Logo StartupKit
FR
English Deutsch Français Español Polski

Primes et paiements

Comment approuver les primes, gérer le pipeline de versement, traiter les documents fiscaux et utiliser le grand livre financier immuable comme preuve SOC 2.

Pourquoi c’est important

Les primes et les paiements nécessitent le module complémentaire VDP (49 $/mois). Ils donnent accès au pipeline de versement complet, au grand livre financier immuable et à la gestion des documents fiscaux décrits sur cette page.

Bien gérer les paiements est à la fois un enjeu de fidélisation des chercheurs et une obligation de conformité. Des virements PayPal manuels sans collecte de formulaires W-8BEN (hors US) ou W-9 (US) créent une exposition directe auprès de l’IRS pour votre entreprise. Chaque paiement à un chercheur constitue un événement fiscal déclarable, et l’absence de documentation fiscale transfère la responsabilité sur vous. Le pipeline de versement de Kit résout ce problème en conditionnant les paiements à une liste de vérification configurable incluant la vérification des documents fiscaux.

Le grand livre financier immuable est le principal artefact de preuve SOC 2 pour les contrôles financiers de votre programme de divulgation des vulnérabilités. Chaque approbation de prime, chaque versement et chaque action sur un document fiscal sont enregistrés avec l’acteur, l’horodatage et le montant. Les auditeurs peuvent vérifier la chaîne de traitement complète, de la résolution du rapport à la confirmation du paiement, en un seul export.

Grille des primes

La grille des primes associe les niveaux de sévérité CVSS à des fourchettes de montants. Configurez-la dans VDP > Paramètres du programme > Grille des primes. Lorsqu’un membre de l’équipe évalue un rapport avec une notation CVSS, la fourchette de prime suggérée est automatiquement extraite de la grille et pré-remplie dans le formulaire d’approbation.

Les fourchettes de primes sont affichées sur votre page publique de politique de divulgation afin que les chercheurs sachent à quoi s’attendre avant de soumettre un rapport. Cette transparence réduit les litiges et fixe des attentes claires.

Pour les programmes basés sur la reconnaissance uniquement, laissez tous les niveaux à 0 $. Les chercheurs verront « reconnaissance uniquement » sur la page de politique au lieu de montants en dollars.

Consultez Configuration de votre programme pour tous les détails de configuration de la grille.

Approuver une prime

Les administrateurs peuvent approuver une prime à tout moment avant que le rapport n’atteigne le statut Payé. En bonne pratique, attendez que le rapport soit validé — idéalement résolu — afin que le montant reflète une vulnérabilité confirmée et évaluée.

Pour approuver une prime :

  1. Ouvrez la page de détail du rapport
  2. Cliquez sur Approuver la prime
  3. Remplissez le formulaire d’approbation
Champ Obligatoire Description
Montant Oui Montant de la prime, pré-rempli à partir de la grille des primes selon le niveau de sévérité CVSS du rapport.
Devise Oui USD par défaut. Doit correspondre à la devise configurée pour votre programme.
Notes Non Notes internes visibles uniquement par votre équipe. Chiffrées au repos.

L’approbation nécessite une soumission explicite — aucun montant n’est engagé tant que vous n’avez pas enregistré le formulaire. Lors de l’approbation :

  • Une entrée bounty_approved est ajoutée au grand livre immuable
  • Le chercheur est notifié via le modèle d’e-mail bounty_approved

Révoquer une prime

Rejeter un rapport ayant une prime approuvée révoque automatiquement celle-ci. La fenêtre de rejet vous avertit avec le montant, l’approbateur et la date d’approbation, et le bouton de validation devient Rejeter et révoquer la prime de X $. Lors de la révocation :

  • Une entrée bounty_revoked est ajoutée au grand livre immuable comme débit — les totaux approuvés et en attente du grand livre la soustraient. Les métadonnées de l’entrée enregistrent le motif du rejet, l’approbateur d’origine avec la date d’approbation, et le statut du versement à ce moment.
  • L’e-mail de rejet envoyé au chercheur indique que la prime précédemment approuvée a été retirée et ne sera pas payée ; la procédure d’appel habituelle constitue son recours. Son portail affiche une mention « retirée » à la place de la carte de prime.
  • Le karma accordé pour la prime est annulé par un événement karma « Prime révoquée ».

Deux garde-fous s’appliquent :

  • Une prime dont le versement est Terminé ne peut jamais être révoquée — ce qui est payé reste payé.
  • Un paiement en cours (versement En attente ou En traitement) bloque le rejet. Marquez d’abord le versement comme échoué, ou laissez-le se terminer.

L’annulation d’un rejet ne rétablit pas la prime. Une fois le rapport à nouveau validé, approuvez manuellement une nouvelle prime — l’interface affiche un rappel.

Pipeline de versement

Accédez à VDP > Versements pour voir tous les paiements en attente. Chaque ligne affiche le chercheur, le rapport associé, le montant approuvé et le statut de disponibilité au paiement.

Liste de vérification de disponibilité

Avant qu’un versement puisse être effectué, le chercheur doit satisfaire une liste de vérification. Les trois éléments sont configurables dans les paramètres de paiement de votre programme :

  • Informations de paiement soumises — Le chercheur a saisi ses coordonnées de paiement (virement bancaire, PayPal ou autre méthode) via le portail chercheur
  • Accord accepté — Le chercheur a accepté l’accord de participation de votre programme (si votre programme l’exige)
  • Document fiscal vérifié — Le W-8BEN ou W-9 du chercheur a été téléchargé et vérifié par votre équipe (si votre programme exige des documents fiscaux)

Les éléments non activés dans les paramètres de votre programme sont automatiquement marqués comme satisfaits.

La liste de vérification dépend aussi du statut du rapport, contrôlé par Exiger un correctif vérifié avant le paiement dans VDP > Paramètres du programme > Paiements :

  • Activé (par défaut) — La prime ne peut être versée qu’après que votre équipe a marqué le correctif du rapport comme vérifié. Vous ne payez jamais pour une faille non résolue, mais les chercheurs peuvent devoir attendre la mise en production du correctif.
  • Désactivé (paiement à la validation) — Le paiement se débloque dès que le rapport atteint le statut Validé, la norme du secteur sur des plateformes comme HackerOne et Bugcrowd. Les chercheurs sont payés plus vite, et le paiement est dissocié de la clôture du rapport : le rapport reste ouvert après le transfert des fonds et se ferme automatiquement avec le statut Payé une fois qu’il est résolu (ou son correctif vérifié). Les rapports payés ne peuvent jamais être rejetés, et la vérification du correctif devient une étape d’AQ facultative — enregistrez-la avant la résolution du rapport, sinon elle ne sera pas suivie.

Traiter un paiement

Kit n’exécute pas de virements bancaires ni d’appels API de paiement. Votre équipe gère le mouvement réel des fonds en dehors de Kit (virement bancaire, PayPal, crypto, etc.). Kit assure le suivi du cycle de vie :

  1. Lorsque tous les éléments de disponibilité sont satisfaits, cliquez sur Initier pour faire passer le versement en traitement
  2. Exécutez le transfert via votre prestataire de paiement
  3. Revenez dans Kit et cliquez sur Marquer comme payé — saisissez la référence de transaction (par ex., identifiant de transaction PayPal, numéro de confirmation de virement)
  4. Le versement passe au statut Terminé et le rapport passe à Payé (sur les programmes en paiement à la validation, un rapport payé avant sa résolution reste ouvert et se ferme automatiquement avec le statut Payé une fois qu’il y parvient)

Confirmation par l’équipe financière

Dans la plupart des entreprises, la personne qui planifie le paiement travaille au service financier, et non à la sécurité — elle surveille une boîte de réception comme [email protected] et n’a pas de compte Kit. Le relais vers le service financier comble cette lacune : Kit envoie par e-mail à votre équipe financière tout ce dont elle a besoin pour planifier le paiement, et elle le confirme elle-même via un lien sécurisé.

Activez-le en renseignant E-mail du service financier dans VDP > Paramètres du programme > Paiements. Laissez le champ vide pour continuer à enregistrer les paiements manuellement dans Kit.

Avec un e-mail financier configuré, cliquer sur Initier envoie également une demande de paiement à cette adresse, contenant :

  • Le bénéficiaire (chercheur), le montant et la méthode de paiement — les adresses PayPal sont affichées en entier ; les numéros de compte bancaire sont masqués à l’exception des quatre derniers chiffres, les détails complets n’étant accessibles que derrière le lien de confirmation
  • La référence du versement à inclure dans le libellé du paiement, afin que le rapprochement fonctionne dans les deux sens
  • La traçabilité de l’approbation : qui a approuvé la prime et quand, et qui a initié le paiement
  • Un lien de confirmation à usage unique, valable 90 jours

La personne du service financier ouvre le lien, voit les détails complets du paiement, effectue le paiement via votre prestataire de paiement, puis saisit la référence de transaction et son nom pour confirmer. La confirmation finalise le versement exactement comme un Marquer comme payé interne : l’entrée du grand livre est écrite, le rapport passe au statut Payé et le chercheur est notifié automatiquement. La confirmation enregistre qui a confirmé (nom et e-mail), quand et depuis où (adresse IP) — visible sur la ligne du versement sous la mention Confirmé par le service financier.

Quelques détails utiles à connaître :

  • Les réponses parviennent à un humain. L’adresse de réponse de l’e-mail est le membre de l’équipe qui a initié le paiement ; les questions du service financier arrivent donc chez quelqu’un qui a le contexte.
  • Renvoi à tout moment. La ligne du versement indique quand et où la demande a été envoyée, avec un bouton de renvoi qui génère un nouveau lien.
  • Le flux interne reste disponible. Si le service financier répond « fait, réf. #123 » par e-mail au lieu de cliquer, votre équipe peut toujours marquer le versement comme payé manuellement — le lien affiche alors un reçu « déjà enregistré ».
  • Le lien expire avec le versement. Une fois celui-ci terminé ou échoué, le lien ne peut plus rien confirmer ; il affiche uniquement l’état actuel.
  • Les annulations sont signalées. Si une demande de paiement a été envoyée et que le versement est ensuite marqué comme échoué, Kit envoie au service financier, depuis le même expéditeur personnalisé, un avis « Paiement annulé — ne pas payer » — pour que personne ne verse d’argent pour un versement que vous avez annulé.

Statuts de versement

Statut Signification
En attente Prime approuvée ; en attente que le chercheur satisfasse la liste de vérification
En traitement Votre équipe a initié le transfert en dehors de Kit
Terminé Fonds confirmés reçus ; référence de transaction enregistrée — le rapport se ferme avec le statut Payé dès que son cycle de vie le permet
Échoué Le transfert a échoué ; résolvez manuellement et réessayez ou contactez le chercheur

Si un versement échoue, la raison de l’échec est consignée dans le grand livre — et si une demande de paiement avait été envoyée au service financier, celui-ci reçoit automatiquement un e-mail d’annulation lui indiquant de ne pas payer. Vous pouvez relancer le versement après avoir résolu le problème.

Documents fiscaux

Les chercheurs téléchargent leurs documents fiscaux via leur portail. Les chercheurs basés aux États-Unis soumettent un W-9 ; les chercheurs hors US soumettent un W-8BEN. Les documents sont stockés avec chiffrement au repos.

Votre équipe examine les documents téléchargés dans VDP > Documents fiscaux :

Statut Action
En attente Document téléchargé, en attente de votre examen
Vérifié Vous avez confirmé que le document est valide — l’élément de disponibilité est satisfait
Rejeté Vous avez rejeté le document — le chercheur est notifié et peut télécharger à nouveau

La vérification comme le rejet sont enregistrés dans le grand livre à des fins d’audit. Les événements liés aux documents fiscaux sont associés au rapport le plus récent du chercheur ayant reçu une prime, pour le contexte du grand livre.

Le grand livre

Accédez à VDP > Grand livre pour consulter la piste d’audit financière immuable. Le grand livre fonctionne en ajout uniquement : les entrées ne peuvent être ni modifiées, ni altérées, ni supprimées.

Chaque entrée enregistre :

  • Type d’entrée — Ce qui s’est passé
  • Montant — Montant en centimes et devise
  • Acteur — Le membre de l’équipe ou le système ayant effectué l’action
  • Horodatage — Date et heure de création de l’entrée
  • Référence du rapport — Le rapport de vulnérabilité associé

Chaque entrée enregistre l’un des types suivants :

Type d’entrée Quand il est créé
bounty_approved Un membre de l’équipe approuve un montant de prime pour un rapport
bounty_adjusted Un membre de l’équipe corrige le montant de la prime avant l’envoi du paiement
bounty_revoked Un rapport avec une prime approuvée est rejeté ; la révocation compte comme un débit dans les totaux du grand livre
disbursement_initiated Un membre de l’équipe fait passer le versement en traitement
disbursement_completed Un membre de l’équipe marque le versement comme payé avec une référence de transaction
disbursement_failed Un versement est marqué comme échoué avec une raison
tax_document_submitted Un chercheur télécharge un document W-8BEN ou W-9
tax_document_verified Un membre de l’équipe vérifie un document fiscal comme valide
tax_document_rejected Un membre de l’équipe rejette un document fiscal ; le chercheur est notifié et peut le télécharger à nouveau

Filtrez le grand livre par identifiant de rapport, type d’entrée ou plage de dates pour affiner les résultats. Utilisez l’export du grand livre dans Métriques et exports pour générer des dossiers de preuve SOC 2.

Intégrité du grand livre

Une vérification d’intégrité quotidienne s’exécute automatiquement pour vérifier la cohérence du grand livre. Elle parcourt chaque entrée dans l’ordre chronologique et suit un solde courant : les crédits (bounty_approved, bounty_adjusted) l’augmentent, les débits (disbursement_completed, bounty_revoked) le diminuent. Si le solde courant devient négatif, l’entrée en cause est signalée comme une violation.

Toute violation est signalée au système de surveillance des erreurs de Kit (APM) afin que l’équipe d’ingénierie puisse l’examiner — aucun e-mail n’est envoyé aux administrateurs du compte. Contactez le support si vous suspectez un écart dans le grand livre — ne tentez pas de le résoudre manuellement.

Checklist

  • Configurez les niveaux de la grille des primes avec des fourchettes min/max appropriées à votre tolérance au risque
  • Définissez les exigences de disponibilité au paiement (documents fiscaux, accord) dans les paramètres de paiement de votre programme
  • Renseignez un e-mail du service financier afin que les demandes de paiement parviennent à l’équipe qui planifie réellement les paiements
  • Communiquez les fourchettes de primes sur votre page de politique de divulgation avant que les chercheurs ne soumettent leurs rapports
  • Vérifiez la file d’attente des versements chaque semaine pour les paiements en attente
  • Examinez et vérifiez rapidement les documents fiscaux téléchargés pour débloquer les paiements des chercheurs
  • Exportez le grand livre trimestriellement comme preuve SOC 2 via Métriques et exports

Et ensuite ?

  • Métriques et exports — KPI du tableau de bord, exports de preuves SOC 2 et karma des chercheurs
  • Le portail chercheur — comment les chercheurs soumettent leurs informations de paiement et documents fiscaux

Tapez pour rechercher...