FEAT: Integrated Document Engine with WebP optimization, Thumbnail generation and Hybrid (NAS/SSD) storage logic

docs/V01_gemini/19_ADMIN_AND_PERMISSIONS_SPEC.md

@@ -1,7 +1,7 @@
-# 🛠️ ADMIN MANAGEMENT & PERMISSIONS (v1.0)
+# 🛠️ 19_ADMIN_AND_PERMISSIONS_SPEC (v1.0)
 
-## 1. Adminisztrátori Hiearchia és Területi Felosztás
-A rendszer többszintű, régió-alapú jogosultságkezelést alkalmaz (RBAC + Geographic Scope).
+## 1. Adminisztrátori Hierarchia és Területi Felosztás
+A rendszer többszintű, régió-alapú jogosultságkezelést alkalmaz (**RBAC + Geographic Scope**).
 
 | Szint | Megnevezés | Területi hatókör | Jogkörök jellege |
 | :--- | :--- | :--- | :--- |
@@ -11,56 +11,67 @@ A rendszer többszintű, régió-alapú jogosultságkezelést alkalmaz (RBAC + G
 | **L2** | **Staff (Mod/Supp/Fin)** | Lokális / Szakaszolt | Operatív feladatok (VIES, support jegyek, kifizetések). |
 | **L3** | **Task Moderator** | Feladat-specifikus | Sablon alapú, korlátozott hozzáférés (pl. csak szerviz validálás). |
 
-**Verseny Logika:** Az L1/B szintű vezetők látják más országok aggregált KPI mutatóit (statisztika), de nem látnak bele a konkrét személyes vagy céges adatokba.
+
+
+### Verseny Logika (Privacy Protection)
+Az L1/B szintű vezetők látják más országok aggregált KPI mutatóit (statisztikai összehasonlítás), de **nincs betekintésük** a konkrét személyes vagy céges adatokba.
+
+---
 
 ## 2. Jogosultságkezelés és Sablonok
-- **Permissions Table:** Elemi jogosultságok tárolása (pl. `approve_vies`, `modify_credits`).
-- **Role Templates:** Előre definiált sablonok az egyszerű beállításhoz (pl. "Senior Financial - DE").
-- **Regionális Izoláció:** Az adminisztrátorok alapértelmezetten csak a hozzájuk rendelt `ISO_country_code` alá tartozó adatokat módosíthatják.
+- **Permissions Table:** Elemi jogosultságok atomi tárolása (pl. `approve_vies`, `modify_credits`).
+- **Role Templates:** Előre definiált szerepkör-sablonok (pl. "Senior Financial - DE").
+- **Regionális Izoláció:** Az adminisztrátorok alapértelmezetten csak a hozzájuk rendelt `ISO_country_code` alá tartozó rekordokat módosíthatják.
+
+---
 
 ## 3. Biztonság és "Kill-Switch" Protokoll
-- **MFA/2FA:** A második bejelentkezéstől kezdve kötelező a TOTP (Google Authenticator) használata.
-- **Social Auth:** Adminok számára is engedélyezett (Google/FB), de nem váltja ki a kötelező 2FA-t.
-- **Anomaly Score (Fekete Doboz):**
-  - Minden kattintást és módosítást logolunk (`audit_logs`).
-  - Kritikus viselkedés (pl. tömeges törlés) esetén a rendszer automatikusan felfüggeszti az admint.
-  - **SuperAdmin Recovery:** A SuperAdmin visszaállítása csak egyedi Offline Kulccsal és regisztrált eszközzel lehetséges.
-  - **Értesítési lánc:** Tiltáskor a felette álló szintek azonnali riasztást kapnak.
+### 3.1. Hitelesítés
+- **MFA/2FA:** A második bejelentkezéstől kezdve kötelező a **TOTP** (pl. Google Authenticator) használata.
+- **Social Auth:** Engedélyezett, de nem váltja ki a kötelező 2FA-t.
 
-## 4. Visszaállíthatóság (State Snapshot)
-Minden módosítás előtt a rendszer menti az aktuális rekord állapotát (JSON). Bármilyen károkozás vagy hiba esetén az L0/L1 szintű adminisztrátorok egy gombnyomással visszaállíthatják az eredeti adatokat.
+### 3.2. Anomaly Score (Fekete Doboz)
+- **Audit Logs:** Minden kattintást és módosítást JSON formátumban rögzítünk.
+- **Automatikus Felfüggesztés:** Kritikus viselkedés (pl. tömeges adattörlés) esetén a rendszer automatikusan zárolja az admin fiókot és riasztást küld a felette álló szintnek.
+- **SuperAdmin Recovery:** Csak egyedi **Offline Kulccsal** és előre regisztrált fizikai eszközzel lehetséges.
 
-## 5. Adminisztrátori Meghívók
-- Adminisztrátort csak kézi meghívóval lehet felvenni.
-- **Lejárati idő:** Minden admin meghívó token 24 óráig érvényes.
+### 3.3. State Snapshot (Visszaállíthatóság)
+Minden módosítás előtt a rendszer menti a rekord aktuális állapotát. Az L0/L1 szintű adminisztrátorok egy gombnyomással visszaállíthatják az eredeti adatokat károkozás vagy hiba esetén.
 
-## 6. Értesítési Engine és Lejárati Figyelmeztetések
+---
 
-A rendszer proaktív figyelmeztető rendszert alkalmaz minden előfizetői szinten (Individual és Corporate egyaránt).
+## 4. Értesítési Engine és Lejárati Figyelmeztetések
+A rendszer proaktív módon értesíti az érintetteket a kritikus dátumok előtt (Push, Email, Mini-CRM).
 
-### A) Előfizetés és Pénzügyi Értesítések
-- **Hatókör:** Minden fizetős csomag (Lite+, VIP, VIP+, Corporate).
-- **Logika:** Automatikus értesítés küldése 30, 15, 7 és 1 nappal a csomag lejárta előtt.
-- **Csatornák:** Push notification, Email és a Mini-CRM kontakt személyek értesítése.
+### 4.1. Előfizetési Értesítések
+- **Hatókör:** Lite+, VIP, VIP+, Corporate csomagok.
+- **Ütemezés:** Automatikus figyelmeztetés **30, 15, 7 és 1** nappal a lejárati dátum előtt.
 
-### B) Jármű Okmányok és Technikai Lejáratok
-A rendszer figyeli az eszközökhöz rögzített metaadatokat:
-- **Forgalmi engedély:** Műszaki vizsga lejárata.
-- **Biztosítás:** Kötelező (KGFB) és CASCO fordulónapok.
-- **Lízing/Szerződés:** Szerződéses futamidő vége.
-- **Okmányok:** Hajólevél, lajstrom, emelőgép vizsga stb.
+### 4.2. Technikai és Jármű Okmányok
+A rendszer figyeli és jelzi az alábbiak lejáratát:
+- **Forgalmi engedély:** Műszaki vizsga érvényessége.
+- **Biztosítás:** KGFB és CASCO fordulónapok.
+- **Lízing:** Szerződéses futamidő vége.
+- **Specialty:** Hajólevél, lajstrom, emelőgép vizsga stb.
 
-### C) CRM Kontaktok és Kapcsolattartás
-Minden szervezet (Organization) esetében kötelező megadni legalább egy **Adminisztratív Kontaktot**.
-- **Több cég kezelése:** Egy Person több szervezetben is betölthet `owner` vagy `fleet_manager` szerepkört.
-- **CRM Mezők:** Név, beosztás, közvetlen elérhetőség (fizetésért felelős, operatív felelős).
+---
 
-## 7. Corporate Onboarding és Validációs Szintek
-A cégek rögzítése háromlépcsős ellenőrzésen esik át:
-1. **Tier 1 (Automata):** Adószám alapú validáció (HU/VIES API).
-2. **Tier 2 (AI/OCR):** Feltöltött dokumentumok (Alapító okirat) intelligens elemzése.
-3. **Tier 3 (Human):** Adminisztrátori jóváhagyás (L2/L3 szint), ha az automata folyamat bizonytalan.
+## 5. CRM és Szervezeti Kontaktok
+Minden szervezet (Organization) esetében kötelező legalább egy **Adminisztratív Kontakt** megadása.
+- **Multi-Role:** Egy Person több szervezetben is lehet `owner` vagy `fleet_manager`.
+- **CRM Mezők:** Név, beosztás, közvetlen elérhetőség (Pénzügyi felelős / Operatív felelős elkülönítve).
 
-## 8. B2B Jutalék és MLM Kivételek
-- **Direct Referral:** Cég által meghívott másik cég esetén csak 1. szintű (L1) jutalék jár.
-- **MLM Korlát:** Szervezetek nem építhetnek többszintű hálózatot, a kifizetés fix üzleti megállapodás alapú.
+---
+
+## 6. Corporate Onboarding és Validáció
+A cégek hitelesítése három szinten történik:
+1. **Tier 1 (Automata):** Adószám alapú validáció (VIES / Nemzeti API).
+2. **Tier 2 (AI/OCR):** Feltöltött dokumentumok (pl. Alapító okirat) intelligens elemzése.
+3. **Tier 3 (Human):** L2/L3 szintű adminisztrátori jóváhagyás, ha az automatika bizonytalan.
+
+---
+
+## 7. B2B Jutalék és MLM Korlátok
+- **Direct Referral:** Szervezet által meghívott másik szervezet esetén kizárólag az **1. szintű (L1)** jutalék jár.
+- **MLM Kivétel:** A szervezetek nem építhetnek többszintű hálózatot; a kifizetés minden esetben fix üzleti megállapodás vagy egyedi szerződés alapján történik.
+- **Adminisztrátori Meghívók:** Csak manuálisan generálhatók, és szigorúan **24 órás** lejárati idővel rendelkeznek.