You need to enable JavaScript to run this app.
导航
安全产品和服务专用条款
最近更新时间:2024.11.19 18:51:05首次发布时间:2022.05.23 17:39:43

1. 专用条款的适用性

1.1 本专用条款适用于您向火山引擎订购或(和)使用安全产品和服务(“本服务”),本服务具体内容以火山引擎官网-产品-云基础-安全板块内容为准。本专用条款有特别约定的,适用本专用条款。本专用条款不适用安全托管服务、渗透测试服务、红蓝对抗服务、云工作负载保护平台、容器安全防护平台。
1.2 一旦您订购或使用了本服务,本专用条款将与(1)火山引擎官网公示的《火山引擎服务条款》《火山引擎隐私政策》,(2)《产品和服务协议》,(3)订购协议/服务订单,(4)《服务等级协议》(如有),和(5)服务规则等所适用的其他协议共同构成您与火山引擎之间就订购或(和)使用本服务的完整协议。
1.3 本专用条款未明确约定事项,将遵照您与火山引擎订立的其他所适用协议或服务规则的约定。

2. 服务使用规则

2.1 您应当使用您合法注册的火山引擎官网账号登录火山引擎官网,通过官网控制台使用本服务。如果您使用 API 和/或在线 SDK 的访问密钥,您应参照使用说明使用服务,您应对密钥的完整性和保密性负责,并应采取妥善的安全措施(包括但不限于进行访问权限管理、密钥加密)。
2.2 您理解并同意,火山引擎服务均由技术工具自动完成,除非另有书面约定和/或为履行服务协议下的特别义务(例如在适用情形下进行故障排除、检测等事项),火山引擎对服务过程及结果不进行人工干预。
2.3 火山引擎服务仅限于您根据服务协议的约定针对您的产品自行进行使用。您理解并同意,如您就本服务进行商业使用或以其他方式直接或间接获得收益,则您应事先获得火山引擎的书面许可。若您超出火山引擎授权范围使用、转让、再许可、出租火山引擎向您提供的任何资源、技术支持和服务等(包括向您的关联方转让、再许可、出租),火山引擎有权立即终止前述许可,由此遭致的损失和后果,应由您自行承担,火山引擎不为此承担责任。
2.4 您同意,将遵守《火山引擎信息与网络安全规则》(“安全规则”)。如您违反安全规则或本协议中任一项,包括但不限于在本协议签订时不具备开展业务所需的全部资质许可、履行相关手续,或在本协议有效期内丧失全部或部分资质许可的,火山引擎有权暂停提供服务,要求您在限期内改正。如您在限期内未改正的,火山引擎有权终止本协议,要求您承担违约责任并赔偿火山引擎的相应损失。

3. 服务试(使)用说明

3.1 火山引擎可能通过开展邀请测试、公测等方式为您提供免费服务或在一定使用额度内为您提供免费服务,免费试(使)用期限/额度具体以火山引擎官网公布的信息为准。在免费期间或免费额度内,您不需支付费用,火山引擎不排除日后收取费用的可能,届时火山引擎将提前通过在网站内合适版面发布公告或发送站内通知等方式公布收费政策及规范;如果收费期开始后您仍使用相应服务的,您应按届时有效的收费政策为后续使用的产品/服务付费。具体以火山引擎官网公示的或您与火山引擎签署的《产品和服务测试协议》(如有)的约定为准。
3.2 在免费试用期间,火山引擎会对服务可用性和可靠性提供支撑,但不对任何服务可用性、可靠性做出承诺,《服务等级协议》将在您开通使用产品和服务正式发布版本后开始适用。

4. 服务特别说明

4.1 DDoS 防护服务
您将在所选购的防护带宽范围内享受 DDoS 防护服务。如攻击流量有可能超过您所购买的防护带宽,您应及时升级至更高流量的防护带宽,否则您的服务器会由于被攻击或触发黑洞策略导致服务中断。
4.2 密钥管理系统
如果您不再继续使用密钥管理系统,请及时登录控制台删除您的密钥信息。
4.3 高级网络威胁检测系统、云防火墙
4.3.1 为了确保服务正常使用,高级网络威胁检测系统、云防火墙服务将收集您的业务流量元数据信息以及安全告警数据。
4.3.2 您将在所选购的防流量护带宽范围内享受高级网络威胁检测系统、云防火墙的安全防护服务,如果您的业务流量带宽超过您所购买的防护带宽,产品无法为超额带宽提供防护,由此产生的任何直接或间接损失将由您自行承担。
4.3.3 如果您的业务需要大幅增加流量带宽防护需求(即业务流量带宽比上个月增加30%及以上),您应至少提前三个工作日通知到火山引擎,并获得火山引擎确认,否则火山引擎对由此产生的服务可用性影响不承担任何责任。
4.4 云安全中心
4.4.1 云安全中心服务是针对使用火山引擎云服务器服务和火山引擎负载均衡服务(以下简称“云服务器”和“负载均衡”)的用户提供的一项安全监控服务,您只有开通了云服务器及/或负载均衡才可以正常开通云安全中心服务。
4.4.2 为了向您提供云安全中心服务,火山引擎需要对您开通云安全中心服务的账号下的所有云服务器和负载均衡的访问数据进行分析计算,因此您一旦开通服务即意味着您授权火山引擎对您开通服务的账号下所有云服务器和负载均衡的访问数据进行收集及分析计算。
4.4.3 开通云安全中心服务后,将自动开启安全体检功能。当您运行在火山引擎产品上的应用或服务存在漏洞、弱口令及开放不明端口时,安全体检服务会及时监控到并对您产品中存在的以上风险并进行提示。安全体检服务在检测时会自动对网络流量中的 URL 提取再重放来进行安全检测,提取内容不包含 COOKIE,POST 的数据,仅包含 URL 且会进行脱敏处理,提取的信息仅会用来检测用户的安全风险,不会用于其他任何用途。
4.4.4 云安全中心服务将向您推送攻击者 IP 的威胁情报信息作为安全预警。该威胁情报信息来源于云安全中心服务对收集的数据进行计算以及匹配相应的规则后产生的数据,包括:攻击者 IP 的属性、地域,以及对攻击者 IP 开放端口进行扫描的结果。
4.4.5 云安全中心服务由安装在您服务器上的云安全中心 Agent 插件和在云端的云安全中心服务器共同组成。您授权火山引擎通过安装在您服务器上的云安全中心 Agent 插件收集您服务器上的文件、进程及登录日志等的安全特征信息并上传到云端的云安全中心服务器进行安全分析,以向您提供相应的安全功能。您可以通过云安全中心控制台选择开启或关闭其中部分或全部的功能。如您选择关闭相关功能,则相关安全服务将停止提供。
4.4.6 您了解火山引擎无法保证云安全中心 Agent 插件与所有服务器系统兼容,由于可能存在的不兼容情况,您的服务器资源占用率可能出现显著升高的情况,并有一定服务器宕机可能,您理解并认可,火山引擎云对上述兼容性引起的问题不承担责任。
4.4.7 您理解云安全中心服务提供的安全事件和安全威胁信息仅作为您评估安全风险和做出安全决策的参考,您基于云安全中心服务进行的任何行为的风险和后果由您自行承担。
4.4.8 如果您使用云安全中心的模型安全扫描服务,我们特别提示您:(1)本服务旨在为您自有的业务和模型提供模型安全扫描服务,包括但不限于安全性测试、性能分析、偏差检测等。严禁用于对任何第三方模型或系统进行未授权的测试、扫描或分析。(2)您应确保您的模型符合所有适用的法律、法规以及行业标准。特别是,您应确保评估的模型不侵犯任何第三方的知识产权、个人信息、隐私权等,且不涉及非法内容。(3)您需要根据自身的技术环境和需求,评估模型风险评估服务与您当前使用的系统、软件等是否兼容。(4)您应向我们提供必要的信息,包括不限于联系人信息、模型服务信息,并提供必要的协助。如有变动,您应及时更新这些信息并通知我们。提供不实、不准确或不完整的信息,以及因管理人员的行为或不作为造成的后果,将由您负责。(5)在使用本服务前,您确保对您的数据和资料进行备份。任何因您保护不当或操作失误导致的数据、凭证丢失或泄露,以及由此引发的损失和后果,将由您自行承担。(6)鉴于计算机和互联网技术的特殊性,使用模型风险评估服务可能存在系统宕机、业务中断或数据丢失的风险。您应明确了解并接受这些风险,并应采取预防措施,对于因服务引起的系统宕机、业务中断或数据丢失的后果和损失,我们不承担责任。(7)鉴于模型的复杂性和多变性,我们无法保证100%排除所有风险或漏洞。但是,我们承诺将根据技术发展持续优化服务质量和水平,以尽可能保障您的模型和系统安全。(8)由于技术限制和外部因素(如模型的复杂性、数据动态变化等),我们不能保证评估结果的绝对准确性或完整性,因此,我们不对因依赖评估结果而做出的决策或行动承担责任。(9)我们通过线下形式按次向您提供本服务,与购买时长无关,同时本服务不适用《云安全中心服务等级协议》。(10)该服务是按次计费,在完成对您提供的模型进行扫描并提交相应报告后,该次服务即完成。
4.4.9 如果您使用云安全中心的威胁应急溯源服务,我们特别提示您:(1)本服务旨在为您自有的ECS云服务器提供主机入侵威胁事后溯源服务,包括攻击失陷确认、入侵根因分析、受害评估、因果推断、骨干攻击路径发现、威胁缓解与应急处置。(2)您承诺及时向我们提供完整的基础信息用于威胁溯源分析,包括但不限于:威胁基本情况、详细网络架构、业务系统架构、网络设备日志、业务系统日志、主机日志、受害主机远程授权访问凭证、各类安全设备管控平台授权访问等相关信息。(3)您理解并确认,基于终端设备、网络系统的复杂性,我们无法保证100%追踪到攻击者及其攻击目的,您不得因此向火山引擎主张损失。(4)我们通过线下形式按次向您提供本服务,与购买时长无关,同时本服务不适用《云安全中心服务等级协议》。(5)该服务是按次计费,在完成对您提供的威胁进行溯源实施并提交相应报告后,该次服务即完成。(6)双方共同对服务过程中涉及的所有信息保密,履行相应保密义务。
4.4.10 当您使用云安全中心告警大模型分析功能时,系统将通过大模型分析您的入侵告警数据,并输出告警分析结果。除此之外,我们不会您的入侵告警数据用于其他未经授权的用途,同时,将采取相应的措施保障数据安全。本服务输出的内容均由人工智能模型生成,不能代替专业人员解答,输出的内容仅供您参考,不能作为决策依据。我们会努力提升生成内容的质量,但受限于现有技术,我们无法保证生成内容真实、准确、全面。
4.5 攻击面管理
如果您使用攻击面管理服务,您还应当遵守火山引擎官网公布的攻击面管理《用户服务使用须知》
4.6 云信任中心
如果您使用云信任中心的隐私合规评估功能,本服务仅提供问卷设计、评估流程管理等功能,您需根据自己产品实际自行填写问卷、自行出具评估结论/意见,您应对自己的评估结论/意见的合法性、有效性负责。
4.7 云加密机
4.7.1 您对自己使用云加密机服务的口令、密码的完整性和保密性负责。因您维护不当或保密不当致使上述口令、密码、以及数据等丢失或泄漏所引起的一切损失和后果均由您自行承担。
4.7.2 您应仔细阅读火山引擎官网关于云加密机的产品/服务说明,判断云加密机与您选择适用的操作系统、云服务器等产品或服务的适配性。
4.7.3 云加密机虽经过详细测试,但不能保证其与所有的软硬件系统完全兼容,不保证完全没有错误。如果出现不兼容及软件错误的情况,您可以通过火山引擎官网公布的联系方式联系火山引擎,获得技术支持。如果无法解决兼容性问题,您可以选择停止使用云加密机。
4.8 Web 应用防火墙
4.8.1 您在使用 WAF 的 CNAME 接入方式时,将自动创建一个公网 IP,您在使用该 IP 时应当遵守相关法律法规,不得从事违法违规行为,您对您的使用行为承担相应的法律责任。
4.8.2 您通过云上实例接入 WAF 的防护方式时,请谨慎删除云上实例,如果您自行删除该云上实例,造成的网络或业务风险由您自行承担。
4.8.3 如果您使用 Web 应用防火墙中的大模型安全防护服务,我们特别提示您:(1)大模型安全防护服务对模型的输入进行防护,可能会阻断或优化答案,可能导致您的客户端收到的输出不具有上下文背景,前后不连续、不连贯等情形;(2)鉴于技术发展等原因,我们无法保证防护结果100%的准确性,如果您不做任何甄别,完全依赖前述结果进行后续相关操作,将存在一定的风险性,且该等风险应由您承担。
4.9 多云安全平台
4.9.1 您在使用多云安全平台服务中,多云安全平台将对您添加至多云安全平台的云账号的安全资产和风险事件数据进行分析计算,上述数据仅会用来检测您的安全风险,不会用于其他任何用途。
4.9.2 您理解多云安全平台服务提供的安全事件和安全威胁信息仅作为您评估安全风险和做出安全决策的参考,您基于多云安全平台服务进行的任何行为的风险和后果由您自行承担。
4.9.3 如果您使用多云安全平台中的数据库审计模块,我们特别提示您:(1)数据库审计按照传统镜像方式部署;(2)您购买数据库审计服务时需要提供跨服务授权,来获取您的火山引擎账号下的 VPC 网络信息,否则无法购买;(3)每个数据库审计实例仅支持一个 VPC,若要审计多地域、VPC 的数据资产,您需要购买多个数据库审计服务;(4)数据库审计服务一次下单只能购买一个数据库审计实例规格,如您购买不同/多个相同数据库实例规格,您需要多次下单;(5) 数据库审计实例各规格之间无法平滑升级,若需提升/降低数据库审计实例规格,您需重新下单购买对应的数据库审计实例。
4.9.4 如果您使用多云安全平台中的远程应急响应服务,我们特别提示您:(1)在使用远程应急响应服务前,您应仔细阅读火山引擎在官方页面上展示的相关服务说明、技术规范、使用流程等,并理解相关内容及可能发生的后果,在使用远程应急响应服务过程中,您应依照相关操作指引进行操作,请您自行把握风险谨慎操作,对于您违反相关操作指引所引起的后果,火山引擎将不承担责任;(2)您应自行判断应急响应服务与您选择适用的操作系统、云服务器等产品或服务的适配性;(3)您使用本服务,需要对您指定的计算机系统或网络系统进行扫描、测试、检测、分析,您仅得为自有业务使用本服务,不得利用本服务对其他任何第三方的网站、服务器或业务进行扫描、测试、检测、分析等;(4)您在使用本服务前需自行备份数据及资料,您对自己存放或提供给火山引擎云平台上的数据以及进入和管理火山引擎云平台上各类产品与服务的口令、密码的完整性和保密性负责,因您维护不当或操作不当致使上述数据、口令、密码等丢失或泄漏所引起的一切损失和后果均由您自行承担;(5)若火山引擎的远程应急响应服务涉及第三方软件或云安全产品的许可使用的,您同意遵守相关许可协议的约束;(6)您应向火山引擎提交使用本服务的联系人和管理客户网络及云平台上各类产品与服务的人员名单和联系方式并提供必要的协助,如以上人员发生变动,您应自行将变动后的信息进行更新并及时通知火山引擎,因您提供的人员的信息不真实、不准确、不完整,以及因以上人员的行为或不作为而产生的结果,均由您负责;(7)鉴于计算机、互联网的特殊性,在提供远程应急响应服务过程中,可能会发生系统宕机、业务中断、数据丢失的风险,您明确知晓并接受该风险,并应提前做好准备,火山引擎不对因远程应急响应服务所产生的系统宕机、业务中断、数据丢失的后果和损失承担责任;(8)您知悉并理解,鉴于实践中安全事件情况复杂多样,我们无法 100% 保证能够完整还原攻击入侵的链路,不能保证您的硬件或软件的绝对安全,但是我们承诺不断将根据技术的发展不断升服务质量及水平。
4.9.5 如果您使用多云安全平台中的隐私安全服务,您承诺您使用本服务处理的数据为您合法收集,您的收集、使用等处理行为已经获得个人信息主体的合法授权,符合国家关于个人信息保护、数据安全相关法律法规,未侵犯任何第三人合法权益,在必要时您应当应火山引擎要求提供相关合法授权文件。同时,您需要与火山引擎另行签署《数据委托处理协议》。
4.9.6 如果您使用多云安全平台中的数据安全模块,我们特别提示您:(1)数据安全模块包含审计、脱敏、资产梳理、分类分级等多个子模块,您需要根据您自己的实际需要来确定使用对应的子模块功能;(2)数据安全各子模块都存在在兼容性的问题,请仔细查看产品资料,确认功能规模可以满足您的需要;(3)数据安全的相关功能可能需要应用系统的改造,会给您带来一定的工作量,因使用不当而导致的业务问题,风险需要由您来承担。
4.9.7 如果您使用多云安全平台中的安全认证服务,您应当遵守安全认证服务使用规范:
4.9.7.1 安全认证服务:是依托运营商在移动数据网络下的“通信网关取号”及SIM卡识别等技术,通过集成多云安全防护能力,实现的一种移动互联网身份认证方法,安全认证服务支持在广告H5落地页上提供给用户安全一键取号能力。
4.9.7.2 接口:采用火山引擎引擎提供的SDK和服务请求接口,集成到您的广告H5落地页上,支持用户安全一键取号。
4.9.7.3 您应按照本网站载明的安全认证能力权限的申请要求提交信息,并对提交信息的真实性、合法性、有效性独立承担全部责任;火山引擎引擎有权根据您的信息进行综合判断,并保留决定您是否符合权限开通要求的权利。
4.9.7.4 火山引擎引擎基于自身整合的三网本机安全认证能力和三网号码相关信息的校验能力,为您有偿提供安全认证服务,火山引擎引擎负责提供实现安全认证服务、安全一键取号相关信息的校验接口。
4.9.7.5 您使用火山引擎引擎的安全认证服务为相关用户提供服务,自行负责使用本服务的软硬件设备和网络接入,包括但不限于涉及本项目的所有软件、硬件设备的建设,系统调测、开通,系统维护,日常业务管理,以及您系统到火山引擎引擎安全认证服务平台的传输,并承担相关费用。
4.9.7.6 您保证有权使用本服务向指定对象进行安全认证。您保证在获得用户合法授权或者具备其他合法性基础的情况下收集用户个人信息,确保符合个人信息保护、数据安全相关法律法规,不得侵犯用户合法权益。
4.9.7.7 您应快速响应、积极配合火山引擎引擎,处理关于您调用安全认证服务而引发的投诉,在6个小时内按火山引擎引擎规定的格式给予正式回复。
4.9.7.8 您仅限在您自己业务中使用本服务,不得直接或变相向第三方转租转售火山引擎引擎安全认证能力,为第三方提供安全认证业务。
4.9.7.9 您对本服务的使用不得影响火山引擎引擎的系统或产品,如有影响,火山引擎引擎有权停止服务,且您同意服从火山引擎引擎为保证安全认证服务正常稳定而对您的业务调用量的调整安排,由此引起的与客户的争议由您自行解决并承担全部责任。
4.9.7.10 本服务约定的安全认证服务仅限于中国三大运营商(中国移动、中国电信、中国联通)用户在中国大陆境内(不含港澳台)进行安全认证服务。对于中国运营商用户漫游境外调用安全认证服务可能引发的投诉,由您自行解决并承担全部责任。
4.9.7.11 火山引擎引擎以现状及当前功能提供安全认证服务。火山引擎引擎不保证安全认证服务在操作上不会中断或没有错误。您同意在自己承担风险的情况下,按安全认证服务的现状及当前功能使用相关服务。火山引擎引擎有权随时暂停或终止安全认证服务全部或部分服务,您同意不追究火山引擎引擎任何安全认证服务暂停或终止的责任。
4.9.7.12 火山引擎引擎对安全认证服务及服务反馈结果的有效性、准确性、及时性、真实性均不作承诺和保证,亦不保证服务能够满足您的需求;您理解安全认证服务反馈的信息仅供您用于业务风控等目的的参考,您基于安全认证服务及服务反馈的结果所进行的任何行为的风险和后果由您自行承担。
4.9.7.13 如三大运营商(中国移动、中国电信、中国联通)要求对安全认证服务能力的来源向用户进行说明或品牌露出,火山引擎引擎会同步通知给您。您需要按照要求进行界面的呈现及展示,否则火山引擎引擎有权暂停或终止安全认证全部或部分服务,由此造成的后果由您自行承担。
4.9.7.14 如三大运营商(中国移动、中国电信、中国联通)需要对使用安全认证服务的应用进行合法性校验(通过应用唯一性标识的采集及校验),火山引擎引擎会要求您提供应用的唯一性标识进行业务配置,以便进行合法性校验。如您拒绝或未按要求及时提供或修正唯一性标识,火山引擎引擎有权暂停或终止安全认证全部或部分服务,由此造成的后果由您自行承担。
4.10 大模型安全平台
如果您使用大模型安全平台中的大模型安全防火墙服务,我们特别提示您:(1)大模型安全防火墙服务对模型的输入进行防护,可能会阻断或优化答案,可能导致您的客户端收到的输出不具有上下文背景,前后不连续、不连贯等情形;(2)鉴于技术发展等原因,我们无法保证防护结果100%的准确性,如果您不做任何甄别,完全依赖前述结果进行后续相关操作,将存在一定的风险性,且该等风险应由您承担;(3)内容风险识别服务对文本、图片、音频、视频等内容识别均由系统自动完成,火山引擎对前述过程及结果不进行人工干预,对相关结果不承担任何责任;鉴于技术发展等原因,您使用内容风险识别服务所获得的结果并不能保证100%的准确性;如果您不做任何甄别,完全依赖前述结果进行后续相关操作,将存在一定的风险性,且该等风险应由您承担。