Bounties und Auszahlungen
Wie Sie Bounties genehmigen, die Auszahlungspipeline verwalten, Steuerdokumente bearbeiten und das unveränderliche Finanz-Ledger als SOC 2-Nachweis nutzen.
Warum es wichtig ist
Bounties und Auszahlungen erfordern das VDP Add-on (49 $/Monat). Damit werden die vollständige Auszahlungspipeline, das unveränderliche Finanz-Ledger und die auf dieser Seite beschriebene Verwaltung von Steuerdokumenten freigeschaltet.
Korrekte Auszahlungen sind sowohl eine Frage der Forscherbindung als auch eine Compliance-Pflicht. Manuelle PayPal-Überweisungen ohne Einholung von W-8BEN- (Nicht-US) oder W-9-Formularen (US) schaffen eine direkte steuerliche Haftung für Ihr Unternehmen. Jede Zahlung an einen Forscher ist ein meldepflichtiges steuerbares Ereignis, und das Fehlen von Steuerdokumenten verlagert die Haftung auf Sie. Die Auszahlungspipeline von Kit löst dieses Problem, indem Auszahlungen an eine konfigurierbare Bereitschafts-Checkliste gebunden werden, die auch die Prüfung von Steuerdokumenten umfasst.
Das unveränderliche Finanz-Ledger ist das primäre SOC 2-Nachweisdokument für die Finanzkontrollen Ihres Vulnerability-Disclosure-Programms. Jede Bounty-Genehmigung, jede Auszahlung und jede Steuerdokument-Aktion wird mit Akteur, Zeitstempel und Betrag erfasst. Prüfer können die vollständige Nachweiskette von der Berichtsauflösung bis zur Zahlungsbestätigung in einem einzigen Export verifizieren.
Bounty-Matrix
Die Bounty-Matrix ordnet CVSS-Schweregrad-Stufen Dollarspannen zu. Konfigurieren Sie diese unter VDP > Programmeinstellungen > Bounty-Matrix. Wenn ein Teammitglied eine Meldung mit einer CVSS-Bewertung versieht, wird die vorgeschlagene Bounty-Spanne automatisch aus der Matrix übernommen und im Genehmigungsformular vorausgefüllt.
Bounty-Spannen werden auf Ihrer öffentlichen Disclosure-Policy-Seite angezeigt, damit Forscher vor ihrer Einreichung wissen, was sie erwartet. Diese Transparenz reduziert Streitigkeiten und setzt klare Erwartungen.
Für Anerkennungs-Programme setzen Sie alle Stufen auf $0. Forscher sehen dann auf der Policy-Seite “recognition only” anstelle von Dollarbeträgen.
Siehe Ihr Programm konfigurieren für vollständige Details zur Matrixkonfiguration.
Einen Bounty genehmigen
Eine Meldung muss den Status Resolved oder Fix Verified haben, bevor Sie einen Bounty genehmigen können. Meldungen in früheren Pipeline-Phasen zeigen die Genehmigungsoption nicht an.
So genehmigen Sie einen Bounty:
- Öffnen Sie die Meldungsdetailseite
- Klicken Sie auf Bounty genehmigen
- Füllen Sie das Genehmigungsformular aus
| Feld | Erforderlich | Beschreibung |
|---|---|---|
| Betrag | Ja | Bounty-Betrag, vorausgefüllt aus der Bounty-Matrix basierend auf der CVSS-Schweregrad-Stufe der Meldung. |
| Währung | Ja | Standardmäßig USD. Muss mit der konfigurierten Währung Ihres Programms übereinstimmen. |
| Notizen | Nein | Interne Notizen, die nur für Ihr Team sichtbar sind. Verschlüsselt gespeichert. |
Die Genehmigung erfordert eine explizite Absendung – kein Betrag wird festgelegt, bis Sie das Formular speichern. Bei Genehmigung:
- Ein
bounty_approved-Eintrag wird dem unveränderlichen Ledger hinzugefügt - Der Forscher wird über die
bounty_approved-E-Mail-Vorlage benachrichtigt
Auszahlungspipeline
Navigieren Sie zu VDP > Auszahlungen, um alle ausstehenden Auszahlungen zu sehen. Jede Zeile zeigt den Forscher, die verknüpfte Meldung, den genehmigten Betrag und den Auszahlungsbereitschaftsstatus.
Bereitschafts-Checkliste
Bevor eine Auszahlung erfolgen kann, muss der Forscher eine Bereitschafts-Checkliste erfüllen. Alle drei Punkte sind in den Auszahlungseinstellungen Ihres Programms konfigurierbar:
- Auszahlungsinformationen eingereicht – Der Forscher hat seine Zahlungsdetails (Bank, PayPal oder andere Methode) über das Forscherportal eingegeben
- Vereinbarung akzeptiert – Der Forscher hat die Teilnahmevereinbarung Ihres Programms akzeptiert (falls Ihr Programm eine solche voraussetzt)
- Steuerdokument verifiziert – Das W-8BEN oder W-9 des Forschers wurde hochgeladen und von Ihrem Team verifiziert (falls Ihr Programm Steuerdokumente voraussetzt)
Punkte, die in Ihren Programmeinstellungen nicht aktiviert sind, werden automatisch als erfüllt markiert.
Eine Auszahlung verarbeiten
Kit führt keine Überweisungen oder Payment-API-Aufrufe durch. Ihr Team wickelt die eigentliche Geldbewegung außerhalb von Kit ab (Banküberweisung, PayPal, Krypto usw.). Kit verfolgt den Lebenszyklus:
- Wenn alle Bereitschaftspunkte erfüllt sind, klicken Sie auf Einleiten, um die Auszahlung in den Status Processing zu verschieben
- Führen Sie die Überweisung über Ihren Zahlungsanbieter durch
- Kehren Sie zu Kit zurück und klicken Sie auf Als bezahlt markieren – geben Sie die Transaktionsreferenz ein (z. B. PayPal-Transaktions-ID, Überweisungsbestätigungsnummer)
- Die Auszahlung wechselt zu Completed und die Meldung geht in den Status Paid über
Auszahlungsstatus
| Status | Bedeutung |
|---|---|
| Pending | Bounty genehmigt; es wird auf die Erfüllung der Bereitschafts-Checkliste durch den Forscher gewartet |
| Processing | Ihr Team hat die Überweisung außerhalb von Kit eingeleitet |
| Completed | Geldeingang bestätigt; Transaktionsreferenz erfasst |
| Failed | Überweisung fehlgeschlagen; manuell lösen und erneut versuchen oder den Forscher kontaktieren |
Wenn eine Auszahlung fehlschlägt, wird der Grund im Ledger protokolliert. Sie können die Auszahlung nach Behebung des Problems erneut einleiten.
Steuerdokumente
Forscher laden Steuerdokumente über ihr Portal hoch. In den USA ansässige Forscher reichen ein W-9 ein; Nicht-US-Forscher reichen ein W-8BEN ein. Dokumente werden verschlüsselt gespeichert.
Ihr Team prüft hochgeladene Dokumente unter VDP > Steuerdokumente:
| Status | Aktion |
|---|---|
| Pending | Dokument hochgeladen, wartet auf Ihre Prüfung |
| Verified | Sie haben bestätigt, dass das Dokument gültig ist – der Bereitschaftspunkt ist erfüllt |
| Rejected | Sie haben das Dokument abgelehnt – der Forscher wird benachrichtigt und kann erneut hochladen |
Sowohl Verifizierung als auch Ablehnung werden zu Prüfzwecken im Ledger erfasst. Steuerdokument-Ereignisse werden mit der letzten Bounty-relevanten Meldung des Forschers verknüpft, um Kontext im Ledger herzustellen.
Das Ledger
Navigieren Sie zu VDP > Ledger, um den unveränderlichen finanziellen Audit-Trail einzusehen. Das Ledger ist nur zum Anfügen bestimmt: Einträge können nicht bearbeitet, geändert oder gelöscht werden.
Jeder Eintrag erfasst:
- Eintragstyp – Was geschehen ist
- Betrag – Dollarbetrag in Cent und Währung
- Akteur – Das Teammitglied oder System, das die Aktion durchgeführt hat
- Zeitstempel – Wann der Eintrag erstellt wurde
- Meldungsreferenz – Die verknüpfte Schwachstellenmeldung
Jeder Eintrag erfasst einen der folgenden Typen:
| Eintragstyp | Wann er erstellt wird |
|---|---|
bounty_approved |
Ein Teammitglied genehmigt einen Bounty-Betrag für eine gelöste Meldung |
bounty_adjusted |
Ein Teammitglied korrigiert den Bounty-Betrag vor dem Zahlungsversand |
disbursement_initiated |
Ein Teammitglied versetzt die Auszahlung in den Status Processing |
disbursement_completed |
Ein Teammitglied markiert die Auszahlung als Paid mit einer Transaktionsreferenz |
disbursement_failed |
Eine Auszahlung wird mit einem Grund als fehlgeschlagen markiert |
tax_document_submitted |
Ein Forscher lädt ein W-8BEN- oder W-9-Dokument hoch |
tax_document_verified |
Ein Teammitglied verifiziert ein Steuerdokument als gültig |
Filtern Sie das Ledger nach Meldungs-ID, Eintragstyp oder Datumsbereich, um die Ergebnisse einzugrenzen. Nutzen Sie den Ledger-Export unter Metriken und Exporte, um SOC 2-Nachweispakete zu erstellen.
Ledger-Integrität
Eine tägliche Integritätsprüfung wird automatisch durchgeführt, um die Konsistenz des Ledgers zu verifizieren. Sie prüft:
- Bounty-Vergaben, die keinen entsprechenden
bounty_approved-Ledger-Eintrag haben - Abgeschlossene Auszahlungen, die keinen entsprechenden
disbursement_completed-Ledger-Eintrag haben - Verwaiste Einträge, die auf gelöschte oder fehlende Datensätze verweisen
Wenn eine Abweichung erkannt wird, erhalten die Kontoadministratoren eine Warn-E-Mail. Kontaktieren Sie den Support, wenn Sie eine Ledger-Integritätswarnung erhalten – versuchen Sie nicht, Abweichungen manuell zu beheben.
Schnellcheckliste
- Konfigurieren Sie Bounty-Matrix-Stufen mit angemessenen Min/Max-Spannen für Ihre Risikotoleranz
- Legen Sie Auszahlungsbereitschaftsanforderungen (Steuerdokumente, Vereinbarung) in den Auszahlungseinstellungen Ihres Programms fest
- Kommunizieren Sie Bounty-Spannen auf Ihrer Disclosure-Policy-Seite, bevor Forscher einreichen
- Prüfen Sie die Auszahlungswarteschlange wöchentlich auf ausstehende Zahlungen
- Prüfen und verifizieren Sie hochgeladene Steuerdokumente zeitnah, um Forscherzahlungen nicht zu blockieren
- Exportieren Sie das Ledger vierteljährlich als SOC 2-Nachweis über Metriken und Exporte
Nächste Schritte
- Metriken und Exporte – Dashboard-KPIs, SOC 2-Nachweisexporte und Forscher-Karma
- Das Forscherportal – wie Forscher Auszahlungsinformationen und Steuerdokumente einreichen