1、序言
本“产品及服务安全条款”是《万有商城服务商合作管理规范》的附件,一经双方签署,即构成《万有商城服务商合作管理规范》的有效组织部分。
2、产品安全要求
(1)服务商提供的产品应满足运营方安全要求,不得含有任何形式的木马、后门、蠕虫、病毒、恶意代码、未知功能及未知权限。
(2)服务商提供的产品的所有功能特性须向运营方说明,特别是任何可能侵犯个人隐私和通信自由的功能,包括但不限于DPI深度报文检测、干扰业务流量等。
(3)服务商提供的产品的所有端口须向运营方说明,不得存在隐藏端口。开启的端口应是系统运行和维护所必需的,无用的端口应关闭。开启/关闭端口须有权限控制,且开启/关闭的方法应向运营方说明。
(4)服务商提供的产品中,所有能对系统进行管理或控制的通信端口(包括但不限于能对系统进行管理或控制的物理端口),均须有接入认证机制(无认证机制的标准协议除外);认证机制须具备防暴力破解、防仿冒等内容;服务商须提供所有认证的初始账号和口令清单。
(5)服务商提供的产品若对系统或数据进行访问时,不得采用绕过系统安全机制(包括但不限于认证、权限控制、日志记录)的隐秘或不可管理的认证或访问方式(如不可管理的账号、口令)。
(6)服务商提供的产品若具有存储或传送数据的功能,则服务商须对产品的口令、敏感个人数据(如银行帐号等)的存储和传送过程进行加密。传输的口令不得含有硬编码,若无须还原口令,则须使用不可逆算法存储口令。
(7)服务商提供的产品若含有加密算法,则此算法不得使用私有或已知不安全的加密算法,且服务商须提供加密算法清单。
(8)服务商提供的产品若含有采集或转移客户/最终用户数据(含个人数据)的功能,须向运营方进行说明,且客户/最终用户有权决定是否使用或关闭此功能。
(9)服务商提供的产品若含有软件(包括但不限于服务商自研软件、第三方商用软件、开源软件等)升级的功能,须向运营方说明,且客户/最终用户有权决定是否使用或关闭此功能。
(10)服务商须向运营方说明产品数据外传的目的、数据格式和内容、实现和管理机制,并保证数据收集或传送遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规。
(11)服务商提供的产品若含有软件(包括但不限于服务商自研软件、第三方商用软件、开源软件等)或芯片,须在交付前进行安全检测,检测项目包括但不限于:病毒扫描、端口扫描、漏洞扫描和Web安全检测,并对存在的安全问题进行修复,或升级到无安全问题的新版本。
(12)服务商提供产品时应同时提供安全测试报告/安全认证材料,软件(含软件包/补丁包)须提供完整性校验机制(如数字签名等)。
3、服务安全要求
服务商在提供与产品相关的维护、升级等服务过程中,应遵守如下要求:
(1)遵守所在国相关法律法规以及运营方及/或客户的安全要求,确保服务过程不存在安全隐患或问题。
(2)遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律法规。严格遵从双方的约定、运营方及/或客户的指示进行个人数据处理、转移及其他相关业务。
(3)不得攻击、破坏运营方或客户的网络、不得窃取运营方或客户网络中的任何数据或信息、不得破解运营方或客户的账户密码。
(4)不得在运营方及/或客户的设备或系统中植入非法代码、恶意软件或后门,不得预留任何未公开接口或账号。
(5)未经运营方及/或客户书面授权,不得使用非授权账号或他人账号登录设备进行操作或账号和密码与他人共享。在产品进入商用或转入维护阶段后,不得保留或使用管理员账号或其它非授权账号。
(6)未经运营方及/或客户书面授权,不得访问运营方及/或客户系统或收集、持有、处理、修改、泄漏、传播客户网络中的任何数据和信息。
(7)对在提供服务期间获悉的运营方及/或客户的任何信息或数据应承担严格的保密义务,直至相关信息或数据被合法披露为止,并不得利用该信息或数据谋取个人利益或用于其它非法目的。
(8)须使用运营方及/或客户提供的或指示渠道获得的软件版本、补丁及许可,不得使用非法软件在运营方及/或客户的网络上运行。
(9)未经运营方及或客户的许可或授权,不得提供运营方指定的服务之外的任何服务。
4、体系安全要求
(1)服务商应建立安全保障体系,实施产品及或服务的安全管理并定期进行安全自检,同时提供自检报告给运营方。运营方及/或客户有权对服务商的安全保障体系及执行情况进行审核。
(2)服务商须建立安全应急响应机制,对产品及/或服务的安全问题(含安全事件、安全漏洞等)及问题的解决方案(含安全补丁等),通过邮件、传真或其他书面方式向运营方进行通报。
(3)当服务商对外发布产品及/或服务的安全问题(含安全漏洞)时,须提前72小时通过邮件、传真或其他书面方式通知运营方,并将问题的解决方案(含安全补丁)通过正式版本发布渠道通知运营方。服务商应按如下SLA要求对漏洞进行响应及修复,无法按时修复漏洞的需及时提供漏洞规避方案。
| 漏洞等级 | CVSS评分 | 响应时间 | 临时方案提供时间 | 提供补丁或新版本时间 |
|---|---|---|---|---|
| 致命 | 9.0~10 | ≤24小时 | ≤3工作日 | ≤15日 |
| 高 | 7.0~8.9 | ≤24小时 | ≤7工作日 | ≤30日 |
| 中 | 4.0~6.9 | ≤48小时 | ≤14工作日 | ≤60日 |
| 低 | 0.1~3.9 | ≤48小时 | ≤30工作日 | ≤180日 |
(4)服务商应对关键安全岗位员工进行安全管理,包括但不限于与员工安全协议签署、进行安全培训、对员工遵守安全规范的情况进行审核及改善通过审核发现的问题。
(5)服务商应在研发等环节建立详细的安全过程记录,以确保过程的可追溯性。若服务商的产品及/或服务含有日志,则日志应有访问控制,任何情况下不得更改或删除日志。
5、责任
任何对本规范条款的违约都是对本规范的实质违约。在无损运营方依据双方签署的万有合作协议及或相关附件享有的各项救济措施的前提下,若服务商违反本规范约定,则运营方有权单方采取以下措施之部分或全部:
(1)要求服务商在运营方指定的合理期限内以费用自担的方式纠正其与本规范约定不符的行为,直至符合本规范要求。
(2)要求服务商赔偿运营方因此遭受的全部损失,包括但不限于为消除供方不符合本规范约定行为的影响所支付的费用、诉讼费、律师费,以及客户主张的赔偿金等。
(3)要求服务商就运营方由于服务商违反本规范遭到的如下索赔、损失、费用及开支作出赔偿:
a)由于服务商或服务商人员的故意或过失导致的任何第三方(包括但不限于客户、最终用户)的实际损失;
b)最终用户根据相关的法律法规,如:《消费者权益保护法》、《产品质量法》、《侵权法》、《中华人民共和国电信条例》等(包括其修订、替换、编撰或重新发布的版本)提出的索赔。
c)终止与服务商的合作关系,单方解除相关万有合作协议及/或相关的《万有商城服务商合作管理规范》等。