Zgodność SOC 2 w zakresie podatności w 5 minut.
Skrzynka security@ to nie program podatności. Kit daje Ci ustrukturyzowany VDP - security.txt publikowany automatycznie, zgłoszenia triażowane, dowody gotowe dla audytorów. Na start za darmo.
Problem ze skrzynką security@.
Każdy startup dziedziczy ten sam wadliwy proces. Oto dlaczego nie przetrwa audytu SOC 2.
Chaos w skrzynce
Zgłoszenia pogrzebane w wątkach, brak śledzenia SLA, brak oceny CVSS. Gdy audytor pyta o dowody, przeszukujesz Gmail.
Presja audytorów
SOC 2 CC7.1 wymaga udokumentowanych dowodów monitorowania podatności. Ticket w Jira to nie dowód. Oznaczony czasem ślad audytowy - tak.
HackerOne zaczyna od 22 000$/rok
Korporacyjne platformy bug bounty są budowane dla korporacji. Startupy potrzebują zgodności teraz, a nie 5-tygodniowego procesu zakupowego i sześciocyfrowego kontraktu.
AI prowadzi triaż. Ty prowadzisz program.
VDP Kit zawiera 21 narzędzi MCP - ta sama infrastruktura AI, która zarządza Twoim procesem rekrutacji, teraz obsługuje cały cykl życia podatności.
21 narzędzi. Pełne pokrycie cyklu życia.
Narzędzia odczytu pozwalają Twojemu AI przeglądać zgłoszenia, sprawdzać zakres, wykrywać duplikaty, sugerować ważność i pobierać metryki. Narzędzia zapisu pozwalają triażować, oceniać, odpowiadać, przypisywać i zatwierdzać nagrody - zawsze z Twoim potwierdzeniem.
Triaż w języku naturalnym.
Rozmawiaj ze swoimi danymi bezpieczeństwa tak samo, jak rozmawiasz z danymi rekrutacyjnymi.
Wszystko, czego potrzebujesz. Nic zbędnego.
Darmowe funkcje dadzą Ci zgodność już dziś. Dodatek przeniesie Cię od zgodności do pewności.
security.txt + polityka ujawniania
Zgodny z RFC 9116 security.txt automatycznie publikowany w /.well-known/security.txt. Alerty o wygaśnięciu utrzymują go aktualnym. Badacze wiedzą, jak się z Tobą skontaktować.
Ustrukturyzowany formularz zgłoszeń + CAPTCHA
Koniec z dowolnymi e-mailami. Każde zgłoszenie zbiera tytuł, opis, wektor CVSS, dowód koncepcji i wpływ - ustrukturyzowane od początku.
Triaż kanban + CVSS v3.1 + śledzenie SLA
Przenoś zgłoszenia od Nowe → Triażowane → Rozwiązane z pełną historią statusów. Timery SLA uruchamiają się automatycznie. Nigdy więcej nie przegapisz terminu odpowiedzi.
Ścieżka nagród + eksporty SOC 2 + agent AI
Płać badaczom przez ACH/przelew z obsługą podatkową 1099. Eksportuj dowody audytowe jednym kliknięciem. Agent AI filtruje duplikaty i przygotowuje odpowiedzi.
5 minut do zgodności.
Trzy kroki. Bez zamówień, bez integracji, bez czekania.
Włącz VDP w ustawieniach Kit
Włącz moduł VDP. Twój security.txt jest publikowany natychmiast w /.well-known/security.txt, a strona z polityką ujawniania staje się aktywna.
Pierwsze zgłoszenie - ustrukturyzowane, nie rozproszone
Badacze zgłaszają przez oznakowany formularz. Widzisz czyste zgłoszenie z oceną CVSS, a nie przekazany łańcuch e-maili.
Ulepsz, gdy triaż ma znaczenie
Dodaj pełny moduł triażu za 49$/mies., gdy będziesz gotowy na tablice kanban, śledzenie SLA, wypłaty nagród i eksport SOC 2.
Uczciwy cennik.
Darmowy plan przygotuje Cię na audyt. Dodatek da Ci pewność podczas audytu.
DIY / HackerOne
Plus 2-5 tygodni onboardingu, niestandardowe integracje, przegląd prawny i wymóg dedykowanego menedżera programu.
Kit VDP
Pełny dodatek triażu od 49$/mies.
- security.txt publikowany automatycznie
- Ustrukturyzowany formularz zgłoszeń + CAPTCHA
- Triaż kanban + CVSS + SLA (dodatek)
- Eksporty audytowe SOC 2 (dodatek)
Pytania i odpowiedzi.
Jesteśmy za mali na program nagród za błędy.
VDP to nie program nagród za błędy - nie oferujesz nagród. To udokumentowany, zgodny z przepisami kanał dla badaczy do zgłaszania podatności. SOC 2 Type II, ubezpieczyciele cyber i klienci korporacyjni coraz częściej wymagają dowodu na jego posiadanie. Darmowy plan Kit daje Ci dokładnie to - bez zobowiązań finansowych.
Czy to nie zaprosi hakerów do atakowania nas?
Badacze już sondują Twoją infrastrukturę - po prostu nie mają legalnego kanału, gdzie mogliby wysłać to, co znajdą. VDP daje im usankcjonowaną ścieżkę i zapewnia Ci bezpieczną przystań prawną. Bez VDP dobrze intencjonalny badacz może upublicznić znaleziska zamiast ryzykować narażenie prawne. Z VDP - najpierw przychodzą do Ciebie.
Czy mogę prowadzić prywatny program tylko na zaproszenia?
Tak. Przełącz portal w tryb tylko na zaproszenia w ustawieniach portalu bezpieczeństwa, a Kit wygeneruje tajny token dostępu. Udostępnij URL zaproszenia bezpośrednio zaufanym badaczom - jednym kliknięciem otrzymują trwałą sesję. Każdy inny odwiedzający zobaczy formularz prośby o dostęp zamiast ślepego zaułka. Oczekujące prośby pojawiają się na pasku bocznym z plakietką; jedno kliknięcie zatwierdza prośbę i automatycznie wysyła badaczowi link z zaproszeniem.
Zostaniemy zasypani spamem i zgłoszeniami niskiej jakości.
Formularz zgłoszeń Kit zawiera CAPTCHA, rate limiting i warstwę screeningu AI, która wychwytuje śmieci, zanim trafią do Twojej kolejki. W praktyce ponad 80% szumu jest filtrowane automatycznie. Zobaczysz prawdziwe zgłoszenia - nie chaos w skrzynce.
Moglibyśmy po prostu zbudować formularz internetowy.
Formularz da Ci przyjmowanie zgłoszeń. Nie da Ci śledzenia SLA, oceny CVSS, historii statusów, wątków komunikacji z badaczami, wypłat nagród, obsługi dokumentów podatkowych ani eksportu SOC 2 jednym kliknięciem. Kit łączy to wszystko - spędzasz popołudnie na wdrożeniu, nie sprint inżynieryjny na budowaniu.
A co z HackerOne, gdy urosniemy?
HackerOne jest doskonały przy 22 000$+/rok dla zespołów, które potrzebują publicznego rynku badaczy. VDP Kit jest zbudowany na etap compliance-first przed tym. Gdy będziesz gotowy na skalowanie, Kit eksportuje pełną historię programu - podsumowania zgłoszeń, oceny CVSS, wydajność SLA, logi komunikacji i księgę finansową - jako CSV lub PDF. Czyste, ustrukturyzowane dane od pierwszego dnia. Bez problemów z migracją.
Zobacz, jak działają eksporty SOC 2Czy moje dane VDP są przenośne, jeśli odejdę z Kit?
Tak. Pełny eksport konta Kit pakuje każdy rekord VDP - programy, zgłoszenia, oceny, wiadomości, nagrody, wypłaty, profile badaczy i screeningi AI - w strukturalny JSON. Jedno kliknięcie w ustawieniach konta. Masz 7 dni na pobranie archiwum. Twoja historia bezpieczeństwa należy do Ciebie.
Zobacz, co zawiera eksport danychOkno się zamyka.
Obowiązki raportowania EU Cyber Resilience Act (CRA) wchodzą w życie 11 września 2026. US OMB M-26-05 wymaga od kontrahentów federalnych utrzymywania VDP. Audytorzy SOC 2 Type II flagują brak programów monitorowania podatności. Koszt posiadania VDP to 5 minut. Koszt jego braku rośnie.
Wdróż swój VDP w 5 minut. Za darmo.
Bez karty kredytowej. security.txt publikowany natychmiast. Ulepsz, gdy potrzebujesz triażu.