Métricas y exportaciones
Cómo leer el panel de métricas de tu VDP, gestionar el karma de los investigadores, publicar el salón de la fama y generar exportaciones de evidencia para SOC 2.
Por qué es importante
Las métricas son el mecanismo principal para demostrar la efectividad de tu VDP ante los auditores. “Tenemos un programa de divulgación de vulnerabilidades” no es evidencia suficiente. “Confirmamos el 100 % de los informes en menos de 72 horas y resolvimos los problemas críticos en menos de 48 horas” sí lo es.
La evidencia de SOC 2 Type II requiere datos acotados en el tiempo: informes recibidos, tasa de cumplimiento del SLA, distribución por severidad y tiempos de resolución. El panel de métricas y el pipeline de exportación de Kit están diseñados para producir exactamente lo que pide tu auditor, sin prisas de última hora al cierre del trimestre.
KPIs del panel
Cinco métricas principales aparecen en la parte superior de tu panel de VDP. Te dan una visión rápida del estado general cada vez que abres el módulo.
| KPI | Descripción |
|---|---|
| Open Reports | Cantidad de informes aún no resueltos ni desestimados |
| Awaiting Triage | Informes en estado Submitted sin evaluación |
| SLA Compliance % | Porcentaje de informes confirmados dentro del SLA configurado |
| Bounties Approved | Valor total de recompensas aprobadas en el periodo (solo VDP Add-on) |
| AI Flagged | Cantidad de informes marcados como basura generada por IA pendientes de revisión humana |
Los KPIs se actualizan al cargar la página. No hay actualización automática: recarga la página o vuelve a ella para ver los números actualizados.
Página de métricas
Navega a VDP > Metrics para ver analíticas detalladas. Usa el filtro de rango de fechas en la parte superior para acotar los datos: últimos 7 días, 30 días, 90 días o un rango personalizado.
La página de métricas se divide en ocho secciones:
| Sección | Qué muestra |
|---|---|
| MTTA (Mean Time to Acknowledge) | Promedio de horas desde el envío hasta la primera respuesta, en todos los informes del periodo |
| MTTR (Mean Time to Resolve) | Promedio de horas desde el envío hasta la resolución, desglosado por nivel de severidad |
| SLA Compliance Trend | Gráfico de líneas que muestra el porcentaje de cumplimiento a lo largo del tiempo; presta atención a las tendencias a la baja antes de que se conviertan en hallazgos de auditoría |
| Reports Over Time | Gráfico de barras de envíos por semana o mes, útil para detectar patrones estacionales o picos de divulgación |
| By Severity | Desglose de informes por nivel de severidad (desde Súper crítico hasta Informativo) |
| By Status | Distribución de los informes abiertos actualmente por columna de estado (Submitted, Triaged, Validated, In Progress, etc.) |
| By Vulnerability Type | Distribución por categoría OWASP; muestra a qué clases de vulnerabilidad está más expuesto tu producto |
| Top Researchers | Ranking por cantidad de informes válidos; identifica a tus colaboradores externos más valiosos |
Todas las secciones respetan el rango de fechas seleccionado. MTTA y MTTR son los dos números que tu auditor de SOC 2 pedirá primero.
Karma de los investigadores
Kit hace un seguimiento de la calidad de los investigadores a lo largo del tiempo mediante un sistema de karma. Navega a VDP > Researchers para ver el directorio completo de investigadores con sus niveles de karma.
| Nivel de karma | Significado | Efecto |
|---|---|---|
| Trusted | Informes consistentemente válidos y de alta calidad | Los informes se priorizan en el triaje |
| Neutral | Sin señal clara en ninguna dirección | Flujo de triaje estándar |
| Low | Historial de informes de baja calidad | Los informes se marcan previamente para revisión |
| Untrusted | Patrón de spam o envíos de mala fe | Los informes se marcan automáticamente; rechazo automático opcional |
El karma se ajusta automáticamente en función de los eventos asociados a los envíos del investigador.
Eventos positivos (aumentan el karma):
- Informe válido enviado y resuelto
- Recompensa pagada por una vulnerabilidad confirmada
- Corrección verificada por el investigador
Eventos negativos (disminuyen el karma):
- Informe desestimado como spam
- Informe desestimado como duplicado
- Patrón repetido de envíos no reproducibles
- Apelación rechazada tras la revisión
Los niveles de karma ayudan a tu equipo a priorizar el triaje. Un informe de un investigador Trusted puede priorizarse con mayor confianza. Un informe de un investigador Untrusted sigue entrando en la cola, pero se marca para que tu equipo aplique el escrutinio adecuado.
Gestión del salón de la fama
Navega a VDP > Hall of Fame para gestionar el ranking público de investigadores. El salón de la fama reconoce a los investigadores que han contribuido con informes válidos a tu programa.
Reglas clave:
- Los investigadores se inscriben desde su portal; el equipo no puede forzar la inclusión de un investigador en el ranking
- El equipo puede Destacar a un investigador, lo que lo fija en la parte superior de la página pública
- El equipo puede Eliminar a un investigador del ranking, lo que anula su inscripción
El salón de la fama público está disponible en /security/{program-slug}/hall-of-fame. Comparte esta URL en tu política de divulgación para demostrar que valoras las contribuciones de los investigadores. La mayoría de los programas publican el salón de la fama una vez que tienen cinco o más investigadores inscritos.
Generación de exportaciones
Navega a VDP > Exports y haz clic en New Export para generar un paquete de evidencia listo para auditoría. Las exportaciones requieren el VDP Add-on ($49/mes).
Configura la exportación con estos filtros:
| Filtro | Opciones |
|---|---|
| Date Range | Fecha de inicio y fecha de fin del periodo del informe |
| Status | Filtrar por estado del informe (por ejemplo, solo Resolved, o todos los estados) |
| Severity | Filtrar por nivel de severidad (por ejemplo, solo Critical y High) |
| Vulnerability Type | Filtrar por categoría OWASP |
Elige tu formato:
| Formato | Ideal para |
|---|---|
| CSV | Datos legibles por máquina para hojas de cálculo, análisis adicional o importación a herramientas GRC |
| Informe legible para humanos, formateado para auditores; incluye encabezados, resúmenes y tablas |
Cada exportación incluye cuatro secciones:
| Sección | Contenido |
|---|---|
| Report Summaries | ID del informe, título, estado, severidad, puntuación CVSS, fecha de envío, fecha de resolución |
| SLA Performance | Estado de SLA por informe (en tiempo o incumplido), horas transcurridas hasta la confirmación y la resolución |
| Communication Log | Solo mensajes externos (comunicaciones dirigidas al investigador, no notas internas) |
| Financial Ledger | Aprobaciones de recompensas, registros de desembolso y estados de pago del periodo |
Las exportaciones son asíncronas. Kit procesa la exportación en segundo plano y te envía un enlace de descarga por email cuando está lista. Las exportaciones grandes que abarcan varios trimestres de datos pueden tardar unos minutos.
Flujo de trabajo para evidencia SOC 2
El flujo de trabajo recomendado para auditorías SOC 2 Type II:
- Al final de cada trimestre, navega a VDP > Exports y crea una nueva exportación que cubra el trimestre
- Selecciona All statuses y All severities para capturar el panorama completo
- Elige el formato PDF para el archivo de evidencia principal y CSV como complemento
- Descarga ambos archivos cuando llegue el email
- Adjúntalos a tus carpetas de evidencia CC4 (Monitoring Activities) y CC7 (System Operations)
Tu auditor buscará tres cosas en esta exportación: que los informes se estén recibiendo y rastreando, que los objetivos de SLA se cumplan de forma consistente y que el libro mayor muestre un rastro limpio desde la aprobación de la recompensa hasta el desembolso. La exportación está diseñada para responder las tres preguntas sin preparación adicional.
Consulta Bounties and Payouts para más detalles sobre el libro mayor que alimenta las exportaciones.
Checklist
- Revisa los KPIs del panel al inicio de cada semana para detectar a tiempo las caídas en el cumplimiento del SLA
- Consulta la página de métricas al inicio de cada trimestre para confirmar las tendencias de MTTA y MTTR
- Revisa los niveles de karma de los investigadores para identificar a los investigadores Trusted y agilizar su triaje
- Publica el salón de la fama una vez que tengas 5+ investigadores inscritos
- Genera una exportación trimestral para tu carpeta de evidencia SOC 2 CC4/CC7 (VDP Add-on)
- Configura un recordatorio recurrente en el calendario para extraer métricas antes de cada ventana de auditoría SOC 2
- Cruza la información con el flujo de Triaging Reports si el cumplimiento del SLA tiende a la baja
Siguiente paso
- Triaging Reports — el flujo completo de triaje, los indicadores de SLA y las operaciones masivas
- AI Integration — consulta al asistente de IA para obtener resúmenes de métricas y análisis de SLA