¿Por qué gestionar roles y permisos?
En una agencia aduanal o empresa de comercio exterior, diferentes personas necesitan diferentes niveles de acceso. Un clasificador no necesita ver información financiera, un ejecutivo de cuenta no debería poder modificar configuraciones del sistema, y un gerente necesita reportes que un operador no requiere. Los roles y permisos de Camtom te permiten controlar exactamente quién puede ver, crear, editar y eliminar información en cada módulo de la plataforma.
Roles predeterminados de Camtom
- Administrador: acceso completo a todos los módulos, configuraciones, facturación y gestión de usuarios. Solo debería asignarse al dueño de la cuenta y al responsable de TI.
- Gerente: puede ver y editar en todos los módulos operativos, generar reportes, y gestionar su equipo. No puede modificar la configuración de facturación ni eliminar usuarios.
- Operador: puede crear y editar operaciones en los módulos asignados (TariffPro, Docs, MVE, TIM). No puede ver reportes financieros ni configurar la cuenta.
- Clasificador: acceso limitado a TariffPro para clasificar productos. No puede ver otros módulos.
- Visor: acceso de solo lectura a los módulos asignados. Ideal para supervisores o auditores externos.
Paso 1: Acceder a la gestión de usuarios
Ve a Configuración > Equipo > Usuarios. Verás la lista de todos los usuarios activos de tu cuenta con su rol actual, fecha de último acceso, y estado (activo, invitado, suspendido). Desde aquí puedes invitar nuevos usuarios, modificar roles existentes, suspender accesos temporalmente, o eliminar usuarios.
Paso 2: Crear un rol personalizado
Si los roles predeterminados no se ajustan a tu estructura, puedes crear roles personalizados. Ve a Configuración > Equipo > Roles > Nuevo rol. Asigna un nombre descriptivo (ejemplo: 'Ejecutivo de cuenta', 'Analista de valoración') y selecciona los permisos específicos para cada módulo.
Permisos disponibles por módulo
- TariffPro: ver clasificaciones, crear clasificaciones, editar clasificaciones, eliminar clasificaciones, exportar historial.
- Docs: ver documentos, cargar documentos, editar datos extraídos, eliminar documentos, compartir externamente.
- KYB: ver empresas, agregar empresas, configurar monitoreo, responder alertas, exportar reportes.
- MVE: ver MVEs, crear MVEs, editar MVEs, enviar a firma, ver todas las MVEs (no solo las propias).
- TIM: ver pedimentos, crear pedimentos, editar pedimentos, autorizar pago, ver reportes financieros.
- Configuración: gestionar usuarios, gestionar roles, configurar empresa, configurar facturación, ver auditoría.
Aplica el principio de mínimo privilegio: asigna a cada usuario solo los permisos que necesita para realizar su trabajo. Esto reduce el riesgo de errores accidentales y mejora la seguridad de tus datos.
Paso 3: Asignar roles a usuarios
Para cambiar el rol de un usuario existente, haz clic en su nombre en la lista de usuarios, selecciona el nuevo rol del menú desplegable, y confirma. El cambio es inmediato: la próxima vez que el usuario cargue una página, verá las opciones correspondientes a su nuevo rol. Si el usuario está conectado en ese momento, se le notificará del cambio.
Paso 4: Configurar políticas de seguridad
- Autenticación de dos factores (2FA): puedes requerir 2FA para todos los usuarios o solo para roles con acceso a información sensible.
- Tiempo de sesión: configura cuánto tiempo puede permanecer activa una sesión sin actividad (30 min, 1 hora, 4 horas, 8 horas).
- Restricción por IP: limita el acceso a la plataforma desde rangos de IP específicos (útil para oficinas con IP fija).
- Política de contraseñas: establece requisitos mínimos de complejidad y frecuencia de cambio.
- Registro de accesos: habilita el log detallado de todas las acciones para auditoría (activado por defecto).
Paso 5: Auditar la actividad de los usuarios
Ve a Configuración > Auditoría para ver un registro cronológico de todas las acciones realizadas en la plataforma. Puedes filtrar por usuario, por módulo, por tipo de acción (crear, editar, eliminar, exportar), y por fecha. Este registro es inmutable y se conserva durante 5 años. Es útil para investigar incidentes, verificar quién hizo un cambio específico, y demostrar diligencia debida ante auditorías externas.
Cuando un empleado deja la organización, suspende su acceso inmediatamente en lugar de eliminarlo. La suspensión preserva el historial de actividad para auditoría. La eliminación borra al usuario y reasigna sus registros al administrador.
Mejores prácticas de gestión de accesos
- Revisa los roles y permisos cada trimestre para asegurar que reflejen la estructura actual del equipo.
- Nunca compartas credenciales de administrador. Cada persona debe tener su propia cuenta.
- Habilita 2FA obligatorio al menos para los roles de administrador y gerente.
- Documenta tus roles personalizados con una descripción de qué permite cada uno y para qué perfil está diseñado.
- Usa el registro de auditoría proactivamente, no solo cuando hay un problema.