Андрей Левкин — руководитель платформы BI.ZONE Bug Bounty. При запуске платформы перед ним встала задача выстроить систему оплаты услуг багхантерам. Мы попросили Андрея рассказать, какие решения он принимал, чтобы наладить выплаты по исполнителям и при этом освободить бухгалтеров от ручной работы.
Привет, я Андрей Левкин — руководитель платформы BI.ZONE Bug Bounty
BI.ZONE Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Компании размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом выбирают интересные для себя программы, ищут уязвимости и получают денежное вознаграждение за подтвержденные баги.
Наши компании, которые запускаю программы на платформе — это более 50 крупных компаний в сфере финтех, ИТ, госсектор, маркетплейсы. Они выставляют на платформе задания на поиск уязвимостей в своих программах, а исследователи тестируют предложенные ресурсы. За каждую найденную ошибку багхантеры, получают вознаграждение. Суммы отличаются в зависимости от компании и типа уязвимости: низкий, средний, высокий или критический.
Наши исследователи — специалисты по информационной безопасности, эксперты в направлении Offensive Security, наступательной кибербезопасности. Они сами выбирают интересные для них компании и скоуп.
Если багхантер принимает задание от компании, он старается своими действиями вызвать нарушение в работе ресурса клиента. Например, попасть в кабинет пользователя и собрать его данные или совершить действия: сделать от его имени заказ, перевести деньги.
Когда исследователь находит уязвимость, он составляет подробный отчет. В отчете багхантер описывает каждое действие, которое привело к уязвимости. К отчету он может приложить скриншоты. Готовый документ исследователь размещает на платформе BI.ZONE Bug Bounty в задании клиента. Компания рассматривает отчет и назначает исследователю фиксированное вознаграждение.
На платформе нужно было выстроить систему оплаты
BI.ZONE не является финансовой организацией. У нас нет своего процессинга — сервиса по обработке данных для платежных операций. Необходимо было выстроить систему, как формировать договоры, акты, подписывать и проверять документы исполнителя перед оплатой услуг. Когда мы запускали BI.ZONE Bug Bounty, было ясно, что в конце каждого проекта исследователям нужно оперативно выплачивать вознаграждения. А как это делать, было непонятно. И я принялся решать основную задачу — наладить оплату услуг для багхантеров.
Вместе с бухгалтерами мы рассчитали, сколько бы времени у нас ушло на ручные выплаты. Поняли, что это заняло бы больше недели. Так как количество клиентов измеряется десятками, а количество уязвимостей — тысячами, по каждому проекту пришлось бы нанимать отдельного специалиста:
Запросить у багхантера фото, паспортные данные, банковские реквизиты, справку НПД, ИНН, СНИЛС. Большинство наших исследователей регистрируются на платформе под никнеймом, поэтому нам важно подтвердить личность человека;
подписывать договоры и акты через ЭДО;
руками вбивать в платежные поручения расчетные счета и номера карточек исследователей.
Вариант оплачивать услуги багхантерам вручную нас не устроил. Мы стали искать сервисы, банки, которые могли бы оптимизировать выплаты. Еще до запуска платформы мы проанализировали рынок и остановились на Консоли.
Консоль взяла на себя все этапы оплаты
Прежде чем перейти в сервис, мы сравнивали ее с аналогичными платформами и банками. Честно признаться, первое что нас привлекло в Консоли — процентная ставка. Она была меньше, чем у остальных платформ и банков.
После встречи с представителями Консоли мы поняли, что получаем конкурентное преимущество среди других платформ. Консоль взяла на себя все этапы оплаты. Мы не тратим время на проверку статусов исполнителей, подтверждение личности, сбор и систематизацию документов. А главное — у нас самые быстрые выплаты по сравнению с другими площадками bug bounty.
Проверяет исполнителя
Нравится, что в сервисе есть функция верификации пользователя (KYC). Во время регистрации исполнитель загружает в Консоль свое фото, СНИЛС и другие документы. Так платформа проверяет, что по ту сторону экрана сидит живой человек. Еще крутая фича — авторизация по Сбер ID или T ID, так регистрация проходит еще проще.
Перед каждой оплатой услуг платформа проверяет статус исполнителей. Если исполнитель по какой-то причине перестал быть самозанятым или ИП, Консоль не проведет оплату. Эта функция освобождает бухгалтеров от ручной работы, защищает компанию от юридических рисков и помогает нашим багхантерам.
Бухгалтеры не тратят время и силы, чтобы вбивать данные по каждому исполнителю на сайте налоговой. Компания защищена от переквалификации отношений и штрафов. Исполнители тоже могут контролировать свой статус и избежать штрафов от налоговой.
Еще перед оплатой Консоль проверит, все ли документы исполнитель подписал: договоры, акты. С платформой мы уверены, что все отчетные документы для бухгалтерии точно будут в наличие.
Подписывает акты
Учитывая, что все наши исполнители оказывают услуги дистанционно по всей стране, получить от них подписанные акты быстро было бы практически невозможно. С Консолью бухгалтерия проводит этот этап оплаты за две минуты. Мы формируем пачку актов и выгружаем на платформу. Консоль рассылает документы для подписи в личные кабинеты исполнителей. В своих кабинетах багхантеры подписывают акты с помощью электронной подписи.
Быстро проводит выплаты и формирует чеки
Часто на площадках bug bounty выплаты происходят в конкретные дни или периоды. Поэтому этот процесс занимает до 2–3 недель и больше. С Консолью мы оплачиваем услуги исполнителей всего за 30 часов с момента верификации отчета. Благодаря такой быстрой оплате мы получаем мгновенную позитивную реакцию от багхантеров.
После каждой выплаты Консоль автоматически формирует чеки самозанятых. Бухгалтерии не нужно переписываться с исполнителями и просить их прислать чек вручную.
Сервис заточен под клиента. В компании часто бывают ивенты — мероприятия, где присутствуют багхантеры и самые крупные компании. В одном из таких ивентов участвовало порядка 40 исследователей, которым нужно было выплатить более 13 000 000. Мы понимали, что превышаем лимит. Консоль пошла нам навстречу и по нашему запросу увеличила его.
Интегрирует все данные в «1С»
Чтобы бухгалтеры не переносили вручную документы из платформы в программу «1С», специалисты Консоли настроили интеграцию по API. Все договоры, акты и банковские выписки теперь попадают в программу автоматически.
Как итог мы получили удобный сервис, который обеспечивает безопасность со стороны ФНС и для нас, и для наших клиентов. Плюс, исполнители получают выплаты быстро, им не нужно зацикливаться на том, как подписывать и отправлять документы.
Популярное по теме за месяц
Может ли программист быть самозанятым
Автопринятие заданий, шаблоны договоров и пин-коды без СМС
Какие данные передают ИФНС в межведомственные комиссии по нелегальной занятости
