Su primer programa de divulgación de vulnerabilidades. Activo en 5 minutos.
Los investigadores ya están analizando su infraestructura - simplemente no tienen dónde reportar lo que encuentran. Kit le da un VDP estructurado con security.txt auto-publicado, un portal de recepción con su marca y evidencia lista para auditores. Despliegue gratuito.
Un VDP es la forma en que su empresa gestiona los informes de vulnerabilidades.
Un Programa de Divulgación de Vulnerabilidades es un canal formal y documentado para que los investigadores de seguridad reporten fallos en su software. Piense en ello como una versión estructurada del correo security@ - con seguimiento de SLA, puntuación CVSS y pista de auditoría. Los auditores SOC 2, las aseguradoras cibernéticas y los clientes empresariales lo exigen cada vez más.
Kit ya gestiona su pipeline de candidatos. Su VDP se ejecuta sobre la misma infraestructura, la misma pista de auditoría, el mismo equipo.
La ventana se está cerrando.
SOC 2 Tipo II
CC7.1: los auditores están señalando la ausencia de programas documentados de monitoreo de vulnerabilidades.
Ley de Ciberresiliencia de la UE
El Artículo 14 exige la notificación de vulnerabilidades para productos con elementos digitales.
Directiva NIS2
El Art. 21(2)(e) establece VDP como una de las diez medidas de ciberseguridad obligatorias para entidades esenciales e importantes. Multas de hasta 10 M EUR o el 2% de los ingresos.
Seguro Cibernético
Las aseguradoras cibernéticas están incluyendo VDP en los cuestionarios de solicitud de pólizas.
El problema del correo security@.
Toda startup hereda el mismo flujo roto. Por eso no sobrevive una auditoría SOC 2.
Su auditor acaba de preguntar por CC7.1
SOC 2 CC7.1 requiere evidencia documentada de monitoreo de vulnerabilidades. Un ticket de Jira no es evidencia. Una pista de auditoría con marca de tiempo sí lo es.
Acuerdos empresariales bloqueados
Los clientes empresariales envían cuestionarios de seguridad. "¿Tiene un VDP?" es ahora una pregunta estándar. Sin uno, el acuerdo se estanca en compras.
Las plataformas gestionadas empiezan en $22K/año
HackerOne y Bugcrowd ofrecen formularios de envío gratuitos. Sus programas gestionados con triaje real empiezan en $22K+/año. Kit le da triaje operativo por $49/mes.
Del informe a la resolución.
-
Portal con su marca
Su logo, su dominio, su política de divulgación. Los investigadores ven una experiencia profesional y con su marca.
-
Informes estructurados
Cada informe captura título, severidad, prueba de concepto e impacto. Se acabó analizar cadenas de correo.
-
Seguimiento completo del ciclo de vida
Los informes fluyen desde el envío, a través del triaje, hasta la resolución. Historial completo de estados, temporizadores de SLA y pista de auditoría en cada paso.
SQL Injection in /api/v2/users
The /api/v2/users endpoint accepts unsanitised input in the search parameter, allowing...
Authenticated users can extract other users' PII
SQL Injection
XSS in Search
CSRF Token
5 minutos para el cumplimiento.
Tres pasos. Sin adquisiciones, sin proyectos de integración, sin esperas.
Active VDP
Active el módulo VDP en la configuración de Kit. Su security.txt se publica al instante en /.well-known/security.txt y su página de política de divulgación queda activa.
El primer informe llega estructurado
Los investigadores envían a través de un formulario de recepción con su marca en su dominio personalizado. Usted ve un informe limpio con puntuación CVSS, no una cadena de correos reenviados.
Actualice cuando el triaje importe
Agregue el módulo completo de triaje por $49/mes cuando esté listo para tableros kanban, seguimiento de SLA, pagos de recompensas y exportación SOC 2.
Gratis lo pone en cumplimiento. El complemento le da confianza.
Las funciones gratuitas lo ponen en cumplimiento hoy. El complemento lo lleva de cumplimiento a confianza.
security.txt + política de divulgación
security.txt conforme con RFC 9116 auto-publicado en /.well-known/security.txt. Las alertas de expiración lo mantienen actualizado. Los investigadores saben cómo contactarle.
Formulario de recepción estructurado + CAPTCHA
Se acabaron los correos sin estructura. Cada informe captura título, descripción, vector CVSS, prueba de concepto e impacto - estructurado desde el inicio.
Filtrado automático de spam
CAPTCHA, limitación de velocidad y filtrado de IA detectan más del 80% de la basura antes de que llegue a su cola. Usted ve informes reales, no ruido.
Modo solo por invitación
Ejecute un programa privado con acceso solo por invitación. Comparta enlaces de invitación seguros con investigadores de confianza. Las solicitudes de acceso pendientes aparecen en su barra lateral.
Portal con dominio personalizado
Ejecute su portal de seguridad en su propio dominio. Los investigadores ven su marca, no la nuestra. Los dominios personalizados son gratuitos para todas las cuentas VDP.
Infraestructura alojada en la UE
Sus datos de vulnerabilidades nunca salen de la UE. Alojado en Hetzner en Alemania. Sin transferencias de datos a EE.UU. Sin preocupaciones por Schrems II.
Triaje kanban + CVSS v3.1 + SLA
Mueva informes de Nuevo a Clasificado a Resuelto con historial completo de estados. Los temporizadores de SLA se activan automáticamente. Nunca más se pierda una fecha límite de respuesta.
Pipeline de recompensas + exportaciones SOC 2
Pague a investigadores vía ACH/transferencia con gestión de documentos fiscales 1099. Exporte evidencia de auditoría con un clic. La IA filtra duplicados y redacta respuestas.
¿Listo para marcar la casilla de cumplimiento?
$49/mes vs. $22.000/año.
Gratis lo prepara para la auditoría. El complemento le da confianza ante ella.
DIY / Plataformas gestionadas
Más 2-5 semanas de incorporación, integraciones personalizadas, revisión legal y requisito de gestor de programa dedicado.
Kit VDP
Complemento de triaje completo desde $49/mes
$588/año. Eso es 37 veces menos que las plataformas gestionadas.
- security.txt auto-publicado
- Formulario de recepción estructurado + CAPTCHA
- Triaje kanban + CVSS + SLA (complemento)
- Exportaciones de auditoría SOC 2 (complemento)
HackerOne y Bugcrowd también ofrecen formularios de envío gratuitos. El coste indicado refleja sus programas gestionados con funcionalidades de triaje operativo comparables al complemento de Kit.
La IA se encarga del ruido. Usted se encarga de lo importante.
El VDP de Kit incluye herramientas de IA que cubren todo el ciclo de vida de las vulnerabilidades. La misma infraestructura de IA que gestiona su pipeline de contratación ahora clasifica sus informes de seguridad.
Cobertura completa del ciclo de vida.
La IA filtra informes basura para que solo vea vulnerabilidades reales. Detecta duplicados antes de que pierda tiempo, sugiere severidad CVSS y redacta respuestas a investigadores para que responda en minutos, no en días. Siempre con su confirmación.
Lenguaje natural, acciones reales.
Hable con sus datos de seguridad en lenguaje natural.
Usamos lo que entregamos.
Kit ejecuta su propio VDP en esta plataforma. Nuestro security.txt está activo. Nuestra política de divulgación está publicada. Clasificamos cada informe que recibimos.
Ver nuestro Centro de ConfianzaPreguntas, respondidas.
Somos demasiado pequeños para un programa de recompensas.
Un VDP no es un programa de recompensas - no está ofreciendo premios. Es un canal documentado y conforme para que los investigadores reporten vulnerabilidades. SOC 2 Tipo II, aseguradoras cibernéticas y clientes empresariales exigen cada vez más prueba de que tiene uno. El nivel gratuito de Kit le da exactamente eso, sin compromiso de pagar nada.
¿Esto no invitará a hackers a atacarnos?
Los investigadores ya están analizando su infraestructura - simplemente no tienen dónde enviar lo que encuentran de forma legítima. Un VDP les da un camino autorizado y le proporciona protección legal. Sin uno, un investigador bien intencionado podría hacer pública la información en lugar de arriesgarse a exposición legal. Con uno, acuden a usted primero.
¿Puedo ejecutar un programa privado, solo por invitación?
Sí. Cambie su portal a modo solo por invitación en la Configuración del Portal de Seguridad y Kit genera un token de acceso secreto. Comparta la URL de invitación directamente con investigadores de confianza - les otorga una sesión persistente al hacer clic. Cualquier otra persona que visite el portal ve un breve formulario de solicitud de acceso en lugar de un callejón sin salida. Las solicitudes pendientes aparecen en su barra lateral con una insignia; un clic aprueba la solicitud y envía al investigador su enlace de invitación automáticamente.
Nos inundaremos de spam e informes de baja calidad.
El formulario de recepción de Kit incluye CAPTCHA, limitación de velocidad y una capa de análisis de IA que detecta basura antes de que llegue a su cola. En la práctica, más del 80% del ruido se filtra automáticamente. Verá informes reales - no caos en la bandeja de entrada.
Podríamos simplemente construir un formulario web nosotros mismos.
Un formulario le da recepción de informes. No le da seguimiento de SLA, puntuación CVSS, historial de estados, hilos de comunicación con investigadores, pagos de recompensas, gestión de documentos fiscales ni exportación SOC 2 con un clic. Kit agrupa todo eso - para que dedique una tarde a desplegarlo, no un sprint de ingeniería a construirlo.
Ya usamos Vanta/Drata para cumplimiento.
Perfecto. Vanta y Drata verifican que usted tiene un VDP. Kit lo ejecuta. Active el VDP de Kit, apunte su herramienta de cumplimiento a su security.txt publicado, y la casilla queda marcada con un programa real y auditable detrás - no solo un documento de política.
¿Por qué una plataforma de contratación ofrece un VDP?
Kit empezó como una plataforma de contratación, pero la infraestructura de cumplimiento comparte el mismo ADN de ingeniería - recepción estructurada, seguimiento de SLA, automatización de flujos de trabajo y exportaciones de auditoría. Construimos el VDP sobre los mismos cimientos, aplicados a un flujo de trabajo diferente. Kit ejecuta su propio VDP en esta plataforma. Nuestro security.txt está activo. Nuestra política de divulgación está publicada. Clasificamos cada informe que recibimos.
¿Qué ocurre cuando llega una vulnerabilidad crítica real?
Cuando llega un informe crítico, Kit envía una notificación inmediata a su equipo. A partir de ahí: clasifica el informe, evalúa la severidad con puntuación CVSS v3.1, se comunica con el investigador a través de mensajes en hilo, lo asigna a la persona adecuada, realiza el seguimiento de la resolución con el temporizador de SLA y exporta la pista de auditoría completa cuando su auditor solicite evidencia. Todo el ciclo de vida queda documentado, con marca de tiempo y exportable.
¿Y HackerOne o Bugcrowd?
HackerOne y Bugcrowd ofrecen formularios de envío gratuitos. El nivel gratuito de Kit también. La diferencia es lo que ocurre después de que llega un informe: Kit le da seguimiento de SLA, puntuación CVSS, triaje kanban, comunicación con investigadores, pagos de recompensas y exportaciones SOC 2 por $49/mes. Los programas gestionados de HackerOne con funcionalidades operativas equivalentes empiezan en $22K+/año. Cuando supere Kit, exportamos el historial completo de su programa - resúmenes de informes, puntuaciones CVSS, rendimiento de SLA, registros de comunicación y libro mayor financiero - como CSV o PDF. Sin dolores de cabeza de migración.
Ver cómo funcionan las exportaciones SOC 2¿Son portables mis datos de VDP si dejo Kit?
Sí. La exportación completa de Kit empaqueta cada registro de VDP - programas, informes, evaluaciones, mensajes, premios de recompensas, desembolsos, perfiles de investigadores y análisis de IA - en JSON estructurado. Un clic desde Configuración de Cuenta. Tiene 7 días para descargar el archivo. Su historial de seguridad es suyo.
Ver qué se incluye en una exportación de datosDespliegue su VDP en 5 minutos. Gratis.
Sin tarjeta de crédito. security.txt publicado al instante. Actualice cuando necesite triaje.