Loading...
ru

Получение средств от Bug Bounty и легализация в РФ | Форум

Дмитрий Учакин
Дмитрий Учакин Нояб. 29 '16
Последнее время популярность платформ Bug Bounty среди ИБ растет. Самые популярные платформы - HackerOne и Bugcrowd. Прочитав немало материалов по этой теме, у меня возник вопрос - на сколько реально легально получать деньги с таких платформ? Гугл на этот вопрос не отвечает, максимум показывает обсуждения с форумов, где люди ничего полезного не говорят.


Сразу приведу цитату из хелпа hackerone:


"All payments will be made in U.S. dollars (USD) and will comply with local laws, regulations and ethics rules. You are responsible for the tax consequences of any bounty you receive, as determined by the laws of your country.It is your sole responsibility to comply with any policies your employer may have that would affect your eligibility to participate in this bounty program."


Т.е. мы платим деньги, а вы уже как-нибудь сами решайте свои проблемы, налоги, доходы и прочее.
Как я понимаю, схема работы следующая: Нашел что-нибудь -> зарепортил -> репорт одобрили (допустим) -> тебе перевели награду.


Вроде бы все хорошо на первый взгляд, но если рассматривать такие программы как постоянный заработок, то по закону вы обязаны предоставлять сведения о доходах в соответствующие органы. Некоторые могут подумать - "Мне же переводят деньги на мой личный счет и как могут узнать обо мне?", как раз на практике контролирующие органы получают такую информацию как раз от банков.


Я понимаю, что за 300-400$ и даже за 1000-2000$ вряд ли кого-то сразу же заинтересует, а также если иной раз по фану зарепортить/потренироваться/получить опыт, тогда вопрос: когда заинтересует? 

Возможно кто-нибудь предложит открыть ИП. В таком случае при постоянном заработке нужно будет обосновать кто и за что. Не думаю, что формулировка "консультирую компании по вопросам ИБ" и "забыл, не знал, не читал" прокатит, ведь в большинстве случаев никакого договора не заключается.


П.с. Также можно подумать об "интересных" вариантах ;)

Сообщение отредактировал(а) Дмитрий Учакин Нояб. 29 '16
Поделиться:
Павел Кульков
Павел Кульков Нояб. 30 '16

Вполне сносная статья на эту тему http://kakzarabativat.ru/...ya-uznaet-o-doxodax/


"Суть в целом такова: банк обязан сообщать о подозрительных операциях по счетам. Предельной суммой, на которую обращают внимание, установлена сумма в размере 600 тыс. рублей. Вызвать подозрения может единовременный перевод в размере от этой суммы, несколько переводов подряд (когда всю сумму разбивают на несколько платежей), подозрительное поведение клиентов и другие моменты. В принципе, если вы не занимаетесь подобными незаконными делами, то бояться вам совершенно нечего."



Дмитрий Учакин
Возможно это относится к переводам внутри РФ. Как правило bug bounty это иностранные компании и с систематическими переводами из-за границы может быть другая сумма, чтобы обратили внимание. 

Рекомендации по открытию ИП это хорошо, но как без официального договора обосновывать такие переводы средств также непонятно. 

Возможно я параноик, но по-моему ИБ и неизвестные иностранные переводы из-за границы выглядят как минимум подозрительно. Как показывает практика, если самим не предоставить нормальные основания для таких действий, то их предоставят за Вас и чаще всего не в Вашу пользу.

Павел Кульков
Я проконсультировался у знакомого юриста из компании Абонент Консалт.


Мне дали достаточно развернутый ответ. Основная часть в приложенном файле. 


Ну и коротко комментарий:

Общий подход практики таков, что если вы коммерс, то у вас должны быть:
1) разные заказчики

2) рекламные объявления

3) факультативно могут быть работники
Если первые два пункта налоговая обнаружит (по заявлению доброжелателей, например), то могут привлечь к ответственности.Если у вас разовые заработки как у физического лица, то рисков почти нет.


В целом я понял, что нужно оформить ИП или ООО и не участвовать в политической игре, чтобы не сойти за иностранного агента.

Сообщение отредактировал(а) Павел Кульков Дек. 2 '16
Присоединённые файлы:
  По вопросу BB-вознаграждений.doc (43Kb)
Павел Кульков
Павел Кульков Март 17 '17

В продолжение юридической темы  поиска уязвимостей.  Журнал Хакер выпустил статью на тему "Ответы юриста. Что нужно знать хакеру для участия в Bug Bounty на своих условиях"


https://xakep.ru/2017/03/16/lawyer-answers-bug-bounty/

Сообщение отредактировал(а) Павел Кульков Март 17 '17
Дмитрий Учакин
Дмитрий Учакин Март 21 '17
Статья дает мало ответов на многие вопросы. Тема налогообложения баг хантеров так и неизвестна. Зато в статье есть другая полезная информация насчет соблюдения оферты.


Ответы юриста: как избежать ответственности за поиск уязвимостей 


https://xakep.ru/...esponsibility-howto/

Павел Кульков
Павел Кульков Март 22 '17
Отличное дополнение к теме!
Цитата пользователя Дмитрий Учакин Статья дает мало ответов на многие вопросы. Тема налогообложения баг хантеров так и неизвестна. Зато в статье есть другая полезная информация насчет соблюдения оферты.


Ответы юриста: как избежать ответственности за поиск уязвимостей 


https://xakep.ru/...esponsibility-howto/


Павел Кульков
Павел Кульков Апр. 20 '17

Ответы юриста. Что нужно знать хакеру для участия в конкурсных Bug Bounty


https://xakep.ru/2017/04/20/bug-bounty-contest-faq/
Сообщение отредактировал(а) Павел Кульков Апр. 20 '17