Sólo se aceptan reportes contra programas autorizados y dentro del scope publicado. Cada hallazgo recibe un código único CCA-AAAA-XXXXXX y entra al flujo de triage del equipo CCA.
Sólo programas en estado público aceptan reportes. Revisa el scope antes de tocar nada.
Título claro, resumen ejecutivo, pasos para reproducir, impacto y, si corresponde, sugerencia de remediación. Adjunta PoC sin datos sensibles.
Un triager valida severidad, descarta duplicados y coordina con la empresa. Tiempos objetivo por tier del programa.
Conversación cifrada entre hunter, empresa y staff. Hay comentarios internos (sólo empresa+CCA) y públicos al hunter.
Estados: triage → accepted → resolved → paid. Recompensa en CLP según severidad final acordada.
Mientras estés dentro del scope y de las reglas, hay respaldo legal documentado del programa. Fuera del scope, no.
El envío de reportes requiere cuenta de hunter verificada con MFA. El alistamiento se habilita en la siguiente fase del despliegue.