Conformité SOC 2 pour les vulnérabilités en 5 minutes.
Une boîte security@ n'est pas un programme de vulnérabilités. Kit vous donne un VDP structuré - security.txt auto-publié, rapports triés, preuves prêtes pour les auditeurs. Gratuit pour commencer.
Le problème avec les e-mails security@.
Chaque startup hérite du même processus défaillant. Voici pourquoi il ne survit pas à un audit SOC 2.
Chaos de la boîte de réception
Des rapports enfouis dans des fils de discussion, pas de suivi SLA, pas de scoring CVSS. Quand votre auditeur demande des preuves, vous cherchez dans Gmail.
Pression des auditeurs
SOC 2 CC7.1 exige des preuves documentées de surveillance des vulnérabilités. Un ticket Jira n'est pas une preuve. Une piste d'audit horodatée, oui.
HackerOne commence à 22 000 $/an
Les plateformes de primes aux bugs d'entreprise sont faites pour les entreprises. Les startups ont besoin de la conformité maintenant, pas d'un processus d'approvisionnement de 5 semaines et d'un contrat à six chiffres.
Votre IA gère le triage. Vous gérez le programme.
Le VDP de Kit est livré avec 21 outils MCP - la même infrastructure IA qui gère votre pipeline de recrutement couvre désormais l'ensemble du cycle de vie de vos vulnérabilités.
21 outils. Couverture complète du cycle de vie.
Les outils de lecture permettent à votre IA de parcourir les rapports, vérifier le périmètre, détecter les doublons, suggérer la sévérité et extraire les métriques. Les outils d'écriture lui permettent de trier, évaluer, répondre, assigner et approuver les primes - toujours avec votre confirmation.
Triage en langage naturel.
Parlez à vos données de sécurité comme vous parlez à vos données de recrutement.
Tout ce dont vous avez besoin. Rien de superflu.
Les fonctionnalités gratuites vous rendent conforme aujourd'hui. Le module complémentaire vous fait passer de conforme à serein.
security.txt + politique de divulgation
security.txt conforme RFC 9116 auto-publié à /.well-known/security.txt. Les alertes d'expiration le maintiennent à jour. Les chercheurs savent comment vous joindre.
Formulaire d'admission structuré + CAPTCHA
Plus d'e-mails libres. Chaque rapport capture le titre, la description, le vecteur CVSS, la preuve de concept et l'impact - structuré dès le départ.
Triage kanban + CVSS v3.1 + suivi SLA
Déplacez les rapports de Nouveau → Trié → Résolu avec un historique complet des statuts. Les minuteurs SLA se déclenchent automatiquement. Ne manquez plus jamais une échéance de réponse.
Pipeline de primes + exports SOC 2 + agent IA
Payez les chercheurs par virement ACH/bancaire avec gestion fiscale 1099. Exportez les preuves d'audit en un clic. L'agent IA filtre les doublons et rédige les réponses.
5 minutes pour la conformité.
Trois étapes. Pas d'approvisionnement, pas de projets d'intégration, pas d'attente.
Activez le VDP dans vos paramètres Kit
Activez le module VDP. Votre security.txt est publié instantanément à /.well-known/security.txt et votre page de politique de divulgation est en ligne.
Le premier rapport arrive - structuré, pas éparpillé
Les chercheurs soumettent via un formulaire d'admission de marque. Vous voyez un rapport propre avec un score CVSS, pas une chaîne d'e-mails transférés.
Passez à la version supérieure quand le triage compte
Ajoutez le module de triage complet pour 49 $/mois quand vous êtes prêt pour les tableaux kanban, le suivi SLA, les paiements de primes et l'export SOC 2.
Tarification honnête.
La version gratuite vous prépare à l'audit. Le module complémentaire vous donne confiance pour l'audit.
DIY / HackerOne
Plus 2 à 5 semaines d'intégration, d'intégrations personnalisées, de revue juridique et l'exigence d'un gestionnaire de programme dédié.
Kit VDP
Module de triage complet à partir de 49 $/mois
- security.txt auto-publié
- Formulaire d'admission structuré + CAPTCHA
- Triage kanban + CVSS + SLA (module complémentaire)
- Exports d'audit SOC 2 (module complémentaire)
Questions, réponses.
Nous sommes trop petits pour un programme de primes aux bugs.
Un VDP n'est pas un programme de primes - vous n'offrez pas de récompenses. C'est un canal documenté et conforme pour que les chercheurs signalent les vulnérabilités. SOC 2 Type II, les assureurs cyber et les clients entreprise exigent de plus en plus la preuve que vous en avez un. Le plan gratuit de Kit vous donne exactement cela, sans engagement de paiement.
Cela ne va-t-il pas inviter les hackers à nous attaquer ?
Les chercheurs sondent déjà votre infrastructure - ils n'ont simplement nulle part de légitime où envoyer ce qu'ils trouvent. Un VDP leur donne un chemin autorisé et vous fournit une protection juridique. Sans VDP, un chercheur bien intentionné pourrait rendre l'information publique plutôt que de risquer une exposition juridique. Avec un VDP, ils viennent d'abord vers vous.
Puis-je gérer un programme privé, sur invitation uniquement ?
Oui. Passez votre portail en mode sur invitation uniquement dans les Paramètres du portail de sécurité et Kit génère un jeton d'accès secret. Partagez l'URL d'invitation directement avec des chercheurs de confiance - elle leur accorde une session persistante au clic. Toute autre personne visitant le portail voit un court formulaire de demande d'accès au lieu d'une impasse. Les demandes en attente apparaissent dans votre barre latérale avec un badge ; un clic approuve la demande et envoie automatiquement au chercheur son lien d'invitation.
Nous allons être submergés de spam et de rapports de mauvaise qualité.
Le formulaire d'admission de Kit inclut un CAPTCHA, une limitation de débit et une couche d'analyse IA qui filtre les soumissions indésirables avant qu'elles n'atteignent votre file d'attente. En pratique, plus de 80 % du bruit est filtré automatiquement. Vous verrez de vrais rapports - pas le chaos dans votre boîte de réception.
Nous pourrions simplement construire un formulaire web nous-mêmes.
Un formulaire vous donne la collecte. Il ne vous donne pas le suivi des SLA, le scoring CVSS, l'historique des statuts, les fils de communication avec les chercheurs, les paiements de primes, la gestion des documents fiscaux ou l'export SOC 2 en un clic. Kit regroupe tout cela - vous passez un après-midi à le déployer, pas un sprint d'ingénierie à le construire.
Et HackerOne quand nous grandissons ?
HackerOne est excellent à 22 000 $/an pour les équipes qui ont besoin d'une place de marché publique de chercheurs. Le VDP de Kit est conçu pour l'étape de conformité avant cela. Quand vous êtes prêt à évoluer, Kit exporte l'historique complet de votre programme - résumés de rapports, scores CVSS, performances SLA, journaux de communication et grand livre financier - en CSV ou PDF. Des données propres et structurées dès le premier jour. Pas de maux de tête de migration.
Voir comment fonctionnent les exports SOC 2Mes données VDP sont-elles portables si je quitte Kit ?
Oui. L'export complet de Kit regroupe chaque enregistrement VDP - programmes, rapports, évaluations, messages, attributions de primes, versements, profils de chercheurs et analyses IA - en JSON structuré. Un clic depuis les Paramètres du compte. Vous disposez de 7 jours pour télécharger l'archive. Votre historique de sécurité vous appartient.
Voir ce qui est inclus dans un export de donnéesLa fenêtre se rétrécit.
Les obligations de signalement du Cyber Resilience Act (CRA) européen entrent en vigueur le 11 septembre 2026. La directive américaine OMB M-26-05 exige désormais que les prestataires fédéraux maintiennent un VDP. Les auditeurs SOC 2 Type II signalent l'absence de programmes de surveillance des vulnérabilités. Le coût d'avoir un VDP est de 5 minutes. Le coût de ne pas en avoir un augmente.
Déployez votre VDP en 5 minutes. Gratuit.
Pas de carte bancaire requise. security.txt publié instantanément. Passez à la version supérieure quand vous avez besoin du triage.