Prämien und Auszahlungen
Wie Sie Prämien genehmigen, die Auszahlungspipeline verwalten, Steuerdokumente bearbeiten und das unveränderliche Finanzhauptbuch als SOC 2-Nachweis nutzen.
Warum das zählt
Prämien und Auszahlungen erfordern das VDP-Add-on (49 $/Monat). Damit schalten Sie die vollständige Auszahlungspipeline, das unveränderliche Finanzhauptbuch und die auf dieser Seite beschriebene Verwaltung von Steuerdokumenten frei.
Korrekte Auszahlungen sind sowohl eine Frage der Forscherbindung als auch eine Compliance-Pflicht. Manuelle PayPal-Überweisungen ohne Einholung von W-8BEN- (Nicht-US) oder W-9-Formularen (US) schaffen für Ihr Unternehmen ein unmittelbares Haftungsrisiko gegenüber der IRS. Jede Zahlung an einen Forscher ist ein meldepflichtiger steuerbarer Vorgang, und fehlende Steuerdokumente verlagern die Haftung auf Sie. Die Auszahlungspipeline von Kit löst dies, indem sie Auszahlungen an eine konfigurierbare Bereitschafts-Checkliste bindet, die auch die Prüfung der Steuerdokumente umfasst.
Das unveränderliche Finanzhauptbuch ist der primäre SOC 2-Nachweis für die Finanzkontrollen Ihres Vulnerability-Disclosure-Programms. Jede Prämiengenehmigung, jede Auszahlung und jede Aktion an einem Steuerdokument wird mit Akteur, Zeitstempel und Betrag erfasst. Prüfer können die vollständige Nachweiskette von der Behebung der Meldung bis zur Zahlungsbestätigung in einem einzigen Export nachvollziehen.
Prämienmatrix
Die Prämienmatrix ordnet CVSS-Schweregraden Dollarspannen zu. Konfigurieren Sie sie unter VDP > Programmeinstellungen > Prämienmatrix. Wenn ein Teammitglied eine Meldung mit einer CVSS-Bewertung versieht, wird die vorgeschlagene Prämienspanne automatisch aus der Matrix übernommen und im Genehmigungsformular vorausgefüllt.
Prämienspannen werden auf Ihrer öffentlichen Disclosure-Policy-Seite angezeigt, damit Forscher schon vor der Einreichung wissen, was sie erwartet. Diese Transparenz reduziert Streitfälle und setzt klare Erwartungen.
Für reine Anerkennungsprogramme belassen Sie alle Schweregrade bei 0 $. Forscher sehen dann auf der Policy-Seite „nur Anerkennung“ anstelle von Dollarbeträgen.
Siehe Ihr Programm konfigurieren für alle Details zur Matrixkonfiguration.
Eine Prämie genehmigen
Administratoren können eine Prämie zu jedem Zeitpunkt genehmigen, bevor die Meldung den Status Paid erreicht. Als bewährte Vorgehensweise warten Sie, bis die Meldung validiert – idealerweise behoben – ist, damit der Betrag eine bestätigte, bewertete Schwachstelle widerspiegelt.
So genehmigen Sie eine Prämie:
- Öffnen Sie die Detailseite der Meldung
- Klicken Sie auf Prämie genehmigen
- Füllen Sie das Genehmigungsformular aus
| Feld | Erforderlich | Beschreibung |
|---|---|---|
| Betrag | Ja | Prämienbetrag, vorausgefüllt aus der Prämienmatrix anhand des CVSS-Schweregrads der Meldung. |
| Währung | Ja | Standardmäßig USD. Muss mit der konfigurierten Währung Ihres Programms übereinstimmen. |
| Notizen | Nein | Interne Notizen, die nur für Ihr Team sichtbar sind. Verschlüsselt gespeichert. |
Die Genehmigung erfordert ein ausdrückliches Absenden – kein Betrag wird festgeschrieben, bis Sie das Formular speichern. Bei Genehmigung:
- Ein
bounty_approved-Eintrag wird dem unveränderlichen Hauptbuch angefügt - Der Forscher wird über die E-Mail-Vorlage
bounty_approvedbenachrichtigt
Eine Prämie widerrufen
Wird eine Meldung mit genehmigter Prämie abgelehnt, wird die Prämie automatisch widerrufen. Das Ablehnungs-Modal warnt Sie mit Betrag, Genehmiger und Genehmigungsdatum, und die Absende-Schaltfläche ändert sich zu Ablehnen & Prämie über X $ widerrufen. Beim Widerruf:
- Ein
bounty_revoked-Eintrag wird dem unveränderlichen Hauptbuch als Belastung angefügt – die Summen genehmigter und ausstehender Prämien im Hauptbuch ziehen ihn ab. Die Metadaten des Eintrags erfassen den Ablehnungsgrund, den ursprünglichen Genehmiger samt Genehmigungsdatum und den Auszahlungsstatus zum Zeitpunkt des Widerrufs. - Die Ablehnungs-E-Mail an den Forscher weist darauf hin, dass die zuvor genehmigte Prämie zurückgezogen wurde und nicht ausgezahlt wird; der reguläre Einspruchsweg ist der vorgesehene Rechtsbehelf. Im Portal des Forschers erscheint statt der Prämienkarte ein Hinweis „zurückgezogen“.
- Das für die Prämie vergebene Karma wird mit einem Karma-Ereignis „Prämie widerrufen“ rückgängig gemacht.
Zwei Schutzmechanismen gelten:
- Eine Prämie, deren Auszahlung Completed ist, kann niemals widerrufen werden – bezahlt bleibt bezahlt.
- Eine laufende Auszahlung (Status Pending oder Processing) blockiert die Ablehnung. Markieren Sie die Auszahlung zuerst als fehlgeschlagen oder lassen Sie sie abschließen.
Das Rückgängigmachen einer Ablehnung stellt die Prämie nicht wieder her. Sobald die Meldung erneut validiert ist, genehmigen Sie manuell eine neue Prämie – die Oberfläche zeigt einen entsprechenden Hinweis.
Auszahlungspipeline
Navigieren Sie zu VDP > Auszahlungen, um alle ausstehenden Auszahlungen zu sehen. Jede Zeile zeigt den Forscher, die verknüpfte Meldung, den genehmigten Betrag und den Status der Auszahlungsbereitschaft.
Bereitschafts-Checkliste
Bevor eine Auszahlung erfolgen kann, muss der Forscher eine Bereitschafts-Checkliste erfüllen. Alle drei Punkte sind in den Auszahlungseinstellungen Ihres Programms konfigurierbar:
- Auszahlungsinformationen eingereicht – Der Forscher hat seine Zahlungsdaten (Bank, PayPal oder andere Methode) über das Forscherportal eingegeben
- Vereinbarung akzeptiert – Der Forscher hat die Teilnahmevereinbarung Ihres Programms akzeptiert (falls Ihr Programm eine voraussetzt)
- Steuerdokument verifiziert – Das W-8BEN oder W-9 des Forschers wurde hochgeladen und von Ihrem Team verifiziert (falls Ihr Programm Steuerdokumente voraussetzt)
Punkte, die in Ihren Programmeinstellungen nicht aktiviert sind, werden automatisch als erfüllt markiert.
Die Checkliste richtet sich außerdem nach dem Status der Meldung, gesteuert über Geprüfte Behebung vor Auszahlung verlangen unter VDP > Programmeinstellungen > Auszahlungen:
- Ein (Standard) – Die Prämie kann erst ausgezahlt werden, nachdem Ihr Team die Behebung der Meldung als geprüft markiert hat. So zahlen Sie nie für einen ungelösten Fehler, doch Forscher müssen unter Umständen warten, bis die Behebung ausgeliefert ist.
- Aus (Auszahlung bei Validierung) – Die Auszahlung wird freigeschaltet, sobald die Meldung den Status Validated erreicht – der Branchenstandard auf Plattformen wie HackerOne und Bugcrowd. Forscher werden schneller bezahlt, und die Zahlung ist vom Schließen der Meldung entkoppelt: Die Meldung bleibt nach der Geldbewegung offen und schließt automatisch als Paid, sobald sie behoben (oder ihre Behebung geprüft) ist. Bezahlte Meldungen können niemals abgelehnt werden, und die Prüfung der Behebung wird zu einem optionalen QA-Schritt – erfassen Sie sie, bevor die Meldung behoben wird, sonst wird sie nicht festgehalten.
Eine Auszahlung verarbeiten
Kit führt keine Überweisungen oder Payment-API-Aufrufe durch. Ihr Team wickelt die eigentliche Geldbewegung außerhalb von Kit ab (Banküberweisung, PayPal, Krypto usw.). Kit verfolgt den Lebenszyklus:
- Sobald alle Bereitschaftspunkte erfüllt sind, klicken Sie auf Einleiten, um die Auszahlung in den Status Processing zu verschieben
- Führen Sie die Überweisung über Ihren Zahlungsanbieter durch
- Kehren Sie zu Kit zurück und klicken Sie auf Als bezahlt markieren – geben Sie die Transaktionsreferenz ein (z. B. PayPal-Transaktions-ID, Überweisungsbestätigungsnummer)
- Die Auszahlung wechselt zu Completed und die Meldung geht in den Status Paid über (bei Programmen mit Auszahlung bei Validierung bleibt eine vor ihrer Behebung bezahlte Meldung offen und schließt automatisch als Paid, sobald sie behoben ist)
Bestätigung durch das Finanzteam
In den meisten Unternehmen sitzt die Person, die die Zahlung veranlasst, in der Finanzabteilung und nicht in der Sicherheit – sie überwacht ein Postfach wie [email protected] und hat kein Kit-Konto. Die Übergabe an die Finanzabteilung schließt diese Lücke: Kit schickt Ihrem Finanzteam alles, was es zur Veranlassung der Zahlung braucht, und das Team bestätigt sie selbst über einen sicheren Link.
Aktivieren Sie dies, indem Sie unter VDP > Programmeinstellungen > Auszahlungen eine Finanz-E-Mail festlegen. Lassen Sie das Feld leer, um Zahlungen weiterhin manuell in Kit zu erfassen.
Ist eine Finanz-E-Mail konfiguriert, löst ein Klick auf Einleiten zusätzlich eine Zahlungsanforderung an diese Adresse aus, die Folgendes enthält:
- Den Zahlungsempfänger (Forscher), den Betrag und die Zahlungsmethode – PayPal-Adressen werden vollständig angezeigt; Bankkontonummern werden bis auf die letzten vier Ziffern maskiert, die vollständigen Angaben sind nur hinter dem Bestätigungslink einsehbar
- Die Auszahlungsreferenz für den Verwendungszweck der Zahlung, damit der Abgleich in beide Richtungen funktioniert
- Die Genehmigungsherkunft: wer die Prämie wann genehmigt und wer die Auszahlung eingeleitet hat
- Einen einmaligen Bestätigungslink, der 90 Tage gültig ist
Die Person aus der Finanzabteilung öffnet den Link, sieht die vollständigen Zahlungsangaben, führt die Zahlung über Ihren Zahlungsanbieter aus und gibt dann zur Bestätigung die Transaktionsreferenz und ihren Namen ein. Die Bestätigung schließt die Auszahlung genauso ab wie ein internes Als bezahlt markieren: Der Hauptbucheintrag wird geschrieben, die Meldung geht in den Status Paid über, und der Forscher wird automatisch benachrichtigt. Die Bestätigung erfasst, wer bestätigt hat (Name und E-Mail), wann und von wo (IP-Adresse) – sichtbar in der Auszahlungszeile als Von Finanzabteilung bestätigt.
Einige Details, die Sie kennen sollten:
- Antworten erreichen einen Menschen. Die Reply-to-Adresse der E-Mail ist das Teammitglied, das die Auszahlung eingeleitet hat, sodass Rückfragen aus der Finanzabteilung bei jemandem mit Kontext landen.
- Jederzeit erneut senden. Die Auszahlungszeile zeigt, wann und wohin die Anforderung gesendet wurde, samt einer Schaltfläche zum erneuten Senden, die einen frischen Link ausstellt.
- Der interne Ablauf bleibt verfügbar. Antwortet die Finanzabteilung per E-Mail mit „erledigt, Ref. #123“, statt zu klicken, kann Ihr Team die Auszahlung weiterhin manuell als bezahlt markieren – der Link zeigt dann eine Quittung „bereits erfasst“ an.
- Der Link erlischt mit der Auszahlung. Sobald sie abgeschlossen oder fehlgeschlagen ist, kann der Link nichts mehr bestätigen; er zeigt nur noch den aktuellen Status an.
- Stornierungen werden angekündigt. Wurde eine Zahlungsanforderung verschickt und die Auszahlung später als fehlgeschlagen markiert, sendet Kit der Finanzabteilung vom selben gebrandeten Absender eine Benachrichtigung „Zahlung storniert – nicht ausführen“ – damit niemand Geld für eine abgesagte Auszahlung überweist.
Auszahlungsstatus
| Status | Bedeutung |
|---|---|
| Pending | Prämie genehmigt; es wird darauf gewartet, dass der Forscher die Bereitschafts-Checkliste erfüllt |
| Processing | Ihr Team hat die Überweisung außerhalb von Kit eingeleitet |
| Completed | Geldeingang bestätigt; Transaktionsreferenz erfasst – die Meldung schließt als Paid, sobald ihr Lebenszyklus es zulässt |
| Failed | Überweisung fehlgeschlagen; manuell beheben und erneut versuchen oder den Forscher kontaktieren |
Wenn eine Auszahlung fehlschlägt, wird der Grund im Hauptbuch protokolliert – und falls der Finanzabteilung eine Zahlungsanforderung gesendet wurde, erhält sie automatisch eine Stornierungs-E-Mail mit dem Hinweis, nicht zu zahlen. Sie können die Auszahlung nach Behebung des Problems erneut einleiten.
Steuerdokumente
Forscher laden Steuerdokumente über ihr Portal hoch. In den USA ansässige Forscher reichen ein W-9 ein, Forscher außerhalb der USA ein W-8BEN. Dokumente werden verschlüsselt gespeichert.
Ihr Team prüft hochgeladene Dokumente unter VDP > Steuerdokumente:
| Status | Aktion |
|---|---|
| Pending | Dokument hochgeladen, wartet auf Ihre Prüfung |
| Verified | Sie haben bestätigt, dass das Dokument gültig ist – der Bereitschaftspunkt ist erfüllt |
| Rejected | Sie haben das Dokument abgelehnt – der Forscher wird benachrichtigt und kann es erneut hochladen |
Sowohl Verifizierung als auch Ablehnung werden zu Prüfzwecken im Hauptbuch erfasst. Steuerdokument-Ereignisse werden mit der zuletzt prämierten Meldung des Forschers verknüpft, um Kontext im Hauptbuch herzustellen.
Das Finanzhauptbuch
Navigieren Sie zu VDP > Finanzhauptbuch, um den unveränderlichen finanziellen Audit-Trail einzusehen. Das Hauptbuch lässt nur Anfügen zu: Einträge können nicht bearbeitet, geändert oder gelöscht werden.
Jeder Eintrag erfasst:
- Eintragstyp – was geschehen ist
- Betrag – Dollarbetrag in Cent und Währung
- Akteur – das Teammitglied oder System, das die Aktion ausgeführt hat
- Zeitstempel – wann der Eintrag erstellt wurde
- Meldungsreferenz – die verknüpfte Schwachstellenmeldung
Jeder Eintrag erfasst einen der folgenden Typen:
| Eintragstyp | Wann er erstellt wird |
|---|---|
bounty_approved |
Ein Teammitglied genehmigt einen Prämienbetrag für eine Meldung |
bounty_adjusted |
Ein Teammitglied korrigiert den Prämienbetrag vor dem Versand der Zahlung |
bounty_revoked |
Eine Meldung mit genehmigter Prämie wird abgelehnt; der Widerruf zählt als Belastung gegen die Summen des Hauptbuchs |
disbursement_initiated |
Ein Teammitglied versetzt die Auszahlung in den Status Processing |
disbursement_completed |
Ein Teammitglied markiert die Auszahlung mit einer Transaktionsreferenz als Paid |
disbursement_failed |
Eine Auszahlung wird mit einem Grund als fehlgeschlagen markiert |
tax_document_submitted |
Ein Forscher lädt ein W-8BEN- oder W-9-Dokument hoch |
tax_document_verified |
Ein Teammitglied verifiziert ein Steuerdokument als gültig |
tax_document_rejected |
Ein Teammitglied lehnt ein Steuerdokument ab; der Forscher wird benachrichtigt und kann es erneut hochladen |
Filtern Sie das Hauptbuch nach Meldungs-ID, Eintragstyp oder Datumsbereich, um die Ergebnisse einzugrenzen. Nutzen Sie den Export des Hauptbuchs unter Metriken und Exporte, um SOC 2-Nachweispakete zu erstellen.
Integrität des Hauptbuchs
Eine tägliche Integritätsprüfung läuft automatisch, um die Konsistenz des Hauptbuchs zu verifizieren. Sie durchläuft alle Einträge in chronologischer Reihenfolge und führt einen laufenden Saldo mit – Gutschriften (bounty_approved, bounty_adjusted) erhöhen ihn, Belastungen (disbursement_completed, bounty_revoked) verringern ihn. Wird der laufende Saldo jemals negativ, wird der betreffende Eintrag als Verstoß markiert.
Jeder Verstoß wird zur Untersuchung an das Fehler-Monitoring von Kit (APM) gemeldet, damit das Engineering-Team ihn prüfen kann – es geht keine E-Mail an die Kontoadministratoren. Kontaktieren Sie den Support, wenn Sie eine Abweichung im Hauptbuch vermuten – versuchen Sie nicht, sie manuell zu beheben.
Auf einen Blick
- Konfigurieren Sie die Schweregrade der Prämienmatrix mit passenden Min/Max-Spannen für Ihre Risikotoleranz
- Legen Sie die Anforderungen an die Auszahlungsbereitschaft (Steuerdokumente, Vereinbarung) in den Auszahlungseinstellungen Ihres Programms fest
- Legen Sie eine Finanz-E-Mail fest, damit Zahlungsanforderungen das Team erreichen, das die Zahlungen tatsächlich veranlasst
- Kommunizieren Sie die Prämienspannen auf Ihrer Disclosure-Policy-Seite, bevor Forscher einreichen
- Prüfen Sie die Auszahlungswarteschlange wöchentlich auf ausstehende Zahlungen
- Prüfen und verifizieren Sie hochgeladene Steuerdokumente zeitnah, um Forscherzahlungen nicht zu blockieren
- Exportieren Sie das Hauptbuch vierteljährlich als SOC 2-Nachweis über Metriken und Exporte
Wie geht es weiter
- Metriken und Exporte – Dashboard-KPIs, SOC 2-Nachweisexporte und Forscher-Karma
- Das Forscherportal – wie Forscher Auszahlungsinformationen und Steuerdokumente einreichen