Equipos.

Cómo colaborar de forma segura en Vericto: roles, invitaciones, acceso granular y SSO empresarial para equipos de ingeniería.

Resumen

Un workspace en Vericto es el contenedor de todas las bases de datos, reglas, API keys y notificaciones de una organización. El equipo es el conjunto de personas con acceso a ese workspace, cada una con un rol que define exactamente qué puede ver y qué puede cambiar.

El modelo de permisos es sencillo: cuatro roles, jerarquía clara, sin excepciones. Los cambios en los permisos son efectivos de inmediato en toda la plataforma, sin necesidad de cerrar sesión.

Cada workspace tiene un único owner. El ownership puede transferirse contactando al soporte. Todos los demás roles (admin, member, viewer) son asignables y revocables por el owner o por cualquier admin.

Roles y permisos

Vericto define cuatro roles. Cada rol tiene un conjunto fijo de permisos — no hay permisos granulares que seleccionar de forma individual:

Rol Quién debería tenerlo Puede hacer No puede
Owner El fundador de la cuenta o el responsable técnico de la organización. Uno por workspace. Todo: cambiar el plan, gestionar el team completo, actuar sobre admins, transferir ownership.
Admin Tech lead o DBA responsable de la configuración de seguridad. Gestionar bases de datos, reglas, API keys, notificaciones y members/viewers. Invitar nuevos miembros. Actuar sobre otros admins ni sobre el owner. Cambiar el plan de facturación.
Member Ingenieros del equipo que necesitan ver y gestionar el audit trail y las queries. Ver el dashboard, las queries, el audit trail, las reglas y exportar datos. Crear ni modificar reglas, bases de datos, API keys, ni gestionar el team.
Viewer Auditores externos, compliance officers o stakeholders no técnicos. Ver el dashboard y el audit trail. Solo lectura. Cualquier acción de escritura o configuración.

Los admins no pueden gestionar a otros admins. Para elevar o degradar a un admin, el owner debe hacerlo directamente. Esto evita escaladas de privilegios horizontales sin supervisión del owner.

Invitaciones

Owners y admins pueden invitar a personas nuevas al workspace. El proceso es:

  1. Ve a Dashboard → Team e introduce el email del invitado y el rol que tendrá.
  2. Vericto envía un email de invitación. Si el email no llega, copia el enlace de invitación directamente desde la UI y compártelo por Slack o email.
  3. El invitado acepta la invitación y elige (o crea) su contraseña. El enlace caduca en 48 horas.
  4. Una vez aceptada, el nuevo miembro aparece como Activo en la lista del equipo.

Invitaciones pendientes

Mientras una invitación está pendiente de aceptar, el miembro aparece con estado Pendiente. Puedes revocarla en cualquier momento desde la lista del team. Si el invitado no recibió el email, copia el enlace desde la misma fila y reenvíalo manualmente.

SSO empresarial (OIDC)

En el plan Enterprise, puedes configurar SSO con cualquier proveedor OIDC (Okta, Microsoft Entra, Google Workspace, etc.). Con SSO activo:

  • JIT provisioning: los usuarios de dominios verificados entran automáticamente al workspace con el rol por defecto que configures, sin invitación manual.
  • Enforce SSO: puedes requerir que todos los miembros inicien sesión exclusivamente vía SSO, deshabilitando el login con email/contraseña para los usuarios del workspace.

La configuración de SSO está en Dashboard → Ajustes → SSO empresarial. Solo el owner puede habilitarlo.

Mejores prácticas para empresas

Principio de mínimo privilegio

Asigna el rol más restrictivo que cumpla las necesidades del usuario. La mayoría de los ingenieros necesitan solo Member para revisar el audit trail y las queries bloqueadas. Admin debe reservarse para quien configure reglas, bases de datos o gestione el team. Viewer es ideal para auditores externos o management que necesita visibilidad sin capacidad de cambio.

El owner es la cuenta de la organización

Usa una cuenta de email corporativa (ej. infra@empresa.com) — no la personal del fundador — para el ownership del workspace. Si el owner abandona la empresa y la cuenta queda sin acceso, el proceso de transferencia requiere verificación de identidad. Evita esta fricción usando una cuenta compartida del equipo de plataforma.

Rotación de API keys

Las API keys de CI/CD tienen permisos propios y no están ligadas a un usuario específico. Cuando alguien del equipo de plataforma deja la empresa, rota las API keys activas desde Dashboard → API Keys → Rotar. Esto no requiere cambios en el resto del equipo.

Monitorea cambios en el equipo con el audit trail

Vericto registra en el audit trail los eventos de gestión del equipo: invitaciones enviadas, aceptadas y revocadas, y cambios de rol. Para organizaciones con requisitos SOC2, estos registros son evidencia directa del control de acceso. Puedes exportarlos en CSV o JSON desde Dashboard → Audit Trail → Exportar.

Revisiones periódicas de acceso

Programa revisiones trimestrales del equipo en tu workspace para detectar accesos innecesarios. Un proceso sugerido:

  1. Exporta la lista de miembros desde el audit trail o revísala en Dashboard → Team.
  2. Identifica cuentas con estado Pendiente más de 48 horas — probablemente nunca se aceptaron.
  3. Revoca accesos de personas que ya no están en el equipo.
  4. Degrada a Viewer a quienes tengan Member sin actividad reciente en el dashboard.

Preguntas frecuentes

¿Cuántos miembros puede tener un workspace?

No hay límite en el número de miembros en ningún plan. El límite aplica a las bases de datos conectadas (1 en Free, 3 en Builder, 10 en Team, ilimitadas en Enterprise).

¿Puedo tener múltiples workspaces?

Sí. Puedes crear y pertenecer a múltiples workspaces con la misma cuenta. Usa el workspace switcher en la barra lateral del dashboard para cambiar entre ellos. Cada workspace tiene su propio equipo, plan y facturación.

¿Qué pasa cuando un miembro acepta una invitación pero ya tiene cuenta en Vericto?

La invitación se asocia con su cuenta existente. El miembro simplemente gana acceso al nuevo workspace — no crea una cuenta duplicada. Sus otros workspaces no se ven afectados.

¿Puedo reasignar el rol Owner a otro miembro?

La transferencia de ownership requiere contactar a soporte (support@vericto.com) con verificación de identidad del owner actual. No puede hacerse desde la UI del dashboard por razones de seguridad.

¿Los miembros con rol Viewer pueden ver el texto de las queries?

Sí. Los Viewers tienen acceso de lectura al audit trail, que incluye los metadatos de las queries (regla aplicada, status, latencia) pero no el texto completo de la query si el workspace tiene el modo de telemetría en Sanitized. Si está en Raw, el texto sí es visible. Configúralo en Ajustes → Privacidad de telemetría.