为使用腾讯云漏洞治理服务(以下简称“本服务”),您应当阅读并遵守《漏洞治理服务服务等级协议》(以下简称“本协议”或“SLA”),以及《腾讯云服务协议》。本协议包含本服务的术语和定义、服务可用性、赔偿方案、免责条款等相关内容。请您务必审慎阅读、充分理解各条款内容,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。
除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要购买或使用本服务。您点击“同意”、“下一步”或您的购买、使用等行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。本协议即在您与腾讯云之间产生法律效力,成为对双方均具有约束力的法律文件。
1. 术语和定义
1.1 漏洞治理服务
腾讯云提供的漏洞治理服务,是指腾讯云为您提供的面向软硬件系统已知或未知漏洞的风险监测、分析、研判等服务,以帮助降低企业漏洞利用风险。具体以您购买的服务规格及腾讯云提供的服务内容为准。
1.2 服务周期
是指您购买本服务的服务期限,本服务只支持按年购买,如您购买1年本服务,服务开通之日为3月17日,到次年的3月16日,期间服务包含12个服务月度,服务响应指标按每个服务月度单独核算。
1.3 服务响应时长
本服务包括漏洞预警和风险响应两项服务,相应的服务响应时长也分为以下两类:
(1)漏洞预警时长:指漏洞治理服务的服务团队(以下简称“服务团队”)在监测到重大漏洞后,服务团队进行分析、复现并通过微信/邮件/控制台完成向客户同步风险研判结果及修复方案的时间。
计算公式为:漏洞预警时长 = 服务团队向客户同步情报预警的时间 - 漏洞情报监测入库时间
(2)风险响应时长:指漏洞预警发布后,如您需要针对某个特定漏洞进行扫描,您以微信/邮件/控制台提单的方式发起该服务请求后(您发起服务请求的时间即“用户需求发起时间”),服务团队以微信/邮件/控制台的方式向您提交漏洞影响资产列表及修复计划报告的间隔时间(服务团队的反馈时间即“服务团队提交报告时间”)。
计算公式为:风险响应时长 = 服务团队提交报告时间 - 用户需求发起时间
1.4 重大漏洞
指 CVE 官方或者组件官方定级为严重级别、CVSS 评分超过 9.5分或存在公开漏洞利用代码(PoC)的通用漏洞,且该漏洞与您的业务组件或商业化软件相关(您需提前向服务团队告知相应业务组件或商业化软件名称,若未提供,将以服务团队默认组件库为准)。
1.5 重大漏洞超时响应次数
指在本服务约定的月度服务周期内,服务团队未在第2.1条规定的服务响应时长内进行响应的总次数。例如,某服务月度内共出现1次漏洞预警服务响应时长超时、1次风险响应服务响应时长超时,则本服务月度内重大漏洞超时响应次数为2次。
1.6 服务响应指标标准
服务响应指标标准,指服务月度内,本服务在约定的服务响应时长内进行响应的总次数符合本服务承诺的标准。
2. 服务响应指标
2.1 服务响应时长
服务内容 | 服务响应时长 |
漏洞预警服务 | 服务响应时长 <= 4小时(法定工作日10:00 - 12:00、14:00 - 17:00内)。即:指服务团队监测到重大漏洞后,在4小时内(含4小时)向客户同步风险研判结果及修复方案。 |
风险响应服务 | 服务响应时长 <= 24小时(法定工作日10:00 - 12:00、14:00 - 17:00内),即:指漏洞预警发布、您发起针对某个特定漏洞进行扫描的服务请求后,服务团队在24小时内(含24小时)向您提交漏洞影响资产列表及修复计划报告。 |
2.2 服务响应指标标准
每个服务月度内,本服务承诺重大漏洞超时响应次数 < 3次,如未达到上述服务响应时长指标标准(属于免责条款情形的除外),您可以根据本协议第3条约定获得赔偿。
3. 赔偿方案
3.1 赔偿标准
1、赔偿以腾讯云发放代金券的形式实现,您应当遵守代金券的使用规则(包括使用期限等,具体以腾讯云官网发布的代金券相关规则为准)。发放的代金券不能折现、不开具发票,仅限您通过您的腾讯云账户购买本服务,不能购买其他的腾讯云服务,您也不可以将代金券进行转让、赠予等。
2、如果某服务月度没有达到服务可用性标准,赔偿额按照相应未达标服务月度单独计算,月度服务费用为年度服务费用的1/12,赔偿总额不超过相应未达标服务月度内您就本服务支付的相应月度服务费(此处的月度服务费不含用代金券、优惠券、服务费减免等抵扣的费用)。
服务月度响应指标 | 赔偿代金券金额 |
3次 ≤ 重大漏洞超时响应次数 < 5次 | 月度服务费的5% |
5次 ≤ 重大漏洞超时响应次数 < 7次 | 月度服务费的10% |
重大漏洞超时响应次数 ≥ 7次 | 月度服务费的25% |
3.2 赔偿申请时限
(1)如某服务月度没有达到服务可用性标准,您可以在没有达标的相应服务月度结束后的次月的第五(5)个工作日后,仅通过您相应账户的工单系统提出赔偿申请。您提出赔偿申请后腾讯云会进行相应核实,对于服务月度的服务可用性的计算,若双方出现争议的,双方均同意最终以腾讯云的后台记录为准。
(2)您最晚提出赔偿申请的时间不应超过未达标的相应服务月度结束后六十(60)个自然日。如果您在未达标的相应服务月度结束后的六十(60)日内未提出赔偿申请或者在未达标的相应服务月度结束后的六十(60)日之后才提出赔偿申请或者您通过非本协议约定的方式提出申请的,均视为您自动放弃要求赔偿的权利及向腾讯云主张其他权利的权利,腾讯云有权不受理您的赔偿申请,不对您进行任何赔偿或补偿。
3.3 赔偿申请材料
如果您认为本服务未达到服务响应标准的,您可以按照本服务等级协议中规定的时限发起赔偿申请。您的赔偿申请需至少与 下列信息一同提供:
(1)发起指定服务请求截图,需包含内容描述、发起时间。
(2)腾讯漏洞治理服务服务团队的响应时间截图。
(3)相关业务使用到的漏洞相关组件说明。
4. 免责条款
由以下原因导致本服务的服务响应时长不符合服务响应时长指标标准,相应场景不属于腾讯云的赔偿范畴,腾讯云无须向您承担责任:
4.1 针对非客户现网业务范围内所使用的相关组件漏洞,不在本服务范围内;
4.2 针对通过渗透测试或攻防演练新挖掘的业务逻辑类漏洞,不在本服务范围内;
4.3 针对非 CVE 官方发布或产品厂商官方发布的非通用型漏洞,不在本服务范围内;
4.4 非腾讯云原因造成的服务不可用或服务不达标的情况;
4.5 属于相关法律法规、相关协议、相关规则或腾讯云单独发布的相关规则、说明等中所述的腾讯云可以免责、免除赔偿责任等的情况。
5. 其他
5.1 双方确认并在此认可:在任何情况下,若您在使用本服务过程中因腾讯云违约原因造成您损失的,腾讯云的违约赔偿总额不超过您已经支付的相应违约服务对应的服务费总额。
5.2 腾讯云有权根据变化适时或必要时对本协议条款做出修改,您可以在腾讯云官网的最新版本中查阅相关协议条款。如您不同意腾讯云对协议所做的修改,您有权停止使用本服务,如您继续使用本服务,则视为您接受修改后的协议。
5.3 本协议作为《腾讯云服务协议》的附属协议,具有与《腾讯云服务协议》同等效力,本协议未约定事项,您需遵守《腾讯云服务协议》的相关约定。若本协议与《腾讯云服务协议》中的条款相冲突或不一致,则以本协议为准,但仅在该冲突或不一致范围内适用。(完)
