Descripción general de la divulgación de vulnerabilidades
Qué es el módulo VDP de Kit, para quién es y qué incluye.
Por qué importa
Los investigadores de seguridad ya están sondeando tus sistemas. Los informes no solicitados llegan por email, Slack, Twitter y tickets de soporte sin estructura, sin seguimiento de SLA y sin registro de auditoría. Un programa de divulgación de vulnerabilidades (VDP) organiza ese flujo en lugar de ignorarlo.
Tres mandatos convergentes eliminan la opción de “no hacer nada”:
| Mandato | Requisito | Fecha límite |
|---|---|---|
| SOC 2 Type II (CC4/CC7) | Evidencia de monitorización de vulnerabilidades y proceso de respuesta estructurado | Continuo — cada vez más, los auditores tratan un VDP formal como evidencia estándar |
| EU Cyber Resilience Act (CRA) | Obligaciones de notificación de vulnerabilidades para productos con elementos digitales | 11 de septiembre de 2026 |
| Aseguradoras de ciberriesgo | Gestión verificable de vulnerabilidades como condición de cobertura | Varía según la aseguradora — se endurece cada trimestre |
El módulo VDP de Kit es infraestructura de cumplimiento, no una plataforma de bug bounty. El presupuesto proviene de tu asignación de cumplimiento/GRC ($5-10K/año), no de tu presupuesto de AppSec. El comprador es un CTO que se prepara para una auditoría SOC 2, no un CISO que construye un programa de seguridad colaborativo.
Para comparar: HackerOne empieza en $22K/año con semanas de llamadas para definir el alcance. Kit despliega un VDP totalmente conforme en menos de 5 minutos: gratis para empezar, y el VDP Add-on a $49/mes desbloquea el pipeline completo de triaje y recompensas.
Para quién es
| Perfil | Objetivo | Principal problema |
|---|---|---|
| Fundador / CTO | Pasar la auditoría SOC 2, desbloquear acuerdos con grandes empresas, cumplir con CRA | Las plataformas para grandes empresas cuestan $22K+/año; la bandeja de security@ es un caos; los pagos manuales por PayPal generan responsabilidad fiscal |
| Miembro del equipo de seguridad | Evaluar, dirigir y cerrar informes de vulnerabilidades de manera eficiente | Cambio de contexto entre email, Slack y Jira; sin puntuación de severidad estandarizada; incumplimientos de SLA invisibles |
| Investigador de seguridad | Recibir un acuse de recibo rápido, comunicarse con claridad, cobrar un pago justo | Los gestores del programa dan plantón; ciclos de pago de 30-90 días; proceso de triaje opaco |
Los tres perfiles interactúan con el mismo programa. Cada sección de esta documentación está etiquetada para la audiencia relevante.
Cómo funciona
-
Activa — Ve a VDP > Program Settings y establece el estado de tu programa en Active. Tu archivo
security.txtse publica automáticamente. -
Publica — Establece el estado de tu programa en Active. Tu formulario de envío se activa y los investigadores te descubren a través de
security.txty tu página de política de divulgación. - Recibe informes — El formulario de admisión estructurado filtra el spam con limitación de tasa y CAPTCHA. Los informes válidos llegan a tu tablero de triaje.
- Resuelve — Haz el triaje del informe, evalúa la severidad con CVSS v3.1, comunícate con el investigador, corrige el problema y cierra el ciclo.
Estados del programa
| Estado | Acepta informes | Visible para investigadores | Cuándo usarlo |
|---|---|---|---|
| Draft | No | No | Aún configurando el alcance y la política |
| Active | Sí | Sí | Ejecutando activamente tu VDP |
| Paused | No | No | Suspendiendo temporalmente la admisión (por ejemplo, durante un incidente) |
Qué incluye
Gratis para empezar. Añade el VDP Add-on ($49/mes) cuando necesites triaje estructurado, pagos de recompensas o exportaciones para SOC 2.
| Funcionalidad | Gratis | VDP Add-on ($49/mes) |
|---|---|---|
| security.txt (RFC 9116) | ✓ | ✓ |
| Página de política de divulgación | ✓ | ✓ |
| Formulario de admisión estructurado + CAPTCHA | ✓ | ✓ |
| Informes/mes | 25 | Ilimitados |
| Notificaciones por correo personalizadas | ✓ | ✓ |
| Tablero kanban de triaje | — | ✓ |
| Calculadora CVSS v3.1 | — | ✓ |
| Seguimiento de SLA e indicadores | — | ✓ |
| Asignación al equipo | — | ✓ |
| Deduplicación | — | ✓ |
| Rotación de guardia | — | ✓ |
| Integración con Slack | — | ✓ |
| Plantillas de email personalizadas | — | ✓ |
| Portal del investigador | — | ✓ |
| Panel de métricas | — | ✓ |
| Salón de la fama | — | ✓ |
| Aprobación de recompensas | — | ✓ |
| Recopilación de datos de pago del investigador | — | ✓ |
| Gestión de documentos fiscales (W-9/W-8BEN) | — | ✓ |
| Libro mayor inmutable | — | ✓ |
| Exportación de evidencia SOC 2 (CSV/PDF) | — | ✓ |
| Acceso a la API | — | ✓ |
En resumen
- Activa tu programa en VDP > Program Settings (establece el estado en Active)
- Revisa el alcance predeterminado y ajusta los objetivos dentro y fuera de alcance
- Publica tu programa (estado → Active)
-
Verifica que
security.txtse sirve en/.well-known/security.txt -
Comparte la URL de envío (
/security/{program-slug}/report) con tu equipo para que sepan dónde llegan los informes
Y ahora qué
- Configuración de tu programa — alcance, matriz de recompensas, SLAs y las siete pestañas de configuración
- Configuración de security.txt — cumplimiento de RFC 9116, dominios personalizados y gestión de la expiración
- Ve a VDP para activar tu programa y ver las opciones de precios