modelo de roles

- `OWNER`: gobierna riesgo, facturación y aprobaciones finales.
- `ADMIN`: opera configuración y gestión del equipo.

El producto no expone hoy un tercer rol operativo. Funciones internas como finanzas, soporte u operaciones deben mapearse a `OWNER` o `ADMIN` según el riesgo real.

## Proceso recomendado

<Steps>
  <Step title="1) Invitar con rol mínimo">Empieza por mínimo privilegio y eleva solo con necesidad justificada.</Step>
  <Step title="2) Validar alcance de organización">Confirma que cada miembro accede solo a las organizaciones relevantes.</Step>
  <Step title="3) Revisar accesos periódicamente">Haz revisión mensual de miembros, invitaciones pendientes y roles elevados.</Step>
  <Step title="4) Registrar cambios críticos">Mantén auditoría para promociones, degradaciones y bajas.</Step>
</Steps>

## Controles críticos

- No dejar la organización dependiente de un único owner.
- Desactivar cuentas inactivas con privilegios altos.
- Expirar invitaciones antiguas no aceptadas.
