RBAC de 3 niveles con separación de funciones
El que opera el dato no es el que lo gobierna. Por diseño.
Marco / norma: ISO/IEC 38505-1 (Autoridad) · SoD (SOX/DORA) · ISO/IEC TR 38505-2 §6
El DBA que opera una tabla no debería poder aprobar el término de negocio que la describe. Linedat separa quién opera de quién gobierna, con un modelo de autorización de tres niveles y una única fuente de verdad de permisos.
Tres niveles, un enum
La autorización combina el rol de organización, el rol de dominio y la propiedad de recurso, todo a través de un único enum de permisos. Ni checks de rol dispersos por los componentes ni condicionales copiados: cada decisión de autorización pasa por el mismo sitio.
Custodio técnico sin autoridad de gobierno
El rol de custodio (operación técnica) está deliberadamente por debajo del steward y no hereda las acciones de gobierno (aprobar términos, asignar owners). Es separación de funciones real, alineada con la que exigen SOX y DORA.
Los límites (lo que no afirmamos)
El permiso a nivel de organización es el gate portante; los grupos de dominio restringen dentro de ese permiso, no conceden por encima de él. Un cambio de rol tarda hasta la vida de la caché de auth (~30 s) en propagarse entre procesos si no se invalida explícitamente.
Cómo te ayuda Linedat
Linedat te da un RBAC enterprise granular sin complejidad, con separación de funciones real — el que opera el dato no es el que lo gobierna.
Capacidades relacionadas
Acceso con propósito tipificado y fecha de caducidad. No "porque sí".
Delegación de autoridad consentida y temporalLa autoridad no se impone: se delega, el delegado la acepta, y caduca sola.
El catálogo en tu IDE: servidor MCP nativoTu IDE consulta el catálogo sin salir del editor — y sin saltarse un permiso.
