## Por qué es importante

No todo el mundo en tu equipo necesita verlo todo. Tu reclutador no necesita los informes de vulnerabilidades; tu responsable de seguridad no necesita las campañas de prospección. El control de acceso del equipo te permite decidir, por persona y por producto, quién puede ver, quién puede gestionar y quién se queda fuera — y te da una sola página para responder a «¿a qué puede acceder exactamente esta persona?» cuando llega el momento de una auditoría o de una baja.

## Productos y niveles de acceso

Kit tiene cuatro productos: **Contratación**, **Seguridad**, **Prospección** y **Formación**. Cada miembro del equipo tiene un nivel de acceso por producto:

| Nivel | Qué significa |
|-------|---------------|
| Sin acceso | El producto queda fuera de su alcance. Al abrirlo aparece una pantalla de acceso denegado con una forma de solicitar acceso. |
| Miembro | Acceso estándar del día a día — ver y trabajar con el contenido del producto, sujeto a las asignaciones por elemento (p. ej., ofertas de empleo restringidas). |
| Admin | Control total de ese producto — crear, configurar y gestionar todo lo que contiene, sin necesidad de asignaciones por elemento. |

Si nunca defines un nivel para alguien, esa persona es **Miembro** — los miembros existentes siguen trabajando exactamente igual que antes; nada queda bloqueado hasta que decidas cambiarlo.

Los **administradores de la cuenta** están por encima de los niveles de producto: ven todos los productos, acceden a todo y son los únicos que pueden gestionar el acceso del equipo.

> [!NOTE]
> Los niveles de producto controlan el acceso a un producto completo. Dentro de cada producto siguen aplicándose las asignaciones más granulares — por ejemplo, las ofertas de empleo restringidas solo son visibles para su equipo de contratación asignado. Consulta [Invitar a tu equipo](/docs/inviting-your-team) para ver cómo funcionan los roles por puesto.

## La matriz de módulos

Ve a **Configuración → Equipo → Módulos** para ver al equipo completo: una fila por miembro, una columna por producto. Elige un nivel en cualquier celda y se aplica al instante.

Dos atajos aceleran el proceso:

- **Roles** — cada fila tiene un selector rápido con [roles de equipo](/docs/team-roles) predefinidos como *Reclutador*, *Analista de seguridad*, *Growth* o *Formador*. Al elegir uno se rellenan niveles sensatos en los cuatro productos con un solo clic; después puedes seguir ajustando celdas individuales.
- **Interruptor de administrador de la cuenta** — al activarlo se concede acceso total a todo y la fila se pliega, porque los niveles por producto dejan de aplicarse.

> [!TIP]
> **Empieza por un rol y luego ajusta.** Los roles condensan los niveles que la mayoría de los equipos usa en la práctica — *Reclutador* recibe admin de Contratación y poco más, *Analista de seguridad* recibe admin de Seguridad. Es más rápido y menos propenso a errores que configurar dieciséis celdas a mano. Consulta [Roles de equipo](/docs/team-roles) para ver qué cubre cada rol.

## La página de acceso del miembro

Para analizar a fondo a una sola persona, ve a **Configuración → Equipo → Miembros** y haz clic en un miembro. Su página de acceso muestra:

- **Rol** — su [rol de equipo](/docs/team-roles), desde Administrador completo hasta Miembro
- **Niveles de producto** — su nivel en cada uno de los cuatro productos, editable ahí mismo
- **Registro de acceso** — una lista de solo lectura con cada elemento concreto al que puede llegar: qué ofertas de empleo, qué informes, qué campañas y desde cuándo

### Cómo leer el registro de acceso

El registro responde a «¿a qué puede acceder esta persona y dónde?» sin recorrer los cuatro productos uno a uno. Cada entrada indica el elemento, el producto al que pertenece y la fecha en que se concedió el acceso. Úsalo para:

- Preparar una auditoría de seguridad o de cumplimiento
- Comprobar que un contratista solo ve lo que debe
- Revisar todo lo que toca un miembro que se marcha, antes de darle de baja

## Solicitar acceso

Cuando un miembro abre un producto al que no tiene acceso, ve una pantalla de acceso denegado — no un error, sino una puerta. Incluye un botón **Solicitar acceso** de un solo clic que avisa a todos los administradores de la cuenta. El administrador puede entonces conceder un nivel desde la matriz de módulos o desde la página de acceso del miembro.

## Dar de baja a un miembro

Cuando alguien se marcha, abre su página de acceso de miembro. Tienes dos opciones:

| Acción | Qué ocurre |
|--------|------------|
| Revocar todo el acceso | Conserva su puesto en la cuenta, pero elimina todos los niveles de producto y todos los accesos individuales del registro. Ideal para excedencias o cambios de rol. |
| Eliminar de la cuenta | Lo elimina del equipo por completo. |

Si la persona es la única responsable de algo — el único responsable de contratación en una oferta, el único asignado en un informe — Kit no deja esos elementos huérfanos. Antes de completar la revocación o la eliminación, te pide que elijas quién toma el relevo y lo reasigna todo en el mismo paso.

> [!WARNING]
> **La revocación lo elimina todo de golpe y no guarda una lista para deshacer.** Tras «Revocar todo el acceso», los accesos individuales del miembro desaparecen — restaurarlos significa volver a añadirlos uno a uno a mano. Revisa su registro de acceso *antes* de revocar y elige con cuidado a los sucesores durante la reasignación: una vez que la propiedad cambia de manos, el propietario anterior queda totalmente desvinculado de esos elementos.

## Qué hacer y qué evitar

| Haz esto | Evita esto |
|----|-------|
| Usa roles para definir niveles de forma coherente entre personas con funciones similares | Elegir a mano dieciséis celdas por persona cuando un rol cubre el 90 % |
| Revisa el registro de acceso antes de dar de baja | Eliminar a un miembro a ciegas — los elementos de los que es único responsable forzarán igualmente una reasignación |
| Usa «Revocar todo el acceso» para excedencias o cambios de rol | Eliminar de la cuenta a alguien que va a volver |
| Deja los niveles sin definir para los miembros que necesitan acceso estándar | Poner «Sin acceso» en todas partes por defecto — para eso está la revocación |

## En resumen

- [ ] Abre **Configuración → Equipo → Módulos** y revisa la fila de cada miembro
- [ ] Aplica [roles](/docs/team-roles) para los puestos habituales y afina después las celdas individuales
- [ ] Activa el interruptor de administrador de la cuenta solo para quienes gestionan el equipo
- [ ] Haz una comprobación puntual de la página de acceso y el registro de un miembro para confirmar que coinciden con lo esperado
- [ ] Cuenta a tu equipo que existe el botón **Solicitar acceso**, para que las denegaciones no acaben en tickets de soporte
- [ ] En las bajas: revisa el registro, elige «Revocar todo el acceso» o «Eliminar de la cuenta» y asigna sucesores para los elementos con responsable único