¿Qué es el RBAC?

Imagina que contratas a un mesero nuevo. Amable, puntual, con buena actitud. Pero tres semanas después te das cuenta de que tenía acceso a los reportes de ventas, podía aplicar descuentos sin límite y veía los costos de todos tus productos. No porque lo hayas autorizado. Sino porque nadie configuró quién puede ver qué.

Ese escenario no es raro. En la mayoría de los sistemas de punto de venta del mercado, los permisos son todo o nada: o el usuario tiene acceso completo, o casi no puede hacer nada. Y esa falta de granularidad tiene un costo real, en pesos, en seguridad y en control.

Nuvii resuelve esto desde la arquitectura. Se llama RBAC, y es una de las funciones más poderosas del sistema.

Qué significa RBAC

RBAC son las siglas de Role-Based Access Control, que en español significa Control de Acceso Basado en Roles. Es un modelo de seguridad donde los permisos no se asignan a personas individuales, sino a roles, y cada persona recibe el rol que corresponde a su función dentro del negocio.

Es decir: tú no le dices al sistema "este usuario puede hacer A, B y C". Tú defines que el rol Mesero puede tomar órdenes y cerrar su propia cuenta, que el rol Cajero puede procesar pagos y aplicar descuentos dentro de un límite, y que el rol Gerente puede ver reportes y modificar el menú. Luego simplemente asignas a cada persona su rol, y el sistema hace el resto.

El concepto viene de la ingeniería de software empresarial, donde manejar permisos individuales usuario por usuario se vuelve imposible de mantener conforme crece el equipo. Con RBAC, escala solo.

Por qué esto importa en un restaurante

Un restaurante tiene, en promedio, entre 3 y 8 roles distintos operando al mismo tiempo: dueño, gerente, cajero, mesero, cocinero, hostess, repartidor, auditor. Cada uno necesita ver y hacer cosas distintas.

Darle acceso completo a todos porque "es más fácil" es uno de los errores más costosos en operación:

• Un mesero que puede aplicar descuentos sin autorización puede regalar márgenes sin que nadie lo note
• Un empleado con acceso a reportes financieros tiene información que no le corresponde
• Un cajero que puede modificar precios puede alterar ventas
• Alguien con acceso al inventario puede manipular existencias para ocultar merma o robo

El RBAC no resuelve el problema de la desconfianza. Resuelve el problema del acceso innecesario. Y eso, en un restaurante con volumen, marca una diferencia brutal en el control del negocio.

Cómo funciona el RBAC en Nuvii

Desde el panel de administración de Nuvii puedes definir roles completamente personalizados para cada negocio. No hay roles fijos que tengas que aceptar como vienen. Tú construyes los roles según tu operación real.

Para cada rol puedes configurar con precisión:

• Qué módulos puede ver — ventas, inventario, reportes, configuración, empleados, menú, caja
• Qué acciones puede ejecutar dentro de cada módulo — solo lectura, crear, editar, eliminar
• Límites operativos específicos — por ejemplo, un cajero puede aplicar descuentos, pero cualquier otro rol no

Una vez definido el rol, lo asignas a uno o varios usuarios. Si en algún momento cambias las reglas del rol, todos los usuarios con ese rol se actualizan automáticamente. No tienes que ir usuario por usuario.

El módulo de Auditorías: ver todo lo que pasó

El RBAC controla quién puede hacer qué. El módulo de auditorías registra quién hizo qué, cuándo y desde dónde.

Son dos capas de control que trabajan juntas. Una previene. La otra documenta.

Cada acción relevante dentro de Nuvii genera un registro de auditoría automático que incluye:

• Usuario que ejecutó la acción
• Fecha y hora exacta para saber a qué hora revisar tus cámaras de seguridad
• Referencia/Folio referencia que te servirá para hacer seguimiento en caso de tratarse de un ticket de venta
• Qué cambió el valor anterior y el valor nuevo

Esto significa que si alguien modifica el precio de un producto, puedes ver exactamente quién lo hizo, a qué hora, y cuánto cambió. Si se aplicó un descuento inusual, queda registrado. Si se eliminó una orden, hay trazabilidad completa.

Casos reales donde esto salva el negocio

Caso 1 — El descuento que nadie autorizó

En un restaurante con volumen de fin de semana, un cajero aplicaba descuentos del 20% a amigos que llegaban a comer. Sin auditoría, eso se diluye en el ruido del día. Con Nuvii, aparece en el reporte de descuentos aplicados, con nombre de usuario, hora y monto. En una semana se detectó y se corrigió.

Caso 2 — El inventario que no cuadraba

Las cervezas del inventario siempre aparecían con menos existencias de las esperadas. Con el módulo de auditorías, se identificó que cierto usuario estaba registrando ajustes manuales al inventario fuera del horario de operación. El patrón era invisible sin trazabilidad. Con trazabilidad, fue evidente.

Caso 3 — Cambio de precios no autorizado

Un gerente interino modificó los precios de tres platillos sin avisar al dueño. El dueño estaba fuera de la ciudad. La auditoría registró el cambio, el dueño recibió la alerta y pudo revertirlo antes de que afectara las ventas del día.

RBAC + Auditorías = control real

El problema de muchos dueños de restaurante no es que no quieran controlar su negocio. Es que controlar sin herramientas significa estar presente en todo momento, y eso no escala para nada.

Con RBAC defines las reglas una sola vez: quién puede hacer qué. Con auditorías tienes visibilidad completa de lo que pasa, aunque no estés físicamente en el local. Eso es exactamente lo que necesita un dueño que quiere crecer, abrir una segunda sucursal, o simplemente irse de vacaciones sin que el negocio se descontrole porque él no está presente.

El control real no viene de desconfiar de todo tu equipo. Viene de tener sistemas que hacen cumplir las reglas automáticamente y que registran cada excepción para que puedas actuar con información, no con suposiciones.

¿Tu sistema actual te dice quién aplicó el último descuento en tu restaurante y a qué hora? Si la respuesta es no, es momento de cambiar eso.