# 🛠️ ADMIN MANAGEMENT & PERMISSIONS (v1.0)

## 1. Adminisztrátori Hiearchia és Területi Felosztás
A rendszer többszintű, régió-alapú jogosultságkezelést alkalmaz (RBAC + Geographic Scope).

| Szint | Megnevezés | Területi hatókör | Jogkörök jellege |
| :--- | :--- | :--- | :--- |
| **L0** | **SuperAdmin** | Globális (Összes ország) | Teljes hozzáférés, Rendszer-paraméterezés, Admin kinevezés. |
| **L1/A** | **Global Director** | Régiós (Több ország) | Országos vezetők felügyelete, aggregált statisztikák. |
| **L1/B** | **National Manager** | Országos (pl. HU) | Saját ország moderátorainak és adatainak teljes kezelése. |
| **L2** | **Staff (Mod/Supp/Fin)** | Lokális / Szakaszolt | Operatív feladatok (VIES, support jegyek, kifizetések). |
| **L3** | **Task Moderator** | Feladat-specifikus | Sablon alapú, korlátozott hozzáférés (pl. csak szerviz validálás). |

**Verseny Logika:** Az L1/B szintű vezetők látják más országok aggregált KPI mutatóit (statisztika), de nem látnak bele a konkrét személyes vagy céges adatokba.

## 2. Jogosultságkezelés és Sablonok
- **Permissions Table:** Elemi jogosultságok tárolása (pl. `approve_vies`, `modify_credits`).
- **Role Templates:** Előre definiált sablonok az egyszerű beállításhoz (pl. "Senior Financial - DE").
- **Regionális Izoláció:** Az adminisztrátorok alapértelmezetten csak a hozzájuk rendelt `ISO_country_code` alá tartozó adatokat módosíthatják.

## 3. Biztonság és "Kill-Switch" Protokoll
- **MFA/2FA:** A második bejelentkezéstől kezdve kötelező a TOTP (Google Authenticator) használata.
- **Social Auth:** Adminok számára is engedélyezett (Google/FB), de nem váltja ki a kötelező 2FA-t.
- **Anomaly Score (Fekete Doboz):**
  - Minden kattintást és módosítást logolunk (`audit_logs`).
  - Kritikus viselkedés (pl. tömeges törlés) esetén a rendszer automatikusan felfüggeszti az admint.
  - **SuperAdmin Recovery:** A SuperAdmin visszaállítása csak egyedi Offline Kulccsal és regisztrált eszközzel lehetséges.
  - **Értesítési lánc:** Tiltáskor a felette álló szintek azonnali riasztást kapnak.

## 4. Visszaállíthatóság (State Snapshot)
Minden módosítás előtt a rendszer menti az aktuális rekord állapotát (JSON). Bármilyen károkozás vagy hiba esetén az L0/L1 szintű adminisztrátorok egy gombnyomással visszaállíthatják az eredeti adatokat.

## 5. Adminisztrátori Meghívók
- Adminisztrátort csak kézi meghívóval lehet felvenni.
- **Lejárati idő:** Minden admin meghívó token 24 óráig érvényes.

## 6. Értesítési Engine és Lejárati Figyelmeztetések

A rendszer proaktív figyelmeztető rendszert alkalmaz minden előfizetői szinten (Individual és Corporate egyaránt).

### A) Előfizetés és Pénzügyi Értesítések
- **Hatókör:** Minden fizetős csomag (Lite+, VIP, VIP+, Corporate).
- **Logika:** Automatikus értesítés küldése 30, 15, 7 és 1 nappal a csomag lejárta előtt.
- **Csatornák:** Push notification, Email és a Mini-CRM kontakt személyek értesítése.

### B) Jármű Okmányok és Technikai Lejáratok
A rendszer figyeli az eszközökhöz rögzített metaadatokat:
- **Forgalmi engedély:** Műszaki vizsga lejárata.
- **Biztosítás:** Kötelező (KGFB) és CASCO fordulónapok.
- **Lízing/Szerződés:** Szerződéses futamidő vége.
- **Okmányok:** Hajólevél, lajstrom, emelőgép vizsga stb.

### C) CRM Kontaktok és Kapcsolattartás
Minden szervezet (Organization) esetében kötelező megadni legalább egy **Adminisztratív Kontaktot**.
- **Több cég kezelése:** Egy Person több szervezetben is betölthet `owner` vagy `fleet_manager` szerepkört.
- **CRM Mezők:** Név, beosztás, közvetlen elérhetőség (fizetésért felelős, operatív felelős).

## 7. Corporate Onboarding és Validációs Szintek
A cégek rögzítése háromlépcsős ellenőrzésen esik át:
1. **Tier 1 (Automata):** Adószám alapú validáció (HU/VIES API).
2. **Tier 2 (AI/OCR):** Feltöltött dokumentumok (Alapító okirat) intelligens elemzése.
3. **Tier 3 (Human):** Adminisztrátori jóváhagyás (L2/L3 szint), ha az automata folyamat bizonytalan.

## 8. B2B Jutalék és MLM Kivételek
- **Direct Referral:** Cég által meghívott másik cég esetén csak 1. szintű (L1) jutalék jár.
- **MLM Korlát:** Szervezetek nem építhetnek többszintű hálózatot, a kifizetés fix üzleti megállapodás alapú.