Sistema de Permissões V2 1 - Visão geral e justificativa Este manual descreve o Sistema de Permissões V2 e o módulo de Privacidade Financeira V2.1 do sistema. Cada capítulo aborda uma área: Visão geral e justificativa (este capítulo) — por que o sistema foi criado e o que muda Conceitos fundamentais — ações, perfis, exceções e como a permissão é decidida Ativação e primeiros passos — como ligar o sistema com segurança Aba Perfis — criar perfis e definir o que cada um pode fazer Aba Operadores — atribuir perfis e ajustes individuais Privacidade Financeira — esconder categorias financeiras sensíveis Permissão de Relatórios — controlar quem imprime cada relatório Migração V1 → V2 — importar as configurações antigas automaticamente Troubleshooting e glossário — dúvidas comuns e termos O que é: um sistema de controle de acesso baseado em ações e perfis, que substitui gradualmente o antigo controle por flag de "Administrador". Permite dizer exatamente o que cada operador pode fazer — sem precisar torná-lo administrador para liberar uma única tarefa. Por que o sistema antigo (V1) não era suficiente O controle de acesso anterior acumulou quatro problemas ao longo dos anos: 1. O "Administrador" virou um canivete suíço Para liberar qualquer tarefa um pouco mais sensível — reabrir um caixa, cancelar um movimento, editar impostos — muitas vezes a única saída era marcar o operador como Administrador. Mas ao fazer isso, ele ganhava acesso a tudo: excluir faturas, cancelar lançamentos, editar dados de outros operadores, ver toda a parte financeira. O risco: um operador que só precisava "reabrir o caixa" acabava com poder total no sistema. Não havia meio-termo entre "operador comum" e "pode tudo". 2. Três sistemas de restrição separados e incompatíveis As restrições de telas, de dashboards e de relatórios eram controladas por três cadastros diferentes, sem nenhuma integração. Não dava para reaproveitar um "perfil de vendedor" entre eles — cada lugar tinha de ser configurado do zero, operador por operador. 3. Cada nova permissão exigia mexer no programa As permissões eram campos fixos (sim/não) espalhados pelo cadastro de operador. Toda vez que surgia a necessidade de uma permissão nova, era preciso alterar o banco, o programa e a tela de cadastro. Não escalava. 4. Telas novas ficavam abertas sem controle Quando uma tela nova era adicionada ao sistema, ela nascia liberada para todos por padrão — porque a ausência de uma regra significava "acesso permitido". Não havia uma forma central de decidir o comportamento padrão. O que muda com o V2 Antes (V1) Agora (V2) Liberar 1 tarefa = virar Administrador Liberar exatamente aquela ação, nada mais Telas, dashboards e relatórios em 3 cadastros Tudo unificado em ações + perfis Permissões fixas no programa Catálogo de ações que cresce sozinho Só "permitir" ou "bloquear" Três estados: Permitir / Bloquear / Solicitar autorização Sem controle sobre dados financeiros sensíveis Privacidade por categoria de Receita/Despesa O conceito central: ação + perfil Em vez de marcar campos fixos no operador, o V2 trabalha com: Ações — cada coisa que se pode fazer no sistema é uma "ação" (ex.: "Excluir faturas", "Reabrir caixa", "Acessar a tela de produtos"). Perfis — conjuntos reutilizáveis de regras (ex.: "Vendedor", "Caixa", "Financeiro"). Você define uma vez o que o perfil "Vendedor" pode fazer e aplica a quantos operadores quiser. Exceções individuais — ajustes pontuais para um operador específico, que sobrepõem o perfil dele. Exemplo prático: você cria o perfil "Vendedor" bloqueando "Excluir faturas" e "Fechar caixa". Aplica esse perfil a 10 vendedores. Se um desses vendedores também é supervisor e pode fechar o caixa, você adiciona uma exceção individual só para ele — sem mexer no perfil dos outros 9. Privacidade Financeira (V2.1) Além do controle de ações, o V2.1 adicionou a capacidade de esconder categorias financeiras sensíveis de operadores específicos. Por exemplo: impedir que um vendedor veja lançamentos de "Folha de Pagamento" ou "Pró-labore dos Sócios" nas telas e relatórios financeiros. Há dois níveis de proteção: Bloqueio — o lançamento some completamente das telas e relatórios. Mascaramento — o lançamento aparece, mas o valor é exibido como *** (útil para auditoria: o operador sabe que existe um lançamento, mas não vê o valor). O capítulo Privacidade Financeira detalha quando usar cada um. Convivência segura com o sistema antigo Nada muda até você decidir: o V2 nasce desligado. Enquanto não for ativado, o sistema funciona exatamente como antes (V1). Você pode preparar tudo com calma — criar perfis, testar — e só ligar quando estiver confiante. E pode voltar atrás a qualquer momento, desligando o V2. Operadores marcados como Administrador continuam com acesso total mesmo com o V2 ligado — eles "passam por cima" de todas as regras. Isso garante que você nunca fique trancado para fora do próprio sistema.2 - Conceitos fundamentais Antes de configurar, vale entender os quatro conceitos que sustentam o sistema: ação, perfil, exceção individual e os três estados de permissão. Com isso você consegue prever exatamente o que cada operador poderá fazer. Ação Uma ação é qualquer coisa que se pode fazer no sistema e que vale a pena controlar: abrir uma tela, clicar num botão sensível, imprimir um relatório. Cada ação tem um código (ex.: FATURA.EXCLUIR, CAIXA.REABRIR) e uma descrição amigável ("Excluir faturas", "Reabrir caixa"). As ações são organizadas em grupos (Vendas, Financeiro, Caixa, Fiscal, etc.) para facilitar a navegação. O sistema já vem com um catálogo de ações pré-cadastradas, e cria novas automaticamente conforme telas e recursos vão sendo usados. Você não precisa cadastrar ações manualmente. O catálogo já vem populado e cresce sozinho. Seu trabalho é apenas decidir, em cada perfil, o que liberar ou bloquear. Perfil Um perfil é um conjunto reutilizável de regras de ação. Em vez de configurar cada operador individualmente, você cria perfis como "Vendedor", "Caixa", "Gerente" e os aplica a vários operadores de uma vez. O sistema já sugere 5 perfis prontos (todos começam inativos, para você revisar antes de usar): Perfil Ideia geral Administrador Sem restrições (para documentar/auditar) Gerente Acesso amplo; pede autorização para excluir faturas e gerar DRE Vendedor Foco em vender; bloqueado de financeiro, configurações e exclusões Caixa Foco na frente de caixa; pede autorização para fechar/reabrir caixa Financeiro Foco em faturas e liquidações; bloqueado de vendas e produção Um operador pode ter mais de um perfil ao mesmo tempo (ex.: "Vendedor" + "Caixa"). Exceção individual A exceção individual é um ajuste pontual para um operador específico, que sobrepõe o que o perfil dele diz. Exemplo: o perfil "Vendedor" bloqueia "Fechar caixa". Mas o vendedor João, que é também o responsável pela loja, precisa fechar o caixa. Você adiciona uma exceção individual Permitido para o João na ação "Fechar caixa" — sem alterar o perfil "Vendedor" dos demais. Os três estados de permissão Cada ação, em cada perfil ou exceção, pode estar em um de três estados: Estado O que acontece Permitido O operador faz a ação normalmente. Bloqueado O operador é impedido. O botão fica desabilitado ou aparece uma mensagem de "sem permissão". Solicitar Autorização O operador pode tentar, mas o sistema pede a autorização de um supervisor antes de prosseguir. "Solicitar Autorização" reaproveita o fluxo de supervisor que o sistema já usa em descontos e outras operações sensíveis. É o meio-termo ideal: o operador não fica travado, mas a ação só passa com o aval de alguém autorizado. Como o sistema decide (hierarquia de resolução) Quando um operador tenta fazer algo, o sistema decide na seguinte ordem: É Administrador? → Permitido (passa por cima de tudo). Tem exceção individual para essa ação? → Usa o estado da exceção. Tem perfil(s) com essa ação? → Usa o perfil. Se tiver vários perfis com estados diferentes, vence o mais permissivo. Nenhuma regra encontrada? → Usa o padrão da ação (em geral, Permitido). Regra do "mais permissivo vence" entre perfis: se um operador tem o perfil A (que diz Permitido para "Excluir fatura") e o perfil B (que diz Bloqueado), ele poderá excluir — porque Permitido vence Bloqueado quando vêm de perfis diferentes. Para realmente bloquear, use uma exceção individual (que tem prioridade sobre qualquer perfil). A ordem de força entre os estados, quando há conflito entre perfis, é: Permitido > Solicitar Autorização > Bloqueado Onde isso aparece para o operador Quando uma ação é bloqueada, o operador vê uma das duas coisas: O botão/menu fica desabilitado (acinzentado), ou Uma mensagem avisa que ele não tem permissão e oriente procurar um supervisor. A mensagem de bloqueio inclui uma marca [Origem: V2] ou [Origem: V1] — isso ajuda o suporte a diagnosticar rapidamente qual sistema decidiu o bloqueio. Próximo passo: o capítulo "Ativação e primeiros passos" mostra como ligar o sistema com segurança e qual o roteiro recomendado de implantação.3 - Ativação e primeiros passos Este capítulo mostra como ligar o Sistema de Permissões V2 com segurança, sem surpresas para os operadores. A regra de ouro: prepare tudo com o sistema desligado, valide, e só então ative. Apenas Administradores acessam a tela de configuração de permissões. Se você não for administrador, o sistema não permitirá abrir a tela "Permissões V2". Onde fica a tela Acesse pelo menu Configurações → Permissões V2 (o local exato pode variar conforme a organização do menu da sua empresa). A tela tem cinco abas, cada uma coberta em um capítulo deste manual: Aba Para quê Perfis Criar perfis e definir o que cada um pode fazer Operadores Atribuir perfis aos operadores e ajustes individuais Visão Consolidada Conferir a permissão final resolvida por operador Privacidade Financeira Esconder categorias financeiras sensíveis Migração V1 → V2 Importar automaticamente as configurações antigas Os parâmetros que controlam o sistema Três parâmetros (configurados pelo suporte/administrador) controlam o comportamento global: Parâmetro Padrão O que faz Usar sistema de permissões V2 Desligado A chave-mestra. Enquanto desligado, vale o sistema antigo (V1). Liberar novas telas e ações por padrão Ligado Telas/recursos novos nascem liberados. Se desligado, nascem bloqueados até você liberar. Liberar novos relatórios por padrão Ligado O mesmo, específico para relatórios. Recomendação: mantenha "Liberar novas telas/relatórios por padrão" ligado. Assim, ao atualizar o sistema, nenhuma novidade fica acidentalmente bloqueada para os operadores. Você bloqueia conscientemente só o que precisar. Roteiro de implantação recomendado Siga esta ordem para uma transição tranquila: Sistema desligado (estado inicial) — nada muda para os operadores. Rodar a Migração V1 → V2 — importa as restrições que você já tinha (ver capítulo dedicado). Isso cria perfis e regras automaticamente, como ponto de partida. Revisar e ativar perfis — na aba Perfis, conferir as regras e marcar como "Ativo" os perfis que vai usar (eles nascem inativos). Atribuir perfis aos operadores — na aba Operadores, ligar cada operador aos perfis corretos. Conferir na Visão Consolidada — escolher alguns operadores e verificar se a permissão final faz sentido. (Opcional) Configurar Privacidade Financeira — esconder categorias sensíveis, se necessário. Ativar o V2 — só agora ligar a chave-mestra. Validar com operadores reais — pedir a alguns operadores não-administradores que testem suas rotinas. Pode voltar atrás: se algo sair diferente do esperado depois de ativar, basta desligar o parâmetro "Usar sistema de permissões V2". O sistema volta imediatamente ao comportamento antigo (V1), sem perder nada do que você configurou — é só religar quando ajustar. Como ativar e desativar A ativação é feita alterando o parâmetro "Usar sistema de permissões V2". Em muitos ambientes isso é feito pelo suporte (alteração direta no parâmetro do sistema). Confirme com seu administrador/suporte o procedimento exato na sua instalação. Antes de ativar, garanta que existe pelo menos um operador Administrador funcional. Como o Administrador passa por cima de todas as regras, ele é sua "saída de emergência" caso algum perfil seja configurado de forma restritiva demais. Checklist rápido antes de ativar ☐ Migração V1 → V2 executada e conferida ☐ Perfis revisados e os necessários marcados como Ativos ☐ Operadores vinculados aos perfis corretos ☐ Visão Consolidada conferida para operadores-chave ☐ Pelo menos um Administrador ativo garantido ☐ Equipe avisada sobre a mudança 4 - Aba Perfis A aba Perfis é onde você cria os conjuntos de permissões reutilizáveis e define o que cada um pode fazer. É o ponto de partida da configuração. Layout da aba Esquerda: lista de perfis existentes, com botões Novo, Excluir e Salvar. Direita: dados do perfil selecionado (descrição e situação Ativo) e a árvore de ações, agrupada por área (Vendas, Financeiro, Caixa, etc.), com uma coluna "Permissão" para cada ação. Criar um perfil Clicar em Novo. Informar a descrição (ex.: "Vendedor Loja 2", "Caixa Turno Noite"). O perfil é criado já Ativo. Você pode desmarcar "Ativo" se quiser configurá-lo antes de colocá-lo em uso. Perfis inativos não têm efeito. Um perfil só influencia as permissões dos operadores quando está marcado como Ativo. Use isso para preparar um perfil com calma antes de "ligá-lo". Definir o que o perfil pode fazer Com o perfil selecionado, percorra a árvore de ações à direita. Para cada ação, escolha o estado na coluna Permissão: Estado Use quando Permitido O perfil pode fazer a ação livremente Bloqueado O perfil não pode fazer de jeito nenhum Solicitar Autorização O perfil pode tentar, mas precisa do aval de um supervisor Você só precisa mexer no que quer restringir. Toda ação que você deixar como "Permitido" se comporta como o padrão — não é preciso configurar ação por ação. Foque em marcar como Bloqueado ou Solicitar Autorização apenas o que o perfil não deve fazer livremente. Isso mantém a configuração enxuta e fácil de revisar. Salvar O botão Salvar fica habilitado assim que você faz alguma alteração. Ao salvar: As regras do perfil são gravadas. O sistema recarrega as permissões imediatamente — a mudança vale na hora para os operadores daquele perfil (não precisa reiniciar o sistema). Alterações não salvas: se você trocar de perfil (ou criar um novo) com mudanças pendentes, o sistema pergunta se deseja salvar antes de continuar. Responda com atenção para não perder o que configurou. Excluir um perfil O botão Excluir remove o perfil selecionado. O sistema pede confirmação e avisa que todas as associações daquele perfil (com operadores e ações) serão removidas. Cuidado: excluir um perfil afeta imediatamente todos os operadores que o utilizavam. Antes de excluir, confira na aba Operadores quem está usando aquele perfil. Dicas de organização Comece pelos perfis sugeridos (Vendedor, Caixa, Gerente, Financeiro). Eles já trazem restrições realistas como ponto de partida — ajuste em vez de criar do zero. Nomeie por função, não por pessoa: "Vendedor" é melhor que "Perfil da Maria". Pessoas mudam de função; perfis permanecem. Prefira poucos perfis bem definidos a muitos perfis quase iguais. Use exceções individuais (aba Operadores) para os casos especiais. Próximo passo: com os perfis prontos, vá para a aba Operadores para atribuí-los às pessoas.5 - Aba Operadores A aba Operadores é onde você liga as pessoas aos perfis e faz ajustes individuais. É também aqui que se responde à pergunta "afinal, o que este operador pode fazer?". Layout da aba Esquerda: campo de filtro e a lista de operadores (apenas operadores ativos aparecem). Direita — topo: nome do operador selecionado e o botão SALVAR. Direita — meio: quadro Perfis Atribuídos, com caixas de seleção para marcar os perfis do operador. Direita — abaixo: árvore de ações mostrando o resultado resolvido, a origem e a coluna de exceção individual. Atribuir perfis a um operador Encontre o operador (use o filtro por nome, se a lista for grande). No quadro Perfis Atribuídos, marque um ou mais perfis. Clique em SALVAR. Um operador pode ter vários perfis. Quando isso acontece e há conflito entre eles, vence o mais permissivo (ver capítulo "Conceitos fundamentais"). Se precisar de um bloqueio firme, use uma exceção individual. Entender a árvore de ações resolvida A árvore abaixo dos perfis mostra, para cada ação, três informações úteis: Coluna O que mostra Resolvido O estado final da ação para este operador (Permitido / Bloqueado / Solicitar Autorização) Origem De onde veio a decisão: de um Perfil, de uma Exceção Individual, ou do Padrão da ação Exceção Individual Onde você pode sobrepor o resultado, só para este operador A coluna "Resolvido" é sua melhor amiga. Ela responde exatamente "o que este operador consegue fazer", já considerando todos os perfis e exceções. Use-a para conferir antes de ativar o sistema. Criar uma exceção individual Quando um operador precisa de um tratamento diferente do perfil dele, use a coluna Exceção Individual: Localize a ação na árvore. Na coluna Exceção Individual, escolha o estado desejado: (Herdado) — sem exceção; segue o perfil/padrão (é o estado normal). Permitido / Bloqueado / Solicitar Autorização — sobrepõe o perfil só para este operador. Clique em SALVAR. A exceção individual sempre vence o perfil. É a forma mais forte de definir uma permissão para um operador. Use com critério: muitas exceções espalhadas tornam difícil entender quem pode o quê. Quando perceber que vários operadores têm a mesma exceção, considere criar um novo perfil em vez disso. Indicador de alterações pendentes Ao mexer nos perfis ou exceções, aparece um aviso de "Alterações não salvas" e o botão SALVAR é habilitado. Se você tentar trocar de operador sem salvar, o sistema avisa para não perder o trabalho. Conferindo o resultado final Depois de configurar, vale conferir o operador na aba Visão Consolidada (ou na própria coluna "Resolvido" desta aba). Procure especialmente por: Ações sensíveis que deveriam estar Bloqueadas e aparecem como Permitidas (pode ser efeito do "mais permissivo vence" entre perfis). Ações essenciais do dia-a-dia que ficaram Bloqueadas por engano. Próximo passo: se precisar esconder informações financeiras sensíveis (folha, pró-labore), vá para a aba Privacidade Financeira.6 - Privacidade Financeira A aba Privacidade Financeira (recurso V2.1) permite esconder categorias financeiras sensíveis de operadores específicos. É a resposta para situações como: "o vendedor não pode ver a folha de pagamento" ou "só os sócios veem o pró-labore". O que controla: a visibilidade de lançamentos financeiros por categoria de Receita/Despesa (ou Grupo de Receita/Despesa), nas telas e relatórios financeiros do sistema. Os dois níveis de proteção Nível O que o operador vê Quando usar Bloqueado O lançamento some completamente das telas e relatórios. A categoria inteira é confidencial (ex.: Folha de Pagamento para vendedores). Mascarar Valor O lançamento aparece, mas o valor vira ***. O operador pode saber que o lançamento existe (auditoria), mas não deve ver o montante. Permitido Vê tudo normalmente (é o padrão). Sem restrição. Diferença na prática: "Bloqueado" é como se o lançamento não existisse para aquele operador. "Mascarar Valor" deixa o operador ver a linha (data, parceiro, descrição) mas troca o valor por *** — inclusive na exportação para Excel, evitando vazamento. Como configurar Escolher o alvo: no topo, selecione se a regra vale para um Perfil ou para um Operador específico. Selecionar o perfil ou operador no combo que aparece. Na árvore de categorias (organizada por Grupo → Receita/Despesa), defina o acesso de cada item: (Sem regra) — segue o padrão (Permitido). Bloqueado / Permitido / Mascarar Valor. Clicar em SALVAR. Regra do Grupo e da categoria individual Você pode aplicar a regra em um Grupo inteiro (todas as categorias dentro dele) ou em uma categoria específica. Quando há conflito: A categoria individual vence o Grupo (regra mais específica prevalece). Exemplo: você bloqueia o Grupo "Despesas Administrativas" inteiro, mas marca a categoria "Energia Elétrica" (dentro dele) como Permitido. O operador verá Energia Elétrica e não verá as demais despesas do grupo. Perfil ou Operador? Qual vence Assim como nas ações, uma regra definida diretamente no operador sobrepõe a regra do perfil. Use a regra por perfil para o caso geral e a por operador para exceções. Onde a privacidade é aplicada As regras valem nas principais telas e relatórios financeiros, incluindo: Consulta de Faturas Contas a Pagar / Receber Consulta de Liquidação Movimentação Bancária (ao expandir os detalhes) Borderô de Caixa, Relatório Mensal de Caixa, Movimento Financeiro Diário, Fluxo de Caixa DRE e Balancetes Os relatórios de impressão correspondentes Atenção especial: DRE, Balancete e relatórios consolidados Mascarar valor NÃO funciona em DRE, Balancete e relatórios com totais. Nesses relatórios, cada linha soma para um total visível. Se uma linha fosse mascarada com *** mas o total continuasse aparecendo, qualquer pessoa descobriria o valor escondido por subtração (total menos as outras linhas). Por isso, nesses relatórios o sistema usa somente Bloqueio: a categoria some e o total é recalculado corretamente sem ela. Tipo de tela/relatório Bloqueio Mascarar Valor Listas de lançamentos individuais (Faturas, Contas a Pagar, Liquidação) ✔ Funciona ✔ Funciona Demonstrativos contábeis (DRE, Balancete) ✔ Funciona ✘ Não se aplica (vulnerável a inferência) Relatórios que somam várias categorias por linha (Borderô, Fluxo de Caixa) ✔ Funciona ✘ Não se aplica Regra prática: comece sempre pensando em Bloqueio. Use Mascarar Valor apenas em listas de lançamentos individuais, quando o caso de uso for "o operador precisa ver que existe um lançamento, mas não o valor". Relatórios customizados podem precisar de novas customizações para atender as regras de bloqueio Categorias sem classificação Lançamentos sem categoria de Receita/Despesa definida não são afetados pelas regras de privacidade — eles aparecem normalmente. A privacidade atua sobre lançamentos classificados em uma categoria. Próximo passo: se você já tinha categorias marcadas como "apenas administradores" no sistema antigo, o capítulo Migração V1 → V2 mostra como elas são importadas automaticamente para cá.7 - Permissão de Relatórios Além de controlar telas e ações, o V2.1 permite definir quem pode imprimir cada relatório do sistema. Isso é tratado como um tipo especial de ação, dentro dos mesmos perfis e exceções. Como funciona: cada relatório vira uma ação com o código RELATORIO.IMPRIMIR.. Você controla essa ação exatamente como qualquer outra — na aba Perfis ou via exceção individual na aba Operadores. Onde configurar Na aba Perfis, procure os grupos de ações de relatórios (organizados por área: Relatórios Financeiros, Relatórios de Vendas, Relatórios Fiscais, etc.). Marque como Bloqueado ou Solicitar Autorização os relatórios que aquele perfil não deve imprimir livremente. O que o operador vê ao ser bloqueado Se um operador sem permissão tenta imprimir um relatório bloqueado, o sistema impede a geração e exibe uma mensagem de "sem permissão". O relatório simplesmente não abre. Relatórios fiscais sempre liberados Documentos fiscais nunca são bloqueados. DANFE, DANFCe, DACTE, DAMDFE, DANFSe e similares têm liberação garantida — mesmo que alguém tente bloqueá-los num perfil, o sistema ignora o bloqueio. Isso evita que a emissão fiscal pare por um erro de configuração de permissão. Essa "lista branca fiscal" é fixa no sistema e cobre os documentos auxiliares obrigatórios para a operação fiscal. Você não precisa (nem consegue) bloqueá-los. Relatórios personalizados (Custom) Quando um cliente tem uma versão personalizada de um relatório (ex.: um modelo próprio de duplicata), essa versão compartilha a mesma permissão do relatório original. Você não precisa configurar a permissão duas vezes — o sistema entende que a versão personalizada e a padrão são "o mesmo relatório" para fins de permissão. Relatórios novos Quando o sistema é atualizado e ganha relatórios novos, o comportamento padrão é definido pelo parâmetro "Liberar novos relatórios por padrão": Parâmetro Comportamento ao surgir um relatório novo Ligado (recomendado) O relatório novo nasce liberado para todos. Você bloqueia depois, se quiser. Desligado O relatório novo nasce bloqueado. Ninguém imprime até o admin liberar conscientemente. Recomendação: deixe ligado, a menos que sua empresa tenha uma política rígida de "tudo bloqueado por padrão". Com ligado, atualizações nunca interrompem o trabalho por um relatório novo inesperadamente bloqueado. Rotinas automáticas Impressões disparadas por rotinas automáticas do sistema (não por um operador clicando) não passam pela verificação de permissão de relatório — elas rodam sem operador interativo. A permissão se aplica às impressões feitas manualmente pelos operadores. Exemplos de uso Exemplo 1 — "Vendedores não podem imprimir o DRE": no perfil "Vendedor", marque RELATORIO.IMPRIMIR.DRE como Bloqueado. Exemplo 2 — "Gerente precisa de aprovação para imprimir comissões": no perfil "Gerente", marque os relatórios de comissão como Solicitar Autorização. Exemplo 3 — "Só o financeiro imprime balancete": bloqueie os relatórios de balancete em todos os perfis, exceto no perfil "Financeiro". Próximo passo: para trazer rapidamente todas as restrições que você já tinha no sistema antigo, use o capítulo Migração V1 → V2.8 - Migração V1 → V2 A aba Migração V1 → V2 importa automaticamente as configurações de acesso do sistema antigo para o novo. É o atalho para não recomeçar do zero: tudo o que você já restringia no V1 vira perfis e regras do V2. Não destrutiva e reversível: a migração apenas lê os dados antigos e cria cópias no formato novo. Os dados do V1 permanecem intactos. Se você desligar o V2, tudo volta a funcionar como antes. O que é migrado Do sistema antigo (V1) Vira no V2 Grupos de operador Perfis (criados inativos) Restrições de tela por grupo Regras de perfil (Bloqueado) Restrições de tela por operador Exceções individuais (Bloqueado) Restrições de dashboard Exceções individuais Restrições de relatório Exceções individuais Flags de permissão do operador Exceções individuais conforme cada flag Categorias "apenas administradores têm acesso" Regras de Privacidade Financeira (Bloqueado) Passo 1 — Analisar Clique em "1. Analisar dados V1 existentes". O sistema percorre os cadastros antigos e mostra um relatório (sem alterar nada) com a contagem do que existe: Quantos grupos de operador, restrições de tela, dashboards e relatórios existem. Quantos operadores têm flags restritivas. Quantas categorias de Receita/Despesa estão marcadas como "apenas administradores". O estado atual do V2 (quantos perfis, ações e regras já existem). Analisar é seguro: esta etapa só lê e conta. Use-a para ter uma ideia do volume antes de executar. Passo 2 — Executar Clique em "2. Executar Migração V1 → V2" e confirme. O sistema importa tudo, registrando cada passo na área de log. Ao final, mostra um resumo com o que foi criado. O perfil "Não-Administradores (migrado V1)" Para migrar a antiga marcação de categorias financeiras "apenas administradores têm acesso", o sistema cria um perfil especial chamado "Não-Administradores (migrado V1)": Todos os operadores não-administradores são vinculados a esse perfil. Cada categoria que era "apenas admin" recebe uma regra de Bloqueio nesse perfil. O perfil nasce inativo — você deve revisá-lo e ativá-lo conscientemente. Revise antes de ativar: o perfil sintético é um ponto de partida automático. Confira na aba Privacidade Financeira se as categorias bloqueadas fazem sentido, e só então marque o perfil como Ativo na aba Perfis. Pode rodar várias vezes (idempotente) A migração é idempotente: executá-la novamente não duplica nada. Se você rodar duas vezes, a segunda execução vai apenas reportar "já existia" para tudo. Isso é útil, por exemplo, quando: Você cadastra novos operadores depois da primeira migração — rode de novo para vinculá-los ao perfil sintético. Você quer garantir que nada ficou para trás após ajustes no V1. A flag antiga não é alterada A migração não mexe na marcação antiga de "apenas administradores" das categorias. Ela continua lá, servindo de rede de segurança: se você desligar o V2, o comportamento antigo volta a valer normalmente. Depois de migrar Aba Perfis: revise os perfis criados (vieram inativos) e ative os que vai usar. Lembre-se de que as restrições foram importadas como Bloqueado — ajuste para "Solicitar Autorização" onde fizer sentido. Aba Operadores: confira se os operadores estão nos perfis certos. Aba Privacidade Financeira: revise as categorias bloqueadas no perfil "Não-Administradores (migrado V1)". Visão Consolidada: confira alguns operadores antes de ativar. Por fim, ative o V2. Resultado: em poucos cliques você sai de "nada configurado no V2" para "todas as restrições antigas reproduzidas e prontas para ajuste fino", sem digitar regra por regra.9 - Troubleshooting e glossário Dúvidas e problemas comuns Ativei o V2 e um operador perdeu acesso a algo essencial Causa: algum perfil dele bloqueia a ação, ou a ação foi importada como Bloqueada na migração. Solução rápida: na aba Operadores, selecione o operador, encontre a ação na árvore e use a Exceção Individual = Permitido. Salve. O efeito é imediato. Solução definitiva: se vários operadores do mesmo perfil precisam, ajuste o perfil em vez de criar várias exceções. Bloqueei uma ação no perfil mas o operador ainda consegue fazer Causa mais comum: o operador tem outro perfil que permite a ação. Entre perfis, o mais permissivo vence. Solução: use uma Exceção Individual = Bloqueado no operador (a exceção sempre vence o perfil), ou revise os outros perfis dele. Confira sempre a coluna "Resolvido" na aba Operadores — ela mostra o resultado final considerando todos os perfis e exceções. Um operador Administrador "ignora" todas as restrições Isso é esperado: operadores marcados como Administrador passam por cima de todo o sistema de permissões — é proposital, para você nunca ficar trancado para fora. Se quiser aplicar restrições a alguém, ele não pode ser Administrador. A mensagem de bloqueio mostra "[Origem: V1]" — o que significa? Indica que aquele bloqueio veio do sistema antigo (V1), não do V2. Geralmente acontece quando o V2 está desligado, ou quando uma ação ainda não tem regra no V2 e o sistema usou o controle antigo como fallback. Para o suporte, é uma pista de onde a decisão foi tomada. Categoria financeira continua aparecendo para quem eu bloqueei Possíveis causas: O V2 está desligado (a privacidade financeira só atua com o V2 ligado). O operador é Administrador (vê tudo). A regra foi salva para o perfil errado, ou o operador não está nesse perfil. A regra individual da categoria está como Permitido, sobrepondo o bloqueio do Grupo. O relatório pode estar pendente de customizações Marquei "Mascarar Valor" no DRE mas não funcionou Isso é intencional. DRE, Balancete e relatórios com totais aceitam somente Bloqueio — mascarar valor permitiria descobrir o número escondido por subtração do total. Use Bloqueado para esconder uma categoria do DRE. Cadastrei um operador novo depois de migrar — ele não tem as restrições Solução: rode a Migração V1 → V2 novamente (ela é idempotente e não duplica nada). O operador novo será vinculado ao perfil sintético. Ou, simplesmente, atribua os perfis a ele na aba Operadores. Quero desfazer tudo e voltar ao sistema antigo Desligue o parâmetro "Usar sistema de permissões V2". O sistema volta imediatamente ao comportamento do V1. Nada que você configurou no V2 é perdido — basta religar quando quiser. Uma tela nova apareceu bloqueada após atualizar o sistema Causa: o parâmetro "Liberar novas telas e ações por padrão" está desligado. Solução: ligue o parâmetro (recomendado), ou libere a ação da tela nova manualmente nos perfis. Boas práticas Prepare com o V2 desligado. Configure, migre e revise antes de ativar. Poucos perfis, bem definidos. Use exceções individuais para os casos raros, não para a regra. Comece pelo Bloqueio. Em privacidade financeira, só use mascaramento em listas de lançamentos individuais. Confira na Visão Consolidada antes de ativar, especialmente operadores-chave. Garanta um Administrador ativo como saída de emergência. Restrições importadas vêm como Bloqueado — reveja e troque para "Solicitar Autorização" onde for mais adequado. Glossário Termo Significado Ação Cada coisa controlável no sistema (abrir tela, clicar botão, imprimir relatório). Tem um código e uma descrição. Perfil Conjunto reutilizável de regras de ação (ex.: "Vendedor"). Aplicável a vários operadores. Exceção individual Ajuste de permissão para um operador específico, que sobrepõe o perfil dele. Permitido Estado em que a ação é liberada. Bloqueado Estado em que a ação é impedida. Solicitar Autorização Estado em que a ação só prossegue com o aval de um supervisor. Administrador Operador que passa por cima de todas as regras de permissão. Vê e faz tudo. Resolvido O estado final de uma ação para um operador, já considerando perfis e exceções. Origem De onde veio a decisão de permissão: Perfil, Exceção Individual ou Padrão. Privacidade Financeira Recurso que esconde categorias financeiras sensíveis de operadores específicos. Bloqueio (financeiro) O lançamento da categoria some das telas/relatórios. Mascarar Valor O lançamento aparece, mas o valor vira ***. Só em listas de lançamentos individuais. Receita/Despesa (RD) Cadastro de classificação contábil dos lançamentos. Base da Privacidade Financeira. Grupo de Receita/Despesa Agrupamento de categorias RD. Uma regra de Grupo vale para todas as categorias dentro dele. Whitelist fiscal Lista de documentos fiscais (DANFE, DACTE, etc.) que nunca podem ser bloqueados. Migração V1 → V2 Processo que importa automaticamente as configurações do sistema antigo para o novo. Perfil sintético O perfil "Não-Administradores (migrado V1)", criado pela migração para reproduzir a antiga marcação de categorias "apenas administradores". Idempotente Característica de uma operação que pode ser repetida sem causar efeito duplicado (caso da migração). V1 / V2 V1 = sistema de permissões antigo (flags + restrições). V2 = sistema novo (ações + perfis), descrito neste manual. Suporte Em caso de dúvida ou comportamento inesperado: Confira a coluna "Resolvido" na aba Operadores para entender a permissão final. Verifique se o operador não é Administrador (que ignora as regras). Confirme se o V2 está ligado. Reproduza o cenário com um operador de teste. Contate o suporte informando: nome do operador, ação/relatório envolvido, mensagem de erro (incluindo a marca [Origem: V1/V2]) e o que esperava que acontecesse. Versão deste manual: Rev 1 — Sistema de Permissões V2 + Privacidade Financeira V2.1.