Ожидание багхантера: компании повально выпускают программы bug bounty — только успевай чекать скоуп, находить баги и следить за СМС о поступлении выплат.

Реальность: выход компании на bug bounty пока что занимает много времени, а вознаграждения получить сложно — сплошные бумажки, ожидание ответа неделями и порезанные налогами выплаты.

Но есть вариант, как приблизиться к ожидаемому. В августе мы зарелизили собственную платформу для поиска уязвимостей BI.ZONE Bug Bounty. Вы уже можете искать баги в VK, еще несколько компаний разместят свои программы совсем скоро.

Поговорим о том, как автоматизация выплат и самозанятость позволят получать вознаграждения быстро и с максимальной выгодой. 

Про автоматизацию выплат

Часто на площадках bug bounty проводят выплаты по определенным дням или с какой-то периодичностью — иногда процесс занимает до 2–3 недель и больше. Это связано с тем, что для обработки финансовых документов требуется много труда и расписание позволяет его упорядочить.

Если площадка использует электронный документооборот, срок выплаты вознаграждений сокращается. Например, BI.ZONE Bug Bounty интегрирована с сервисом «Консоль». Благодаря этому все выплаты на нашей платформе автоматизированы и обычно проводятся в течение 2–5 дней после подтверждения уязвимости компанией. Необходимые документы оформляются также в «Консоли» — больше нет необходимости тратить время на бумажную работу. А следить за всеми обновлениями можно по СМС-уведомлениям от «Консоли».

«Консоль» — платформа, которая автоматизирует работу с самозанятыми, ИП и работниками на договоре ГПХ. BI.ZONE Bug Bounty интегрирована с сервисом «Консоль», чтобы багхантеру было удобно получать выплаты.

Как выглядит процесс получения выплат на нашей платформе:

1. Багхантер находит уязвимость.

2. Багхантер регистрируется в сервисе «Консоль» и указывает реквизиты своего счета.

3. Компания подтверждает уязвимость и назначает вознаграждение.

4. Багхантер и компания подписывают договор и акт.

5. Багхантер получает вознаграждение обычно в течение 2–5 дней.

Про преимущества самозанятости

С вознаграждения за найденные баги по нормам законодательства РФ надо платить налоги. Их размер зависит от выбранного налогового статуса — физлицо, самозанятый или ИП. А возможности сотрудничества с багхантерами в разных налоговых статусах определяются тем, как платформа организует выплаты — через конкурс или через оферту.

Оферта — это предложение совершить сделку, содержащее все ее существенные условия.

Это работает так: одно юридическое лицо предлагает неограниченному кругу лиц заключить сделку. Главное — определить в оферте ключевые условия, чтобы было понятно: что предлагается, когда, по какой цене и т. п.

Конкурсом считается процесс определения лучшего претендента на победу (конкурсанта) или лучших претендентов на победу (конкурсантов) в соответствии с правилами, определенными перед началом проведения процесса.

В случае конкурса площадки bug bounty могут работать только с исследователями, чей налоговый статус — физлицо. На платформе BI.ZONE Bug Bounty выплаты реализованы посредством оферты — и это позволяет нам сотрудничать с багхантерами во всех трех налоговых статусах. На нашей платформе оптимальный способ получения вознаграждений — в статусе самозанятого.

Самозанятый — это человек, который платит налог на профессиональный доход (НПД). Он работает на себя, сам ищет заказчиков, проекты и получает доход от личной трудовой деятельности. Ему не нужно дополнительно отчислять подоходный налог или налог на прибыль.

Для багхантера статус самозанятого обладает рядом преимуществ по сравнению со статусами физлица и ИП.

Преимущества самозанятости для багхантера на нашей платформе:

• Основное и самое главное: самозанятый имеет более выгодную налоговую ставку (6%) по сравнению со статусом физлица (13% для резидентов РФ или 30% для нерезидентов).

• Подходит тем, кто уже имеет основную работу и хочет заниматься багхантингом в дополнение к ней.

• Позволяет зарабатывать до 2,4 млн рублей в год. Если ваше вознаграждение в качестве багхантера превышает эту сумму, можно оформить ИП, чтобы сохранить минимальную налоговую ставку.

• Простое и быстрое оформление: достаточно зарегистрироваться на «Консоли», ввести необходимые данные и дождаться подтверждения — это займет всего 10 минут. 

• Для получения выплат подойдет обычный счет в банке — специальный расчетный счет не нужен.

• Процесс уплаты налога автоматизирован благодаря интеграции с «Консолью».

Подробнее о том, как оформить статус самозанятого, можно прочитать здесь, а о том, как платить налоги самозанятым, — здесь.

«На международных площадках, таких как HackerOne и Bugcrowd, для получения вознаграждения багхантер обычно подписывал соглашение, что выплатит налоги самостоятельно в своей стране. Также он указывал реквизиты и выбирал способ оплаты: банковский перевод, криптовалюта, PayPal. Доход, полученный из иностранного государства, нужно было самостоятельно задекларировать и выплатить за него налог 13% или 6% в зависимости от статуса — физлицо или ИП.

На своей площадке мы постарались сделать так, чтобы у багхантеров была возможность получать вознаграждения с минимальными налоговыми отчислениями просто и быстро — и эту возможность предоставляет именно статус самозанятого»

Сергей Колесников, тимлид BI.ZONE Bug Bounty

На нашей платформе багхантеры также могут получать выплаты как физлица и ИП, но здесь есть свои особенности, которые стоит учитывать.

Чтобы работать с физлицами, мы заключаем договор ГПХ. В этом случае из суммы вознаграждения багхантера удерживаются: для резидентов — налог 13% и комиссия 33%, для нерезидентов — только налог 30%. Комиссия необходима, чтобы автоматизировать процесс выплат.

Индивидуальный предприниматель (ИП) — это физическое лицо, которое вправе вести предпринимательскую деятельность без образования юридического лица. Статус ИП похож на статус самозанятого: размер налога составляет те же 6% и вы платите его самостоятельно. В отличие от 2,4 млн рублей в год для самозанятых, здесь нет лимита на сумму вознаграждений, однако вам потребуется пройти государственную регистрацию, выбрать подходящую систему налогообложения и платить страховые взносы.

Вывод

Автоматизация выплат на площадке упрощает и ускоряет процесс получения вознаграждения для багхантера с 2–3 недель до 2–5 дней.

Статус самозанятого позволяет независимым исследователям получать вознаграждения с максимальной выгодой. Если вы сейчас получаете вознаграждения как физлицо — советуем к нему присмотреться, чтобы сократить размер выплачиваемого налога. А если у вас уже оформлен статус ИП — вы можете использовать его преимущества и так же получать выплаты на нашей платформе с минимальной налоговой ставкой в 6%.