Nagrody i wypłaty
Jak zatwierdzać nagrody, zarządzać procesem wypłat, obsługiwać dokumenty podatkowe i korzystać z niezmiennego rejestru finansowego jako dowodu SOC 2.
Dlaczego to ważne
Nagrody i wypłaty wymagają dodatku VDP Add-on (49 USD/mies.). Odblokowuje on pełny proces wypłat, niezmienny rejestr finansowy i zarządzanie dokumentami podatkowymi opisane na tej stronie.
Prawidłowa obsługa wypłat to zarówno kwestia utrzymania badaczy, jak i obowiązek zgodności regulacyjnej. Ręczne przelewy PayPal bez pobrania formularzy W-8BEN (osoby spoza USA) lub W-9 (osoby z USA) tworzą bezpośrednie ryzyko podatkowe wobec IRS. Każda płatność na rzecz badacza stanowi zdarzenie podatkowe podlegające raportowaniu, a brak dokumentacji podatkowej przenosi odpowiedzialność na firmę. Proces wypłat w Kit rozwiązuje ten problem, uzależniając wypłaty od konfigurowalnej listy kontrolnej gotowości obejmującej weryfikację dokumentów podatkowych.
Niezmienny rejestr finansowy jest głównym artefaktem dowodowym SOC 2 dla kontroli finansowych programu ujawniania podatności. Każde zatwierdzenie nagrody, każda wypłata i każda czynność dotycząca dokumentu podatkowego jest rejestrowana wraz z wykonawcą, znacznikiem czasu i kwotą. Audytorzy mogą zweryfikować pełny łańcuch kontroli od rozwiązania zgłoszenia do potwierdzenia płatności w ramach jednego eksportu.
Macierz nagród
Macierz nagród przypisuje przedziały kwotowe do poziomów ważności CVSS. Konfiguracja w VDP > Program Settings > Bounty Matrix. Gdy członek zespołu oceni zgłoszenie za pomocą CVSS, sugerowany przedział nagrody jest automatycznie pobierany z macierzy i wstępnie wypełniany w formularzu zatwierdzenia.
Przedziały nagród są wyświetlane na publicznej stronie polityki ujawniania, aby badacze wiedzieli, czego się spodziewać przed przesłaniem zgłoszenia. Taka przejrzystość zmniejsza liczbę sporów i wyznacza jasne oczekiwania.
W przypadku programów opartych wyłącznie na uznaniu należy pozostawić wszystkie poziomy na wartości 0 USD. Badacze zobaczą na stronie polityki komunikat „recognition only” zamiast kwot.
Szczegóły konfiguracji macierzy opisano w Configuring Your Program.
Zatwierdzanie nagrody
Zgłoszenie musi mieć status Resolved lub Fix Verified, aby możliwe było zatwierdzenie nagrody. Zgłoszenia na wcześniejszych etapach nie wyświetlają opcji zatwierdzenia.
Aby zatwierdzić nagrodę:
- Otwarcie strony szczegółów zgłoszenia
- Kliknięcie Approve Bounty
- Wypełnienie formularza zatwierdzenia
| Pole | Wymagane | Opis |
|---|---|---|
| Amount | Tak | Kwota nagrody, wstępnie wypełniona na podstawie macierzy nagród i poziomu ważności CVSS zgłoszenia. |
| Currency | Tak | Domyślnie USD. Musi odpowiadać walucie skonfigurowanej w programie. |
| Notes | Nie | Wewnętrzne notatki widoczne tylko dla zespołu. Szyfrowane w spoczynku. |
Zatwierdzenie wymaga jawnego przesłania formularza — żadna kwota nie jest zatwierdzana do momentu zapisania. Po zatwierdzeniu:
- Wpis
bounty_approvedjest dodawany do niezmiennego rejestru - Badacz otrzymuje powiadomienie za pośrednictwem szablonu e-mail
bounty_approved
Proces wypłat
Przejdź do VDP > Disbursements, aby zobaczyć wszystkie oczekujące wypłaty. Każdy wiersz zawiera badacza, powiązane zgłoszenie, zatwierdzoną kwotę i status gotowości do wypłaty.
Lista kontrolna gotowości
Przed realizacją wypłaty badacz musi spełnić wymagania listy kontrolnej gotowości. Wszystkie trzy elementy są konfigurowalne w ustawieniach wypłat programu:
- Dane do wypłaty przesłane — badacz wprowadził dane płatności (przelew bankowy, PayPal lub inna metoda) za pośrednictwem portalu badacza
- Umowa zaakceptowana — badacz zaakceptował umowę uczestnictwa w programie (jeśli program tego wymaga)
- Dokument podatkowy zweryfikowany — formularz W-8BEN lub W-9 badacza został przesłany i zweryfikowany przez zespół (jeśli program wymaga dokumentów podatkowych)
Elementy nieaktywowane w ustawieniach programu są automatycznie oznaczane jako spełnione.
Realizacja wypłaty
Kit nie wykonuje przelewów bankowych ani wywołań API płatności. Zespół realizuje faktyczny transfer środków poza Kit (przelew bankowy, PayPal, kryptowaluty itp.). Kit śledzi cykl życia:
- Gdy wszystkie elementy gotowości są spełnione, kliknięcie Initiate przenosi wypłatę do statusu Processing
- Wykonanie przelewu za pośrednictwem dostawcy płatności
- Powrót do Kit i kliknięcie Mark as Paid — wprowadzenie referencji transakcji (np. identyfikator transakcji PayPal, numer potwierdzenia przelewu)
- Wypłata przechodzi do statusu Completed, a zgłoszenie zmienia status na Paid
Statusy wypłat
| Status | Znaczenie |
|---|---|
| Pending | Nagroda zatwierdzona; oczekiwanie na spełnienie przez badacza wymagań listy kontrolnej gotowości |
| Processing | Zespół zainicjował przelew poza Kit |
| Completed | Potwierdzono otrzymanie środków; referencja transakcji zapisana |
| Failed | Przelew nie powiódł się; należy rozwiązać problem ręcznie i ponowić próbę lub skontaktować się z badaczem |
W przypadku niepowodzenia wypłaty przyczyna jest rejestrowana w rejestrze. Wypłatę można zainicjować ponownie po rozwiązaniu problemu.
Dokumenty podatkowe
Badacze przesyłają dokumenty podatkowe przez portal. Badacze z USA przesyłają W-9, badacze spoza USA — W-8BEN. Dokumenty są przechowywane z szyfrowaniem w spoczynku.
Zespół weryfikuje przesłane dokumenty w VDP > Tax Documents:
| Status | Działanie |
|---|---|
| Pending | Dokument przesłany, oczekuje na weryfikację |
| Verified | Dokument potwierdzony jako prawidłowy — element listy kontrolnej gotowości jest spełniony |
| Rejected | Dokument odrzucony — badacz otrzymuje powiadomienie i może przesłać nowy |
Zarówno weryfikacja, jak i odrzucenie są rejestrowane w rejestrze na potrzeby audytu. Zdarzenia dotyczące dokumentów podatkowych są powiązane z najnowszym zgłoszeniem badacza, dla którego przyznano nagrodę, w celu zachowania kontekstu w rejestrze.
Rejestr
Przejdź do VDP > Ledger, aby wyświetlić niezmienny ślad audytu finansowego. Rejestr działa w trybie wyłącznie dopisywania: wpisów nie można edytować, modyfikować ani usuwać.
Każdy wpis zawiera:
- Typ wpisu — co się wydarzyło
- Kwota — wartość w centach i walucie
- Wykonawca — członek zespołu lub system, który wykonał czynność
- Znacznik czasu — data i czas utworzenia wpisu
- Referencja zgłoszenia — powiązane zgłoszenie podatności
Każdy wpis rejestruje jeden z następujących typów:
| Typ wpisu | Kiedy jest tworzony |
|---|---|
bounty_approved |
Członek zespołu zatwierdza kwotę nagrody za rozwiązane zgłoszenie |
bounty_adjusted |
Członek zespołu koryguje kwotę nagrody przed wysłaniem płatności |
disbursement_initiated |
Członek zespołu przenosi wypłatę do statusu Processing |
disbursement_completed |
Członek zespołu oznacza wypłatę jako opłaconą z referencją transakcji |
disbursement_failed |
Wypłata jest oznaczana jako nieudana wraz z podaniem przyczyny |
tax_document_submitted |
Badacz przesyła dokument W-8BEN lub W-9 |
tax_document_verified |
Członek zespołu weryfikuje dokument podatkowy jako prawidłowy |
Rejestr można filtrować według identyfikatora zgłoszenia, typu wpisu lub zakresu dat. Eksport rejestru dostępny w Metrics and Exports umożliwia generowanie pakietów dowodowych SOC 2.
Integralność rejestru
Codzienne automatyczne sprawdzanie integralności weryfikuje spójność rejestru. Kontrolowane są:
- Przyznane nagrody bez odpowiadającego wpisu
bounty_approvedw rejestrze - Zrealizowane wypłaty bez odpowiadającego wpisu
disbursement_completedw rejestrze - Osierocone wpisy odwołujące się do usuniętych lub brakujących rekordów
W przypadku wykrycia niezgodności e-mail z alertem jest wysyłany do administratorów konta. Po otrzymaniu alertu o integralności rejestru należy skontaktować się z pomocą techniczną — nie należy próbować rozwiązywać rozbieżności ręcznie.
Szybka lista kontrolna
- Konfiguracja poziomów macierzy nagród z odpowiednimi przedziałami min/max dla akceptowalnego poziomu ryzyka
- Ustawienie wymagań gotowości do wypłaty (dokumenty podatkowe, umowa) w ustawieniach wypłat programu
- Opublikowanie przedziałów nagród na stronie polityki ujawniania przed rozpoczęciem przyjmowania zgłoszeń
- Cotygodniowe sprawdzanie kolejki wypłat pod kątem oczekujących płatności
- Niezwłoczna weryfikacja przesłanych dokumentów podatkowych w celu odblokowania płatności dla badaczy
- Kwartalny eksport rejestru jako dowodu SOC 2 za pośrednictwem Metrics and Exports
Kolejne kroki
- Metrics and Exports — wskaźniki KPI dashboardu, eksporty dowodowe SOC 2 i karma badaczy
- The Researcher Portal — jak badacze przesyłają dane do wypłat i dokumenty podatkowe