Descripcion general de la divulgacion de vulnerabilidades
Que es el modulo VDP de Kit, para quien es y que incluye.
Por que importa
Los investigadores de seguridad ya estan sondeando tus sistemas. Los reportes no solicitados llegan por email, Slack, Twitter y tickets de soporte sin estructura, sin seguimiento de SLA y sin registro de auditoria. Un Programa de Divulgacion de Vulnerabilidades (VDP) organiza ese flujo en lugar de ignorarlo.
Tres mandatos convergentes eliminan la opcion de “no hacer nada”:
| Mandato | Requisito | Fecha limite |
|---|---|---|
| SOC 2 Type II (CC4/CC7) | Evidencia de monitoreo de vulnerabilidades y proceso de respuesta estructurado | Continuo – los auditores cada vez mas tratan un VDP formal como evidencia estandar |
| EU Cyber Resilience Act (CRA) | Obligaciones de reporte de vulnerabilidades para productos con elementos digitales | 11 de septiembre de 2026 |
| Aseguradoras de ciber-riesgo | Gestion verificable de vulnerabilidades como condicion de cobertura | Varia por aseguradora – se endurece trimestralmente |
El modulo VDP de Kit es infraestructura de cumplimiento, no una plataforma de bug bounty. El presupuesto proviene de tu asignacion de cumplimiento/GRC ($5-10K/ano), no de tu presupuesto de AppSec. El comprador es un CTO preparandose para una auditoria SOC 2, no un CISO construyendo un programa de seguridad crowdsourced.
Para comparar: HackerOne comienza en $22K/ano con semanas de llamadas de alcance. Kit despliega un VDP completamente conforme en menos de 5 minutos – gratis para empezar, y el VDP Add-on a $49/mes desbloquea el pipeline completo de triaje y recompensas.
Para quien es
| Persona | Objetivo | Principal dolor |
|---|---|---|
| Founder / CTO | Pasar la auditoria SOC 2, desbloquear acuerdos enterprise, cumplir con CRA | Las plataformas enterprise cuestan $22K+/ano; la bandeja de security@ es un caos; los pagos manuales por PayPal generan responsabilidad fiscal |
| Miembro del equipo de seguridad | Evaluar, enrutar y cerrar reportes de vulnerabilidades de manera eficiente | Cambio de contexto entre email, Slack y Jira; sin puntuacion de severidad estandarizada; incumplimientos de SLA invisibles |
| Investigador de seguridad | Ser reconocido rapidamente, comunicarse con claridad, recibir un pago justo | Ghosting por parte de los gestores del programa; ciclos de pago de 30-90 dias; proceso de triaje opaco |
Las tres personas interactuan con el mismo programa. Cada seccion de esta documentacion esta etiquetada para la audiencia relevante.
Como funciona
- Activar – Navega a VDP > Program Settings y establece el estado de tu programa en Active. Tu archivo
security.txtse publica automaticamente. - Publicar – Establece el estado de tu programa en Active. Tu formulario de envio se activa y los investigadores te descubren a traves de
security.txty tu pagina de politica de divulgacion. - Recibir reportes – El formulario de ingreso estructurado filtra spam con limitacion de tasa y CAPTCHA. Los reportes validos llegan a tu tablero de triaje.
- Resolver – Realiza el triaje del reporte, evalua la severidad con CVSS v3.1, comunicate con el investigador, corrige el problema y cierra el ciclo.
Estados del programa
| Estado | Acepta reportes | Visible para investigadores | Cuando usarlo |
|---|---|---|---|
| Draft | No | No | Todavia configurando el alcance y la politica |
| Active | Si | Si | Ejecutando activamente tu VDP |
| Paused | No | No | Suspendiendo temporalmente el ingreso (por ejemplo, durante un incidente) |
Que incluye
Gratis para empezar. Agrega el VDP Add-on ($49/mes) cuando necesites triaje estructurado, pagos de recompensas o exportaciones para SOC 2.
| Funcionalidad | Gratis | VDP Add-on ($49/mes) |
|---|---|---|
| security.txt (RFC 9116) | ✓ | ✓ |
| Pagina de politica de divulgacion | ✓ | ✓ |
| Formulario de ingreso estructurado + CAPTCHA | ✓ | ✓ |
| Reportes/mes | 25 | Ilimitados |
| Notificaciones basicas por email | ✓ | ✓ |
| Tablero kanban de triaje | – | ✓ |
| Calculadora CVSS v3.1 | – | ✓ |
| Seguimiento de SLA e indicadores | – | ✓ |
| Asignacion de equipo | – | ✓ |
| Deduplicacion | – | ✓ |
| Rotacion de guardia | – | ✓ |
| Integracion con Slack | – | ✓ |
| Plantillas de email personalizadas | – | ✓ |
| Portal de investigadores | – | ✓ |
| Panel de metricas | – | ✓ |
| Hall of Fame | – | ✓ |
| Aprobacion de recompensas | – | ✓ |
| Recopilacion de datos de pago del investigador | – | ✓ |
| Gestion de documentos fiscales (W-9/W-8BEN) | – | ✓ |
| Libro contable inmutable | – | ✓ |
| Exportacion de evidencia SOC 2 (CSV/PDF) | – | ✓ |
| Acceso a la API | – | ✓ |
Precio anual: $490/ano (ahorra $98).
Lista de verificacion rapida
- Activa tu programa en VDP > Program Settings (establece el estado en Active)
- Revisa el alcance predeterminado y ajusta los objetivos dentro y fuera de alcance
- Publica tu programa (estado -> Active)
- Verifica que
security.txtse sirve en/.well-known/security.txt - Comparte la URL de envio (
/security/{program-slug}/reports/new) con tu equipo para que sepan donde llegan los reportes
Proximos pasos
- Configuring Your Program – alcance, matriz de recompensas, SLAs y las siete pestanas de configuracion
- security.txt Setup – cumplimiento RFC 9116, dominios personalizados y gestion de expiracion
- Navega a VDP para activar tu programa y ver las opciones de precios