Merge branch 'codex/sanitize-client-error-observability'

# Conflicts:
#	docs/architecture/adrs/index.md
#	docs/governance/construction/ddd-design/03-identity-context.md
#	docs/governance/construction/ddd-design/04-authorization-context.md
#	src/apps/ums.api/Ums.Infrastructure/Persistence/Seeders/AuthorizationDevDataSeeder.cs

Author: beyondnetPeru

.bmad-core/rules/global-rules.md

@@ -152,3 +152,6 @@ This document establishes the mandatory rule configuration for the AI agent harn
 *   **Scope**: `architect`, `dev`
 *   **Trigger Condition**: Any dependency update, stack modernization, tooling change, or agent configuration update.
 *   **Instruction**: Once a project version is adopted, it must be pinned explicitly in code and documented consistently in agent configs, architecture docs, and contribution guidance. Agent descriptions, prompts, and repo-level instructions must be updated whenever the stack changes materially.
+
+## UI Guidelines
+*   **UI Rule - No Raw GUIDs**: Raw GUIDs must NEVER be exposed or rendered in the User Interface (UI), unless explicitly requested. Always use semantic representations (e.g. Code, Name) instead. See ADR 0065 for details.

docs/MASTER_INDEX.es.md

@@ -34,6 +34,7 @@ Especificaciones de Ingeniería y Ciclo de Vida del Producto para el User Manage
 - [Diseño de Base de Datos ER](./architecture/blueprints-es/database-design-er.md)
 - [Formatos de Exportación ER](./architecture/blueprints-es/er-export-formats.md)
 - [Arquitectura de Librerías Shell](./architecture/blueprints-es/shell-library-architecture.md)
+- [Arquitectura de Notificaciones y Feedback](./architecture/blueprints-es/notification-feedback-architecture.md)
 - [Portal de Arquitectura](./architecture/index.es.md)
 
 ### Fase 04 -- Construccion y Diseño de Dominio
@@ -52,9 +53,10 @@ Especificaciones de Ingeniería y Ciclo de Vida del Producto para el User Manage
 - [Flujos Cross-Contexto](./governance/construction/ddd-design/10-cross-context-flows.md)
 - [Primitivas DDD](./governance/construction/ddd-design/11-ddd-primitives.md)
 - [ADR-0054: Aislamiento de Librerías Shell](./architecture/adrs/0054-shell-library-isolation.md)
-- [ADR-0061: Patrón Execution Context Accessor](./architecture/adrs/0061-execution-context-accessor.md) _(⬆ candidato Evolith)_
-- [ADR-0062: Configuración Serilog Segura de PII](./architecture/adrs/0062-pii-safe-serilog-configuration.md) _(⬆ candidato Evolith)_
-- [ADR-0063: Middleware de Clave de Idempotencia](./architecture/adrs/0063-idempotency-middleware.md) _(⬆ candidato Evolith)_
+- [ADR-0061: Patrón Execution Context Accessor](./architecture/adrs/0061-execution-context-accessor.md) _(candidato Evolith)_
+- [ADR-0062: Configuración Serilog Segura de PII](./architecture/adrs/0062-pii-safe-serilog-configuration.md) _(candidato Evolith)_
+- [ADR-0063: Middleware de Clave de Idempotencia](./architecture/adrs/0063-idempotency-middleware.md) _(candidato Evolith)_
+- [ADR-0066: Contrato de Errores Accionables](./architecture/adrs/0066-actionable-user-error-contract.es.md) _(candidato Evolith)_
 - [Índice ADR](./architecture/adrs/index.md)
 - [Índice de Patrones Canónicos](./architecture/artifacts/canonical-patterns/index.md)
 - **Guías de Desarrollo de Librerías Shell** — [Visión General](./architecture/shell-libraries/README.md) · [DDD](./architecture/shell-libraries/ddd.md) · [Factory](./architecture/shell-libraries/factory.md) · [AOP](./architecture/shell-libraries/aop.md) · [Bootstrapper](./architecture/shell-libraries/bootstrapper.md) · [Uso Combinado](./architecture/shell-libraries/combined-usage.md) · [Aspectos del API](./architecture/shell-libraries/api-aspects.es.md)

docs/MASTER_INDEX.md

@@ -37,6 +37,7 @@ Product Lifecycle and Engineering Specifications for the User Management System
 - [Interactive ER Viewer](./architecture/blueprints/interactive-er-viewer.html)
 - [Service Entity Map](./architecture/blueprints/service-entity-map.md)
 - [Shell Library Architecture](./architecture/blueprints/shell-library-architecture.md)
+- [Notification and Feedback Architecture](./architecture/blueprints/notification-feedback-architecture.md)
 - [Architecture Overview](./architecture/overview.md)
 - [Architecture Portal](./architecture/index.md)
 - [Traceability Matrix (FS → ADR → TE)](./architecture/traceability-matrix.md)
@@ -65,9 +66,10 @@ Product Lifecycle and Engineering Specifications for the User Management System
 - [ADR-0054: Shell Library Isolation](./architecture/adrs/0054-shell-library-isolation.md) _(amended 2026-05-24 — scope extended to AOP + Bootstrapper, dep graph corrected)_
 - [ADR-0059: Single API Tier Decision](./architecture/adrs/0059-single-api-tier-decision.md)
 - [ADR-0060: AOP Cross-Cutting Concern Strategy](./architecture/adrs/0060-aop-cross-cutting-concern-strategy.md)
-- [ADR-0061: Execution Context Accessor Pattern](./architecture/adrs/0061-execution-context-accessor.md) _(⬆ Evolith candidate)_
-- [ADR-0062: PII-Safe Serilog Configuration](./architecture/adrs/0062-pii-safe-serilog-configuration.md) _(⬆ Evolith candidate)_
-- [ADR-0063: Idempotency Key Middleware](./architecture/adrs/0063-idempotency-middleware.md) _(⬆ Evolith candidate)_
+- [ADR-0061: Execution Context Accessor Pattern](./architecture/adrs/0061-execution-context-accessor.md) _(Evolith candidate)_
+- [ADR-0062: PII-Safe Serilog Configuration](./architecture/adrs/0062-pii-safe-serilog-configuration.md) _(Evolith candidate)_
+- [ADR-0063: Idempotency Key Middleware](./architecture/adrs/0063-idempotency-middleware.md) _(Evolith candidate)_
+- [ADR-0066: Actionable User Error Contract](./architecture/adrs/0066-actionable-user-error-contract.md) _(Evolith candidate)_
 - [ADR Registry](./architecture/adrs/index.md)
 - **Shell Library Developer Guides** — [Overview](./architecture/shell-libraries/README.md) · [DDD](./architecture/shell-libraries/ddd.md) · [Factory](./architecture/shell-libraries/factory.md) · [AOP](./architecture/shell-libraries/aop.md) · [Bootstrapper](./architecture/shell-libraries/bootstrapper.md) · [Combined Usage](./architecture/shell-libraries/combined-usage.md) · [API Aspects](./architecture/shell-libraries/api-aspects.md)
 - [Design Decisions & Gaps](./governance/construction/ddd-design/12-design-decisions.md)

docs/architecture/adrs/0066-actionable-user-error-contract.es.md

@@ -0,0 +1,156 @@
+# ADR-0066: Contrato de Errores Accionables para Usuarios y Diagnostico Correlacionado
+
+**Estado:** Aceptado  
+**Fecha:** 2026-05-26  
+**Responsable:** Arquitectura  
+**Disposicion Evolith:** Propuesto para adopcion como estandar universal de Evolith  
+**Relacionados:**
+- [ADR-0053: Observabilidad con OpenTelemetry](./0053-opentelemetry-observability.md)
+- [ADR-0055: Patron Hibrido GraphQL/REST](./0055-graphql-rest-hybrid-api.md)
+- [ADR-0057: Estado con Zustand y TanStack Query](./0057-zustand-tanstack-query-state.md)
+- [ADR-0061: Execution Context Accessor](./0061-execution-context-accessor.es.md)
+- [ADR-0062: Configuracion Serilog Segura de PII](./0062-pii-safe-serilog-configuration.es.md)
+- [Arquitectura de Notificaciones y Feedback](../blueprints-es/notification-feedback-architecture.md)
+
+---
+
+## Contexto
+
+Una revision de calidad del flujo de registro de modulos de System Suite revelo dos modos de falla opuestos:
+
+1. Mensajes tecnicos del API, detalles de excepcion y datos relacionados con la pila podian llegar al navegador.
+2. Al suprimir todos los mensajes del backend, las fallas esperadas de validacion quedaron demasiado genericas para que el usuario corrigiera la entrada.
+
+Por ejemplo, un usuario que envia una descripcion de modulo mayor al limite permitido debe saber como corregir sus datos. Ese usuario no debe ver un namespace, nombre de clase, detalle de base de datos, mensaje de excepcion ni stack trace. El equipo de soporte si necesita una referencia que localice el evento tecnico completo en Serilog y Grafana Loki.
+
+La decision aplica a todos los comandos iniciados por usuarios en UMS, no solo al registro de modulos.
+
+## Decision
+
+UMS adopta un contrato de errores con dos canales:
+
+1. **Canal de feedback para usuario:** expone solo informacion de negocio o validacion aprobada y accionable.
+2. **Canal de diagnostico:** conserva detalles tecnicos en logs estructurados y telemetria, correlacionados mediante un identificador de error generado por el servidor.
+
+### 1. Clasificacion de Errores
+
+| Clase de error | Ejemplo | Contenido visible para usuario | Logging tecnico |
+|---|---|---|---|
+| Falla de validacion | Longitud maxima excedida | Correccion accionable y codigo de seguimiento | Evento estructurado opcional |
+| Conflicto de negocio | Codigo de modulo duplicado | Razon segura de negocio y codigo de seguimiento | Evento estructurado cuando aporte valor operativo |
+| Autorizacion o autenticacion | Acceso rechazado | Declaracion segura de acceso y codigo de seguimiento | Evento estructurado con tratamiento de seguridad |
+| Infraestructura o falla inesperada | Base de datos, resolver, excepcion no controlada | Guia generica de reintento y codigo de seguimiento | Excepcion completa sanitizada con correlacion |
+
+### 2. Payload Publico de Error
+
+Las fallas de comandos REST usan Problem Details RFC 7807. El payload publico puede incluir:
+
+```json
+{
+  "type": "https://httpstatuses.io/422",
+  "title": "Validation Error",
+  "status": 422,
+  "detail": "No se pudo completar la operacion porque existen campos invalidos.",
+  "userMessage": "No se pudo registrar el modulo porque el campo Codigo tiene un formato invalido. Use solo letras, numeros y guion bajo, por ejemplo REPORTS_01. Valor ingresado: DDDD-!.",
+  "errorCode": "validation.invalid_format",
+  "messageKey": "system_suite.module.code_invalid_format",
+  "messageParameters": { "invalidValue": "DDDD-!" },
+  "errorId": "0cd26dd6-d50e-4b3c-a662-8098a87569a4",
+  "traceId": "<distributed-trace-id>"
+}
+```
+
+Reglas:
+
+- `errorId` es un GUID generado por el servidor una sola vez por solicitud fallida. Es obligatorio en la respuesta, el header (`X-Error-Id`) y el evento Serilog correspondiente.
+- `traceId` y `X-Correlation-Id` permanecen como identificadores de trazabilidad distribuida y no reemplazan a `errorId`.
+- `userMessage`, cuando esta presente, es explicitamente seguro para presentacion.
+- `errorCode`, `messageKey` y `messageParameters` son el contrato objetivo para clientes localizados.
+- `detail` nunca debe contener stack traces, tipos de excepcion, namespaces, rutas de codigo fuente, sentencias SQL, tokens, secretos ni PII.
+- Los clientes no deben mostrar `detail` arbitrario, mensajes GraphQL crudos ni mensajes nativos de excepcion. Solo muestran campos aprobados o un fallback local.
+
+La implementacion actual de UMS produce `userMessage` mediante recursos de localizacion del API seleccionados por `X-Language` o `Accept-Language`. El soporte estable de `messageKey` sigue siendo la evolucion para clientes mas ricos.
+
+### 3. Limite GraphQL
+
+GraphQL se usa para lecturas segun ADR-0055. Los errores GraphQL expuestos al cliente usan mensajes genericos seguros localizados y transportan `errorId`. Las excepciones de resolvers se registran mediante Serilog con el mismo `errorId`, pero no se serializan al navegador.
+
+### 4. Observabilidad y Logging
+
+- Cada respuesta REST o GraphQL fallida obtiene un nuevo GUID `errorId` generado por el servidor.
+- Serilog registra `ErrorId` para fallas esperadas y excepciones sanitizadas completas con `ErrorId` para fallas inesperadas; Loki consulta esa propiedad.
+- `CorrelationId` y `TraceId` continuan enlazando operaciones distribuidas independientemente del `ErrorId` visible para soporte.
+- Las reglas de logging seguro de PII de ADR-0062 aplican antes de cualquier sink.
+- Un especialista de soporte usa el codigo visible para localizar el evento detallado del backend.
+
+### 5. Ciclo de Vida de la Notificacion
+
+El feedback para usuario se entrega mediante el mecanismo centralizado de notificaciones:
+
+- El feedback de validacion y negocio es accionable y puede incluir el codigo de seguimiento.
+- La expiracion automatica del toast elimina solo la presentacion efimera; el historial puede permanecer disponible.
+- El descarte manual mediante el control de cierre es una accion explicita del usuario y elimina la entrada correspondiente del estado activo de notificaciones.
+
+### 6. Ejemplos Requeridos de Mensaje
+
+| Categoria | Ejemplo seguro visible para usuario |
+|---|---|
+| Validacion | `No se pudo registrar el modulo porque el campo Codigo tiene un formato invalido. Use solo letras, numeros y guion bajo, por ejemplo REPORTS_01. Valor ingresado: DDDD-!.` |
+| Regla de negocio | `No se pudo registrar el modulo porque ya existe otro modulo con el mismo Codigo. Ingrese un codigo diferente.` |
+| Autorizacion | `No se pudo completar la operacion porque no tiene permisos suficientes. Solicite acceso al administrador.` |
+| Inesperado | `No se pudo completar la operacion debido a un error inesperado. Intente nuevamente mas tarde.` |
+
+Cada falla mostrada agrega: `Si necesitas mas detalles, consulta con el administrador e indica este ID de error: {errorId}.`
+
+## Alternativas Rechazadas
+
+### Mostrar todos los valores `detail` del backend
+
+Rechazada. Es conveniente, pero permite que detalles de implementacion o PII escapen cuando un endpoint esta mal configurado.
+
+### Mostrar solo mensajes genericos
+
+Rechazada. Impide que los usuarios corrijan condiciones esperadas de negocio o validacion, aumentando reintentos y solicitudes de soporte.
+
+### Mostrar detalles de pila solo en desarrollo o QA
+
+Rechazada. QA y ambientes compartidos siguen siendo superficies de usuario y pueden contener datos similares a produccion.
+
+## Consecuencias
+
+### Positivas
+
+- Los usuarios reciben informacion suficiente para corregir fallas esperadas y seguras.
+- Los diagnosticos tecnicos permanecen disponibles para soporte sin exponerse en la interfaz.
+- REST, GraphQL, logging y notificaciones frontend comparten un contrato auditable.
+- El contrato puede evolucionar desde texto `userMessage` servido por backend hacia claves de mensaje localizadas en cliente.
+
+### Compromisos
+
+- Los limites del backend deben clasificar que fallas son seguras para publicar.
+- Nuevas reglas de validacion requieren texto seguro de presentacion o metadata de localizacion.
+- Las pruebas deben cubrir tanto salida accionable como ausencia de filtracion tecnica.
+
+## Mapeo de Implementacion
+
+| Preocupacion | Implementacion UMS |
+|---|---|
+| Mapeo seguro REST | `Ums.Presentation/Extensions/ResultExtensions.cs` |
+| Generacion de Error ID | `Ums.Presentation/Extensions/UserFacingErrorContext.cs` |
+| Excepciones no controladas | `Ums.Presentation/Middleware/GlobalExceptionHandler.cs` |
+| Sanitizacion GraphQL | `Ums.Presentation/GraphQL/SafeGraphQlErrorFilter.cs` |
+| Recursos de localizacion | `Ums.Globalization/Resources/{language}/domain-errors.json` |
+| Extraccion segura web | `src/application/errors/http-error.ts` |
+| Composicion de notificacion | `src/application/hooks/use-notified-mutation.ts` |
+| Descarte manual | `src/application/stores/notification.store.ts` y `src/presentation/shared/components/ToastQueue.tsx` |
+
+## Requisitos de Verificacion
+
+- Las pruebas de integracion afirman campos de validacion accionables, `errorId` generado por servidor, header `X-Error-Id` coincidente y `traceId`.
+- Las pruebas de seguridad afirman que stack traces, nombres de excepcion y mensajes internos crudos estan ausentes.
+- Las pruebas frontend afirman que solo mensajes aprobados y codigos de seguimiento se renderizan.
+- Las pruebas de notificaciones afirman que el cierre manual elimina la notificacion seleccionada.
+
+---
+
+**[Registro ADR](./index.md)** | **[Blueprint de Notificaciones y Feedback](../blueprints-es/notification-feedback-architecture.md)**