Resultados con privilegio mínimo. Datos mínimos, eliminables a petición (RGPD).
Autenticación fuerte insuficiente. MFA no obligatorio en varias cuentas con privilegios.
Políticas de acceso condicional incompletas. Algunos flujos no están cubiertos.
Configuración DMARC/DKIM parcial. Riesgo de spoofing de dominio detectado.