版本生效日期:2024-06-30
《天翼云漏洞管理服务协议》由用户(“甲方”或“客户”)与中国电信(“乙方”)共同签订。乙方按照本协议的约定,通过天翼云国际站官网平台(网址:www.esurfingcloud.com,又称“本网站”或“天翼云”)向甲方提供天翼云漏洞管理。甲方应当按照本协议约定使用本服务。
甲方使用天翼云漏洞管理之前,应当充分阅读、理解并同意接受和遵守本协议。甲方通过点击同意,或以任何方式实际使用天翼云漏洞管理的,视为甲方同意并接受本协议的全部内容,本协议即构成甲乙双方之间有约束力的法律文件。如果甲方不同意接受本协议,请勿使用天翼云漏洞管理。
1 产品和服务说明
1.1 乙方根据本协议约定,向客户提供天翼云漏洞管理(“本服务”),是专为天翼云客户打造的多功能漏洞扫描产品。包含网络主机和Web应用的安全漏洞扫描,以及安全配置核查功能。该产品高效、全方位检测网络中的各类脆弱性风险,具有丰富的漏洞、配置知识库,提供专业有效的安全分析和修补建议。
2 服务内容
2.1 乙方依据本协议约定向甲方提供天翼云漏洞管理。本服务的具体内容,以本网站展示并经甲方申请而由乙方实际向其提供的服务为准。乙方有权不断更新服务内容。
2.2 服务前提:为使用本服务,甲方应当首先满足以下全部条件:
2.2.1 同意并接受《天翼云国际站官网用户协议》,成功注册成为本网站的用户,且在本协议签订时及履行过程中持续拥有合法有效的本网站用户账户;
2.2.2 同意并接受本协议;
2.2.3 同意并接受《天翼云国际站官网服务协议》及《天翼云国际站官网隐私声明》;
2.2.4 按照本网站服务规则申请使用本服务;
2.2.5 在本协议签订时及履行过程中,已经依照相关国家或地区规定获得并持续具备合法经营所需的全部资质或政府审批手续,按照本协议约定提交相应资质文件且经乙方审核通过;
2.2.6 甲方应获得并持续具备的有关许可或批准,包括但不限于以下内容:
2.2.6.1 开办网站的,须保证所开办的全部网站均获得相关国家有关部门的许可或批准;
2.2.6.2 提供非经营性互联网信息服务的,必须办理非经营性网站备案,并保证所提交的所有备案信息真实有效,在备案信息发生变化时及时在备案系统中提交更新信息;
2.2.6.3 网站提供经营性互联网信息服务的,还应自行在当地通信管理部门取得经营性网站许可证;
2.2.6.4 提供BBS等电子公告服务的,也需根据相关法规政策要求备案或获得相应批准;
2.2.6.5 经营互联网游戏网站的,应依法获得网络文化经营许可证;
2.2.6.6 经营互联网视频网站的,应依法获得信息网络传播视听节目许可证;
2.2.6.7 从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法律、行政法规以及国家有关规定须经有关主管部门审核同意,在申请经营许可或者履行备案手续前,应当依法经有关主管部门审核同意。
2.2.6.8 以上列举并不能穷尽甲方进行经营或非经营活动所需许可或批准的全部类型,甲方应获得有关的许可或批准,并应符合国家及地方不时颁布相关法律法规要求。
2.2.7 本协议规定的其他业务使用前提条件。
3 服务开通
3.1 甲方在仔细阅读所购服务对应的服务规则后,根据自身需求,自行通过本网站在线选购所需服务,或由客户经理在受理台协助开通。服务开通后,甲方可登录本网站,完成天翼云漏洞管理相关配置和操作。
3.2 本协议正文、附件、服务规则、网站相关页面上的服务说明、价格说明、订购页确认条款等存在不一致的内容时,以(1)网站相关页面上的服务说明、价格说明、其他订购页面确认条款,(2)服务规则,(3)本协议正文,(4)本协议附件的顺序予以适用。
4 服务费用
4.1 天翼云漏洞管理支持包月/包年计费方式,客户应当按照订购页面提示及本协议约定向乙方支付服务费用,乙方保留随时更新价格及支付方式的权利,更新时将在天翼云国际站官网平台上公告。
4.2 资源到期/删除与欠费处理
4.2.1 甲方选择包月/包年式服务的,如果甲方拟在服务期限届满后继续使用天翼云漏洞管理的,客户应当及时续订和续费。否则,乙方将在服务期限届满时暂停客户就该漏洞管理服务实例的操作权限、冻结资源。
4.2.2 服务期限届满后或服务期提前终止后(包括双方协商一致提前终止,其他原因导致的提前终止等),乙方将保留该漏洞管理服务实例资源(“实例资源”)十五(15)自然日(即自操作权限被暂停之日的暂停开始时刻至第十五(15)自然日相同时刻为期限届满);如前述十五(15)自然日届满仍未续订和续费,乙方有权在前述期届满时立即释放客户的实例资源,并删除实例数据,实例数据删除后不可恢复。
4.2.3 为免生疑问,此处所提及的“实例资源”指底层资源、源库信息或目标库信息及客户数据在内的一系列集合数据;“实例数据”是指包括但不仅限于部署的机器、规格、有效期。
5 服务规范
5.1 甲方理解并同意,使用本服务是甲方自行独立审慎判断的结果,客户应当对客户自行判断结果或自行操作的行为负责
5.2 甲方完成订购后,乙方为甲方开通并提供漏洞管理。开通完成后,甲方即可登录本网站在管理控制台进行漏洞管理相关配置和操作。
5.3 甲方应当向乙方提供必要技术参数,包括但不限于IP地址段及对应的应用类型、服务器相关参数、组网结构和网络资源等情况,积极配合乙方完成漏洞管理服务开通、调测及维护,以确保本服务的正常运行;
5.4 甲方理解并认可,服务开通后,为技术升级、服务体系升级、或因经营策略调整或配合国家重大技术、法规政策等变化,天翼云不保证永久的提供某种服务,并有权更新所提供服务的形式、规格或其他方面(如服务的价格和计费模式)。在终止该种服务或进行此种变更前,乙方将尽最大努力且提前以网站公告、站内信、邮件或短信等一种或多种方式事先通知客户。
5.5 甲方理解并同意使用本服务时,应当自行负责操作以完成数据备份并承担由其自身原因造成的数据丢失、遗漏、毁损或数据泄漏所引起的任何损失和后果,甲方理解并同意乙方对此无需承担责任;
5.6 甲方对自行操作的行为负责;
5.7 如甲方在使用天翼云漏洞管理时同时使用了云主机、云硬盘等其他天翼云服务(除非双方另有约定)的,甲方应当按照相应的服务费用标准向乙方支付服务费用,并遵守相应的服务条款。
5.8 甲方理解并同意,本服务需要对约定的网站、主机等资产进行漏洞扫描测试,收集必要的数据进行分析,并提供修复建议。使用服务前甲方需保证已阅读并详细了解服务的全部内容和漏洞扫描细节。甲方应仔细阅读漏洞扫描服务的指引和说明,自行判断漏洞扫描服务与服务的适配性,并依照相关操作指引进行操作。
5.9 甲方通过漏洞扫描服务对甲方的指定主机/Web服务(下简称目标资产)进行扫描检测等操作时,需保证有合法权利针对目标资产进行扫描探测,目标资产均为甲方所有或拥有相应授权。甲方违反前述承诺或相关法律规定导致的全部后果和责任,均由甲方自行承担,且乙方有权立即停止提供相关工具和服务。
5.10 甲方理解并同意,漏洞扫描将对目标资产的全部端口进行扫描探测。您同意授权乙方出于本服务目的,收集和使用您的信息,包括用于登录网站或主机的的用户名、密码等。
5.11 甲方授权乙方通过甲方提供的上述验证信息登录目标资产,收集系统账户、操作系统版本、软件版本、进程、端口及系统日志相关的安全特征信息,用于相关漏洞分析或配置核查工作。
5.12 本服务在对目标资产进行漏洞扫描时,会发出一系列的探测数据包。探测数据包可能被天翼云内其他安全服务,第三方安全服务以及其他互联网服务提供商(ISP)识别为有害流量。甲方使用本服务过程中,需本着审慎且必要的原则对目标资产展开探测,尽量减少对其他服务及天翼云基础设施的影响。天翼云有权根据识别到的探测流量情况或收到的投诉,对甲方超出合理范围的使用进行限制或停止服务。
5.13 甲方理解并同意,虽然本服务在设计时,已经考虑到最大限度的减少对扫描目标系统的影响,但由于个别系统设计原因,当有探测数据包对这些系统扫描时,可能会引起这些系统的拒绝服务或重启。
5.13.1 乙方建议如目标资产为主备环境系统,建议先备后主的顺序进行扫描;经系统管理员、网络管理员、安全管理员确认,去除容易引发问题的设备;或将虚拟系统进行备份,系统扫描在备份中进行.
5.13.2 若不存在备份环境,建议对目标资产的扫描在不对外提供服务的时间扫描或业务下线的时间扫描,扫描过程中由系统管理员、网络管理员、相关业务人员全程参与,及时应对突发问题。
6 用户服务保证
6.1 乙方为甲方提供客户服务的服务热线:+852 3100 0000。
6.2 乙方为甲方提供客户服务的时间:7天×24小时。
7 技术支持保证
7.1 乙方对甲方进行故障受理或非故障受理后,根据具体情况和甲方需求,为甲方提供技术支持保证。乙方工程师服务时间为7天×24小时。
8 甲方的权利与义务
8.1 甲方有权依照本协议约定使用天翼云漏洞管理并获得乙方的技术支持和售后服务。
8.2 甲方理解并同意,出于甲方数据及系统安全的考虑,甲方需要乙方工程师直接对其漏洞管理进行操作时,甲方应当以邮件、工单、电话等方式进行授权。甲方应当指定唯一的联系人作为授权人(维护人)并由其在需要时授权于乙方,即只有该授权人有权利要求乙方工程师对其服务进行操作。且乙方仅负责操作系统以下的底层部分的运营维护,操作系统及之上部分(如甲方在系统上安装的应用程序)由甲方自行负责。此外,在授权期间甲方未与乙方工程师沟通,自行进行操作而造成业务不可用等风险,由甲方承担。
8.3 如甲方违反在本协议、《天翼云国际站官网用户协议》及《天翼云国际站官网服务协议》任何一项保证的,包括但不限于以下情形,甲方应当承担相应的违约责任:
8.3.1 在本协议签订时不具备开展业务所需的全部资质许可、履行相关手续,或在本协议有效期内丧失全部或部分资质许可的,乙方有权暂停提供云业务服务,并要求甲方在限期内改正;如甲方在限期内未改正的,乙方有权终止本协议,并不承担任何责任。甲方应当承担违约责任,并赔偿乙方的相应损失。
8.3.2 利用天翼云服务上传、下载、储存、发布违反法律法规、部门规章或国家政策的内容,以及侵害他人合法权益的信息和/或其他有损于社会秩序、社会治安、公共道德的信息或内容。
8.3.3 实施博彩有奖、赌博游戏等欺诈、误导性行为,或实施“私服”、“外挂”等侵害他人知识产权或其他合法权益的互联网活动;
8.3.4 实施恶意扫描、非法侵入系统、非法获取数据等破坏或试图破坏网络安全的行为;
8.3.5 通过运行无关程序或故意编写恶意代码导致大量占用服务器内存、CPU或者网络带宽资源的行为;
8.3.6 从事包括但不限于“DNS解析” 、“安全服务”、“域名代理”、“反向代理”等任何可能导致用户自身频繁遭受攻击(包括但不限于 DDoS 攻击),从而对天翼云服务平台或他人产生影响的行为。
8.3.7 甲方理解并充分认可,虽然乙方已经建立(并将根据技术的发展不断完善)必要的技术措施来防御包括计算机病毒、网络入侵和攻击破坏(包括但不限于DDoS)等危害网络安全事项或行为(以下统称该等行为),但鉴于网络安全技术的局限性、相对性以及该等行为的不可预见性,因此如因甲方账户遭遇该等行为而给乙方或者乙方网络或服务器(包括但不限于本地及外地和国际的网络、服务器等)带来危害,或影响乙方与国际互联网或者乙方与特定网络、服务器及乙方内部的通畅联系,乙方有权决定暂停或终止服务,如因甲方原因给乙方带来重大网络事故,乙方将保留向甲方主张赔偿的权利,涉及犯罪的,甲方应依法承担刑事责任。
8.3.8 因上述条款导致乙方终止为甲方提供服务的(因甲方违约的除外),乙方将按照甲方实际使用天数计算服务费用,将剩余款项(如有)返还至甲方天翼云账户。
8.4 甲方应当对其存放在天翼云国际站上的数据以及进入和管理天翼云国际站上各类产品与服务的口令、密码的完整性和保密性负责,并应采取必要、有效的保密和安全保护措施,包括但不限于规范数据访问和账号使用的权限管理、设置高强度密码并定期更换等。因甲方维护不当或保密不当致使上述数据、口令、密码等丢失或泄漏所引起的损失和后果均由甲方承担。
8.5 如涉及中国内地服务, 甲方须依照《网络安全法》、《互联网信息服务管理办法》等法律法规的规定保留其网站的访问日志记录,包括发布的信息内容及其发布时间、互联网地址(IP)、域名等,国家有关机关依法查询时应配合提供。未按规定保留相关记录而引起的相应法律责任由甲方承担。
9 协议期限及中止
9.1 本协议自甲方购买或申请开通产品成功之日起生效,至甲方订购服务期限届满时终止,甲乙双方另有约定的除外。
9.2 经双方协商一致的,可提前终止本协议。
9.3 乙方在下述情形下,有权终止本协议:
9.3.1 乙方自行发现或根据相关部门的信息、权利人的投诉等发现甲方添加或发起扫描的资产未获得合法授权。
9.3.2 依据法律法规或政府机关的要求;
9.3.3 乙方认为继续向甲方提供服务将会对乙方造成巨大的经济或技术负担或重大安全风险的;
9.3.4 由于任何法律或政策变动原因造成乙方继续向甲方提供服务不实际可行的;
9.3.5 甲方不按时足额支付相关费用的;
9.3.6 甲方违反本网站《天翼云国际站官网用户协议》、《天翼云国际站官网服务协议》、《天翼云国际站官网法律声明》及《天翼云国际站官网隐私声明》的;
9.3.7 甲方不再具备本协议第2.2条约定的任一服务前提条件;
9.3.8 甲方违反本协议其他条款的。
9.4 如果乙方因甲方违约而终止本协议,则在不损害其根据本协议或法律享有的其他权利和补救措施的情况下,乙方有权扣压甲方天翼云账户中的剩余金额(如有),以抵销因甲方违约而给乙方造成的任何损失和损害。
9.5 乙方可提前30天在本网站上以发布公告、向甲方发送站内通知或书面通知的方式终止本服务。届时乙方应将甲方已支付但未消费的款项(不计息)退还至甲方天翼云账户。
9.6 如本协议中的任何条款无论因何种原因完全或部分无效或不具有执行力,本协议的其余条款仍应有效并且有约束力。
10 其他
10.1 本协议终止的,不影响甲乙双方之间《天翼云国际站官网用户协议》、《天翼云国际站官网服务协议》及《天翼云国际站官网隐私声明》的效力。若甲乙双方之间《天翼云国际站官网用户协议》、《天翼云国际站官网服务协议》及《天翼云国际站官网隐私声明》终止,则本协议自动终止。
10.2 本协议未约定的,双方应当同时遵守《天翼云国际站官网用户协议》、《天翼云国际站官网服务协议》及《天翼云国际站官网隐私声明》的约定;本协议与《天翼云国际站官网用户协议》、《天翼云国际站官网服务协议》及《天翼云国际站官网隐私声明》就同一事项的约定存在冲突的,以本协议为准。
10.3 最新之《天翼云国际站官网服务协议》版本可于以下链接找到:
https://www.esurfingcloud.com/portal/zh-cn/protocol/20685742
最新之《天翼云国际站官网用户协议》 版本可于以下链接找到:
https://www.esurfingcloud.com/portal/zh-cn/protocol/10144340
最新之《天翼云国际站官网隐私声明》 版本可于以下链接找到:
https://www.esurfingcloud.com/portal/zh-cn/protocol/10139040
10.4 如果本协议的中英文版本有任何冲突或者不符,应以英文版本为准。如果中文版本的任何部分有不清晰之处,应参照英文版本。
附件一
第一条 总则
中国电信(简称“乙方”,网址:https://www.esurfingcloud.com)按照本协议的规定及其不时发布的操作规则向用户(又称“甲方”)提供漏洞管理服务(以下称“本服务”)。乙方保留随时更改服务等级协议(Service Level Agreement)条款的权利。
第二条 服务承诺
乙方承诺漏洞管理实例每服务周期服务可用率不低于99.95%。
第三条 服务说明
服务周期以自然月为单位,不满一个月,不计算为一个服务周期。若无特殊说明,一个服务周期指服务周期内的总天数×24(小时)×60(分钟)。
单实例服务不可用:指漏洞管理系统中日志显示:因天翼云原因连续超过一分钟无法访问并且使用漏洞管理服务资源,低于一分钟的不可用时间不计算在内。
每服务周期单个容器安全实例服务可用率计算方式:
每服务周期服务可用率=(单实例服务周期总时间-单实例服务周期服务不可用时间)/该服务周期总时间* 100%。
第四条 赔偿方案
1 赔偿标准
如果乙方未达到本SLA项下承诺的服务可用性,则甲方可依照本SLA的规定申请补偿,补偿将以服务补偿时间的方式发放,且该补偿是乙方针对服务不满足服务可用性承诺向甲方提供的全部及唯一补偿。
服务可用性SLA | 补偿时长(分钟) |
99.00% <= SLA < 99.95% | 4320 |
95.00% <= SLA < 99.00% | 12960 |
SLA < 95.00% | 43200 |
2 赔偿申请时限
(1)如某服务月度没有达到服务可用性标准,甲方可以在没有达标的相应服务月度结束后的次月的第五(5)个工作日后,仅通过甲方相应账户的工单系统提出赔偿申请。甲方提出赔偿申请后乙方会进行相应核实,对于服务月度的服务可用性的计算,若双方出现争议的,双方均同意最终以乙方的后台记录为准。
(2)甲方最晚提出赔偿申请的时间不应超过未达标的相应服务月度结束后六十(60)个自然日。如果甲方在未达标的相应服务月度结束后的六十(60)日内未提出赔偿申请或者在未达标的相应服务月度结束后的六十(60)日之后才提出赔偿申请或者甲方通过非本协议约定的方式提出申请的,均视为您自动放弃要求赔偿的权利及向乙方主张其他权利的权利,乙方有权不受理您的赔偿申请,不对您进行任何赔偿或补偿。
第五条 不可抗力及免责
以下原因导致的甲方漏洞扫描服务不可用的情况不计在不可用时间内:
1)乙方预先通知甲方后进行系统维护所引起的,包括割接、维修、升级和模拟故障演练等;
2)任何乙方所属设备以外的网络、设备故障或配置调整引起的;
3)甲方的应用程序或安装活动所引起的;
4)甲方的应用程序或数据信息受到黑客攻击而引起的;
5)甲方的疏忽或由甲方授权的操作所引起的;
6)甲方维护不当或保密不当致使数据、口令、密码等丢失或泄漏所引起的;
7)甲方自行升级操作系统所引起的;
8)由于操作系统漏洞导致的;
9)依照法律法规,应监管部门要求或依照协议及协议中援引的政策甲方的服务被暂停或终止的;
10)甲方未按照服务使用文档或操作指导使用服务引起的(如客户在控制台、API等控制方式对漏洞管理进行停机、重启等操作)等引起的不可用。
11)其他非乙方原因所造成的不可用。
12)因不可抗力以及意外事件引起的。不可抗力、意外事件是指不能预见、不能克服并不能避免且对一方或双方当事人造成重大影响的客观事件,包括但不限于自然灾害如洪水、地震、瘟疫流行等以及社会事件如战争、罢工、动乱、政府行为、电信主干线路中断、黑客、网路堵塞、电信部门技术调整和政府管制等。
当由于上述原因而使乙方无法履行保证时,乙方不承担责任;若由于不可抗力致使一方未能全部或部分履行本协议,经书面通知另一方,本合同内受到影响之条款可在不能履行之期间及受到影响之范围内不承担责任。一旦此类免除责任的原因得到纠正和补救,各方同意以最大努力恢复本合同项下的履行。