Logo StartupKit
ES

Integración con Vanta

Conecta Vanta para convertir las vulnerabilidades con triaje de tu VDP en evidencia de cumplimiento SOC 2 e ISO 27001 de forma automática.

Por qué es importante

Si gestionas un programa de divulgación de vulnerabilidades y buscas la certificación SOC 2 o ISO 27001, tu auditor necesita pruebas de que las vulnerabilidades se rastrean, priorizan por severidad y se remedian dentro de tus SLA. Reunir esas pruebas a mano — exportar hojas de cálculo, hacer capturas de pantalla de tickets, conciliar fechas — es la parte de la temporada de auditoría que nadie quiere afrontar.

La integración con Vanta elimina ese trabajo. Una vez conectada, Kit envía automáticamente tus vulnerabilidades con triaje a Vanta como evidencia de cumplimiento en tiempo real. La severidad y el estado de remediación fluyen de forma continua, de modo que Vanta puede hacer seguimiento de tus SLA de remediación frente a controles como SOC 2 CC7.1 e ISO 27001 A.8.8 — sin que tengas que ensamblar ni una sola exportación a mano.

Lo que necesitas

  • Una cuenta de Kit con el complemento VDP habilitado
  • Una cuenta de Vanta con acceso a la Developer Console (permiso para crear integraciones)
  • Una aplicación privada de Vanta, que te proporciona las tres cosas que Kit te pedirá: un Client ID, un Client Secret y dos Resource IDs

Note

La integración solo envía vulnerabilidades a las que se ha aplicado triaje con una severidad asignada. Hasta que tu equipo esté evaluando activamente los informes, no habrá nada que enviar — consulta Triaje de informes.

Configuración

1. Crea una aplicación privada en Vanta

  1. En Vanta, ve a Settings > Developer Console
  2. Haz clic en Create
  3. Elige el tipo de aplicación Build Integrations y establece la distribución en Private
  4. Completa el nombre y la descripción de la aplicación — la página de configuración de Kit te sugiere un nombre con botón de copiado
  5. El Client ID se genera automáticamente; cópialo
  6. Haz clic en Generate client secret y copia el secret

La aplicación necesita los scopes de OAuth connectors.self:write-resource y connectors.self:read-resource. Guarda el Client Secret en un lugar seguro — lo pegarás en Kit una sola vez y se almacenará de forma segura a partir de entonces.

2. Crea los dos recursos

Kit envía las vulnerabilidades a dos recursos de Vanta — uno para componentes vulnerables y otro para vulnerabilidades de endpoints de API. Crea ambos dentro de tu aplicación privada:

  1. Abre la pestaña Resources de la aplicación y haz clic en Add resource
  2. Crea un recurso con el tipo de recurso base Vulnerable Component
  3. Haz clic de nuevo en Add resource y crea un segundo recurso con el tipo de recurso base API Endpoint Vulnerability
  4. Deja Custom Properties vacío en ambos — los esquemas predefinidos ya cubren todo lo que Kit envía

Después de hacer clic en Create, cada recurso aparece en la pestaña Resources con un Resource ID generado. Copia ambos IDs exactamente como se muestran — distinguen entre mayúsculas y minúsculas, y Kit necesita el ID generado, no el nombre de recurso que escribiste.

3. Conecta en Kit

Ve a VDP > Settings > Vanta. La página te guía por una configuración en tres pasos:

  1. Paso 1 — Pega tu Client ID y tu Client Secret. Kit los verifica en vivo con Vanta antes de continuar.
  2. Paso 2 — Pega ambos Resource IDs. Kit verifica cada uno con Vanta y ejecuta la primera sincronización.
  3. Paso 3 — La pantalla de éxito confirma la conexión y muestra el resultado de esa primera sincronización.

A partir de ese momento, tus vulnerabilidades con triaje fluyen hacia Vanta automáticamente.

Qué se sincroniza y cuándo

Kit envía tus vulnerabilidades con triaje a Vanta — es decir, los informes que tu equipo ha confirmado y a los que ha asignado una severidad. Los informes que aún están pendientes de triaje no se envían, porque todavía no tienen la severidad que Vanta necesita para hacer seguimiento de un SLA de remediación.

Comportamiento Cómo funciona
Programación de sincronización Las vulnerabilidades con triaje se envían a Vanta automáticamente cada hora
Severidad La severidad de cada vulnerabilidad se envía para que Vanta pueda hacer seguimiento de los SLA de remediación según el plazo correspondiente
Sincronización al cambiar de estado Interruptor opcional — cuando está activado, una vulnerabilidad se envía en el momento en que cambia su estado, en lugar de esperar a la siguiente ejecución horaria
Resolución Cuando resuelves un informe en Kit, desaparece automáticamente de Vanta y queda registrado como remediado

No es necesario marcar nada en Vanta a mano. Aplica triaje a un informe y aparece; resuélvelo y se cierra como remediado. La programación horaria mantiene todo sincronizado incluso si se pierde alguna actualización puntual.

Qué no se envía

Esta es una integración de evidencia de cumplimiento, no un volcado de datos. Kit envía deliberadamente solo los metadatos mínimos que Vanta necesita para rastrear una vulnerabilidad y su remediación — nada más.

Lo siguiente nunca se envía a Vanta:

  • Información personal del investigador — nombres, correos electrónicos y cualquier dato de contacto permanecen en Kit
  • Pasos de reproducción sin procesar — la prueba de concepto técnica y los detalles del exploit no se comparten
  • Cuerpo de los informes — el relato completo y la discusión de cada informe permanecen en Kit

Important

Solo los metadatos mínimos necesarios para la evidencia — como la severidad y el estado de remediación — salen de Kit. Los datos sensibles del investigador y el contenido de cada informe nunca llegan a Vanta.

Gestión de la integración

Todo lo que se describe a continuación se encuentra en la página VDP > Settings > Vanta.

  • Sincronizar ahora (Sync now) — Envía las vulnerabilidades con triaje actuales a Vanta de inmediato, sin esperar a la siguiente ejecución horaria. Útil justo después de conectar, o tras una sesión de triaje.
  • Sincronización al cambiar de estado (Sync on status change) — Un interruptor que controla si las actualizaciones se envían en el instante en que cambia el estado de un informe. Mantenlo activado para evidencia casi en tiempo real; desactívalo si prefieres la cadencia horaria constante.
  • Estado de sincronización y errores — La página de configuración muestra cuándo se ejecutó la última sincronización y saca a la luz cualquier error. Un indicador verde significa que la conexión está activa; un indicador de error significa que hay algo que requiere atención (consulta Solución de problemas).
  • Desconectar (Disconnect) — Detiene toda sincronización y elimina las credenciales almacenadas. Tus datos en Kit no se ven afectados; Kit simplemente deja de enviar actualizaciones a Vanta.

Solución de problemas

Síntoma Causa Solución
“Error de conexión” al verificar las credenciales (paso 1) El Client ID o el Client Secret son incorrectos, o las credenciales han expirado Vuelve a copiar ambos valores desde tu aplicación privada en la Developer Console de Vanta y pégalos de nuevo
Error de sincronización “Could not find resourceId” Un Resource ID es incorrecto o está incompleto Abre la pestaña Resources de tu aplicación privada en la Developer Console de Vanta y copia el ID exactamente como se muestra — distingue entre mayúsculas y minúsculas, y Kit necesita el ID generado, no el nombre de recurso que escribiste
La conexión deja de funcionar tras rotar el client secret en Vanta Kit todavía conserva el secret antiguo Vuelve a introducir las credenciales en Kit (paso 1); los datos ya sincronizados se conservan
La conexión muestra un indicador de error Las credenciales fueron revocadas o expiraron en Vanta Vuelve a conectar con credenciales nuevas; Kit pausa la sincronización mientras la autenticación falla
Nada aparece en Vanta Aún no hay vulnerabilidades con triaje Confirma que tienes informes con triaje y una severidad asignada — los informes sin triaje nunca se envían
Nada aparece en Vanta Complemento VDP no habilitado La integración requiere el complemento VDP; comprueba Account > Billing
Un informe con triaje reciente no aparece en Vanta Esperando la sincronización horaria Haz clic en Sincronizar ahora, o activa Sincronización al cambiar de estado para actualizaciones inmediatas
Errores de sincronización en la página de configuración Un envío reciente a Vanta falló Haz clic en Sincronizar ahora para reintentar; si persiste, vuelve a probar las credenciales por si han expirado

Checklist rápido

  • Confirma que el complemento VDP está habilitado en tu cuenta
  • Crea una aplicación privada en Vanta: Settings > Developer Console > Create, tipo de aplicación Build Integrations, distribución Private
  • Copia el Client ID y haz clic en Generate client secret
  • En la pestaña Resources de la aplicación, añade dos recursos: Vulnerable Component y API Endpoint Vulnerability
  • Copia ambos Resource IDs generados desde la pestaña Resources (distinguen mayúsculas y minúsculas)
  • En VDP > Settings > Vanta, pega las credenciales (paso 1), luego ambos Resource IDs (paso 2) y confirma la pantalla de éxito (paso 3)
  • (Opcional) Activa Sincronización al cambiar de estado para evidencia casi en tiempo real
  • Aplica triaje a un informe con una severidad y luego haz clic en Sincronizar ahora para verificar que aparece en Vanta

Y ahora qué

Escriba para buscar...