最后更新时间:2023-09-18
《天翼云渗透测试服务协议》由用户(“甲方”)与天翼云科技有限公司(“乙方”)共同签订。乙方按照本协议的约定,通过中国电信天翼云官网平台(网址:www.ctyun.cn)向甲方提供渗透测试服务。甲方应当按照本协议约定使用本服务。
甲方使用渗透测试服务之前,应当认真阅读本协议的全部内容。甲方点击同意的,视为甲方同意并接受本协议的全部内容,本协议即构成甲乙双方之间有约束力的法律文件。如果甲方不同意接受本协议,请勿使用渗透测试服务。
一、定义
1.1“天翼云渗透测试服务”(以下又称“本服务”)是指通过人工模拟黑客攻击的方式,以黑客的思路对应用系统进行非破坏性的入侵,相对于扫描工具而言,人工渗透测试能够更深层次的发现漏洞扫描工具所不能判断的安全漏洞,甚至实现扫描工具没法完成的上传漏洞,提权等操作。
1.2“管理控制台”是指乙方通过天翼云平台为甲方提供的对其账户已订购的产品进行管理、维护的服务系统平台。“管理控制台”是指http://www.ctyun.cn/vmcontrol/control。
1.3“故障受理”是指甲方在使用乙方渗透测试服务过程中,出现影响业务使用的情况时,甲方通过乙方提供的客户服务热线进行申告或投诉并得到乙方的回复。
1.4“非故障受理”是指甲方在使用乙方渗透测试服务过程中,遇到不影响业务使用的问题时,通过乙方提供的客服热线向乙方咨询、申告或投诉并得到乙方的回复。
1.5“响应时间”是指自乙方收到甲方咨询、申告或投诉后,由乙方作出回复的时间。
1.6“本网站”或“天翼云平台”是指中国电信天翼云官网平台(网址:www.ctyun.cn)。
1.7“本协议”包括《渗透测试服务协议》正文、附件以及所有乙方已经发布的或将来可能发布的关于本服务的规则、通知、公告等(统称“服务规则”)。所有服务规则为本协议不可分割的组成部分,与协议正文具有同等法律效力。
1.8“《用户协议》”指甲方注册本网站账户时与乙方签订的《中国电信天翼云用户协议》。
二、服务内容
2.1乙方依据本协议约定向甲方提供渗透测试服务。本服务的具体内容,以本网站展示并经甲方申请而由乙方实际向其提供的服务为准。乙方有权不断更新服务内容。
2.2服务前提: 为使用本服务,甲方应当首先满足以下全部条件:
(1)同意并接受《用户协议》,成功注册成为本网站的用户,且在本协议签订时及履行过程中持续拥有合法有效的本网站用户账户;
(2)同意并接受本协议;
(3)按照本网站服务规则申请使用本服务;
(4)按照本协议约定提交相应资质文件且经乙方审核通过;
(5)本协议规定的其他业务使用前提条件。
三、服务费用
3.1甲方使用本服务,应当按照本协议约定向乙方支付服务费用。本服务为次数扫描服务,按照扫描次数进行计费。
3.2本服务项下具体服务类型及对应的服务费用以本网站服务规则及本服务订购页面列明公示的信息为准,甲方可自行选择具体服务类型,并应按照本网站上现时有效的价格体系支付相应服务费用。
3.3甲方可使用【账户余额或代金券(代金券的发放及使用,以乙方另行制定代金券规则为准)】向乙方支付费用。甲方应保证账户内的余额充足,并在订购本服务、生成订单后,于48小时内完成支付。对于逾期未完成支付的订单,乙方有权自行取消。
3.4甲方购买本服务需要乙方开具发票的,应于订购本服务时,在本网站产品订购界面上申请开具发票,并按格式和要求填写付款单位、款项、发票类型及邮寄地址;乙方依法为甲方开具并邮寄相应金额的发票;甲方使用代金券支付部分对应的金额,乙方不提供发票;乙方将在订单支付成功后第8日起应甲方要求为甲方开具发票。
3.5甲方对应支付费用有异议的,应当以【书面】方式向乙方提出核对申请。经双方确认核对确有错误的,乙方应对相应费用予以调整。
四、服务开通
4.1甲方支付费用、成功购买所订购的服务后,乙方为甲方开通并提供相应渗透测试服务。服务开通后,甲方可登录本网站,在管理控制台完成渗透测试服务相关配置的操作。
4.2甲方应保持账户余额充足以确保服务的持续使用。甲方账户余额不足,乙方有权终止为甲方提供服务。
五、用户服务保证
5.1乙方为甲方提供客户服务的服务热线:400-810-9889。
5.2乙方为甲方提供售后服务的时间:7天×24小时。
5.3乙方为甲方提供故障受理后响应时间不超过30分钟;非故障受理后响应时间不超过12小时。
六、技术支持保证
6.1乙方对甲方进行故障受理或非故障受理后,根据具体情况和甲方需求,为甲方提供技术支持保证。乙方工程师服务时间为5天×8小时。
6.2 乙方安全专家将对甲方授权渗透测试的目标系统进行深入的探测,以发现系统最脆弱的环节和可能被利用的入侵点,必要情况下可能获得目标系统最高权限以说明问题。为避免导致目标系统的不正常行为及影响正常的应用,乙方安全专家只是从技术层次对目标系统进行测试,不使用社会工程等非技术性手段与权限提升措施(包括且不限于病毒、木马、后门程序、rootkit等)。
6.3 鉴于安全攻防技术的不断创新与变化,乙方在渗透测试过程中难于穷尽所有的入侵测试手法,甲方认可乙方提供并实施的渗透测试方案、技术手段以及渗透测试结束后提交的报告,也理解渗透测试服务具有时效性,当次渗透测试完毕后,甲方设备/系统出现新的安全问题或攻击情况的,乙方不承担责任。
6.4 鉴于操作系统及其他应用产品厂商技术的复杂性,乙方在渗透测试过程中充分与甲方沟通预先制定风险规避策略,尽可能避免测试过程中出现异常情况。为了保证业务连续性,甲方应做好数据备份及制定恢复计划。乙方在测试中如接到甲方反馈系统出现异常情况,应立即停止测试并报告甲方,但乙方对上述异常情况不承担责任。
6.5 乙方在渗透测试过程中,不能破坏、修改、删除客户系统中的文件、数据等,如某项测试有可能导致以上后果,应提前向甲方做详细的说明,经甲方同意后方可实施该项测试。
6.6 为保障客户网站的正常运营,乙方应在与甲方约定的时间实施渗透测试,每次只对甲方指定的网站进行测试,在每次开始测试前,应先通知甲方做好准备。
6.7 甲方享有渗透测试过程和结果的知晓权。在渗透测试服务结束后,乙方将向甲方提交当次的渗透测试报告,并对渗透测试结果进行讲解和说明,并在提交报告后的3个工作日内就甲方疑问进行解答。
七、甲方的权利和义务
7.1甲方保证其使用本服务的各项行为均符合国家法律法规的规定,合法真实且不侵害任何第三方的合法权益。
7.2甲方保证,除且仅除法律明确允许的活动以外,甲方不得逆向工程、反编译或反汇编本服务。
7.3甲方使用本服务时,应当做好数据备份并承担由其自身原因造成的数据丢失、遗漏、毁损的风险,乙方对此无需承担责任。
7.4甲方应当向乙方提供必要技术参数,包括但不限于IP地址段及对应的应用类型、服务器相关参数、组网结构和网络资源等情况,积极配合乙方完成渗透测试服务的实施、调测,以确保本服务的正常实施。
7.5如甲方违反在本协议及用户协议任一项保证的,包括但不限于在本协议签订时不具备开展业务所需的全部资质许可、履行相关手续,或在本协议有效期内丧失全部或部分资质许可的,乙方有权暂停提供渗透测试服务,并要求甲方在限期内改正;如甲方在限期内未改正的,乙方有权终止本协议,并不承担任何责任。甲方应当承担违约责任,并赔偿乙方的相应损失。
7.6甲方理解并同意,渗透结果以渗透时的系统实时状态为准;渗透开始前,甲方应向乙方提供明确的书面授权,及真实、合法、准确的被测试系统IP地址、域名等相关信息;同时,甲方应允许乙方在测试过程中对所获取的信息进行必要的记录。
7.7 本产品一经订购立即生效,除不可抗力因素之外,不支持退订。
八、 协议期限及终止
8.1本协议自用户购买或申请开通产品成功之日起生效,至甲方订购服务完成时终止,甲乙双方另有约定的除外。
8.2经双方协商一致的,可提前终止本协议。
8.3乙方在下述情形下,有权终止本协议:
8.3.1依据法律法规或政府机关的要求;
8.3.2乙方认为继续向甲方提供服务将会对乙方造成巨大的经济或技术负担或重大安全风险的;
8.3.3由于任何法律或政策变动原因造成乙方继续向甲方提供服务不实际可行的;
8.3.4甲方不按时足额支付相关费用的;
8.3.5甲方违反本网站《互联网云服务用户入网责任书》、《网络信息安全承诺书》、《法律声明》;
8.3.6甲方不再具备本协议第2.2条约定的任一服务前提条件;
8.3.7甲方违反本协议其他条款的。
8.4如本协议中的任何条款无论因何种原因完全或部分无效或不具有执行力,本协议的其余条款仍应有效并且有约束力。
九、其他
9.1本协议终止的,不影响甲乙双方之间《用户协议》的效力。若甲乙双方之间《用户协议》终止,则本协议自动终止。
9.2本协议未约定的,双方应当同时遵守《用户协议》的约定;本协议与《用户协议》就同一事项的约定存在冲突的,以本协议为准。
9.3本协议正文与附件具有同等法律效力。如果正文与附件有冲突的,以【协议正文】为准。