Configurando tu programa
Guia paso a paso de las siete pestanas de configuracion del programa -- alcance, matriz de recompensas, SLAs, triaje, pagos, spam y security.txt.
Por que es importante
Una buena configuracion es la diferencia entre un VDP creible y una politica vaga que los investigadores ignoran. La claridad del alcance protege a tu equipo de ingenieria de reportes fuera de tema, los objetivos de SLA mantienen honestos tus tiempos de respuesta, y una matriz de recompensas bien definida establece las expectativas de los investigadores antes de que envien un reporte.
Kit incluye valores predeterminados razonables para cada configuracion. Puedes comenzar de inmediato y ajustar despues, pero dedicar 15 minutos a la configuracion inicial te ahorrara horas de triaje mal dirigido.
Activar VDP
Navega a VDP para activar tu programa. Elige el plan Free para comenzar de inmediato, o el VDP Add-on ($49/mes) para desbloquear el pipeline completo. Puedes actualizar en cualquier momento desde Account Settings > Billing.
Una vez creado tu programa, navega a VDP > Program Settings para configurarlo. Tu programa comienza en estado Draft – no aceptara reportes hasta que establezcas el estado en Active.
Pestana General
La pestana General controla la identidad de tu programa y la politica de divulgacion.
| Campo | Descripcion |
|---|---|
| Program Name | Se muestra en tu pagina de politica de divulgacion y en el portal de investigadores |
| Status | Draft, Active o Paused – establecelo en Active cuando la configuracion este completa |
| Disclosure Policy | Campo de texto enriquecido pre-poblado con lenguaje de puerto seguro. Soporta formato, enlaces y listas. |
| Prohibited Actions | Acciones que los investigadores no deben realizar (por ejemplo, ingenieria social, ataques fisicos, denegacion de servicio) |
Manten tu programa en Draft mientras configuras las pestanas restantes. Cambia a Active solo cuando estes listo para aceptar envios.
Pestana Scope
El alcance define lo que los investigadores deben y no deben probar. Un alcance vago genera reportes vagos – se especifico.
| Campo | Descripcion |
|---|---|
| In-Scope Targets | Hosts, URLs o rangos de IP que los investigadores deben probar (uno por linea). Ejemplo: app.yourcompany.com, api.yourcompany.com |
| Out-of-Scope Categories | Exclusiones de categorias estilo OWASP (por ejemplo, “Denial of Service”, “Physical Attacks”) |
| Excluded Vulnerability Types | Clases de vulnerabilidades especificas que no aceptaras (por ejemplo, “Self-XSS”, “Missing rate limiting on non-critical endpoints”) |
Si dejas los objetivos en alcance vacios, todos los objetivos estan implicitamente en alcance. Esto rara vez es lo que quieres. Como minimo, lista los dominios principales de tu aplicacion.
Kit usa la configuracion de alcance para validar los reportes entrantes automaticamente. Los reportes dirigidos a tipos de vulnerabilidades excluidos o categorias fuera de alcance se marcan antes de que lleguen a tu tablero de triaje.
Pestana Bounty Matrix
VDP Add-on – Esta pestana requiere el VDP Add-on ($49/mes). Los programas gratuitos operan como VDPs sin recompensa.
La matriz de recompensas define los rangos de pago para cada nivel de severidad. Los montos se muestran en tu pagina de politica de divulgacion para que los investigadores sepan que esperar.
| Severidad | Min. predeterminado | Max. predeterminado |
|---|---|---|
| Super Critical | $5,000 | $10,000 |
| Critical | $1,500 | $5,000 |
| High | $500 | $1,500 |
| Medium | $150 | $500 |
| Low | $50 | $150 |
| Informational | $0 | $0 |
Ajusta estos rangos segun tu presupuesto y tolerancia al riesgo. Cuando se registra una evaluacion CVSS en un reporte, Kit sugiere automaticamente un monto de recompensa dentro del rango del nivel correspondiente.
Pestana SLAs
Los SLAs definen los compromisos de tiempo de respuesta de tu equipo. El reloj del SLA comienza con el envio del reporte. Tu dashboard muestra el estado de cada reporte como en plazo, en riesgo o incumplido.
El SLA de acuse de recibo se aplica uniformemente a todas las severidades – es el tiempo maximo desde el envio hasta la primera respuesta. Valor predeterminado: 72 horas.
Los objetivos de resolucion varian segun la severidad:
| Severidad | Objetivo de resolucion predeterminado |
|---|---|
| Super Critical | 24 horas |
| Critical | 72 horas (3 dias) |
| High | 168 horas (1 semana) |
| Medium | 336 horas (2 semanas) |
| Low | 720 horas (30 dias) |
| Informational | 720 horas (30 dias) |
Puedes modificar cualquiera de estos valores segun la capacidad de tu equipo. Los SLAs agresivos se ven bien en papel pero pierden credibilidad si los incumples frecuentemente. Establece objetivos que realmente puedas cumplir y luego ajustalos con el tiempo.
Los indicadores de SLA aparecen en cada tarjeta de reporte en el tablero de triaje:
- On Track (verde) – menos del 50% de la ventana de SLA transcurrida
- At Risk (amarillo) – mas del 50% de la ventana de SLA transcurrida
- Breached (rojo) – el plazo del SLA ha pasado
Pestana Triage
La configuracion de triaje controla como se enrutan y procesan los reportes entrantes.
| Campo | Predeterminado | Descripcion |
|---|---|---|
| Default Assignee | Ninguno | Miembro del equipo que recibe los nuevos reportes automaticamente. Establecelo como tu contacto principal de seguridad. |
| Escalation Severities | Critical, Super Critical | Niveles de severidad que disparan una alerta de escalamiento via email y Slack |
| Deduplication | Activado | Marca reportes potencialmente duplicados antes de que lleguen a tu tablero |
| Require Retest | Desactivado | Requiere verificacion del investigador de que la correccion funciona antes de resolver |
| Max Appeals | 3 | Numero maximo de apelaciones que un investigador puede presentar sobre un reporte descartado |
La configuracion de rotacion de guardia (modo, horario, miembros y asignacion automatica) tiene su propia pagina dedicada. Consulta On-Call Rotation para mas detalles.
Si no estableces un responsable predeterminado, los nuevos reportes aparecen sin asignar en el tablero de triaje. Tu equipo aun puede tomarlos manualmente, pero la asignacion asegura que nada se pase por alto.
Las alertas de escalamiento se envian al responsable predeterminado y se publican en tu canal de Slack configurado. Configura la integracion de Slack en Account Settings > Integrations.
Pestana Payouts
VDP Add-on – Esta pestana requiere el VDP Add-on ($49/mes). Los programas gratuitos no procesan pagos a traves de Kit.
La pestana Payouts configura como se manejan los desembolsos de recompensas.
| Campo | Predeterminado | Descripcion |
|---|---|---|
| Supported Payment Methods | PayPal | Marca los metodos que soportas: PayPal, Bank Transfer, Crypto |
| Require Tax Documents | Si | Los investigadores deben subir un W-9 (EE.UU.) o W-8BEN (internacional) antes de recibir el pago |
| Require Agreement | Si | Los investigadores deben aceptar tu acuerdo de divulgacion antes del pago |
| Minimum Payout | $50 | Los investigadores por debajo de este umbral se acumulan hasta que las ganancias alcancen el minimo |
| Currency | USD | Moneda para todos los montos de recompensa y pagos |
Los requisitos de documentacion fiscal existen para tu cumplimiento legal. Desactivar esta configuracion significa que los investigadores pueden recibir pagos sin proporcionar documentacion fiscal – consulta con tu equipo de finanzas antes de desactivarlo.
Pestana Spam
La configuracion de spam protege tu programa contra inundaciones de envios y reportes masivos de baja calidad.
| Campo | Predeterminado | Descripcion |
|---|---|---|
| Max Reports per Window | 5 | Envios maximos por investigador dentro de la ventana de limite |
| Window Duration | 5 minutos | Ventana de tiempo para el limite de frecuencia |
| Block Duration | 1 hora | Tiempo que un investigador queda bloqueado despues de exceder el limite |
| Cleanup Interval | 24 horas | Tiempo que se retienen los registros de spam antes de la eliminacion automatica |
Los valores predeterminados son conservadores. Si encuentras que investigadores legitimos alcanzan el limite de frecuencia, aumenta la duracion de la ventana o sube el umbral maximo de reportes. Si recibes mucho spam, acorta la ventana y extiende la duracion del bloqueo.
Los investigadores bloqueados ven un mensaje claro explicando cuando pueden enviar de nuevo. Los registros de spam se limpian automaticamente en el intervalo configurado.
Pestana security.txt
Esta pestana configura los campos utilizados para generar tu archivo /.well-known/security.txt segun RFC 9116. Kit sirve este archivo automaticamente cuando tu programa esta activo.
| Campo | Predeterminado | Descripcion |
|---|---|---|
| Contact Email | Ninguno (requerido) | La direccion de email que los investigadores usan para reportar vulnerabilidades. Se publica en el campo Contact:. |
| Expiration | 365 dias | Dias desde la generacion hasta que el security.txt expire. RFC 9116 requiere un campo Expires:. |
| Policy URL | Autogenerado | URL de tu pagina de politica de divulgacion. Por defecto apunta a tu politica alojada en Kit. |
| Acknowledgments URL | Ninguno | URL de tu pagina Hall of Fame, si esta habilitada |
| Hiring URL | Ninguno | Enlace a las ofertas de trabajo de tu equipo de seguridad |
| Encryption URL | Ninguno | URL de tu clave publica PGP para comunicacion cifrada |
Debes establecer un email de contacto antes de que tu security.txt se sirva. Para mas detalles sobre la configuracion, formato y verificacion de security.txt, consulta security.txt Setup.
Lista de verificacion rapida
- Establecer el nombre del programa y personalizar el texto de la politica de divulgacion
- Definir los objetivos en alcance y las categorias fuera de alcance
- Configurar la matriz de recompensas (VDP Add-on) o reconocer el programa sin recompensa (Free)
- Establecer los objetivos de SLA por nivel de severidad
- Asignar un responsable de triaje predeterminado
- Configurar metodos de pago y requisitos fiscales (VDP Add-on)
- Revisar los umbrales de spam
- Establecer el email de contacto para security.txt
- Configurar la integracion de Slack para alertas de escalamiento
- Establecer el estado en Active cuando estes listo
Siguientes pasos
- security.txt Setup – guia detallada de cumplimiento y verificacion de RFC 9116
- Triaging Reports – como usar el tablero Kanban, evaluar severidad y resolver reportes