Ролевая модель и группы безопасности: кто видит что в CRM

Недавно к нам обратился руководитель компании с неприятной историей: «Менеджер из отдела B2B увидел клиентскую базу отдела B2C. И переманил несколько клиентов к себе в отдел, а потом уволился и забрал их с собой. Как такое вообще возможно?»

К сожалению, подобные ситуации встречаются чаще, чем хотелось бы. Когда компания растёт, а доступ к данным остаётся «плоским» — рано или поздно случается утечка. Кто-то видит чужие зарплаты, кто-то — конфиденциальные переговоры с крупным клиентом, а кто-то получает доступ к базе, которая стоила годы работы.

CrmAI изначально проектировалась с учётом этих рисков. В основе системы — ролевая модель доступа (RBAC), где каждый сотрудник видит ровно то, что ему необходимо для работы. Не больше и не меньше. При этом настройка гибкая: можно дать доступ ко всему модулю, а можно — только к определённым полям в карточке клиента.

Тонкая настройка прав по модулям

Представьте, что ваша CRM — это офисное здание. У каждого сотрудника есть пропуск, но он открывает только нужные двери. Бухгалтер попадает в финансовый отдел, менеджер — в переговорные, а уборщик — в подсобки. Никто не бродит по чужим кабинетам.

В CrmAI это работает точно так же. Для каждой группы пользователей настраиваются права на конкретные модули системы:

• Чаты — доступ к диалогам с клиентами. Можно ограничить: оператор видит только свои чаты, руководитель — все чаты отдела
• Заказы — просмотр и редактирование заказов. Полезно, когда нужно разделить тех, кто оформляет заказы, и тех, кто их отгружает
• Бронирования — управление записями клиентов на услуги и встречи
• Недвижимость — каталог объектов для агентств и застройщиков
• Продукты — каталог товаров и услуг с ценами
• CRM — сделки и воронки продаж. Сердце системы, которое чаще всего требует тонкой настройки
• Биллинг — финансовая информация, счета, оплаты. Обычно доступен только руководству и бухгалтерии
• Боты — настройка ИИ-ботов и сценариев автоматизации
• Каналы — подключение мессенджеров, соцсетей и других каналов связи
• Почта — email-интеграция и рассылки
• База знаний — документы и материалы для обучения бота
• Настройки — конфигурация системы, интеграции, вебхуки

Для каждого модуля устанавливается один из четырёх уровней доступа: нет доступа, только чтение, редактирование или полный доступ (включая удаление). Такая градация позволяет, например, дать стажёру право видеть карточки клиентов, но не менять в них ничего, пока он не пройдёт испытательный срок.

Группы безопасности: не изобретайте велосипед

Настраивать права каждому сотруднику по отдельности — занятие неблагодарное. Особенно когда в компании 50+ человек и текучка кадров. Поэтому в CrmAI используются группы безопасности — своеобразные «шаблоны» прав доступа.

Типичная структура выглядит так:

• Администраторы — полный доступ ко всем модулям и настройкам. Обычно это IT-отдел или владелец бизнеса
• Руководители отделов — аналитика по своему направлению, настройки отдела, доступ к данным подчинённых
• Менеджеры по продажам — работа со сделками и клиентами, но без доступа к финансам и настройкам системы
• Операторы поддержки — только чаты и история обращений, без доступа к сделкам и ценам
• Бухгалтерия — биллинг, отчёты и документооборот, без доступа к переписке с клиентами

Самое удобное — один сотрудник может состоять сразу в нескольких группах. Права при этом суммируются. Например, руководитель отдела продаж входит и в группу «Руководители», и в группу «Менеджеры» — и получает возможности обеих ролей. Когда приходит новый сотрудник, достаточно добавить его в нужную группу, а не настраивать десятки галочек вручную.

Как это работает на практике: интерфейс подстраивается под роль

Мы намеренно сделали так, чтобы сотрудник даже не подозревал о существовании того, к чему у него нет доступа. Зачем показывать кнопку «Финансы», если она всё равно заблокирована? Это только создаёт путаницу и соблазн «попробовать».

Система проверяет права на каждом шаге:

• Нет доступа к модулю — пункт меню просто не появляется в интерфейсе
• Есть право на чтение, но не на редактирование — все кнопки изменения скрыты
• Попытка зайти напрямую по URL — система вежливо откажет и запишет инцидент в лог

В результате у каждого сотрудника — свой «чистый» интерфейс, без лишних элементов. Менеджер видит CRM и чаты, бухгалтер — счета и отчёты, оператор — только входящие обращения. Меньше визуального шума — выше концентрация на работе.

Аудит действий: когда нужно разобраться, кто виноват

Даже самая продуманная система прав не застрахует от человеческого фактора. Менеджер случайно удалил важную сделку. Кто-то изменил цену в договоре. Клиент жалуется, что ему обещали одно, а в системе — совсем другое. Как разобраться?

CrmAI ведёт подробный журнал всех действий в системе:

• Кто, когда и что именно изменил — с точностью до секунды
• Старое и новое значение поля — можно увидеть, как было «до» и «после»
• IP-адрес и устройство — понятно, откуда был вход: из офиса или с домашнего компьютера
• Попытки несанкционированного доступа — если кто-то пытается пробраться туда, куда не положено

Благодаря аудиту можно восстановить полную историю изменений любой записи. А если что-то пошло не так — быстро найти виновника и понять, было ли это ошибкой или намеренным действием. Кстати, само наличие такого журнала заметно дисциплинирует команду: когда знаешь, что всё записывается — десять раз подумаешь, прежде чем «подправить» данные.

Разграничение доступа к данным: глубже, чем модули

Допустим, у вас два отдела продаж: B2B и B2C. Оба работают в CRM, оба ведут сделки. Но база клиентов — разная, и смешивать её категорически нельзя. Как быть?

Помимо прав на модули, в CrmAI можно настроить разграничение на уровне самих данных:

• Только свои сделки — менеджер видит и работает только с теми клиентами, которые назначены лично ему. Чужие карточки для него просто не существуют
• Только свой отдел — руководитель видит все сделки своих подчинённых, но не видит данные соседнего отдела
• Только своя воронка — доступ ограничен конкретным бизнес-направлением. Например, агент по аренде не видит сделки по продаже недвижимости

Это решает ту самую проблему, с которой мы начали статью. Менеджер B2B физически не может увидеть базу B2C — система просто не покажет ему эти данные. Не потому что кнопка заблокирована, а потому что для него этих записей не существует в принципе.

Реальный кейс: как мы настроили права для агентства недвижимости

Чтобы не быть голословными, расскажем про недавний случай. К нам пришло агентство недвижимости с 40+ агентами, разделёнными на три направления: продажа, аренда и новостройки.

Проблема была классическая: агенты «подсматривали» объекты друг у друга, иногда перехватывали клиентов, а руководство не могло понять, кто что делает. Настроили так:

• Каждый агент видит только свои объекты и своих клиентов
• Руководитель направления видит всё по своему направлению + аналитику
• Директор видит общую картину по всем направлениям
• Бухгалтерия видит только финансовые документы, без контактов клиентов

Результат: за три месяца ни одного конфликта из-за «угнанных» клиентов. Агенты перестали тратить время на просмотр чужих карточек и сфокусировались на своей работе.

Что вы получаете в итоге

Давайте подведём итог. Настроив систему прав в CrmAI, вы получаете:

• Защиту клиентской базы — никто не уведёт контакты при увольнении, потому что видит только своих клиентов
• Конфиденциальность финансов — зарплаты, маржа и другие чувствительные данные доступны только тем, кому положено
• Дисциплину в команде — когда всё логируется, люди работают аккуратнее
• Простое управление правами — добавил в группу, и человек сразу получил нужный доступ

И главное — спокойствие. Вы точно знаете, кто что видит и что делает в системе. Это бесценно, когда бизнес растёт и контролировать каждого сотрудника лично уже невозможно.