La primera etapa consiste en llenar un formulario de postulación en el cual debes indicar, entre otros, tu nombre completo, correo electrónico, nombre de usuario, perfil en redes sociales, país de origen, idioma y contraseña de seguridad. Solo el equipo de CyScope tiene acceso a esta información para validar su autenticidad. 

El comité de investigación realiza una revisión completa de tu perfil y experiencia. 

Una vez finalizada la verificación de datos y revisados los antecedentes, el equipo de CyScope se pondrá en contacto contigo para proceder a la firma de los documentos requeridos. Esta etapa es obligatoria para validar tu postulación. 

Finalmente, recibirás una confirmación para ingresar a la plataforma y empezar a participar en programas. 

Al momento de ingresar al portal te recomendamos configurar rápidamente tu perfil para asegurarte de aprovechar todos los beneficios que ofrece la plataforma.

Un programa público está dirigido a toda la comunidad de hackers de CyScope. 

Los programas públicos están listados y disponibles en la sección “Programas” de tu cuenta. Asegúrate de leer la descripción del programa antes de iniciar las pruebas.

Los programas privados son más específicos y están reservados para un grupo de hackers  preseleccionados por el cliente.

Podrás ser invitado a programas privados dependiendo de tu perfil, experiencia u otros parámetros definidos por el cliente; y serás notificado mediante un correo electrónico.

Una vez aceptado, este programa queda visible en la sección “programas” de tu cuenta. La mayoría de los programas privados tienen un plazo limitado por lo cual te recomendamos leer con atención el detalle.

El proceso de triage depende de varios aspectos: 

• Cumplir con las reglas del programa reportando vulnerabilidades que estén dentro del alcance, buscando vulnerabilidades que estén aceptadas por el cliente, no ejecutar pruebas que estén prohibidas.
• Se evalúa la calidad del reporte: claridad del contenido, campos completados, evidencias, posibilidad de replicar la vulnerabilidad sin problema. Si el reporte es incompleto, el hacker recibe una notificación por correo electrónico indicándole la necesidad de completar y/o corregir el reporte para que el equipo interno lo valide.

Al momento de crear un programa, el cliente define el monto de cada recompensa en base al nivel de criticidad (critico, alto, medio, bajo) de la vulnerabilidad encontrada. Esta información está publicada en el detalle de cada programa para que la puedas revisar antes de iniciar las pruebas. 

El pago del reporte está reservado para el primer hacker que haya reportado una vulnerabilidad válida. Los reportes duplicados no se pagan, pero ganas puntos que te permiten aumentar tu visibilidad en el ranking mundial de la plataforma.

Para que tu reporte sea pagado, debe haber sido previamente revisado y validado por el equipo interno de CyScope. 

El equipo interno de CyScope gestiona el pago de las recompensas en base a la matriz de recompensas indicadas en el detalle del programa. 

Los pagos se realizan en plazos razonables (10-15 días). Asegúrate de que los datos de pago de tu cuenta bancaria estén correctos y actualizados en tu perfil.

Cada hacker debe asumir el gasto relacionado con el depósito de su recompensa.

El hacker es el único responsable de averiguar y gestionar los trámites fiscales de su país para ejecutar su trabajo acorde a la regulación local. 

Por el momento los programas están orientados a la revisión de aplicaciones web, moviles, software, API o IoT (Internet de las Cosas). En el futuro probablemente otros tipos de activos.

Si la evaluación de tu reporte no está alineada con tu visión, te invitamos a mandar un mensaje mediante el uso de la zona de chat disponible en tu reporte. El comité de resolución de CyScope se comunicará contigo para entender tu punto de vista y llegar a un acuerdo común. 

Sin embargo, tratamos de hacer que las reglas de la plataforma y de los programas sean claras para evitar este tipo de situación.

Tu participación en CyScope está respaldada a través de varios elementos: 

• La documentación legal que se firma antes de empezar a reportar vulnerabilidades en nuestra plataforma. 
• El respeto de la confidencialidad de tus datos personales y de tus reportes. No divulgamos información personal en el sitio público de la plataforma si haber un consentimiento previo.

Nuestro algoritmo se basa en una serie de criterios, como, por ejemplo, el estado del reporte:

• Reporte duplicado: la vulnerabilidad ha sido reportada por otro(s) hacker(s). 
• Validez del reporte: la vulnerabilidad reportada fue aceptada por el analista. 
• Mitigación: la vulnerabilidad reportada fue reproducida y mitigada.

El tiempo de evaluación y validación de reportes no supera 5 días y depende del equipo a cargo de realizar el triage. Sin embargo, en ciertas ocasiones se puede alargar por la magnitud del programa y la severidad de los reportes. 

Nuestro equipo interno hace todo lo posible para que este retraso no ocurra.