Nagrody i wypłaty
Jak zatwierdzać nagrody, zarządzać procesem wypłat nagród, obsługiwać dokumenty podatkowe i korzystać z niezmiennej księgi finansowej jako dowodu SOC 2.
Dlaczego to ważne
Nagrody i wypłaty wymagają dodatku VDP Add-on (49 USD/mies.). Odblokowuje on pełny proces wypłat nagród, niezmienną księgę finansową i zarządzanie dokumentami podatkowymi opisane na tej stronie.
Prawidłowa obsługa wypłat to zarówno kwestia utrzymania badaczy, jak i obowiązek zgodności regulacyjnej. Ręczne przelewy PayPal bez pobrania formularzy W-8BEN (osoby spoza USA) lub W-9 (osoby z USA) tworzą bezpośrednie ryzyko podatkowe wobec IRS dla Twojej firmy. Każda płatność na rzecz badacza stanowi zdarzenie podatkowe podlegające zgłoszeniu do urzędu, a brak dokumentacji podatkowej przenosi odpowiedzialność na Ciebie. Proces wypłat w Kit rozwiązuje ten problem, uzależniając wypłaty od konfigurowalnej checklisty gotowości obejmującej weryfikację dokumentów podatkowych.
Niezmienna księga finansowa jest głównym artefaktem dowodowym SOC 2 dla kontroli finansowych Twojego programu ujawniania podatności. Każde zatwierdzenie nagrody, każda wypłata nagrody i każda czynność dotycząca dokumentu podatkowego jest rejestrowana wraz z wykonawcą, znacznikiem czasu i kwotą. Audytorzy mogą zweryfikować pełny łańcuch kontroli — od rozwiązania zgłoszenia po potwierdzenie płatności — w ramach jednego eksportu.
Macierz nagród
Macierz nagród przypisuje przedziały kwotowe do poziomów ważności CVSS. Skonfiguruj ją w VDP > Program Settings > Bounty Matrix. Gdy członek zespołu oceni zgłoszenie za pomocą CVSS, sugerowany przedział nagrody jest automatycznie pobierany z macierzy i wstępnie wypełniany w formularzu zatwierdzenia.
Przedziały nagród są wyświetlane na publicznej stronie polityki ujawniania, aby badacze wiedzieli, czego się spodziewać przed przesłaniem zgłoszenia. Taka przejrzystość zmniejsza liczbę sporów i wyznacza jasne oczekiwania.
W przypadku programów opartych wyłącznie na uznaniu zostaw wszystkie poziomy na wartości 0 USD. Badacze zobaczą na stronie polityki komunikat „recognition only” zamiast kwot.
Pełne szczegóły konfiguracji macierzy opisano w Configuring Your Program.
Zatwierdzanie nagrody
Administratorzy mogą zatwierdzić nagrodę w dowolnym momencie, zanim zgłoszenie osiągnie status Paid. Dobrą praktyką jest poczekanie, aż zgłoszenie zostanie zwalidowane — najlepiej rozwiązane — żeby kwota odzwierciedlała potwierdzoną i ocenioną podatność.
Żeby zatwierdzić nagrodę:
- Otwórz stronę szczegółów zgłoszenia
- Kliknij Approve Bounty
- Wypełnij formularz zatwierdzenia
| Pole | Wymagane | Opis |
|---|---|---|
| Amount | Tak | Kwota nagrody, wstępnie wypełniona na podstawie macierzy nagród i poziomu ważności CVSS zgłoszenia. |
| Currency | Tak | Domyślnie USD. Musi odpowiadać walucie skonfigurowanej w programie. |
| Notes | Nie | Wewnętrzne notatki widoczne tylko dla Twojego zespołu. Szyfrowane w spoczynku. |
Zatwierdzenie wymaga jawnego przesłania formularza — żadna kwota nie zostaje zatwierdzona, dopóki nie zapiszesz formularza. Po zatwierdzeniu:
- Wpis
bounty_approvedzostaje dodany do niezmiennej księgi - Badacz otrzymuje powiadomienie za pośrednictwem szablonu e-mail
bounty_approved
Cofanie nagrody
Odrzucenie zgłoszenia z zatwierdzoną nagrodą automatycznie ją cofa. Okno odrzucania wyświetla ostrzeżenie z kwotą, osobą zatwierdzającą i datą zatwierdzenia, a przycisk zatwierdzenia zmienia się na Dismiss & revoke $X bounty. Po cofnięciu:
- Wpis
bounty_revokedzostaje dodany do niezmiennej księgi jako obciążenie — sumy zatwierdzonych i oczekujących nagród w księdze pomniejszają się o niego. Metadane wpisu rejestrują przyczynę odrzucenia, pierwotną osobę zatwierdzającą wraz z datą zatwierdzenia oraz ówczesny status wypłaty nagrody. - E-mail o odrzuceniu informuje badacza, że wcześniej zatwierdzona nagroda została wycofana i nie zostanie wypłacona; standardową ścieżką odwoławczą pozostaje procedura odwołania. W portalu badacza zamiast karty nagrody pojawia się adnotacja „wycofana”.
- Karma przyznana za nagrodę zostaje odwrócona zdarzeniem karmy „Bounty Revoked”.
Obowiązują dwa zabezpieczenia:
- Nagrody, której wypłata ma status Completed, nigdy nie można cofnąć — co wypłacone, pozostaje wypłacone.
- Wypłata nagrody w toku (status Pending lub Processing) blokuje odrzucenie. Najpierw oznacz wypłatę jako nieudaną albo pozwól jej się zakończyć.
Cofnięcie odrzucenia nie przywraca nagrody. Po ponownej walidacji zgłoszenia zatwierdź ręcznie nową nagrodę — interfejs zespołu wyświetla odpowiednie przypomnienie.
Proces wypłat nagród
Przejdź do VDP > Disbursements, aby zobaczyć wszystkie oczekujące wypłaty. Każdy wiersz zawiera badacza, powiązane zgłoszenie, zatwierdzoną kwotę i status gotowości do wypłaty.
Checklista gotowości
Zanim wypłata nagrody może zostać zrealizowana, badacz musi spełnić wymagania checklisty gotowości. Wszystkie trzy elementy są konfigurowalne w ustawieniach wypłat programu:
- Dane do wypłaty przesłane — badacz wprowadził dane płatności (przelew bankowy, PayPal lub inna metoda) za pośrednictwem portalu badacza
- Umowa zaakceptowana — badacz zaakceptował umowę uczestnictwa w Twoim programie (jeśli program tego wymaga)
- Dokument podatkowy zweryfikowany — formularz W-8BEN lub W-9 badacza został przesłany i zweryfikowany przez Twój zespół (jeśli program wymaga dokumentów podatkowych)
Elementy nieaktywowane w ustawieniach programu są automatycznie oznaczane jako spełnione.
Checklista uzależnia wypłatę również od statusu zgłoszenia, co kontroluje opcja Require Verified Fix Before Payout w VDP > Program Settings > Payouts:
- Włączone (domyślnie) — nagrodę można wypłacić dopiero po tym, jak Twój zespół oznaczy poprawkę zgłoszenia jako zweryfikowaną. Nigdy nie płacisz za nierozwiązany błąd, ale badacze mogą czekać na wdrożenie poprawki.
- Wyłączone (płatność po walidacji) — wypłata odblokowuje się, gdy tylko zgłoszenie osiągnie status Validated, co jest normą branżową na platformach takich jak HackerOne i Bugcrowd. Badacze otrzymują płatność szybciej, a płatność jest oddzielona od zamknięcia zgłoszenia: zgłoszenie pozostaje otwarte po przelaniu pieniędzy i automatycznie zamyka się ze statusem Paid, gdy zostanie rozwiązane (lub gdy poprawka zostanie zweryfikowana). Opłaconych zgłoszeń nigdy nie można odrzucić, a weryfikacja poprawki staje się opcjonalnym krokiem QA — odnotuj ją, zanim zgłoszenie zostanie rozwiązane, w przeciwnym razie nie zostanie zarejestrowana.
Realizacja wypłaty
Kit nie wykonuje przelewów bankowych ani wywołań API płatności. Twój zespół obsługuje faktyczny transfer środków poza Kit (przelew bankowy, PayPal, kryptowaluty itp.). Kit śledzi cykl życia:
- Gdy wszystkie elementy gotowości są spełnione, kliknij Initiate, aby przenieść wypłatę do statusu Processing
- Wykonaj przelew za pośrednictwem swojego dostawcy płatności
- Wróć do Kit i kliknij Mark as Paid — wprowadź referencję transakcji (np. identyfikator transakcji PayPal, numer potwierdzenia przelewu)
- Wypłata przechodzi do statusu Completed, a zgłoszenie zmienia status na Paid (w programach z płatnością po walidacji zgłoszenie opłacone przed jego rozwiązaniem pozostaje otwarte i automatycznie zamyka się ze statusem Paid, gdy do tego dojdzie)
Potwierdzenie przez zespół finansowy
W większości firm osoba, która planuje płatność, pracuje w dziale finansów, a nie w bezpieczeństwie — pilnuje skrzynki w rodzaju [email protected] i nie ma konta w Kit. Przekazanie sprawy do finansów eliminuje tę lukę: Kit wysyła e-mailem zespołowi finansowemu wszystko, czego potrzebuje, żeby zaplanować płatność, a oni sami potwierdzają ją przez bezpieczny link.
Włącz tę funkcję, ustawiając Finance Email w VDP > Program Settings > Payouts. Zostaw to pole puste, żeby nadal rejestrować płatności ręcznie w Kit.
Gdy adres e-mail finansów jest skonfigurowany, kliknięcie Initiate wysyła pod ten adres również żądanie płatności zawierające:
- Odbiorcę (badacza), kwotę i metodę płatności — adresy PayPal są pokazywane w całości, a numery rachunków bankowych są maskowane do ostatnich czterech cyfr, przy czym pełne dane są dostępne tylko za linkiem potwierdzającym
- Referencję wypłaty do umieszczenia w tytule płatności, dzięki czemu uzgodnienie działa w obie strony
- Pochodzenie zatwierdzenia: kto i kiedy zatwierdził nagrodę oraz kto zainicjował wypłatę
- Jednorazowy link potwierdzający, ważny przez 90 dni
Osoba z finansów otwiera link, widzi pełne dane płatności, realizuje płatność za pośrednictwem swojego dostawcy płatności, a następnie wprowadza referencję transakcji i swoje imię i nazwisko, żeby potwierdzić. Potwierdzenie kończy wypłatę dokładnie tak samo jak wewnętrzne Mark as Paid: wpis w księdze zostaje zapisany, zgłoszenie zmienia status na Paid, a badacz otrzymuje automatyczne powiadomienie. Potwierdzenie rejestruje, kto potwierdził (imię, nazwisko i e-mail), kiedy oraz skąd (adres IP) — widoczne w wierszu wypłaty jako Confirmed by finance.
Kilka szczegółów wartych odnotowania:
- Odpowiedzi trafiają do człowieka. Adres reply-to w e-mailu to członek zespołu, który zainicjował wypłatę, więc pytania z finansów trafiają do kogoś, kto zna kontekst.
- Wyślij ponownie w dowolnej chwili. Wiersz wypłaty pokazuje, kiedy i dokąd wysłano żądanie, wraz z przyciskiem ponownego wysłania, który generuje świeży link.
- Wewnętrzna ścieżka pozostaje dostępna. Jeśli finanse odpowiedzą „gotowe, ref #123” e-mailem zamiast kliknąć link, Twój zespół nadal może ręcznie oznaczyć wypłatę jako opłaconą — link pokaże wtedy potwierdzenie „already recorded”.
- Link wygasa wraz z wypłatą. Po zakończeniu lub niepowodzeniu wypłaty link nie może już niczego potwierdzić; pokazuje jedynie bieżący stan.
- Anulowania są ogłaszane. Jeśli wysłano żądanie płatności, a wypłata zostanie później oznaczona jako nieudana, Kit wysyła zespołowi finansowemu — od tego samego nadawcy z Twoją marką — powiadomienie „Płatność anulowana — nie płać”, aby nikt nie przelał pieniędzy za odwołaną wypłatę.
Statusy wypłat
| Status | Znaczenie |
|---|---|
| Pending | Nagroda zatwierdzona; oczekiwanie na spełnienie przez badacza wymagań checklisty gotowości |
| Processing | Twój zespół zainicjował przelew poza Kit |
| Completed | Potwierdzono otrzymanie środków; referencja transakcji zapisana — zgłoszenie zamyka się ze statusem Paid, gdy tylko pozwoli na to jego cykl życia |
| Failed | Przelew nie powiódł się; rozwiąż problem ręcznie i ponów próbę lub skontaktuj się z badaczem |
W przypadku niepowodzenia wypłaty przyczyna jest rejestrowana w księdze — a jeśli do zespołu finansowego wysłano wcześniej żądanie płatności, otrzymuje on automatycznie e-mail o anulowaniu z informacją, żeby nie wykonywać płatności. Wypłatę można zainicjować ponownie po rozwiązaniu problemu.
Dokumenty podatkowe
Badacze przesyłają dokumenty podatkowe przez swój portal. Badacze z USA przesyłają W-9, badacze spoza USA — W-8BEN. Dokumenty są przechowywane z szyfrowaniem w spoczynku.
Twój zespół weryfikuje przesłane dokumenty w VDP > Tax Documents:
| Status | Działanie |
|---|---|
| Pending | Dokument przesłany, oczekuje na Twoją weryfikację |
| Verified | Potwierdziłeś, że dokument jest prawidłowy — element checklistu gotowości jest spełniony |
| Rejected | Odrzuciłeś dokument — badacz otrzymuje powiadomienie i może przesłać nowy |
Zarówno weryfikacja, jak i odrzucenie są rejestrowane w księdze na potrzeby audytu. Zdarzenia dotyczące dokumentów podatkowych są powiązane z najnowszym zgłoszeniem badacza, za które przyznano nagrodę, żeby zachować kontekst w księdze.
Księga
Przejdź do VDP > Ledger, aby wyświetlić niezmienny ślad audytu finansowego. Księga działa w trybie wyłącznie dopisywania: wpisów nie można edytować, modyfikować ani usuwać.
Każdy wpis rejestruje:
- Typ wpisu — co się wydarzyło
- Kwota — wartość w centach i walucie
- Wykonawca — członek zespołu lub system, który wykonał czynność
- Znacznik czasu — data i czas utworzenia wpisu
- Referencja zgłoszenia — powiązane zgłoszenie podatności
Każdy wpis rejestruje jeden z następujących typów:
| Typ wpisu | Kiedy jest tworzony |
|---|---|
bounty_approved |
Członek zespołu zatwierdza kwotę nagrody za zgłoszenie |
bounty_adjusted |
Członek zespołu koryguje kwotę nagrody przed wysłaniem płatności |
bounty_revoked |
Zgłoszenie z zatwierdzoną nagrodą zostaje odrzucone; cofnięcie liczy się jako obciążenie pomniejszające sumy księgi |
disbursement_initiated |
Członek zespołu przenosi wypłatę do statusu Processing |
disbursement_completed |
Członek zespołu oznacza wypłatę jako opłaconą wraz z referencją transakcji |
disbursement_failed |
Wypłata zostaje oznaczona jako nieudana wraz z podaniem przyczyny |
tax_document_submitted |
Badacz przesyła dokument W-8BEN lub W-9 |
tax_document_verified |
Członek zespołu weryfikuje dokument podatkowy jako prawidłowy |
tax_document_rejected |
Członek zespołu odrzuca dokument podatkowy; badacz otrzymuje powiadomienie i może przesłać go ponownie |
Księgę można filtrować według identyfikatora zgłoszenia, typu wpisu lub zakresu dat, żeby zawęzić wyniki. Skorzystaj z eksportu księgi w Metrics and Exports, aby wygenerować pakiety dowodowe SOC 2.
Integralność księgi
Codzienne automatyczne sprawdzanie integralności weryfikuje spójność księgi. Przechodzi przez wszystkie wpisy w kolejności chronologicznej i prowadzi bieżące saldo — uznania (bounty_approved, bounty_adjusted) je zwiększają, a obciążenia (disbursement_completed, bounty_revoked) zmniejszają. Jeśli bieżące saldo kiedykolwiek spadnie poniżej zera, dany wpis zostaje oznaczony jako naruszenie.
Każde naruszenie jest zgłaszane do systemu monitorowania błędów Kit (APM), aby zespół inżynieryjny mógł je zbadać — nie jest wysyłany e-mail do administratorów konta. Skontaktuj się z pomocą techniczną, jeśli podejrzewasz rozbieżność w księdze — nie próbuj rozwiązywać jej ręcznie.
W skrócie
- Skonfiguruj poziomy macierzy nagród z odpowiednimi przedziałami min/max dla akceptowalnego poziomu ryzyka
- Ustaw wymagania gotowości do wypłaty (dokumenty podatkowe, umowa) w ustawieniach wypłat programu
- Ustaw adres e-mail finansów, żeby żądania płatności trafiały do zespołu, który faktycznie planuje płatności
- Opublikuj przedziały nagród na stronie polityki ujawniania, zanim badacze zaczną przesyłać zgłoszenia
- Co tydzień sprawdzaj kolejkę wypłat (Disbursements) pod kątem oczekujących płatności
- Niezwłocznie sprawdzaj i weryfikuj przesłane dokumenty podatkowe, żeby odblokować płatności dla badaczy
- Co kwartał eksportuj księgę jako dowód SOC 2 za pośrednictwem Metrics and Exports
Co dalej
- Metrics and Exports — wskaźniki KPI dashboardu, eksporty dowodowe SOC 2 i karma badaczy
- The Researcher Portal — jak badacze przesyłają dane do wypłat i dokumenty podatkowe