Logo StartupKit
FR
English Deutsch Français Español Polski
Vulnerability Disclosure

Primes et paiements

Comment approuver les primes, gérer le pipeline de versement, traiter les documents fiscaux et utiliser le grand livre financier immuable comme preuve SOC 2.

Pourquoi c’est important

Les primes et les paiements nécessitent le VDP Add-on (49 $/mois). Ils donnent accès au pipeline de versement complet, au grand livre financier immuable et à la gestion des documents fiscaux décrits sur cette page.

Bien gérer les paiements est à la fois un enjeu de fidélisation des chercheurs et une obligation de conformité. Des virements PayPal manuels sans collecte de formulaires W-8BEN (hors US) ou W-9 (US) créent une exposition directe auprès de l’IRS pour votre entreprise. Chaque paiement à un chercheur constitue un événement fiscal déclarable, et l’absence de documentation fiscale transfère la responsabilité sur vous. Le pipeline de versement de Kit résout ce problème en conditionnant les paiements à une liste de vérification configurable incluant la vérification des documents fiscaux.

Le grand livre financier immuable est le principal artefact de preuve SOC 2 pour les contrôles financiers de votre programme de divulgation de vulnérabilités. Chaque approbation de prime, chaque versement et chaque action sur un document fiscal sont enregistrés avec l’acteur, l’horodatage et le montant. Les auditeurs peuvent vérifier la chaîne de traitement complète, de la résolution du rapport à la confirmation du paiement, en un seul export.

Matrice des primes

La matrice des primes associe les niveaux de sévérité CVSS à des fourchettes de montants. Configurez-la dans VDP > Paramètres du programme > Matrice de primes. Lorsqu’un membre de l’équipe évalue un rapport avec une notation CVSS, la fourchette de prime suggérée est automatiquement extraite de la matrice et pré-remplie dans le formulaire d’approbation.

Les fourchettes de primes sont affichées sur votre page publique de politique de divulgation afin que les chercheurs sachent à quoi s’attendre avant de soumettre un rapport. Cette transparence réduit les litiges et fixe des attentes claires.

Pour les programmes basés sur la reconnaissance uniquement, laissez tous les niveaux à 0 $. Les chercheurs verront « reconnaissance uniquement » sur la page de politique au lieu de montants en dollars.

Consultez Configuration de votre programme pour tous les détails de configuration de la matrice.

Approuver une prime

Un rapport doit être au statut Résolu ou Correctif vérifié avant que vous puissiez approuver une prime. Les rapports dans les étapes antérieures du pipeline n’affichent pas l’option d’approbation.

Pour approuver une prime :

  1. Ouvrez la page de détail du rapport
  2. Cliquez sur Approuver la prime
  3. Remplissez le formulaire d’approbation
Champ Obligatoire Description
Montant Oui Montant de la prime, pré-rempli à partir de la matrice des primes selon le niveau de sévérité CVSS du rapport.
Devise Oui USD par défaut. Doit correspondre à la devise configurée pour votre programme.
Notes Non Notes internes visibles uniquement par votre équipe. Chiffrées au repos.

L’approbation nécessite une soumission explicite — aucun montant n’est engagé tant que vous n’avez pas enregistré le formulaire. Lors de l’approbation :

  • Une entrée bounty_approved est ajoutée au grand livre immuable
  • Le chercheur est notifié via le modèle d’e-mail bounty_approved

Pipeline de versement

Accédez à VDP > Versements pour voir tous les paiements en attente. Chaque ligne affiche le chercheur, le rapport associé, le montant approuvé et le statut de disponibilité au paiement.

Liste de vérification de disponibilité

Avant qu’un versement puisse être effectué, le chercheur doit satisfaire une liste de vérification. Les trois éléments sont configurables dans les paramètres de paiement de votre programme :

  • Informations de paiement soumises — Le chercheur a saisi ses coordonnées de paiement (virement bancaire, PayPal ou autre méthode) via le portail chercheur
  • Accord accepté — Le chercheur a accepté l’accord de participation de votre programme (si votre programme l’exige)
  • Document fiscal vérifié — Le W-8BEN ou W-9 du chercheur a été téléchargé et vérifié par votre équipe (si votre programme exige des documents fiscaux)

Les éléments non activés dans les paramètres de votre programme sont automatiquement marqués comme satisfaits.

Traiter un paiement

Kit n’exécute pas de virements bancaires ni d’appels API de paiement. Votre équipe gère le mouvement réel des fonds en dehors de Kit (virement bancaire, PayPal, crypto, etc.). Kit assure le suivi du cycle de vie :

  1. Lorsque tous les éléments de disponibilité sont satisfaits, cliquez sur Initier pour faire passer le versement en traitement
  2. Exécutez le transfert via votre prestataire de paiement
  3. Revenez dans Kit et cliquez sur Marquer comme payé — saisissez la référence de transaction (par ex., identifiant de transaction PayPal, numéro de confirmation de virement)
  4. Le versement passe au statut Terminé et le rapport passe à Payé

Statuts de versement

Statut Signification
En attente Prime approuvée ; en attente que le chercheur satisfasse la liste de vérification
En traitement Votre équipe a initié le transfert en dehors de Kit
Terminé Fonds confirmés reçus ; référence de transaction enregistrée
Échoué Le transfert a échoué ; résolvez manuellement et réessayez ou contactez le chercheur

Si un versement échoue, la raison de l’échec est consignée dans le grand livre. Vous pouvez relancer le versement après avoir résolu le problème.

Documents fiscaux

Les chercheurs téléchargent leurs documents fiscaux via leur portail. Les chercheurs basés aux États-Unis soumettent un W-9 ; les chercheurs hors US soumettent un W-8BEN. Les documents sont stockés avec chiffrement au repos.

Votre équipe examine les documents téléchargés dans VDP > Documents fiscaux :

Statut Action
En attente Document téléchargé, en attente de votre examen
Vérifié Vous avez confirmé que le document est valide — l’élément de disponibilité est satisfait
Rejeté Vous avez rejeté le document — le chercheur est notifié et peut télécharger à nouveau

La vérification comme le rejet sont enregistrés dans le grand livre à des fins d’audit. Les événements liés aux documents fiscaux sont associés au rapport le plus récent du chercheur ayant reçu une prime, pour le contexte du grand livre.

Le grand livre

Accédez à VDP > Grand livre pour consulter la piste d’audit financière immuable. Le grand livre fonctionne en ajout uniquement : les entrées ne peuvent être ni modifiées, ni altérées, ni supprimées.

Chaque entrée enregistre :

  • Type d’entrée — Ce qui s’est passé
  • Montant — Montant en centimes et devise
  • Acteur — Le membre de l’équipe ou le système ayant effectué l’action
  • Horodatage — Date et heure de création de l’entrée
  • Référence du rapport — Le rapport de vulnérabilité associé

Chaque entrée enregistre l’un des types suivants :

Type d’entrée Quand il est créé
bounty_approved Un membre de l’équipe approuve un montant de prime pour un rapport résolu
bounty_adjusted Un membre de l’équipe corrige le montant de la prime avant l’envoi du paiement
disbursement_initiated Un membre de l’équipe fait passer le versement en traitement
disbursement_completed Un membre de l’équipe marque le versement comme payé avec une référence de transaction
disbursement_failed Un versement est marqué comme échoué avec une raison
tax_document_submitted Un chercheur télécharge un document W-8BEN ou W-9
tax_document_verified Un membre de l’équipe vérifie un document fiscal comme valide

Filtrez le grand livre par identifiant de rapport, type d’entrée ou plage de dates pour affiner les résultats. Utilisez l’export du grand livre dans Métriques et exports pour générer des dossiers de preuve SOC 2.

Intégrité du grand livre

Une vérification d’intégrité quotidienne s’exécute automatiquement pour vérifier la cohérence du grand livre. Elle contrôle :

  • Les primes attribuées sans entrée bounty_approved correspondante dans le grand livre
  • Les versements terminés sans entrée disbursement_completed correspondante dans le grand livre
  • Les entrées orphelines référençant des enregistrements supprimés ou manquants

Si une incohérence est détectée, un e-mail d’alerte est envoyé aux administrateurs du compte. Contactez le support si vous recevez une alerte d’intégrité du grand livre — ne tentez pas de résoudre les écarts manuellement.

Liste de contrôle rapide

  • Configurez les niveaux de la matrice des primes avec des fourchettes min/max appropriées à votre tolérance au risque
  • Définissez les exigences de disponibilité au paiement (documents fiscaux, accord) dans les paramètres de paiement de votre programme
  • Communiquez les fourchettes de primes sur votre page de politique de divulgation avant que les chercheurs ne soumettent leurs rapports
  • Vérifiez la file d’attente des versements chaque semaine pour les paiements en attente
  • Examinez et vérifiez rapidement les documents fiscaux téléchargés pour débloquer les paiements des chercheurs
  • Exportez le grand livre trimestriellement comme preuve SOC 2 via Métriques et exports

Étapes suivantes

  • Métriques et exports — KPI du tableau de bord, exports de preuves SOC 2 et karma des chercheurs
  • Le portail chercheur — comment les chercheurs soumettent leurs informations de paiement et documents fiscaux

Tapez pour rechercher...