Comunicacion con investigadores
Como usar hilos de mensajes, personalizar plantillas de correo, configurar notificaciones de Slack y manejar escalaciones.
Por que es importante
Los investigadores juzgan los programas por la velocidad y claridad de la comunicacion mas que por los montos de las recompensas. Un programa que confirma los reportes rapidamente y proporciona actualizaciones de estado transparentes genera confianza, y la confianza atrae envios de mayor calidad. Los hilos de mensajes centralizados mantienen toda la comunicacion auditable como evidencia para SOC 2, evitando que ningun reporte se pierda entre correos.
Hilos de mensajes
Cada reporte tiene un hilo de mensajes dedicado. Aqui es donde ocurre toda la comunicacion entre tu equipo y el investigador, sin correos laterales ni mensajes directos de Slack que se puedan perder.
Cada mensaje tiene uno de dos modos de visibilidad:
| Modo | Visible para | Caso de uso |
|---|---|---|
| Externo | Personal y el investigador | Solicitar pasos de reproduccion, compartir actualizaciones de estado, coordinar correcciones |
| Interno | Solo el personal | Notas de ingenieria, discusion de triaje, debate de severidad |
Activa el interruptor Internal antes de enviar para mantener las notas fuera de la vista del investigador. Los mensajes internos aparecen con un fondo amarillo y una etiqueta “Internal” en el hilo para que tu equipo pueda distinguirlos de un vistazo.
Los mensajes soportan formato Markdown: negritas, listas, bloques de codigo y enlaces se renderizan correctamente. Todos los mensajes tienen marca de tiempo y se atribuyen al remitente. Una vez enviados, los mensajes no se pueden editar ni eliminar. Esta inmutabilidad es intencional: preserva la pista de auditoria que los auditores de SOC 2 esperan.
Enviar un mensaje
- Abre un reporte desde el Tablero de triaje
- Navega a la pestana Messages
- Redacta tu mensaje en el campo de texto
- Activa Internal si es una nota solo para el personal
- Haz clic en Send
Los mensajes externos disparan un correo al investigador con un enlace magico de regreso a su portal. El investigador puede responder desde el portal y su respuesta aparece en el mismo hilo en tiempo real.
Las transiciones de estado, como mover un reporte a Needs Clarification o Validated, pueden enviar automaticamente un mensaje con plantilla al investigador. Configura estas plantillas en Email Templates para controlar lo que los investigadores ven en cada etapa.
Plantillas de correo
Navega a VDP > Email Templates para personalizar los mensajes que tu programa envia automaticamente. Kit usa una jerarquia de plantillas de 3 niveles:
- Valores por defecto del sistema – Plantillas integradas que vienen con cada programa. Solo lectura.
- Sobrecargas de cuenta – Tus versiones personalizadas que aplican a todos los programas de tu cuenta.
- Sobrecargas a nivel de programa – Plantillas con alcance a un programa especifico (futuro).
La plantilla mas especifica gana. Si creas una sobrecarga a nivel de cuenta para report_acknowledged, reemplaza el valor por defecto del sistema para cada programa en tu cuenta.
Las plantillas usan sintaxis Liquid ({{ variable_name }}). Haz clic en el boton Preview para ver como se renderiza una plantilla con datos de ejemplo antes de guardar.
Tipos de plantillas
Kit incluye 11 plantillas de correo, cada una activada automaticamente por un evento especifico:
| Plantilla | Disparador |
|---|---|
report_acknowledged |
Se envia automaticamente cuando un investigador envia un reporte |
clarification_requested |
Cuando el estado del reporte cambia a Needs Clarification |
report_validated |
Cuando el estado del reporte cambia a Validated |
report_resolved |
Cuando el estado del reporte cambia a Resolved |
fix_verification_requested |
Cuando se requiere una reverificacion antes de cerrar |
report_dismissed |
Cuando un reporte es descartado por cualquier razon |
bounty_approved |
Cuando el personal aprueba un monto de recompensa |
payout_sent |
Cuando un desembolso se marca como completado |
escalation |
Cuando se hace triaje de un reporte Critical o Super Critical |
appeal_received |
Cuando un investigador envia una apelacion por descarte |
magic_link |
Enlace de acceso al portal enviado a los investigadores |
Variables Liquid disponibles
Usa estas variables en los asuntos y cuerpos de tus plantillas:
| Variable | Descripcion |
|---|---|
{{ researcher_name }} |
Nombre visible o alias del investigador |
{{ report_id }} |
ID con prefijo del reporte (ej., rpt_abc123) |
{{ report_title }} |
Titulo del reporte de vulnerabilidad |
{{ program_name }} |
Nombre de tu programa VDP |
{{ severity }} |
Nivel de severidad evaluado (ej., High, Critical) |
{{ bounty_amount }} |
Recompensa aprobada en moneda formateada (ej., $500.00) |
{{ portal_link }} |
URL con enlace magico al portal del investigador |
{{ sla_hours }} |
Horas de SLA configuradas para este nivel de severidad |
{{ dismissal_reason }} |
Codigo de razon del descarte (ej., Out of Scope, Duplicate) |
Por ejemplo, una plantilla personalizada de report_acknowledged podria verse asi:
Hi {{ researcher_name }},
Thank you for submitting a report to {{ program_name }}. Your report ({{ report_id }}) has been received and our team will review it within {{ sla_hours }} hours.
You can track your report status at any time:
{{ portal_link }}
Notificaciones de Slack
Kit envia notificaciones de Slack para eventos clave de VDP para que tu equipo se mantenga informado sin necesidad de revisar el dashboard.
Configuracion
- Navega a Account Settings > Integrations > Slack y conecta tu workspace
- Abre Program Settings y selecciona que canal de Slack debe recibir las notificaciones de VDP
Eventos
Los siguientes eventos disparan notificaciones de Slack. Todos estan habilitados por defecto cuando se configura un canal:
| Evento | Por defecto | Proposito |
|---|---|---|
| Nuevo reporte enviado | Activado | Alertar al equipo sobre reportes entrantes |
| Advertencia de SLA en riesgo | Activado | Marcar reportes que se acercan a su fecha limite de SLA |
| SLA incumplido | Activado | Escalar reportes que superaron su SLA |
| Severidad Critical/Super Critical en triaje | Activado | Conocimiento inmediato de hallazgos de alta severidad |
| Recompensa aprobada | Activado | Visibilidad financiera sobre pagos aprobados |
| Apelacion recibida | Activado | Alertar cuando un investigador impugna un descarte |
Todos los eventos van al canal unico de Slack que configuras en Program Settings.
Escalacion
Cuando un reporte se evalua como Critical o Super Critical, Kit dispara una escalacion que omite las preferencias de notificacion normales. Esto asegura que tu equipo de guardia sea notificado inmediatamente, sin importar la configuracion de notificaciones individuales.
La escalacion dispara dos notificaciones simultaneamente:
- Correo – Se envia a cada direccion en la lista de escalacion configurada en Triage Settings, mas el asignado del reporte. Usa la plantilla de correo
escalation. - Slack – Publica en el canal VDP configurado sin importar los toggles por evento. Incluso si desactivaste las notificaciones de Slack para otros eventos, las escalaciones siempre llegan.
Configura los destinatarios de escalacion en VDP > Program Settings > Triage. Agrega a cualquier persona que deba ser alertada por un hallazgo Critical: tu lider de seguridad, CTO o alias de rotacion de guardia.
Lista de verificacion rapida
- Personaliza la plantilla
report_acknowledgedcon el nombre y tono de tu programa - Configura la plantilla
report_dismissedpara explicar por que ocurren las razones comunes de descarte - Configura la integracion de Slack para que tu equipo vea nuevos reportes en tiempo real
- Agrega direcciones de correo de escalacion para reportes Critical y Super Critical
- Usa mensajes internos para coordinacion de ingenieria; externos para comunicacion con investigadores
Siguientes pasos
- The Researcher Portal – lo que los investigadores ven, como envian reportes y como apelan
- Bounties and Payouts – aprobacion de recompensas, documentos fiscales y el libro mayor financiero