Compliance-Infrastruktur

SOC-2-Schwachstellen-Compliance in 5 Minuten.

Ein security@-Postfach ist kein Schwachstellenprogramm. Kit gibt Ihnen ein strukturiertes VDP - security.txt automatisch veröffentlicht, Berichte triagiert, Nachweise bereit für Auditoren. Kostenlos starten.

Kostenlos aktivieren Preise ansehen

Das Problem mit security@-E-Mail.

Jedes Startup erbt denselben fehlerhaften Workflow. Hier ist, warum er ein SOC-2-Audit nicht übersteht.

Posteingangs-Chaos

Berichte in Threads begraben, kein SLA-Tracking, keine CVSS-Bewertung. Wenn Ihr Auditor nach Nachweisen fragt, durchsuchen Sie Gmail.

Druck vom Auditor

SOC 2 CC7.1 verlangt dokumentierte Nachweise der Schwachstellenüberwachung. Ein Jira-Ticket ist kein Nachweis. Ein mit Zeitstempel versehener Audit-Trail schon.

HackerOne beginnt bei 22.000 $/Jahr

Enterprise-Bug-Bounty-Plattformen sind für Großunternehmen gebaut. Startups brauchen Compliance jetzt - nicht einen 5-wöchigen Beschaffungsprozess und einen sechsstelligen Vertrag.

KI-nativ

Ihre KI übernimmt die Triage. Sie führen das Programm.

Kits VDP wird mit 21 MCP-Tools ausgeliefert - dieselbe KI-Infrastruktur, die Ihre Recruiting-Pipeline steuert, deckt jetzt auch Ihren gesamten Schwachstellen-Lebenszyklus ab.

21 Tools. Vollständige Lebenszyklusabdeckung.

Lese-Tools ermöglichen Ihrer KI, Berichte zu durchsuchen, den Geltungsbereich zu prüfen, Duplikate zu erkennen, Schweregrade vorzuschlagen und Kennzahlen abzurufen. Schreib-Tools ermöglichen Triage, Bewertung, Antwort, Zuweisung und Prämiengenehmigung - immer mit Ihrer Bestätigung.

Claude ChatGPT Gemini Cursor
KI-Integrationsdokumentation lesen

Triage in natürlicher Sprache.

Sprechen Sie mit Ihren Sicherheitsdaten genauso wie mit Ihren Recruiting-Daten.

"Zeige mir alle High-Severity-Berichte mit SLA-Verletzung"
"Prüfe Bericht rpt_abc123 auf Duplikate und schlage einen Schweregrad vor"
"Entwirf eine Ablehnungsantwort - das scheint außerhalb des Geltungsbereichs zu liegen"
"Genehmige eine 500-$-Prämie für den SQL-Injection-Bericht"

Alles, was Sie brauchen. Nichts, was Sie nicht brauchen.

Kostenlose Features machen Sie heute konform. Das Add-on bringt Sie von konform zu souverän.

Kostenlos

security.txt + Offenlegungsrichtlinie

RFC-9116-konforme security.txt, automatisch veröffentlicht unter /.well-known/security.txt. Ablaufwarnungen halten sie aktuell. Forscher wissen, wie sie Sie erreichen.

Kostenlos

Strukturiertes Aufnahmeformular + CAPTCHA

Keine formlosen E-Mails mehr. Jeder Bericht erfasst Titel, Beschreibung, CVSS-Vektor, Proof-of-Concept und Auswirkung - von Anfang an strukturiert.

Add-on

Kanban-Triage + CVSS v3.1 + SLA-Tracking

Verschieben Sie Berichte von Neu → Triagiert → Gelöst - mit vollständigem Statusverlauf. SLA-Timer starten automatisch. Verpassen Sie nie wieder eine Antwortfrist.

Add-on

Prämien-Pipeline + SOC-2-Exporte + KI-Agent

Zahlen Sie Forscher per ACH/Überweisung mit 1099-Steuerabwicklung. Exportieren Sie Prüfungsnachweise per Klick. Der KI-Agent erkennt Duplikate und entwirft Antworten.

5 Minuten bis zur Compliance.

Drei Schritte. Keine Beschaffung, keine Integrationsprojekte, kein Warten.

1

VDP in Ihren Kit-Einstellungen aktivieren

Aktivieren Sie das VDP-Modul. Ihre security.txt wird sofort unter /.well-known/security.txt veröffentlicht und Ihre Offenlegungsrichtlinie geht live.

2

Erster Bericht kommt an - strukturiert, nicht verstreut

Forscher reichen über ein gebrandetes Aufnahmeformular ein. Sie sehen einen sauberen Bericht mit CVSS-Bewertung - keine weitergeleitete E-Mail-Kette.

3

Upgraden, wenn Triage wichtig wird

Fügen Sie das vollständige Triage-Modul für 49 $/Monat hinzu, wenn Sie bereit sind für Kanban-Boards, SLA-Tracking, Prämienzahlungen und SOC-2-Export.

Ehrliche Preise.

Kostenlos macht Sie audit-bereit. Das Add-on macht Sie audit-sicher.

Eigenbau / HackerOne

security@-Postfach (unstrukturiert) 0 $
HackerOne Starter 22.000+ $/Jahr
Mit Einrichtungszeit und Overhead Wochen

Plus 2–5 Wochen Onboarding, benutzerdefinierte Integrationen, rechtliche Prüfung und die Anforderung eines dedizierten Programmmanagers.

5-Minuten-Einrichtung

Kit VDP

Kostenlos zum Start

Vollständiges Triage-Add-on ab 49 $/Monat

  • security.txt automatisch veröffentlicht
  • Strukturiertes Aufnahmeformular + CAPTCHA
  • Kanban-Triage + CVSS + SLA (Add-on)
  • SOC-2-Audit-Exporte (Add-on)

Fragen, beantwortet.

Wir sind zu klein für ein Bug-Bounty-Programm.

Ein VDP ist kein Bug-Bounty-Programm - Sie bieten keine Belohnungen an. Es ist ein dokumentierter, konformer Kanal für Forscher, um Schwachstellen zu melden. SOC 2 Typ II, Cyberversicherer und Unternehmenskunden verlangen zunehmend den Nachweis, dass Sie eines haben. Kits kostenloses Paket gibt Ihnen genau das - ohne Zahlungsverpflichtung.

Werden wir damit nicht Hacker zu Angriffen einladen?

Forscher untersuchen Ihre Infrastruktur bereits - sie haben nur keinen legitimen Ort, um Funde zu melden. Ein VDP gibt ihnen einen genehmigten Weg und bietet Ihnen rechtlichen Schutz. Ohne VDP könnte ein wohlmeinender Forscher an die Öffentlichkeit gehen, statt rechtliche Risiken einzugehen. Mit VDP kommt er zuerst zu Ihnen.

Kann ich ein privates Programm nur auf Einladung betreiben?

Ja. Schalten Sie Ihr Portal in den Nur-auf-Einladung-Modus in den Sicherheitsportal-Einstellungen - Kit generiert einen geheimen Zugangs-Token. Teilen Sie die Einladungs-URL direkt mit vertrauenswürdigen Forschern; per Klick erhalten sie eine dauerhafte Sitzung. Alle anderen Besucher sehen ein kurzes Zugangsanfrageformular statt einer Sackgasse. Ausstehende Anfragen erscheinen in Ihrer Seitenleiste mit einem Badge - ein Klick genehmigt und sendet den Einladungslink automatisch.

Wir werden mit Spam und minderwertigen Berichten überflutet.

Kits Aufnahmeformular enthält CAPTCHA, Ratenbegrenzung und eine KI-Screening-Schicht, die Spam abfängt, bevor er Ihre Warteschlange erreicht. In der Praxis werden über 80 % des Rauschens automatisch gefiltert. Sie sehen echte Berichte - kein Posteingangs-Chaos.

Wir könnten einfach selbst ein Webformular bauen.

Ein Formular gibt Ihnen die Aufnahme. Aber kein SLA-Tracking, keine CVSS-Bewertung, keinen Statusverlauf, keine Kommunikationsverläufe mit Forschern, keine Prämienzahlungen, keine Steuerdokumentenverwaltung und keinen SOC-2-Export per Klick. Kit bündelt all das - ein Nachmittag für die Bereitstellung statt ein Engineering-Sprint für den Eigenbau.

Was ist mit HackerOne, wenn wir wachsen?

HackerOne ist ausgezeichnet - ab 22.000 $/Jahr für Teams, die einen öffentlichen Forscher-Marktplatz brauchen. Kits VDP ist für die Compliance-first-Phase davor gebaut. Wenn Sie bereit sind aufzusteigen, exportiert Kit Ihre gesamte Programmhistorie - Berichtszusammenfassungen, CVSS-Bewertungen, SLA-Performance, Kommunikationsprotokolle und Finanzbuch - als CSV oder PDF. Saubere, strukturierte Daten von Tag eins. Keine Migrationsprobleme.

Sehen Sie, wie SOC-2-Exporte funktionieren
Sind meine VDP-Daten portabel, wenn ich Kit verlasse?

Ja. Kits vollständiger Kontoexport verpackt jeden VDP-Datensatz - Programme, Berichte, Bewertungen, Nachrichten, Prämien, Auszahlungen, Forscherprofile und KI-Screenings - in strukturiertes JSON. Ein Klick in den Kontoeinstellungen. Sie haben 7 Tage zum Herunterladen. Ihre Sicherheitshistorie gehört Ihnen.

Sehen Sie, was in einem Datenexport enthalten ist
Regulatorische Fristen

Das Zeitfenster wird kleiner.

Die Meldepflichten des EU Cyber Resilience Act (CRA) treten am 11. September 2026 in Kraft. US OMB M-26-05 verlangt jetzt von Bundesauftragnehmern, ein VDP zu unterhalten. SOC 2 Typ II-Auditoren beanstanden das Fehlen von Schwachstellenüberwachungsprogrammen. Die Kosten eines VDP betragen 5 Minuten. Die Kosten, keines zu haben, steigen.

VDP in 5 Minuten bereitstellen. Kostenlos.

Keine Kreditkarte nötig. security.txt wird sofort veröffentlicht. Upgraden Sie, wenn Sie Triage benötigen.

VDP kostenlos aktivieren Die Recruiting-Plattform entdecken