Cumplimiento de vulnerabilidades SOC 2 en 5 minutos.
Una bandeja security@ no es un programa de vulnerabilidades. Kit le da un VDP estructurado - security.txt auto-publicado, informes clasificados, evidencia lista para auditores. Gratis para empezar.
El problema del correo security@.
Toda startup hereda el mismo flujo roto. Por eso no sobrevive una auditoría SOC 2.
Caos en la bandeja de entrada
Informes enterrados en hilos, sin seguimiento de SLA, sin puntuación CVSS. Cuando el auditor pide evidencia, usted está buscando en Gmail.
Presión del auditor
SOC 2 CC7.1 requiere evidencia documentada de monitoreo de vulnerabilidades. Un ticket de Jira no es evidencia. Una pista de auditoría con marca de tiempo si lo es.
HackerOne empieza en $22K/año
Las plataformas de recompensas empresariales estan diseñadas para grandes corporaciones. Las startups necesitan cumplimiento ahora, no un proceso de adquisición de 5 semanas y un contrato de seis cifras.
Su IA ejecuta el triaje. Usted dirige el programa.
El VDP de Kit incluye 21 herramientas MCP - la misma infraestructura de IA que gestióna su pipeline de contratación ahora cubre todo el ciclo de vida de sus vulnerabilidades.
21 herramientas. Cobertura completa del ciclo de vida.
Las herramientas de lectura permiten que su IA explore informes, verifique el alcance, detecte duplicados, sugiera severidad y obtenga métricas. Las de escritura le permiten clasificar, evaluar, responder, asignar y aprobar recompensas - siempre con su confirmación.
Triaje en lenguaje natural.
Hable con sus datos de seguridad igual que habla con sus datos de contratación.
Todo lo que necesita. Nada que no.
Las funciones gratuitas lo ponen en cumplimiento hoy. El complemento lo lleva de cumplimiento a confianza.
security.txt + política de divulgación
security.txt conforme con RFC 9116 auto-publicado en /.well-known/security.txt. Las alertas de expiración lo mantienen actualizado. Los investigadores saben cómo contactarle.
Formulario de recepción estructurado + CAPTCHA
Se acabaron los correos sin estructura. Cada informe captura título, descripción, vector CVSS, prueba de concepto e impacto - estructurado desde el inicio.
Triaje kanban + CVSS v3.1 + seguimiento de SLA
Mueva informes de Nuevo a Clasificado a Resuelto con historial completo de estados. Los temporizadores de SLA se activan automáticamente. Nunca más se pierda una fecha límite de respuesta.
Pipeline de recompensas + exportaciones SOC 2 + agente de IA
Pague a investigadores via ACH/transferencia con gestión de documentos fiscales 1099. Exporte evidencia de auditoría con un clic. El agente de IA filtra duplicados y redacta respuestas.
5 minutos para el cumplimiento.
Tres pasos. Sin adquisiciónes, sin proyectos de integración, sin esperas.
Active VDP en la configuración de Kit
Active el módulo VDP. Su security.txt se pública al instante en /.well-known/security.txt y su página de política de divulgación queda activa.
Llega el primer informe - estructurado, no disperso
Los investigadores envian a traves de un formulario de recepción con su marca. Usted ve un informe limpio con puntuación CVSS, no una cadena de correos reenviados.
Actualice cuando el triaje importe
Agregue el módulo completo de triaje por $49/mes cuando este listo para tableros kanban, seguimiento de SLA, pagos de recompensas y exportación SOC 2.
Precios honestos.
Gratis lo prepara para la auditoría. El complemento le da confianza ante ella.
DIY / HackerOne
Más2-5 semanas de incorporación, integraciónes personalizadas, revision legal y requisito de gerente de programa dedicado.
Kit VDP
Complemento de triaje completo desde $49/mes
- security.txt auto-publicado
- Formulario de recepción estructurado + CAPTCHA
- Triaje kanban + CVSS + SLA (complemento)
- Exportaciones de auditoría SOC 2 (complemento)
Preguntas, respondidas.
Somos demasiado pequeños para un programa de recompensas.
Un VDP no es un programa de recompensas - no está ofreciendo premios. Es un canal documentado y conforme para que los investigadores reporten vulnerabilidades. SOC 2 Tipo II, aseguradoras cibernéticas y clientes empresariales exigen cada vez más prueba de que tiene uno. El nivel gratuito de Kit le da exactamente eso, sin compromiso de pagar nada.
Esto no invitara a hackers a atacarnos?
Los investigadores ya estan analizando su infraestructura - simplemente no tienen donde enviar lo que encuentran de forma legítima. Un VDP les da un camino autorizado y le proporciona protección legal. Sin uno, un investigador bien intencionado podría hacer pública la información en lugar de arriesgarse a exposicion legal. Con uno, acuden a usted primero.
Puedo ejecutar un programa privado, solo por invitación?
Si. Cambie su portal a modo solo por invitación en la Configuración del Portal de Seguridad y Kit genera un token de acceso secreto. Comparta la URL de invitación con investigadores de confianza - les otorga una sesión persistente al hacer clic. Cualquier otra persona ve un breve formulario de solicitud de acceso en lugar de un callejón sin salida. Las solicitudes pendientes aparecen en su barra lateral con una insignia; un clic aprueba la solicitud y envia al investigador su enlace de invitación automáticamente.
Nos inundaremos de spam e informes de baja calidad.
El formulario de recepción de Kit incluye CAPTCHA, limitacion de velocidad y una capa de análisis de IA que detecta basura antes de que llegue a su cola. En la práctica, más del 80% del ruido se filtra automáticamente. Verá informes reales - no caos en la bandeja de entrada.
Podríamos simplemente construir un formulario web nosotros mismos.
Un formulario le da recepción de informes. No le da seguimiento de SLA, puntuación CVSS, historial de estados, hilos de comunicación con investigadores, pagos de recompensas, gestión de documentos fiscales ni exportación SOC 2 con un clic. Kit agrupa todo eso - para que pase una tarde desplegándolo, no un sprint de ingeniería construyéndolo.
Y HackerOne cuando crezcamos?
HackerOne es excelente a $22K+/año para equipos que necesitan un mercado público de investigadores. El VDP de Kit está diseñado para la etapa de cumplimiento previo. Cuando este listo para escalar, Kit exporta el historial completo de su programa - resúmenes de informes, puntuaciones CVSS, rendimiento de SLA, registros de comunicación y libro mayor financiero - como CSV o PDF. Datos limpios y estructurados desde el primer dia. Sin dolores de cabeza de migración.
Ver cómo funcionan las exportaciones SOC 2Son portables mis datos de VDP si dejo Kit?
Si. La exportación completa de Kit empaqueta cada registro de VDP - programas, informes, evaluaciones, mensajes, premios de recompensas, desembolsos, perfiles de investigadores y análisis de IA - en JSON estructurado. Un clic desde Configuración de Cuenta. Tiene 7 días para descargar el archivo. Su historial de seguridad es suyo.
Ver que se incluye en una exportación de datosLa ventana se está cerrando.
Las obligaciones de reporte del Acta de Resiliencia Cibernetica (CRA) de la UE entran en vigor el 11 de septiembre de 2026. La directiva OMB M-26-05 de EE.UU. ahora requiere que los contratistas federales mantengan un VDP. Los auditores SOC 2 Tipo II estan señalando la ausencia de programas de monitoreo de vulnerabilidades. El costo de tener un VDP es 5 minutos. El costo de no tener uno está creciendo.
Despliegue su VDP en 5 minutos. Gratis.
Sin tarjeta de crédito. security.txt publicado al instante. Actualice cuando necesite triaje.