Exportar los datos de tu cuenta
Cómo solicitar, descargar e interpretar una exportación completa de los datos de tu cuenta para cumplimiento normativo o portabilidad, con un desglose detallado de las categorías de datos de VDP/CSIRT.
Por qué importa
La portabilidad de datos es a la vez un derecho legal y una necesidad práctica. El artículo 20 del RGPD y la CCPA otorgan a tu equipo el derecho a recibir una copia completa de los datos de tu cuenta en un formato legible por máquina. Más allá del cumplimiento normativo, las exportaciones de datos resultan útiles para respaldos, auditorías y migraciones a otras herramientas.
Kit ofrece una exportación de datos con un solo clic que empaqueta todo —registros, archivos y adjuntos— en un único archivo ZIP descargable.
Quién puede solicitar una exportación
Solo los administradores de la cuenta pueden solicitar exportaciones de datos. Esto protege los datos sensibles de contratación, la información de los candidatos y los registros de facturación frente a accesos no autorizados.
Los miembros del equipo que no sean administradores no verán la opción Data Export (Exportación de datos) en la configuración de la cuenta.
Cómo solicitar una exportación
- Ve a Account Settings (Configuración de la cuenta) en la barra lateral
- Haz clic en Data Export (Exportación de datos)
- Haz clic en Request Data Export (Solicitar exportación de datos)
- Observa la barra de progreso a medida que se procesa cada categoría de datos
- Cuando termine, haz clic en Download (Descargar) para obtener tu archivo ZIP
La exportación se ejecuta en segundo plano: puedes salir y volver más tarde. También recibirás un correo cuando esté lista.
Qué incluye
La exportación contiene unas 100 categorías de datos que abarcan toda tu cuenta:
| Categoría | Qué incluye |
|---|---|
| Principal | Datos de la cuenta, miembros del equipo, invitaciones, configuración |
| Contratación | Ofertas de empleo, candidatos, candidaturas, etapas, entregas, revisiones, notas, entrevistas, ofertas, rechazos, canales de candidatos, triajes de correo, invitaciones a la bolsa de talento |
| Comunicación | Historial de chat con IA, mensajes SMS, registros de correo, mensajes de Slack, bajas de suscripción de correo |
| Integraciones | Registros de conexión de GitHub, Slack, Google Calendar, Google Meet, Cloudflare, Stalwart, SMTP, servidores MCP, PagerDuty y Vanta, exportados únicamente como metadatos de conexión (qué cuenta/dominio/canal, estado, fechas), nunca tokens ni detalles internos de aprovisionamiento |
| Programación | Horarios de disponibilidad, horas semanales, excepciones por fecha, límites de reuniones, fuentes de calendario, registros de reuniones |
| Outreach | Campañas, plantillas, experimentos, prospectos, mensajes, respuestas, supresiones, eventos de rebote, eventos de seguimiento |
| Divulgación de vulnerabilidades | Más de 20 categorías de datos: programas, informes, evaluaciones, mensajes, recompensas, desembolsos, investigadores, turnos de guardia y más. Consulta el desglose completo más abajo. |
| IA y LLM | Límites de créditos, registros de uso |
| Facturación | Registros de clientes, suscripciones, historial de cargos |
| Otros | Ideas, webhooks, registros de entrega de webhooks, dominios personalizados, entradas de la base de conocimiento, tokens de API |
Adjuntos
Todos los archivos subidos se incluyen en un directorio attachments/ dentro del ZIP:
- Currículums y portafolios de candidatos
- Entregas de ejercicios de código
- Entregas de etapas basadas en archivos
- Cualquier otro documento subido
Divulgación de vulnerabilidades (VDP)
Si tu cuenta tiene habilitado el módulo VDP, la exportación incluye una instantánea completa del historial de tu programa. Esta es la exportación de datos con fidelidad total —cada campo, cada registro, en JSON estructurado—, apta para migración, retención legal o respaldo a largo plazo.
| Archivo JSON | Qué contiene |
|---|---|
csirt_programs.json |
Configuración del programa: nombre, slug, configuración de alcance, objetivos de SLA, matriz de recompensas, configuración del portal, fecha de activación |
csirt_reports.json |
Todos los informes enviados: título, descripción, severidad, estado, vector CVSS, tipo de vulnerabilidad, marca de tiempo de envío, indicadores de cribado |
csirt_status_transitions.json |
Historial completo de estados de cada informe: quién hizo la transición, cuándo y desde qué estado |
csirt_assessments.json |
Evaluaciones de severidad: vector CVSS, puntuación calculada, nivel de severidad, notas, evaluador |
csirt_assignments.json |
Historial de asignación de informes: persona asignada, asignador, marca de tiempo |
csirt_dismissals.json |
Registros de desestimación: código de motivo, notas, quién desestimó, marca de tiempo |
csirt_appeals.json |
Registros de apelaciones: fundamentos, resultado, revisor, marca de tiempo |
csirt_agreements.json |
Aceptaciones del acuerdo de puerto seguro (Safe Harbor) por parte de investigadores: versión, accepted_at |
csirt_messages.json |
Hilos de mensajes completos: tanto los dirigidos a investigadores como las notas internas del personal, con remitente y marca de tiempo |
csirt_message_templates.json |
Plantillas de mensajes personalizadas para la comunicación con investigadores |
csirt_report_shares.json |
Invitaciones para compartir un informe con terceros: destinatario (correo oculto), tipo de uso compartido, estado, caducidad, número de visualizaciones, última visualización (la dirección cifrada del destinatario se oculta) |
csirt_bounty_awards.json |
Importes de recompensas aprobados, monedas y notas |
csirt_disbursements.json |
Registros de desembolsos: estado, método, importe (referencias de transacción ocultas) |
csirt_ledger_entries.json |
Registro de auditoría financiera completo: tipo de asiento, importe, actor, marca de tiempo |
csirt_researchers.json |
Perfiles de investigadores: alias, correo, nivel de reputación, puntuación de karma, recuento de informes (información de pago oculta) |
csirt_karma_events.json |
Eventos de cambio de karma: motivo, delta, informe asociado |
csirt_ai_screenings.json |
Resultados del cribado por IA: puntuación de confianza, indicadores detectados, recomendación, razonamiento |
csirt_hall_of_fame_entries.json |
Registros de inclusión en el salón de la fama: investigador, estado destacado, marca de tiempo de aceptación |
csirt_tax_documents.json |
Registros de documentos fiscales: envíos W-9/W-8BEN, estado, vencimiento |
csirt_on_call_shifts.json |
Historial de la rotación de guardia: quién estaba de guardia, horas de inicio/fin, origen (manual/rotación) |
Campos VDP ocultos (reemplazados por [REDACTED]):
-
researcher.payout_info— Datos bancarios, números de ruta, nombres de los titulares de la cuenta -
researcher.tax_id— Números de identificación fiscal de los documentos W-9/W-8BEN -
disbursement.transaction_reference— IDs de transacción de procesadores de pago externos
Excluidos por completo de la exportación VDP:
-
csirt_researcher_events— Direcciones IP, agentes de usuario y huellas de navegador registrados durante las sesiones en el portal del investigador. Son un registro de auditoría interno, no datos que te corresponda exportar. -
csirt_spam_records— Lista de bloqueo antiabuso de Kit que guarda las direcciones de correo e IPs de quienes envían informes marcados como spam. Son datos de terceros que Kit conserva para proteger tu programa, no datos tuyos.
Qué se excluye o se redacta (todas las categorías)
Por seguridad y cumplimiento normativo, ciertos datos reciben un tratamiento especial en toda la exportación:
| Tratamiento | Ejemplos |
|---|---|
Ocultado (reemplazado por [REDACTED]) |
Tokens OAuth, claves de API, secretos de firma, tokens de actualización, tokens de enlace mágico, información de pago de investigadores, referencias de transacción de desembolsos, identificaciones fiscales de investigadores |
| Reducido a metadatos | Las conexiones de integraciones exportan solo los detalles visibles para el cliente (proveedor, cuenta/dominio/canal conectado, estado, fechas). El estado interno de aprovisionamiento —cableado de worker/zona de Cloudflare, claves DKIM de Stalwart, columnas de sincronización y salud de SMTP/IMAP, IDs de canal de webhooks— queda fuera. |
| Excluido por completo | Métodos de pago (cumplimiento PCI), contraseñas cifradas, secretos OTP, registros de eventos de investigadores (registro de auditoría de IP/agente de usuario), lista de bloqueo antiabuso de spam (datos personales de terceros) |
Dos tipos de exportaciones VDP
Kit ofrece dos mecanismos de exportación distintos para los datos VDP. Sirven para propósitos diferentes: entender la diferencia evita confusiones a la hora de la auditoría.
| Exportación de datos de la cuenta (esta página) | Exportación VDP para SOC 2 (Métricas y exportaciones) | |
|---|---|---|
| Propósito | Portabilidad de datos, respaldo, migración | Evidencia para auditores, informes de cumplimiento |
| Formato | JSON (fidelidad total, todos los campos) | CSV o PDF (con formato para auditores) |
| Alcance | Historial completo del programa, los más de 20 tipos de datos | Filtrado por rango de fechas, estado, severidad |
| Acceso | Account Settings → Data Export | VDP → Exports |
| Requiere complemento | No, disponible en todos los planes | Sí, complemento VDP ($49/mes) |
| Ideal para | Migrar a HackerOne, retención legal, respaldo completo | Carpetas trimestrales de evidencia SOC 2 CC4/CC7 |
Si tu objetivo es entregar evidencia a un auditor, usa la Exportación VDP para SOC 2. Si tu objetivo es mover tus datos, mantener un respaldo o migrar a otra plataforma, usa la Exportación de datos de la cuenta descrita en esta página.
Formato del archivo
El archivo ZIP contiene:
-
manifest.json— Metadatos sobre la exportación (información de la cuenta, recuento de registros, marca de tiempo) -
Un archivo JSON por categoría de datos — por ejemplo,
hiring_candidates.json,csirt_reports.json -
attachments/— Archivos subidos organizados por categoría e ID de registro
Se eligió JSON porque es universalmente legible, preserva la estructura de los datos (incluidos los campos anidados) y es compatible con todos los lenguajes de programación y herramientas de datos.
Ventana de descarga
- Los archivos están disponibles durante 24 horas tras completarse
- Los enlaces de descarga expiran después de 1 hora: recarga la página para obtener uno nuevo
- Pasadas las 24 horas, el archivo se elimina automáticamente del almacenamiento
- El registro de la exportación en sí se conserva con fines de auditoría
Límites
- Una exportación a la vez — No puedes iniciar una nueva exportación mientras haya otra en curso
- Tiempo de procesamiento — Depende del tamaño de la cuenta; la mayoría terminan en pocos minutos
- Tamaño del archivo — Varía según la cantidad de adjuntos; el recuento de registros y el tamaño del archivo se muestran al completarse
Si una exportación falla
De vez en cuando una exportación puede fallar por un problema temporal. Cuando ocurre:
- El motivo del fallo se muestra en la tarjeta de la exportación
- Recibirás una notificación por correo
- Basta con solicitar una nueva exportación: la exportación fallida anterior no te bloquea
Checklist
- Eres administrador de la cuenta
- No hay otra exportación en curso
- Tienes acceso a la dirección de correo asociada a tu cuenta (para el aviso de que está lista)
- Descargarás el archivo dentro de las 24 horas posteriores a su finalización
- Si vas a migrar datos VDP, verifica que la información de pago de los investigadores se haya guardado por separado antes de exportar (en el archivo queda oculta)
- Si necesitas evidencia con formato para auditores en lugar de un respaldo completo, usa VDP > Exports en su lugar
Ver también
- Métricas y exportaciones — Exportaciones de evidencia SOC 2 (CSV/PDF) filtradas por rango de fechas y severidad
- Recompensas y pagos — Detalles del libro mayor financiero que alimentan ambos tipos de exportación
- Integración de IA — Cómo usar el agente de IA para obtener métricas y generar resúmenes antes de exportar