Resultados ao menor privilégio. Dados mínimos, elimináveis mediante pedido (RGPD).
Autenticação forte insuficiente. MFA não obrigatório em várias contas privilegiadas.
Políticas de acesso condicional incompletas. Alguns fluxos não estão cobertos.
Configuração DMARC/DKIM parcial. Risco de spoofing de domínio detetado.