Самозанятый багхантер: максимум выплат, минимум бумаг
Часто на площадках bug bounty проводят выплаты по определенным дням или с какой‑то периодичностью — иногда процесс занимает до 2–3 недель и больше. Это связано с тем, что для обработки финансовых документов требуется много труда и расписание позволяет его упорядочить.
Если площадка использует электронный документооборот, срок выплаты вознаграждений сокращается. Например, BI.ZONE Bug Bounty интегрирована с сервисом «Консоль»
Как выглядит процесс получения выплат на нашей платформе:
- Багхантер находит уязвимость.
- Багхантер регистрируется в сервисе «Консоль» и указывает реквизиты своего счета.
- Компания подтверждает уязвимость и назначает вознаграждение.
- Багхантер и компания подписывают договор и акт.
- Багхантер получает вознаграждение обычно в течение 2–5 дней.
С вознаграждения за найденные баги по нормам законодательства РФ надо платить налоги. Их размер зависит от выбранного налогового статуса — физлицо, самозанятый или ИП. А возможности сотрудничества с багхантерами в разных налоговых статусах определяются тем, как платформа организует выплаты — через конкурс
В случае конкурса площадки bug bounty могут работать только с исследователями, чей налоговый статус — физлицо. На платформе BI.ZONE Bug Bounty выплаты реализованы посредством оферты — и это позволяет нам сотрудничать с багхантерами во всех трех налоговых статусах. На нашей платформе оптимальный способ получения вознаграждений — в статусе самозанятого.
Самозанятый — это человек, который платит налог на профессиональный доход (НПД). Он работает на себя, сам ищет заказчиков, проекты и получает доход от личной трудовой деятельности. Ему не нужно дополнительно отчислять подоходный налог или налог на прибыль.
Для багхантера статус самозанятого обладает рядом преимуществ по сравнению со статусами физлица и ИП.
- Основное и самое главное: самозанятый имеет более выгодную налоговую ставку (6%) по сравнению со статусом физлица (13% для резидентов РФ или 30% для нерезидентов).
- Подходит тем, кто уже имеет основную работу и хочет заниматься багхантингом в дополнение к ней.
- Позволяет зарабатывать до 2,4 млн рублей в год. Если ваше вознаграждение в качестве багхантера превышает эту сумму, можно оформить ИП, чтобы сохранить минимальную налоговую ставку.
- Простое и быстрое оформление: достаточно зарегистрироваться на «Консоли», ввести необходимые данные и дождаться подтверждения — это займет всего 10 минут.
- Для получения выплат подойдет обычный счет в банке — специальный расчетный счет не нужен.
- Процесс уплаты налога автоматизирован благодаря интеграции с «Консолью».
Подробнее о том, как оформить статус самозанятого, можно прочитать здесь, а о том, как платить налоги самозанятым, — здесь.
На своей площадке мы постарались сделать так, чтобы у багхантеров была возможность получать вознаграждения с минимальными налоговыми отчислениями просто и быстро — и эту возможность предоставляет именно статус самозанятого.
На нашей платформе багхантеры также могут получать выплаты как физлица и ИП, но здесь есть свои особенности, которые стоит учитывать.
Чтобы работать с физлицами, мы заключаем договор ГПХ. В этом случае из суммы вознаграждения багхантера удерживаются: для резидентов — налог 13% и комиссия 33%, для нерезидентов — только налог 30%. Комиссия необходима, чтобы автоматизировать процесс выплат.
Индивидуальный предприниматель (ИП) — это физическое лицо, которое вправе вести предпринимательскую деятельность без образования юридического лица. Статус ИП похож на статус самозанятого: размер налога составляет те же 6% и вы платите его самостоятельно. В отличие от 2,4 млн рублей в год для самозанятых, здесь нет лимита на сумму вознаграждений, однако вам потребуется пройти государственную регистрацию, выбрать подходящую систему налогообложения и платить страховые взносы.
Автоматизация выплат на площадке упрощает и ускоряет процесс получения вознаграждения для багхантера с 2–3 недель до 2–5 дней.
Статус самозанятого позволяет независимым исследователям получать вознаграждения с максимальной выгодой. Если вы сейчас получаете вознаграждения как физлицо — советуем к нему присмотреться, чтобы сократить размер выплачиваемого налога. А если у вас уже оформлен статус ИП — вы можете использовать его преимущества и так же получать выплаты на нашей платформе с минимальной налоговой ставкой в 6%.
Мы встречали случаи, когда под багом понималась любая ошибка на сайте: неработающая кнопка или неправильно поставленная запятая. Но в рамках багбаунти речь идет только об уязвимостях с точки зрения кибербезопасности. Например, это ошибки, приводящие к удаленному выполнению кода на узлах API. Где такие искать и какими еще они могут быть, подробно описано в каждой из программ, представленных в свободном доступе на платформе.
Здорово, что получилось найти уязвимости, которые влияют на кибербезопасность компании! Но напоминаем: приносить баги в ресурсах вне скоупа — это риск. Компания может не платить за такие отчеты, так как не закладывала это в бюджет. А ваше время уже потрачено.
В конфликтных ситуациях лучше приводить аргументы, а не давить на эмоции. Можно предложить пересмотреть размер награды. В любом случае не бойтесь обратиться в нашу поддержку к специалистам с независимой экспертизой в сфере ИБ. Мы поможем разобраться, ведь одна из целей площадки BI.ZONE Bug Bounty — построить максимально выгодное для всех взаимодействие. Для этого мы и выступаем арбитром в непростых ситуациях.
Мы часто получаем этот вопрос от исследователей. Если багхантер действует так, как оговорено в программе, то все легально. А вот взлом инфраструктуры компании с использованием DDoS-атак или методов социальной инженерии запрещен в подавляющем большинстве случаев, это зафиксировано в условиях.
Наши разработчики постарались продумать все инструменты, необходимые для формирования отчета мечты. Используйте маркдаун-разметку, чтобы описывать найденные уязвимости понятно и красиво. А еще в вашем распоряжении готовые шаблоны, которые сэкономят время. Обязательно вместе с репортом отправьте все подтверждения работы: скриншот, видеозапись PoC, скрипт или файл бурпа, который поможет компании проверить наличие уязвимости. Они покажут, что вы действительно проэксплуатировали уязвимость, причем сделали это как белый хакер. Чем больше таких доказательств, тем больше вероятность заработать вознаграждение. За теоретическую возможность эксплуатации вендор не платит, увы.
Нет. На выбор предлагаем три налоговых статуса. Можешь заключить с нами договор гражданско‑правового характера как физическое лицо. Но выгоднее быть самозанятым или ИП.
ИП проходят государственную регистрацию, выбирают систему налогообложения и платят страховые взносы.
Самозанятость проще. Она подходит тем, у кого уже есть основная работа, а багхантинг занимает свободное от нее время. Тут есть существенные плюсы:
- Простое и быстрое оформление при помощи платежного провайдера «Консоль» займет всего 10 минут. Подробное описание процесса — в блоге платформы.
- Для получения выплат подойдет обычный счет в банке — специальный расчетный счет не нужен.
- Процесс уплаты налога автоматизирован благодаря интеграции с «Консолью».
Если изначально вы зарегистрировались в «Консоли» как физическое лицо, а позже решили получать вознаграждение в другом статусе, не нужно удалять аккаунт или учетную запись. Дополнительное заявление на смену налогового статуса тоже писать не нужно. А вот обратиться в поддержку стоит. Опишите ситуацию, укажите Ф. И. О., отправьте письмо на почту bb@bi.zone или сообщение в Telegram @BizoneBugBountySupport. Мы поможем.
В целом на нашей площадке процесс получения вознаграждения за баг выглядит так:
- Вы находите баг и через платформу отправляете компании репорт.
- Компания подтверждает баг и назначает награду в зависимости от его критичности.
- Когда вы получаете уведомление о том, что компания готова выплатить вам баунти, регистрируетесь в сервисе «Консоль» и указываете реквизиты счета. Сделать это можно через настройки профиля на платформе или по ссылке.
- После того как платежный провайдер вас верифицирует, вы через «Консоль» подписываете договор с BI.ZONE Bug Bounty, а также акт выполненных работ.
- Выплата оказывается у вас на счете (обычно в течение 30 часов), а узнаете вы об этом (и не только) благодаря push-уведомлениям.
Нет предела совершенству. Мы стараемся рассказать все, но если вы прочитали наши рекомендации и не нашли ответ, то напишите в поддержку на почту bb@bi.zone или в Telegram @BizoneBugBountySupport.