Actualizar README.md
This commit is contained in:
@@ -239,26 +239,59 @@ python tests/integration_test.py
|
|||||||
|
|
||||||
## DECISIONS LOG
|
## DECISIONS LOG
|
||||||
|
|
||||||
### DEC-001 — Canal de chat (WhatsApp vs Google Chat)
|
### DEC-001 — Canal de chat
|
||||||
- Fecha: Pendiente — Semana 1
|
|
||||||
- Contexto: El agente necesita un canal de comunicacion. GLM opera en Google Workspace pero Maximo usa WhatsApp para operaciones similares
|
|
||||||
- Opciones consideradas: WhatsApp API vs Google Chat API
|
|
||||||
- Decision: A definir por Luis Matos en Semana 1
|
|
||||||
- Razon: Pendiente
|
|
||||||
|
|
||||||
### DEC-002 — Sistema de autenticacion
|
* Fecha: Junio 2026
|
||||||
- Fecha: Pendiente — Semana 1
|
* Contexto: El agente necesita un canal de comunicación para recibir instrucciones y responder al equipo de RRHH. GLM opera dentro de Google Workspace y el proyecto manejará acciones sensibles sobre información de empleados en BambooHR.
|
||||||
- Contexto: Se necesita validar la identidad de cada usuario para aplicar permisos correctamente
|
* Opciones consideradas: WhatsApp API vs Google Chat API
|
||||||
- Opciones consideradas: Google OAuth vs sistema propio vs otro
|
* Decisión: Usar Google Chat como canal principal para la primera versión del BambooHR Agent.
|
||||||
- Decision: A definir por IT en Semana 1
|
* Razón: Google Chat permite trabajar con identidad corporativa de Google Workspace, usuarios internos, mejor trazabilidad y menor riesgo de suplantación que WhatsApp para acciones sensibles de RRHH.
|
||||||
- Razon: Pendiente
|
* Impacto: WhatsApp queda como posible canal futuro para notificaciones, recordatorios, alertas o consultas simples de bajo riesgo, pero no como canal principal para ejecutar acciones críticas en BambooHR.
|
||||||
|
|
||||||
### DEC-003 — Almacenamiento del log de auditoria
|
### DEC-002 — Sistema de autenticación
|
||||||
- Fecha: Pendiente — Semana 1
|
|
||||||
- Contexto: Cada accion ejecutada debe quedar registrada con usuario, accion, timestamp y resultado
|
* Fecha: Junio 2026
|
||||||
- Opciones consideradas: Supabase / Postgres vs Google Sheets
|
* Contexto: Se necesita validar la identidad de cada usuario antes de permitir consultas, modificaciones, reportes o acciones sobre BambooHR.
|
||||||
- Decision: A definir por IT en Semana 1
|
* Opciones consideradas: Google Workspace / OAuth vs sistema propio de usuarios vs autenticación por número de WhatsApp
|
||||||
- Razon: Pendiente
|
* Decisión: Usar Google Workspace como proveedor de identidad.
|
||||||
|
* Razón: Evita crear usuarios y contraseñas propias, aprovecha las cuentas corporativas existentes y permite auditar cada solicitud por correo corporativo.
|
||||||
|
* Impacto: Solo usuarios corporativos autorizados podrán interactuar con el agente. Antes de procesar cualquier instrucción, el sistema deberá validar identidad, rol y permisos del usuario.
|
||||||
|
|
||||||
|
### DEC-003 — Modelo de autorización y permisos
|
||||||
|
|
||||||
|
* Fecha: Junio 2026
|
||||||
|
* Contexto: No basta con saber que el usuario pertenece a GLM. El agente debe validar que el usuario tenga permiso para ejecutar una acción específica según rol, país/área permitida, sensibilidad del dato y nivel de riesgo de la operación.
|
||||||
|
* Opciones consideradas: Google Sheets vs Supabase/Postgres vs Neo4j
|
||||||
|
* Decisión: Usar Neo4j como grafo de autorización y relaciones.
|
||||||
|
* Razón: Neo4j permite modelar relaciones complejas entre usuarios, roles, países, áreas, acciones, campos sensibles, confirmaciones y aprobaciones.
|
||||||
|
* Impacto: Neo4j guardará metadata de permisos y relaciones. No almacenará salarios reales, documentos, datos personales sensibles completos ni historial completo de BambooHR.
|
||||||
|
|
||||||
|
### DEC-004 — Almacenamiento del log de auditoría
|
||||||
|
|
||||||
|
* Fecha: Junio 2026
|
||||||
|
* Contexto: Cada acción relevante debe quedar registrada con usuario, acción, empleado afectado si aplica, timestamp, resultado de autorización y resultado de ejecución.
|
||||||
|
* Opciones consideradas: Supabase/Postgres vs Google Sheets
|
||||||
|
* Decisión: Usar Supabase/Postgres como almacenamiento principal del log de auditoría.
|
||||||
|
* Razón: Supabase/Postgres ofrece mayor control, estructura, trazabilidad, seguridad y escalabilidad que Google Sheets para un proyecto con datos sensibles de RRHH.
|
||||||
|
* Impacto: Google Sheets podrá usarse solo como herramienta auxiliar de visualización o exporte, pero no como log principal de auditoría.
|
||||||
|
|
||||||
|
### DEC-005 — Separación de responsabilidades entre n8n y Python Service
|
||||||
|
|
||||||
|
* Fecha: Junio 2026
|
||||||
|
* Contexto: n8n es ideal para orquestar flujos, recibir mensajes, llamar servicios externos y responder al usuario. Sin embargo, las reglas críticas de permisos, autorización, ejecución contra BambooHR y auditoría deben mantenerse centralizadas, versionadas y auditables.
|
||||||
|
* Opciones consideradas: Hacer toda la lógica en n8n vs separar la lógica crítica en un Python Service
|
||||||
|
* Decisión: Usar n8n como orquestador del flujo y un Python Service como capa de lógica crítica.
|
||||||
|
* Razón: Separar la lógica crítica evita que reglas sensibles de RRHH queden dispersas en múltiples nodos visuales. El Python Service permite validar permisos, consultar Neo4j, ejecutar BambooHR API y registrar auditoría de forma más controlada y fácil de probar.
|
||||||
|
* Impacto: n8n recibirá el mensaje, coordinará el flujo y responderá al usuario. El Python Service validará permisos, consultará Neo4j, ejecutará acciones autorizadas en BambooHR API y registrará auditoría en Supabase/Postgres.
|
||||||
|
|
||||||
|
### DEC-006 — Política de seguridad para acciones sensibles
|
||||||
|
|
||||||
|
* Fecha: Junio 2026
|
||||||
|
* Contexto: El agente podrá ejecutar acciones que impactan datos sensibles de empleados, nómina y procesos de RRHH. Una instrucción mal interpretada no debe ejecutarse automáticamente si representa riesgo alto.
|
||||||
|
* Opciones consideradas: Ejecutar acciones directamente vs solicitar confirmación/aprobación según riesgo
|
||||||
|
* Decisión: Requerir confirmación explícita para acciones sensibles y aprobación cuando aplique según política interna.
|
||||||
|
* Razón: Cambios de salario, desvinculaciones, creación de empleados, cambios de manager, cambios de fechas críticas y acciones que impacten nómina requieren control adicional antes de ejecutarse.
|
||||||
|
* Impacto: Las acciones sensibles no se ejecutarán directamente después de ser interpretadas. El agente deberá pedir confirmación y registrar la operación en auditoría. Los settings de BambooHR quedan bloqueados para todos excepto Máximo Gómez.
|
||||||
|
|
||||||
---
|
---
|
||||||
|
|
||||||
|
|||||||
Reference in New Issue
Block a user