Recompensas y pagos
Como aprobar recompensas, gestionar el flujo de desembolsos, manejar documentos fiscales y usar el libro contable inmutable como evidencia para SOC 2.
Por que es importante
Las recompensas y los pagos requieren el VDP Add-on ($49/mes). Desbloquean el flujo completo de desembolsos, el libro contable inmutable y la gestion de documentos fiscales que se describen en esta pagina.
Gestionar bien los pagos es tanto una cuestion de retencion de investigadores como una obligacion de cumplimiento normativo. Las transferencias manuales por PayPal sin recopilar formularios W-8BEN (no residentes en EE.UU.) o W-9 (residentes en EE.UU.) generan una exposicion directa ante el IRS para tu empresa. Cada pago a un investigador es un evento gravable declarable, y la ausencia de documentacion fiscal traslada la responsabilidad a ti. El flujo de desembolsos de Kit resuelve esto condicionando los pagos a una lista de verificacion de preparacion configurable que incluye la verificacion de documentos fiscales.
El libro contable inmutable es el principal artefacto de evidencia SOC 2 para los controles financieros de tu programa de divulgacion de vulnerabilidades. Cada aprobacion de recompensa, cada desembolso y cada accion sobre documentos fiscales se registra con actor, marca de tiempo y monto. Los auditores pueden verificar la cadena de custodia completa desde la resolucion del reporte hasta la confirmacion del pago en una sola exportacion.
Matriz de recompensas
La matriz de recompensas asigna rangos en dolares a los niveles de severidad CVSS. Configurala en VDP > Program Settings > Bounty Matrix. Cuando un miembro del equipo califica un reporte con una evaluacion CVSS, el rango de recompensa sugerido se extrae automaticamente de la matriz y se precarga en el formulario de aprobacion.
Los rangos de recompensa se muestran en tu pagina publica de politica de divulgacion para que los investigadores sepan que esperar antes de enviar un reporte. Esta transparencia reduce disputas y establece expectativas claras.
Para programas de solo reconocimiento, deja todos los niveles en $0. Los investigadores veran “recognition only” en la pagina de la politica en lugar de montos en dolares.
Consulta Configuring Your Program para mas detalles sobre la configuracion de la matriz.
Aprobar una recompensa
Un reporte debe estar en estado Resolved o Fix Verified antes de que puedas aprobar una recompensa. Los reportes en etapas anteriores del flujo no muestran la opcion de aprobacion.
Para aprobar una recompensa:
- Abre la pagina de detalle del reporte
- Haz clic en Approve Bounty
- Completa el formulario de aprobacion
| Campo | Requerido | Descripcion |
|---|---|---|
| Amount | Si | Monto de la recompensa, precargado desde la matriz de recompensas segun el nivel de severidad CVSS del reporte. |
| Currency | Si | Por defecto USD. Debe coincidir con la moneda configurada en tu programa. |
| Notes | No | Notas internas visibles solo para tu equipo. Cifradas en reposo. |
La aprobacion requiere un envio explicito – ningun monto se compromete hasta que guardes el formulario. Al aprobar:
- Se agrega una entrada
bounty_approvedal libro contable inmutable - Se notifica al investigador a traves de la plantilla de correo
bounty_approved
Flujo de desembolsos
Navega a VDP > Disbursements para ver todos los pagos pendientes. Cada fila muestra el investigador, el reporte vinculado, el monto aprobado y el estado de preparacion para el pago.
Lista de verificacion de preparacion
Antes de que un desembolso pueda proceder, el investigador debe cumplir una lista de verificacion de preparacion. Los tres elementos son configurables en la configuracion de pagos de tu programa:
- Informacion de pago enviada – El investigador ha ingresado sus datos de pago (banco, PayPal u otro metodo) a traves de The Researcher Portal
- Acuerdo aceptado – El investigador ha aceptado el acuerdo de participacion de tu programa (si tu programa lo requiere)
- Documento fiscal verificado – El W-8BEN o W-9 del investigador ha sido subido y verificado por tu equipo (si tu programa requiere documentos fiscales)
Los elementos que no estan habilitados en la configuracion de tu programa se marcan automaticamente como satisfechos.
Procesar un pago
Kit no ejecuta transferencias bancarias ni llamadas a APIs de pago. Tu equipo se encarga del movimiento real de dinero fuera de Kit (transferencia bancaria, PayPal, criptomonedas, etc.). Kit rastrea el ciclo de vida:
- Cuando todos los elementos de preparacion estan satisfechos, haz clic en Initiate para mover el desembolso a Processing
- Ejecuta la transferencia a traves de tu proveedor de pagos
- Regresa a Kit y haz clic en Mark as Paid – ingresa la referencia de la transaccion (por ejemplo, ID de transaccion de PayPal, numero de confirmacion de transferencia)
- El desembolso pasa a Completed y el reporte transiciona a Paid
Estados de desembolso
| Estado | Significado |
|---|---|
| Pending | Recompensa aprobada; esperando que el investigador cumpla la lista de verificacion de preparacion |
| Processing | Tu equipo ha iniciado la transferencia fuera de Kit |
| Completed | Fondos confirmados como recibidos; referencia de transaccion registrada |
| Failed | La transferencia fallo; resuelve manualmente y reintenta o contacta al investigador |
Si un desembolso falla, el motivo del fallo se registra en el libro contable. Puedes reiniciar el desembolso despues de resolver el problema.
Documentos fiscales
Los investigadores suben documentos fiscales a traves de su portal. Los investigadores con sede en EE.UU. envian un W-9; los investigadores fuera de EE.UU. envian un W-8BEN. Los documentos se almacenan con cifrado en reposo.
Tu equipo revisa los documentos subidos en VDP > Tax Documents:
| Estado | Accion |
|---|---|
| Pending | Documento subido, pendiente de tu revision |
| Verified | Has confirmado que el documento es valido – el elemento de preparacion queda satisfecho |
| Rejected | Has rechazado el documento – se notifica al investigador y puede volver a subirlo |
Tanto la verificacion como el rechazo se registran en el libro contable con fines de auditoria. Los eventos de documentos fiscales se vinculan al reporte mas reciente con recompensa otorgada del investigador para dar contexto en el libro contable.
El libro contable
Navega a VDP > Ledger para ver el rastro de auditoria financiera inmutable. El libro contable es de solo adicion: las entradas no se pueden editar, modificar ni eliminar.
Cada entrada registra:
- Tipo de entrada – Que sucedio
- Monto – Cantidad en dolares, en centavos y moneda
- Actor – El miembro del equipo o el sistema que realizo la accion
- Marca de tiempo – Cuando se creo la entrada
- Referencia del reporte – El reporte de vulnerabilidad vinculado
Cada entrada registra uno de los siguientes tipos:
| Tipo de entrada | Cuando se crea |
|---|---|
bounty_approved |
Un miembro del equipo aprueba un monto de recompensa para un reporte resuelto |
bounty_adjusted |
Un miembro del equipo corrige el monto de la recompensa antes de que se envie el pago |
disbursement_initiated |
Un miembro del equipo mueve el desembolso a Processing |
disbursement_completed |
Un miembro del equipo marca el desembolso como Paid con una referencia de transaccion |
disbursement_failed |
Un desembolso se marca como fallido con un motivo |
tax_document_submitted |
Un investigador sube un documento W-8BEN o W-9 |
tax_document_verified |
Un miembro del equipo verifica un documento fiscal como valido |
Filtra el libro contable por ID de reporte, tipo de entrada o rango de fechas para acotar resultados. Usa la exportacion del libro contable en Metrics and Exports para generar paquetes de evidencia SOC 2.
Integridad del libro contable
Una verificacion de integridad diaria se ejecuta automaticamente para comprobar la consistencia del libro contable. Verifica:
- Recompensas otorgadas que no tienen una entrada
bounty_approvedcorrespondiente en el libro contable - Desembolsos completados que no tienen una entrada
disbursement_completedcorrespondiente en el libro contable - Entradas huerfanas que referencian registros eliminados o faltantes
Si se detecta una discrepancia, se envia un correo de alerta a los administradores de la cuenta. Contacta a soporte si recibes una alerta de integridad del libro contable – no intentes resolver discrepancias manualmente.
Lista de verificacion rapida
- Configura los niveles de la matriz de recompensas con rangos min/max apropiados para tu tolerancia al riesgo
- Establece los requisitos de preparacion para pagos (documentos fiscales, acuerdo) en la configuracion de pagos de tu programa
- Comunica los rangos de recompensa en tu pagina de politica de divulgacion antes de que los investigadores envien reportes
- Revisa la cola de Disbursements semanalmente para pagos pendientes
- Revisa y verifica los documentos fiscales subidos de manera oportuna para desbloquear los pagos a investigadores
- Exporta el libro contable trimestralmente como evidencia SOC 2 a traves de Metrics and Exports
Proximos pasos
- Metrics and Exports – KPIs del dashboard, exportaciones de evidencia SOC 2 y karma de investigadores
- The Researcher Portal – como los investigadores envian informacion de pago y documentos fiscales