云盾滲透測試協(xié)議合同副本1
云盾滲透測試委托服務(wù)協(xié)議甲方:北京天鑫匯信息服務(wù)有限公司地 址:北京市北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)博興一路8號(二期)聯(lián)系人:唐中印電話:010-67511880-5180乙方:阿里云計(jì)算有限公司 (以下
云盾滲透測試委托服務(wù)協(xié)議
甲方:北京天鑫匯信息服務(wù)有限公司
地 址:北京市北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)博興一路8號(二期)
聯(lián)系人:唐中印
電話:010-67511880-5180
乙方:阿里云計(jì)算有限公司 (以下或稱“阿里云”) 地址:北京市朝陽區(qū)大望路國家廣告產(chǎn)業(yè)園A 座3層
聯(lián)系人:張偉偉
電話:18611191450
雙方根據(jù)《中華人民共和國合同法》及相關(guān)法律的規(guī)定,經(jīng)友好協(xié)商,就甲方委托乙方提供云盾滲透測試服務(wù)達(dá)成的如下協(xié)議。
第一條定義
除非本協(xié)議中另有約定,下列詞語在本協(xié)議中具有以下特定涵義:
1.1 滲透測試:滲透測試(penetration test)是通過模擬惡意黑客的攻擊方法,
攻破目標(biāo)系統(tǒng)的安全控制措施,取得訪問控制權(quán)限,并發(fā)現(xiàn)潛在威脅,來評估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。
1.2 目標(biāo)系統(tǒng)是指用戶申請測試的數(shù)據(jù)庫系統(tǒng),操作系統(tǒng)、應(yīng)用系統(tǒng)與軟件等。
第二條 關(guān)于測試時間及測試目標(biāo)
1
,用戶委托阿里云在如下時間進(jìn)行對如下域名、IP 所指向的目標(biāo)系統(tǒng)進(jìn)行滲透測試服務(wù)。
測試時間:
測試目標(biāo)系統(tǒng)(域名/IP地址):
域名:fengnb.com
測試內(nèi)容包括:
1. 分析應(yīng)用漏洞:
嘗試分析但不限于應(yīng)用系統(tǒng)的SQL 注入、跨站漏洞XSS/CSRF、越權(quán)未驗(yàn)證、文件目錄遍歷、信息泄露等攻擊方式;
2. 分析服務(wù)器與網(wǎng)絡(luò)弱點(diǎn):
在服務(wù)過程中將嘗試網(wǎng)絡(luò)嗅探、溢出、代碼/命令執(zhí)行、弱口令等攻擊方式;
3. 安全意識隱患:
在服務(wù)過程中將嘗試檢測員工安全意識和安全管理規(guī)范上的缺陷,包括但不限于釣魚、社交工程、域名服務(wù)權(quán)限、員工密碼泄露等攻擊方式
4. 安全報告
報告內(nèi)容至少有:
(1)滲透測試的范圍
(2)滲透過程,及使用的方法
(3)發(fā)現(xiàn)漏洞、證明漏洞、利用漏洞
(4)漏洞修復(fù)建議
(5)滲透總結(jié)。
5、具體的安全測試參與附件1《云盾滲透測試說明文檔20150407-new 2》執(zhí)行,安全報告參考附件2《xxx 滲透測試報告模板》編制。
第三條服務(wù)費(fèi)用及說明
3.1服務(wù)費(fèi)用:50000元,大寫:人民幣伍萬元整
3.2云收到款項(xiàng)后3個工作日內(nèi)會與客戶溝通安排滲透測試服務(wù)。
收款賬戶信息如下:
戶 名: 阿里云計(jì)算有限公司
2
,開戶行: 招商銀行武林支行
賬 號: 571905493610901
第四條 雙方的權(quán)利和義務(wù)
4.1用戶應(yīng)對提供給阿里云測試的目標(biāo)系統(tǒng)(包括但不限于域名、網(wǎng)站等),具有完全的所有權(quán),并應(yīng)提供阿里云相應(yīng)權(quán)利證明文件。
4.2用戶理解并認(rèn)可,用戶所選定的域名、IP 所在的服務(wù)器,因接受了滲透測試服務(wù)施加的壓力,可能會出現(xiàn)服務(wù)器不能正常運(yùn)轉(zhuǎn)、數(shù)據(jù)損壞等結(jié)果,用戶明確知曉并接受該后果,并應(yīng)提前做好數(shù)據(jù)備份及恢復(fù)準(zhǔn)備工作。阿里云不對該因滲透測試產(chǎn)生的任何后果承擔(dān)責(zé)任,同時阿里云提示用戶審慎選擇目標(biāo)服務(wù)器,對于因滲透測試導(dǎo)致的第三方損失由用戶承擔(dān)全部責(zé)任。
4.3服務(wù)完成后3日內(nèi),阿里云將用戶提交測試報告。測試報告的內(nèi)容包括:滲透測試范圍、方法、漏洞統(tǒng)計(jì)及漏洞詳細(xì)信息、修補(bǔ)方法等。測試報告將采用加密形式發(fā)送到用戶指定郵箱。
4.4 用戶理解并認(rèn)可,測試結(jié)果是阿里云按照用戶的指令進(jìn)行滲透測試后所記錄的目標(biāo)系統(tǒng)的漏洞和修補(bǔ)方法等信息,阿里云不對用戶依據(jù)該信息進(jìn)行的工作及工作結(jié)果承擔(dān)任何責(zé)任。
第五條保密條款
5.1. 保密資料指由一方向另一方披露的所有技術(shù)及非技術(shù)信息(包括但不限于產(chǎn)品資料,產(chǎn)品計(jì)劃,價格,財(cái)務(wù)及營銷規(guī)劃,業(yè)務(wù)戰(zhàn)略,客戶信息,客戶數(shù)據(jù), 3
,研發(fā)資料,軟件硬件,API 應(yīng)用數(shù)據(jù)接口,技術(shù)說明,設(shè)計(jì),特殊公式,特殊算法等) 。
5.2. 本協(xié)議任何一方同意對獲悉的對方之上述保密資料予以保密,并嚴(yán)格限制接觸上述保密資料的員工遵守本條之保密義務(wù)。除非國家機(jī)關(guān)依法強(qiáng)制要求或上述保密資料已經(jīng)進(jìn)入公有領(lǐng)域外,接受保密資料的一方不得對外披露。
5.3. 本協(xié)議雙方明確認(rèn)可保密資料是雙方的重點(diǎn)保密信息并是各自的重要資產(chǎn),本協(xié)議雙方同意盡最大的努力保護(hù)上述保密資料等不被披露。一旦發(fā)現(xiàn)有上述保密資料泄露事件,雙方應(yīng)合作采取一切合理措施避免或者減輕損害后果的產(chǎn)生。
第六條 違約責(zé)任
6.1. 本協(xié)議任何一方違約均須依法承擔(dān)違約責(zé)任。
6.2. 在任何情況下,阿里云均不對任何間接性、后果性、懲戒性、偶然性、特殊性的損害,包括用戶使用阿里云服務(wù)而遭受的利潤損失承擔(dān)責(zé)任(即使用戶已被告知該等損失的可能性)。
6.3. 在任何情況下,阿里云對本協(xié)議所承擔(dān)的違約賠償責(zé)任總額不超過違約服務(wù)對應(yīng)之服務(wù)費(fèi)總額。
第七條 不可抗力
7.1. 因不可抗力或者其他意外事件,使得本協(xié)議的履行不可能、不必要或者無意義的,遭受不可抗力、意外事件的一方不承擔(dān)責(zé)任。
7.2. 不可抗力、意外事件是指不能預(yù)見、不能克服并不能避免且對一方或雙方當(dāng)事人造成重大影響的客觀事件,包括但不限于自然災(zāi)害如洪水、地震、瘟疫流 4
,行等以及社會事件如戰(zhàn)爭、動亂、政府行為、電信主干線路中斷、黑客、網(wǎng)路堵塞、電信部門技術(shù)調(diào)整和政府管制等。
第八條法律適用及爭議解決
8.1本協(xié)議受中華人民共和國法律管轄。
8.2在執(zhí)行本協(xié)議過程中如發(fā)生糾紛,雙方應(yīng)及時協(xié)商解決。協(xié)商不成時,任何一方可直接向杭州市西湖區(qū)人民法院提起訴訟。
第九條 附則
9.1本協(xié)議自雙方蓋章之日起生效,自受托方的主要義務(wù)履行完畢之日起終止。
9.2 如果任何條款在性質(zhì)上或其他方面理應(yīng)地在本協(xié)議終止時繼續(xù)存在,那么應(yīng)視為繼續(xù)存在的條款,這些條款包括但不局限于保證條款、保密條款、知識產(chǎn)權(quán)條款、法律適用及爭議解決條款。
9.3本協(xié)議一式四份,甲乙雙方各執(zhí)二份,具有同等法律效力。
甲方: 乙方:阿里云計(jì)算有限公司(蓋章)(蓋章)
年月日2015年09 月 日
5