Metricas y exportaciones
Como leer el panel de metricas de tu VDP, gestionar el karma de investigadores, publicar el Hall of Fame y generar exportaciones de evidencia para SOC 2.
Por que es importante
Las metricas son el mecanismo principal para demostrar la efectividad de tu VDP ante auditores. “Tenemos un programa de divulgacion de vulnerabilidades” no es evidencia suficiente. “Confirmamos el 100% de los reportes en menos de 72 horas y resolvimos los problemas criticos en menos de 48 horas” si lo es.
La evidencia de SOC 2 Type II requiere datos acotados en el tiempo: reportes recibidos, tasa de cumplimiento de SLA, distribucion por severidad y tiempos de resolucion. El panel de metricas y el pipeline de exportacion de Kit estan disenados para producir exactamente lo que tu auditor necesita, sin carreras de ultimo momento al cierre del trimestre.
KPIs del panel
Cinco metricas principales aparecen en la parte superior de tu panel de VDP. Te dan una vision rapida del estado general cada vez que abres el modulo.
| KPI | Descripcion |
|---|---|
| Open Reports | Cantidad de reportes aun no resueltos o descartados |
| Awaiting Triage | Reportes en estado Submitted sin evaluacion |
| SLA Compliance % | Porcentaje de reportes confirmados dentro del SLA configurado |
| Bounties Approved | Valor total de recompensas aprobadas en el periodo (solo VDP Add-on) |
| AI Flagged | Cantidad de reportes con marca de AI slop pendientes de revision humana |
Los KPIs se actualizan al cargar la pagina. No hay actualizacion automatica: recarga la pagina o navega de vuelta para ver los numeros actualizados.
Pagina de metricas
Navega a VDP > Metrics para ver analiticas detalladas. Usa el filtro de rango de fechas en la parte superior para acotar los datos: ultimos 7 dias, 30 dias, 90 dias o un rango personalizado.
La pagina de metricas se divide en ocho secciones:
| Seccion | Que muestra |
|---|---|
| MTTA (Mean Time to Acknowledge) | Promedio de horas desde el envio hasta la primera respuesta, en todos los reportes del periodo |
| MTTR (Mean Time to Resolve) | Promedio de horas desde el envio hasta la resolucion, desglosado por nivel de severidad |
| SLA Compliance Trend | Grafico de linea mostrando el porcentaje de cumplimiento a lo largo del tiempo. Presta atencion a las tendencias a la baja antes de que se conviertan en hallazgos de auditoria |
| Reports Over Time | Grafico de barras de envios por semana o mes, util para detectar patrones estacionales o picos de divulgacion |
| By Severity | Desglose de reportes por nivel de severidad (desde Super Critical hasta Informational) |
| By Status | Distribucion de reportes abiertos por columna de estado (Submitted, Triaged, Validated, In Progress, etc.) |
| By Vulnerability Type | Distribucion por categoria OWASP, muestra a que clases de vulnerabilidad esta mas expuesto tu producto |
| Top Researchers | Ranking por cantidad de reportes validos, identifica a tus colaboradores externos mas valiosos |
Todas las secciones respetan el rango de fechas seleccionado. MTTA y MTTR son los dos numeros que tu auditor de SOC 2 pedira primero.
Karma de investigadores
Kit rastrea la calidad de los investigadores a lo largo del tiempo mediante un sistema de karma. Navega a VDP > Researchers para ver el directorio completo de investigadores con sus niveles de karma.
| Nivel de karma | Significado | Efecto |
|---|---|---|
| Trusted | Reportes consistentemente validos y de alta calidad | Los reportes se priorizan en el triaje |
| Neutral | Sin senal clara en ninguna direccion | Flujo de triaje estandar |
| Low | Historial de reportes de baja calidad | Los reportes se marcan previamente para revision |
| Untrusted | Patron de spam o envios de mala fe | Los reportes se marcan automaticamente; rechazo automatico opcional |
El karma se ajusta automaticamente en funcion de los eventos asociados a los envios del investigador.
Eventos positivos (aumentan el karma):
- Reporte valido enviado y resuelto
- Recompensa pagada por una vulnerabilidad confirmada
- Correccion verificada por el investigador
Eventos negativos (disminuyen el karma):
- Reporte descartado como spam
- Reporte descartado como duplicado
- Patron repetido de envios no reproducibles
- Apelacion rechazada tras revision
Los niveles de karma ayudan a tu equipo a priorizar el triaje. Un reporte de un investigador Trusted puede priorizarse con mayor confianza. Un reporte de un investigador Untrusted sigue entrando en la cola, pero se marca para que tu equipo aplique el escrutinio adecuado.
Gestion del Hall of Fame
Navega a VDP > Hall of Fame para gestionar el ranking publico de investigadores. El Hall of Fame reconoce a los investigadores que han contribuido reportes validos a tu programa.
Reglas clave:
- Los investigadores se inscriben desde su portal; el equipo no puede forzar la inclusion de un investigador en el ranking
- El equipo puede Destacar a un investigador, lo que lo fija en la parte superior de la pagina publica
- El equipo puede Eliminar a un investigador del ranking, lo que anula su inscripcion
El Hall of Fame publico esta disponible en /security/{program-slug}/hall-of-fame. Comparte esta URL en tu politica de divulgacion para demostrar que valoras las contribuciones de los investigadores. La mayoria de los programas publican el Hall of Fame una vez que tienen cinco o mas investigadores inscritos.
Generacion de exportaciones
Navega a VDP > Exports y haz clic en New Export para generar un paquete de evidencia listo para auditoria. Las exportaciones requieren el VDP Add-on ($49/mes).
Configura la exportacion con estos filtros:
| Filtro | Opciones |
|---|---|
| Date Range | Fecha de inicio y fecha de fin del periodo de reporte |
| Status | Filtrar por estado del reporte (por ejemplo, solo Resolved, o todos los estados) |
| Severity | Filtrar por nivel de severidad (por ejemplo, solo Critical y High) |
| Vulnerability Type | Filtrar por categoria OWASP |
Elige tu formato:
| Formato | Ideal para |
|---|---|
| CSV | Datos legibles por maquina para hojas de calculo, analisis adicional o importacion a herramientas GRC |
| Reporte legible para humanos, formateado para auditores, con encabezados, resumenes y tablas |
Cada exportacion incluye cuatro secciones:
| Seccion | Contenido |
|---|---|
| Report Summaries | ID del reporte, titulo, estado, severidad, puntaje CVSS, fecha de envio, fecha de resolucion |
| SLA Performance | Estado de SLA por reporte (en tiempo o incumplido), horas transcurridas hasta la confirmacion y resolucion |
| Communication Log | Solo mensajes externos (comunicaciones hacia el investigador, no notas internas) |
| Financial Ledger | Aprobaciones de recompensas, registros de desembolso y estados de pago del periodo |
Las exportaciones son asincronas. Kit procesa la exportacion en segundo plano y te envia un enlace de descarga por email cuando esta lista. Las exportaciones grandes que cubren varios trimestres pueden tardar unos minutos.
Flujo de trabajo para evidencia SOC 2
El flujo de trabajo recomendado para auditorias SOC 2 Type II:
- Al final de cada trimestre, navega a VDP > Exports y crea una nueva exportacion que cubra el trimestre
- Selecciona All statuses y All severities para capturar el panorama completo
- Elige formato PDF para el archivo de evidencia principal y CSV como complemento
- Descarga ambos archivos cuando llegue el email
- Adjuntalos a tus carpetas de evidencia CC4 (Monitoring Activities) y CC7 (System Operations)
Tu auditor buscara tres cosas en esta exportacion: que los reportes se estan recibiendo y rastreando, que los objetivos de SLA se cumplen de forma consistente, y que el registro financiero muestra un rastro limpio desde la aprobacion de la recompensa hasta el desembolso. La exportacion esta disenada para responder las tres preguntas sin preparacion adicional.
Consulta Bounties and Payouts para mas detalles sobre el registro financiero que alimenta las exportaciones.
Lista de verificacion rapida
- Revisa los KPIs del panel al inicio de cada semana para detectar caidas en el cumplimiento de SLA a tiempo
- Consulta la pagina de metricas al inicio de cada trimestre para confirmar las tendencias de MTTA y MTTR
- Revisa los niveles de karma de los investigadores para identificar investigadores Trusted y agilizar el triaje
- Publica el Hall of Fame una vez que tengas 5+ investigadores inscritos
- Genera una exportacion trimestral para tu carpeta de evidencia SOC 2 CC4/CC7 (VDP Add-on)
- Configura un recordatorio recurrente en el calendario para extraer metricas antes de cada ventana de auditoria SOC 2
- Cruza la informacion con el flujo de Triaging Reports si el cumplimiento de SLA esta en tendencia a la baja
Siguientes pasos
- Triaging Reports – el flujo completo de triaje, indicadores de SLA y operaciones masivas
- AI Integration – consulta al asistente de IA para resumenes de metricas y analisis de SLA