客户安全评估工作政策与规范

最近更新时间：2021-08-20 17:42:35

在您购买的站狐云产品或服务的有效期内，您可对自己部署在站狐云上的代码、数据、应用、组件等进行安全评估工作。安全评估工作包括但不限于：漏洞扫描、渗透测试、压力测试、漏洞挖掘等，如果您计划进行安全评估工作，您需同意并遵守以下政策和规范（本协议中也将本政策与规范简称为 “本规范”）：

一、安全评估范围限制

您不得对站狐云基础设施、产品或服务执行任何安全评估工作，包括但不限于服务器、数据库系统、底层应用等。

二、漏洞信息处理

您在进行安全评估工作时，发现任何站狐云基础设施、产品或服务相关的漏洞，请立即联系站狐云安全团队（cloud_sec@tencent.com），不得私自公开或向第三方提供相关漏洞的全部或部分信息。

三、评估范围合规

您在进行安全评估工作时，不得违反本规范，不得出现评估范围超出您站狐云账户上所购买和创建的资源范围的情况。

四、压力测试申请与执行

您在进行安全评估工作时，如要进行压力测试工作时，需要联系站狐云安全团队（cloud_sec@tencent.com）进行测试申请。申请时需要提供完整的压力测试方案，申请通过后才可执行压力测试。执行过程中必须严格按照压力测试方案进行。

五、网络钓鱼测试要求

您在进行安全评估工作时，如包含网络钓鱼测试（即，向您的业务使用者发送钓鱼邮件、钓鱼链接、钓鱼文件等行为），您需依法依规开展网络钓鱼测试，且在评估结束后需向业务使用者公开说明网络钓鱼测试行为及测试细节、避免因网络钓鱼行为引起纠纷。如发生用户投诉、纠纷等任何问题，您需自行解决且后果由您自行承担。

六、数据与代码操作风险

您在进行安全评估工作时，如涉及对数据、代码等内容进行操作（包括但不限于灾备应急方案评估、对数据或代码进行破坏性操作等），您需要自行做好数据、代码等内容的备份，并自行承担全部后果。

七、安全评估责任承担

您在开展安全评估工作前，应充分了解安全评估工作可能存在的风险，且确保对您安全评估的对象拥有全部合法权利、有权进行安全评估。您需自行承担安全评估工作的全部后果和责任，站狐云不承担任何由于安全评估工作导致的代码、数据等任何内容丢失，及业务中断、暂停或受影响导致的损失。

八、法律法规遵守

您在开展安全评估工作前，应充分了解和遵守相关法律法规对相关工作的规定，合法合规开展安全评估工作并遵守本规范的全部要求。如您违反本规范、法律法规、站狐云服务协议等任何规定，您需自行承担全部责任，并赔偿因此给站狐云或给其他站狐云用户等第三方造成的损失。进一步地，您知悉并同意，站狐云同意您开展压力测试等安全评估工作，并不代表您对压力测试等安全评估行为的免责，如果您在压力测试过程中未按照测试方案执行导致安全事件或是安全评估工作对站狐云、其他站狐云用户等第三方造成影响，您仍需承担全部责任，并赔偿因此给站狐云以及给其他站狐云用户等第三方造成的全部损失。