Comunicación con investigadores
Cómo usar hilos de mensajes, personalizar plantillas de correo, configurar notificaciones de Slack y gestionar escalados.
Por qué es importante
Los investigadores juzgan los programas por la velocidad y la claridad de la comunicación más que por los montos de las recompensas. Un programa que confirma los informes rápidamente y ofrece actualizaciones de estado transparentes genera confianza, y la confianza atrae envíos de mayor calidad. Los hilos de mensajes centralizados mantienen toda la comunicación auditable como evidencia para SOC 2, de modo que ningún informe se pierde entre correos.
Hilos de mensajes
Cada informe tiene un hilo de mensajes dedicado. Aquí es donde ocurre toda la comunicación entre tu equipo y el investigador, sin correos por canales paralelos ni mensajes directos de Slack que se puedan perder.
Cada mensaje tiene uno de dos modos de visibilidad:
| Modo | Visible para | Caso de uso |
|---|---|---|
| Externo | Personal y el investigador | Pedir pasos de reproducción, compartir actualizaciones de estado, coordinar correcciones |
| Interno | Solo el personal | Notas de ingeniería, discusión de triaje, debate sobre la severidad |
Activa el interruptor Internal antes de enviar para mantener las notas fuera de la vista del investigador. Los mensajes internos aparecen con fondo amarillo y una etiqueta “Internal” en el hilo para que tu equipo pueda distinguirlos de un vistazo.
Los mensajes admiten formato Markdown: las negritas, las listas, los bloques de código y los enlaces se renderizan correctamente. Todos los mensajes llevan marca de tiempo y se atribuyen al remitente. Una vez enviados, los mensajes no se pueden editar ni eliminar. Esta inmutabilidad es intencional: preserva la pista de auditoría que esperan los auditores de SOC 2.
Enviar un mensaje
- Abre un informe desde el tablero de triaje
- Ve a la pestaña Messages
- Redacta tu mensaje en el campo de texto
- Activa Internal si es una nota solo para el personal
- Haz clic en Send
Los mensajes externos disparan un correo al investigador con un enlace mágico de vuelta a su portal. El investigador puede responder desde el portal y su respuesta aparece en el mismo hilo en tiempo real.
Las transiciones de estado, como mover un informe a Needs Clarification o Validated, pueden enviar automáticamente un mensaje con plantilla al investigador. Configura estas plantillas en Email Templates para controlar lo que ven los investigadores en cada etapa.
Plantillas de correo
Ve a VDP > Email Templates para personalizar los mensajes que tu programa envía automáticamente. Kit usa una jerarquía de plantillas de 3 niveles:
- Valores por defecto del sistema — Plantillas integradas que vienen con cada programa. Solo lectura.
- Anulaciones de cuenta — Tus versiones personalizadas que se aplican a todos los programas de tu cuenta.
- Anulaciones a nivel de programa — Plantillas con alcance a un programa específico (futuro).
Gana la plantilla más específica. Si creas una anulación a nivel de cuenta para report_acknowledged, reemplaza el valor por defecto del sistema en todos los programas de tu cuenta.
Las plantillas usan sintaxis Liquid ({{ variable_name }}). Haz clic en el botón Preview para ver cómo se renderiza una plantilla con datos de ejemplo antes de guardar.
Tipos de plantilla
Kit incluye 11 plantillas de correo, cada una activada automáticamente por un evento específico:
| Plantilla | Disparador |
|---|---|
report_acknowledged |
Se envía automáticamente cuando un investigador envía un informe |
clarification_requested |
Cuando el estado del informe cambia a Needs Clarification |
report_validated |
Cuando el estado del informe cambia a Validated |
report_resolved |
Cuando el estado del informe cambia a Resolved |
fix_verification_requested |
Cuando se requiere una reverificación antes de cerrar |
report_dismissed |
Cuando un informe se desestima por cualquier motivo |
bounty_approved |
Cuando el personal aprueba un monto de recompensa |
payout_sent |
Cuando un desembolso se marca como completado |
escalation |
Cuando se hace triaje de un informe Critical o Super Critical |
appeal_received |
Cuando un investigador envía una apelación por desestimación |
magic_link |
Enlace de acceso al portal enviado a los investigadores |
Variables Liquid disponibles
Usa estas variables en los asuntos y los cuerpos de tus plantillas:
| Variable | Descripción |
|---|---|
{{ researcher_name }} |
Nombre visible o alias del investigador |
{{ report_id }} |
ID con prefijo del informe (ej., rpt_abc123) |
{{ report_title }} |
Título del informe de vulnerabilidad |
{{ program_name }} |
Nombre de tu programa VDP |
{{ severity }} |
Nivel de severidad evaluado (ej., Alto, Crítico) |
{{ bounty_amount }} |
Recompensa aprobada en moneda formateada (ej., $500.00) |
{{ portal_link }} |
URL con enlace mágico al portal del investigador |
{{ sla_hours }} |
Horas de SLA configuradas para este nivel de severidad |
{{ dismissal_reason }} |
Código de motivo de la desestimación (ej., Out of Scope, Duplicate) |
Por ejemplo, una plantilla personalizada de report_acknowledged podría verse así:
Hi {{ researcher_name }},
Thank you for submitting a report to {{ program_name }}. Your report ({{ report_id }}) has been received and our team will review it within {{ sla_hours }} hours.
You can track your report status at any time:
{{ portal_link }}
Marca en los correos
Todos los correos dirigidos a investigadores llevan automáticamente la identidad de tu cuenta. Esto genera confianza con quienes reportan, al hacer que los correos coincidan con la apariencia de tu portal de seguridad.
Qué lleva la marca
| Elemento | Cómo funciona |
|---|---|
| Nombre del remitente | Los correos llegan con el nombre de tu programa (p. ej., “Acme VDP”) en lugar del nombre de la plataforma |
| Logo | El logo de tu cuenta aparece en el encabezado del correo |
| Color de acento | Los botones de llamada a la acción usan el color primario de tu marca |
| Pie de página | Muestra el nombre de tu programa junto a una pequeña atribución “Enviado vía Kit” |
Configuración
La marca de los correos se hereda de la configuración de apariencia general de tu cuenta. Ve a Account Settings > Appearance para configurar tu logo y color primario. La misma marca se aplica a tu portal de empleo, tu portal de seguridad y ahora a todos los correos de notificación a investigadores.
No hace falta configurar la marca por plantilla. Una vez que configuras la marca de tu cuenta, los 11 tipos de correo para investigadores la usan automáticamente.
Si no se ha subido ningún logo, los correos muestran el nombre de tu programa como texto. Si no hay ninguna marca configurada, los correos usan el estilo predeterminado de la plataforma.
Notificaciones de Slack
Kit envía notificaciones de Slack para eventos clave del VDP, de modo que tu equipo se mantenga informado sin tener que revisar el panel.
Configuración
- Ve a Account Settings > Integrations > Slack y conecta tu workspace
- Abre Program Settings y selecciona qué canal de Slack debe recibir las notificaciones del VDP
Eventos
Los siguientes eventos disparan notificaciones de Slack. Todos están habilitados por defecto cuando se configura un canal:
| Evento | Por defecto | Propósito |
|---|---|---|
| Nuevo informe enviado | Activado | Avisar al equipo de los informes entrantes |
| Aviso de SLA en riesgo | Activado | Marcar los informes que se acercan a su fecha límite de SLA |
| SLA incumplido | Activado | Escalar los informes que superaron su SLA |
| Severidad Critical/Super Critical en triaje | Activado | Conocimiento inmediato de hallazgos de alta severidad |
| Recompensa aprobada | Activado | Visibilidad financiera de los pagos aprobados |
| Apelación recibida | Activado | Avisar cuando un investigador impugna una desestimación |
Todos los eventos van al único canal de Slack que configuras en Program Settings.
Escalado
Cuando un informe se evalúa como Critical o Super Critical, Kit dispara un escalado que omite las preferencias de notificación normales. Esto garantiza que tu equipo de guardia reciba el aviso de inmediato, sin importar la configuración de notificaciones individual.
El escalado dispara dos notificaciones a la vez:
-
Correo — Se envía a cada dirección de la lista de escalado configurada en Triage Settings, además del responsable asignado al informe. Usa la plantilla de correo
escalation. - Slack — Publica en el canal del VDP configurado sin importar los interruptores por evento. Aunque hayas desactivado las notificaciones de Slack para otros eventos, los escalados siempre llegan.
Configura los destinatarios del escalado en VDP > Program Settings > Triage. Agrega a cualquier persona a la que haya que avisar por un hallazgo Critical: tu responsable de seguridad, tu CTO o el alias de la rotación de guardia.
Checklist
-
Personaliza la plantilla
report_acknowledgedcon el nombre y el tono de tu programa -
Configura la plantilla
report_dismissedpara explicar por qué se dan los motivos de desestimación más comunes - Configura la integración de Slack para que tu equipo vea los nuevos informes en tiempo real
- Agrega direcciones de correo de escalado para los informes Critical y Super Critical
- Usa mensajes internos para la coordinación de ingeniería; externos para la comunicación con investigadores
Siguiente paso
- The Researcher Portal — lo que ven los investigadores, cómo envían informes y cómo apelan
- Bounties and Payouts — aprobación de recompensas, documentos fiscales y el libro mayor