云服務(wù)器安全防護(hù)協(xié)議2025年鑒于甲方（云服務(wù)提供商）擁有并提供云服務(wù)器及相關(guān)基礎(chǔ)設(shè)施服務(wù)（以下簡(jiǎn)稱(chēng)“云服務(wù)”），乙方（云服務(wù)器用戶(hù)）希望使用甲方的云服務(wù)，并根據(jù)甲方的安全政策及行業(yè)標(biāo)準(zhǔn)，雙方經(jīng)友好協(xié)商，達(dá)成如下協(xié)議（以下簡(jiǎn)稱(chēng)“協(xié)議”）：第一條定義1.1本協(xié)議中，“云服務(wù)器”指甲方為乙方提供的基于其云計(jì)算基礎(chǔ)設(shè)施的虛擬計(jì)算環(huán)境，包括但不限于計(jì)算資源、存儲(chǔ)資源及網(wǎng)絡(luò)資源。1.2“甲方”指提供云服務(wù)的[甲方公司全稱(chēng)]及其授權(quán)的員工、代理人。1.3“乙方”指使用云服務(wù)的[乙方公司全稱(chēng)]及其授權(quán)的員工、代理人。1.4“安全事件”指任何涉及云服務(wù)器或其上數(shù)據(jù)的未經(jīng)授權(quán)訪問(wèn)、數(shù)據(jù)泄露、系統(tǒng)破壞、惡意軟件感染、拒絕服務(wù)攻擊或其他類(lèi)似安全威脅或狀況。1.5“基礎(chǔ)設(shè)施層”指甲方控制和管理的基礎(chǔ)設(shè)施，包括但不限于物理設(shè)施、網(wǎng)絡(luò)設(shè)備、虛擬化平臺(tái)和云管理平臺(tái)。1.6“平臺(tái)層”指甲方提供的、供乙方使用的通用服務(wù)組件，包括但不限于身份認(rèn)證系統(tǒng)（IAM）、虛擬網(wǎng)絡(luò)（如VPC）、網(wǎng)絡(luò)安全組、數(shù)據(jù)庫(kù)服務(wù)等。1.7“應(yīng)用層”指乙方在云服務(wù)器上部署和管理的操作系統(tǒng)、應(yīng)用程序及其數(shù)據(jù)。1.8“客戶(hù)責(zé)任”指乙方在保障云服務(wù)器安全方面應(yīng)承擔(dān)的義務(wù)和責(zé)任。1.9“甲方責(zé)任”指甲方在保障云服務(wù)器安全方面應(yīng)承擔(dān)的義務(wù)和責(zé)任。1.10“安全基線(xiàn)”指甲方為云服務(wù)器提供的基礎(chǔ)安全配置標(biāo)準(zhǔn)和防護(hù)措施。1.11“事件響應(yīng)計(jì)劃”指雙方預(yù)先制定的應(yīng)對(duì)安全事件的流程和措施。1.12“服務(wù)水平協(xié)議（SLA）”指甲方就云服務(wù)的可用性、性能等方面承諾的標(biāo)準(zhǔn)。1.13“不可抗力”指不能預(yù)見(jiàn)、不能避免并不能克服的客觀情況，如自然災(zāi)害、戰(zhàn)爭(zhēng)、政府行為等。第二條安全責(zé)任劃分2.1甲方責(zé)任：a.負(fù)責(zé)保護(hù)其提供的基礎(chǔ)設(shè)施層（包括物理環(huán)境、網(wǎng)絡(luò)、虛擬化平臺(tái)等）的安全，確保其符合業(yè)界標(biāo)準(zhǔn)和相關(guān)法律法規(guī)要求。b.負(fù)責(zé)維護(hù)平臺(tái)層服務(wù)的安全，包括但不限于身份認(rèn)證系統(tǒng)、虛擬網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)安全組等公共組件的安全運(yùn)行和更新。c.對(duì)其控制的平臺(tái)層組件進(jìn)行持續(xù)的安全監(jiān)控、漏洞掃描和必要的安全補(bǔ)丁更新。d.為乙方提供必要的安全配置建議和基線(xiàn)標(biāo)準(zhǔn)。e.建立并維護(hù)平臺(tái)層面的安全事件監(jiān)測(cè)、分析和響應(yīng)機(jī)制，根據(jù)協(xié)議約定通知乙方可能影響其云服務(wù)器的安全事件。f.遵守并確保其符合適用的網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和隱私法律法規(guī)，并根據(jù)乙方要求提供相關(guān)合規(guī)性證明。g.根據(jù)適用的SLA，向乙方提供服務(wù)。2.2乙方責(zé)任：a.負(fù)責(zé)管理其賬戶(hù)的訪問(wèn)權(quán)限，實(shí)施強(qiáng)密碼策略，定期審查賬戶(hù)和權(quán)限，并根據(jù)需要啟用多因素認(rèn)證（MFA）。b.負(fù)責(zé)選擇、安裝、配置和維護(hù)云服務(wù)器上的操作系統(tǒng)、中間件、應(yīng)用程序及其數(shù)據(jù)的安全。包括及時(shí)安裝操作系統(tǒng)和應(yīng)用軟件的安全補(bǔ)丁，遵循推薦的安全配置基線(xiàn)，實(shí)施應(yīng)用層面的安全防護(hù)措施。c.負(fù)責(zé)對(duì)其云服務(wù)器上的數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，并實(shí)施適當(dāng)?shù)臄?shù)據(jù)加密措施（包括傳輸中和靜態(tài)數(shù)據(jù)加密）。d.負(fù)責(zé)制定、實(shí)施和測(cè)試數(shù)據(jù)備份和恢復(fù)策略，并確保備份數(shù)據(jù)的安全。e.負(fù)責(zé)配置和維護(hù)其云服務(wù)器自身的網(wǎng)絡(luò)安全組規(guī)則等網(wǎng)絡(luò)訪問(wèn)控制措施，僅允許必要的網(wǎng)絡(luò)流量訪問(wèn)其云服務(wù)器。f.負(fù)責(zé)實(shí)施日志記錄、監(jiān)控和審計(jì)策略，以檢測(cè)和響應(yīng)其環(huán)境中的安全事件，并根據(jù)協(xié)議約定通知甲方安全事件。g.負(fù)責(zé)其員工或授權(quán)用戶(hù)對(duì)其云服務(wù)器使用的安全管理和監(jiān)督。h.遵守本協(xié)議規(guī)定的各項(xiàng)安全要求和操作規(guī)范，以及甲方發(fā)布的安全最佳實(shí)踐指南。i.確保其使用云服務(wù)器的方式和部署的應(yīng)用符合適用的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。第三條安全防護(hù)措施3.1甲方提供的基礎(chǔ)安全防護(hù)措施包括但不限于：a.為乙方提供虛擬私有云（VPC）環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)隔離。b.提供網(wǎng)絡(luò)安全組（或安全規(guī)則）功能，允許乙方配置入出方向流量策略。c.提供基礎(chǔ)的DDoS攻擊防護(hù)服務(wù)。d.可能提供主機(jī)安全服務(wù)，如漏洞掃描、基線(xiàn)檢查等（具體功能和支持級(jí)別以雙方約定為準(zhǔn)）。e.提供身份與訪問(wèn)管理（IAM）服務(wù)，支持乙方進(jìn)行用戶(hù)和權(quán)限管理。3.2乙方應(yīng)在其云服務(wù)器上實(shí)施的安全防護(hù)措施包括但不限于：a.根據(jù)甲方建議和自身業(yè)務(wù)需求，配置網(wǎng)絡(luò)安全組規(guī)則。b.及時(shí)更新操作系統(tǒng)和應(yīng)用程序的安全補(bǔ)丁。c.對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸。d.部署必要的安全軟件，如防病毒軟件、入侵檢測(cè)系統(tǒng)等。e.實(shí)施嚴(yán)格的訪問(wèn)控制策略。第四條安全事件響應(yīng)與通知4.1雙方同意建立合作的安全事件響應(yīng)機(jī)制。發(fā)生或懷疑發(fā)生安全事件時(shí)，相關(guān)方應(yīng)立即啟動(dòng)應(yīng)急響應(yīng)流程。4.2乙方在檢測(cè)到或懷疑其云服務(wù)器發(fā)生安全事件后，應(yīng)立即采取初步控制措施（如隔離受影響服務(wù)器），并應(yīng)在[例如：4小時(shí)]內(nèi)通知甲方。4.3甲方在監(jiān)測(cè)到可能影響乙方云服務(wù)器的重大安全事件或收到乙方通知后，應(yīng)在[例如：2小時(shí)]內(nèi)通知乙方，并根據(jù)事件情況和協(xié)議約定提供支持。4.4雙方承諾在事件響應(yīng)過(guò)程中進(jìn)行充分溝通與協(xié)作，共享必要的安全信息（包括但不限于威脅樣本、攻擊特征、修復(fù)建議等），以共同應(yīng)對(duì)安全事件。4.5雙方應(yīng)根據(jù)事件的影響和嚴(yán)重程度，遵循事先約定的流程進(jìn)行事件調(diào)查、處置和記錄。第五條安全審計(jì)與合規(guī)5.1甲方有權(quán)在事先通知乙方的合理時(shí)間內(nèi)，對(duì)乙方的云服務(wù)器使用情況進(jìn)行安全審計(jì)，以評(píng)估乙方遵守本協(xié)議安全條款的情況。審計(jì)方式可能包括自動(dòng)掃描、人工檢查等。5.2乙方也有權(quán)在事先通知甲方的合理時(shí)間內(nèi)，對(duì)甲方提供的安全防護(hù)措施和服務(wù)進(jìn)行審計(jì)，以評(píng)估其符合性。審計(jì)結(jié)果應(yīng)妥善保管。5.3甲方應(yīng)確保其云服務(wù)平臺(tái)符合適用的法律法規(guī)（如但不限于中國(guó)的網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法及等保要求，以及歐盟通用數(shù)據(jù)保護(hù)條例GDPR等）的基本要求，并根據(jù)乙方要求提供相關(guān)證明文件。5.4乙方有責(zé)任確保其使用云服務(wù)器的方式及其在云服務(wù)器上運(yùn)行的應(yīng)用程序符合所有適用的法律法規(guī)和行業(yè)標(biāo)準(zhǔn)。第六條服務(wù)水平協(xié)議（SLA）6.1甲方承諾提供符合約定的SLA標(biāo)準(zhǔn)的云服務(wù)。該SLA可能包含關(guān)于云服務(wù)可用性、事件響應(yīng)時(shí)間、漏洞管理流程等方面的承諾。6.2具體的SLA條款以雙方另行簽署或確認(rèn)的文件為準(zhǔn)。SLA不涵蓋因乙方原因（如配置錯(cuò)誤、未授權(quán)訪問(wèn)等）導(dǎo)致的任何服務(wù)中斷或安全事件。第七條免責(zé)條款與責(zé)任限制7.1雙方同意，對(duì)于因不可抗力導(dǎo)致的服務(wù)中斷、數(shù)據(jù)丟失或安全事件，雙方互不承擔(dān)違約責(zé)任。7.2對(duì)于因乙方違反本協(xié)議約定（包括但不限于乙方責(zé)任條款所述內(nèi)容）而直接或間接導(dǎo)致的任何安全事件、數(shù)據(jù)泄露、服務(wù)中斷或第三方索賠，甲方不承擔(dān)責(zé)任。7.3除非法律另有強(qiáng)制性規(guī)定，否則在任何情況下，甲方不對(duì)因安全事件直接或間接造成的任何直接、間接、特殊、后果性或懲罰性損害承擔(dān)責(zé)任，無(wú)論該損害是否可預(yù)見(jiàn)。甲方的總賠償責(zé)任不應(yīng)超過(guò)本協(xié)議簽訂前一年內(nèi)乙方支付給甲方的服務(wù)費(fèi)用總額。7.4乙方同意自行承擔(dān)其因安全事件而產(chǎn)生的損失，包括但不限于數(shù)據(jù)恢復(fù)成本、業(yè)務(wù)中斷損失、第三方索賠費(fèi)用等。第八條法律適用與爭(zhēng)議解決8.1本協(xié)議的訂立、效力、解釋、履行及爭(zhēng)議解決均適用中華人民共和國(guó)法律。8.2因本協(xié)議引起的或與本協(xié)議有關(guān)的任何爭(zhēng)議，雙方應(yīng)首先通過(guò)友好協(xié)商解決。協(xié)商不成的，任何一方均有權(quán)將爭(zhēng)議提交至[選擇仲裁或訴訟，例如：甲方所在地有管轄權(quán)的人民法院訴訟解決/提交至[指定仲裁委員會(huì)名稱(chēng)]按照其屆時(shí)有效的仲裁規(guī)則進(jìn)行仲裁，仲裁裁決是終局的，對(duì)雙方均有約束力]。第九條協(xié)議期限、變更與終止9.1本協(xié)議自雙方授權(quán)代表簽字并蓋章之日起生效，有效期為[例如：一年]。期滿(mǎn)前[例如：一個(gè)月]，如雙方無(wú)書(shū)面異議，本協(xié)議自動(dòng)續(xù)展[例如：一年]，續(xù)展次數(shù)不限/續(xù)展次數(shù)限定為[數(shù)字]次。9.2任何一方可在協(xié)議有效期內(nèi)，提前[例如：30天]以書(shū)面形式通知對(duì)方終止本協(xié)議。因違約而終止協(xié)議的，違約方應(yīng)承擔(dān)相應(yīng)責(zé)任。9.3甲方可根據(jù)乙方違反本協(xié)議約定（特別是安全責(zé)任條款）的情況，暫?；蚪K止向乙方提供云服務(wù)，并書(shū)面通知乙方。乙方應(yīng)立即糾正違約行為，并根據(jù)甲方要求采取補(bǔ)救措施。若乙方在收到通知后[例如：15天]內(nèi)未能糾正，甲方有權(quán)終止協(xié)議并保留追究責(zé)任的權(quán)利。9.4協(xié)議終止后，乙方應(yīng)按照甲方的要求，在[例如：7天]內(nèi)安全地移除其所有數(shù)據(jù)和應(yīng)用程序，并停止使用甲方的云服務(wù)。雙方應(yīng)根據(jù)約定進(jìn)行費(fèi)用結(jié)算。第十條保密條款10.1雙方應(yīng)對(duì)在本協(xié)議簽訂及履行過(guò)程中獲悉的對(duì)方的商業(yè)秘密（包括但不限于技術(shù)信息、運(yùn)營(yíng)數(shù)據(jù)、客戶(hù)信息等）承擔(dān)保密義務(wù)。未經(jīng)對(duì)方書(shū)面同意，不得向任何第三方泄露、使用或允許他人使用該等商業(yè)秘密。10.2本保密義務(wù)不因本協(xié)議的終止而失效，應(yīng)持續(xù)有效[例如：直至該等信息成為公開(kāi)信息為止/或根據(jù)信息性質(zhì)約定具體年限]。第十一條其他條款11.1本協(xié)議構(gòu)成雙方就云服務(wù)安全防護(hù)達(dá)成的完整協(xié)議，取代雙方此前就此達(dá)成的所有口頭或書(shū)面協(xié)議、諒解或安排。11.2對(duì)本協(xié)議的任何修改或補(bǔ)充，均應(yīng)以書(shū)面形式作出，并經(jīng)雙方授權(quán)代表簽字蓋章后生效。11.3本協(xié)議任何條款的無(wú)效或不可執(zhí)行，不影響其他條款的效力。11.4如果本協(xié)議的任何條款被有管轄