Configura tu programa
Guía paso a paso de las siete pestañas de configuración del programa: alcance, matriz de recompensas, SLAs, triaje, pagos, spam y security.txt.
Por qué es importante
Una buena configuración es la diferencia entre un VDP creíble y una política vaga que los investigadores ignoran. La claridad del alcance protege a tu equipo de ingeniería de informes fuera de tema, los objetivos de SLA mantienen honestos tus tiempos de respuesta, y una matriz de recompensas bien definida fija las expectativas de los investigadores antes de que envíen un informe.
Kit incluye valores predeterminados razonables para cada ajuste. Puedes ponerlo en marcha de inmediato y afinarlo después, pero dedicar 15 minutos a la configuración inicial te ahorrará horas de triaje mal dirigido.
Activar VDP
Ve a VDP para activar tu programa. Elige el plan Free para empezar de inmediato, o el VDP Add-on ($49/mes) para desbloquear el pipeline completo. Puedes mejorar tu plan en cualquier momento desde Account Settings > Billing.
Una vez creado tu programa, ve a VDP > Program Settings para configurarlo. Tu programa comienza en estado Draft: no aceptará informes hasta que cambies el estado a Active.
Pestaña General
La pestaña General controla la identidad de tu programa y la política de divulgación.
| Campo | Descripción |
|---|---|
| Program Name | Se muestra en tu página de política de divulgación y en el portal del investigador |
| Status | Draft, Active o Paused: cámbialo a Active cuando la configuración esté completa |
| Disclosure Policy | Campo de texto enriquecido predefinido con lenguaje de puerto seguro (Safe Harbor). Admite formato, enlaces y listas. |
| Prohibited Actions | Acciones que los investigadores no deben realizar (por ejemplo, ingeniería social, ataques físicos, denegación de servicio) |
Mantén tu programa en Draft mientras configuras las pestañas restantes. Cambia a Active solo cuando estés listo para aceptar envíos.
Pestaña Scope
El alcance define lo que los investigadores deben y no deben probar. Un alcance vago genera informes vagos: sé específico.
| Campo | Descripción |
|---|---|
| In-Scope Targets | Hosts, URLs o rangos de IP que los investigadores deben probar (uno por línea). Ejemplo: app.yourcompany.com, api.yourcompany.com
|
| Out-of-Scope Categories | Exclusiones de categorías estilo OWASP (por ejemplo, “Denial of Service”, “Physical Attacks”) |
| Excluded Vulnerability Types | Clases de vulnerabilidades específicas que no aceptarás (por ejemplo, “Self-XSS”, “Missing rate limiting on non-critical endpoints”) |
Si dejas vacíos los objetivos en alcance, todos los objetivos quedan implícitamente en alcance. Esto rara vez es lo que quieres. Como mínimo, lista los dominios principales de tu aplicación.
Kit usa la configuración de alcance para validar los informes entrantes automáticamente. Los informes dirigidos a tipos de vulnerabilidades excluidos o a categorías fuera de alcance se marcan antes de que lleguen a tu tablero de triaje.
Pestaña Bounty Matrix
VDP Add-on — Esta pestaña requiere el VDP Add-on ($49/mes). Los programas gratuitos funcionan como VDPs sin recompensa.
La matriz de recompensas define los rangos de pago para cada nivel de severidad. Los montos se muestran en tu página de política de divulgación para que los investigadores sepan qué esperar.
| Severidad | Mín. predeterminado | Máx. predeterminado |
|---|---|---|
| Súper crítico | $5,000 | $10,000 |
| Crítico | $1,500 | $5,000 |
| Alto | $500 | $1,500 |
| Medio | $150 | $500 |
| Bajo | $50 | $150 |
| Informativo | $0 | $0 |
Ajusta estos rangos según tu presupuesto y tu tolerancia al riesgo. Cuando se registra una evaluación CVSS en un informe, Kit sugiere automáticamente un monto de recompensa dentro del rango del nivel correspondiente.
Pestaña SLAs
Los SLAs definen los compromisos de tiempo de respuesta de tu equipo. El reloj del SLA arranca con el envío del informe. Tu dashboard muestra el estado de cada informe como en plazo, en riesgo o incumplido.
El SLA de acuse de recibo se aplica de forma uniforme a todas las severidades: es el tiempo máximo desde el envío hasta la primera respuesta. Valor predeterminado: 72 horas.
Los objetivos de resolución varían según la severidad:
| Severidad | Objetivo de resolución predeterminado |
|---|---|
| Súper crítico | 24 horas |
| Crítico | 72 horas (3 días) |
| Alto | 168 horas (1 semana) |
| Medio | 336 horas (2 semanas) |
| Bajo | 720 horas (30 días) |
| Informativo | 720 horas (30 días) |
Modifica cualquiera de estos valores según la capacidad de tu equipo. Los SLAs agresivos quedan bien sobre el papel, pero pierden credibilidad si los incumples a menudo. Fija objetivos que de verdad puedas cumplir y ve ajustándolos con el tiempo.
Los indicadores de SLA aparecen en cada tarjeta de informe en el tablero de triaje:
- On Track (verde): queda más del 25% de la ventana del SLA
- At Risk (amarillo): queda el 25% o menos de la ventana del SLA (ha transcurrido el 75% o más)
- Breached (rojo): el plazo del SLA ha vencido
Pestaña Triage
La configuración de triaje controla cómo se enrutan y procesan los informes entrantes.
| Campo | Predeterminado | Descripción |
|---|---|---|
| Default Assignee | Ninguno | Miembro del equipo que recibe los nuevos informes automáticamente. Asígnalo a tu contacto principal de seguridad. |
| Escalation Severities | Critical, Super Critical | Niveles de severidad que disparan una alerta de escalamiento por email y Slack |
| Deduplication | Activado | Marca informes potencialmente duplicados antes de que lleguen a tu tablero |
| Require Retest | Desactivado | Exige la verificación del investigador de que la corrección funciona antes de resolver |
| Max Appeals | 3 | Número máximo de apelaciones que un investigador puede presentar sobre un informe desestimado |
La configuración de la rotación de guardia (modo, horario, miembros y asignación automática) tiene su propia página. Consulta Rotación de guardia para más detalles.
Si no estableces un responsable predeterminado, los nuevos informes aparecen sin asignar en el tablero de triaje. Tu equipo aún puede tomarlos manualmente, pero la asignación garantiza que nada se quede en el tintero.
Las alertas de escalamiento se envían al responsable predeterminado y se publican en el canal de Slack que tengas configurado. Configura la integración de Slack en Account Settings > Integrations.
Pestaña Payouts
VDP Add-on — Esta pestaña requiere el VDP Add-on ($49/mes). Los programas gratuitos no procesan pagos a través de Kit.
La pestaña Payouts configura cómo se gestionan los desembolsos de recompensas.
| Campo | Predeterminado | Descripción |
|---|---|---|
| Supported Payment Methods | PayPal | Marca los métodos que admites: PayPal, Bank Transfer, Crypto |
| Require Tax Documents | Sí | Los investigadores deben subir un W-9 (EE. UU.) o W-8BEN (internacional) antes de recibir el pago |
| Require Agreement | Sí | Los investigadores deben aceptar tu acuerdo de divulgación antes del pago |
| Minimum Payout | $50 | Los investigadores por debajo de este umbral se agrupan hasta que las ganancias acumuladas alcanzan el mínimo |
| Currency | USD | Moneda para todos los montos de recompensa y pagos |
Los requisitos de documentación fiscal existen por tu cumplimiento legal. Desactivar este ajuste significa que los investigadores pueden recibir pagos sin aportar documentación fiscal: consúltalo con tu equipo de finanzas antes de desactivarlo.
Pestaña Spam
La configuración de spam protege tu programa de avalanchas de envíos e informes masivos de baja calidad.
| Campo | Predeterminado | Descripción |
|---|---|---|
| Max Reports per Window | 5 | Envíos máximos por investigador dentro de la ventana del límite |
| Window Duration | 5 minutos | Ventana de tiempo para el límite de frecuencia |
| Block Duration | 1 hora | Cuánto tiempo queda bloqueado un investigador tras superar el límite |
| Cleanup Interval | 24 horas | Cuánto tiempo se conservan los registros de spam antes de su eliminación automática |
Los valores predeterminados son conservadores. Si ves que investigadores legítimos alcanzan el límite de frecuencia, aumenta la duración de la ventana o sube el umbral máximo de informes. Si recibes mucho spam, acorta la ventana y alarga la duración del bloqueo.
Los investigadores bloqueados ven un mensaje claro que explica cuándo pueden volver a enviar. Los registros de spam se limpian automáticamente en el intervalo configurado.
Pestaña security.txt
Esta pestaña configura los campos usados para generar tu archivo /.well-known/security.txt según la RFC 9116. Kit sirve este archivo automáticamente cuando tu programa está activo.
| Campo | Predeterminado | Descripción |
|---|---|---|
| Contact Email | Ninguno (requerido) | La dirección de email que los investigadores usan para reportar vulnerabilidades. Se publica en el campo Contact:. |
| Expiration | 365 días | Días desde la generación hasta que el security.txt expira. La RFC 9116 exige un campo Expires:. |
| Policy URL | Autogenerado | URL de tu página de política de divulgación. Por defecto apunta a tu política alojada en Kit. |
| Acknowledgments URL | Ninguno | URL de tu página del salón de la fama (Hall of Fame), si está habilitada |
| Hiring URL | Ninguno | Enlace a las ofertas de empleo de tu equipo de seguridad |
| Encryption URL | Ninguno | URL de tu clave pública PGP para comunicación cifrada |
Debes establecer un email de contacto antes de que se sirva tu security.txt. Para todos los detalles sobre configuración, formato y verificación de security.txt, consulta Configuración de security.txt.
Marca en los correos
Los correos de notificación a investigadores usan automáticamente la marca de tu cuenta: logo, color principal y nombre del programa como remitente. Configúralos en Account Settings > Branding. No se requiere ninguna configuración adicional específica de VDP. Consulta Comunicación con investigadores para más detalles.
Checklist
- Define el nombre del programa y personaliza el texto de la política de divulgación
- Define los objetivos en alcance y las categorías fuera de alcance
- Configura la matriz de recompensas (VDP Add-on) o reconoce el programa sin recompensa (Free)
- Fija los objetivos de SLA por nivel de severidad
- Asigna un responsable de triaje predeterminado
- Configura los métodos de pago y los requisitos fiscales (VDP Add-on)
- Revisa los umbrales de spam
- Establece el email de contacto para security.txt
- Configura la integración de Slack para las alertas de escalamiento
- Cambia el estado a Active cuando esté todo listo
Siguiente paso
- Configuración de security.txt — guía detallada del cumplimiento y la verificación de la RFC 9116
- Triaje de informes — cómo usar el tablero Kanban, evaluar la severidad y resolver informes