2025年渗透测试服务保密协议

2025年渗透测试服务保密协议鉴于披露方（以下简称“披露方”）计划委托接收方（以下简称“接收方”）提供渗透测试服务，以评估披露方信息系统的安全性；鉴于披露方希望保护在渗透测试服务过程中接触到的所有保密信息；鉴于接收方同意在协议规定的期限内，以谨慎的态度处理并保护所有披露的保密信息；据此，双方经友好协商，达成以下保密协议（以下简称“协议”）：第一条定义与解释1.1保密信息是指披露方拥有的，或在与接收方履行本协议相关过程中接收方接触到的，所有非公开的、具有商业价值或机密性的信息，包括但不限于：(a)披露方的业务计划、战略、财务数据、客户名单、供应商信息及其他商业秘密；(b)披露方信息系统的架构、设计、配置、网络拓扑、安全策略、访问控制机制；(c)渗透测试的范围、目标、计划、执行过程、测试工具、脚本、漏洞利用方法；(d)发现的安全漏洞详情，包括漏洞描述、严重程度、存在风险、复现步骤；(e)渗透测试报告的完整内容，包括但不限于摘要、执行摘要、发现、风险评价、修复建议、附录；(f)在本协议有效期内，双方就渗透测试服务相关的所有沟通、讨论记录、邮件、文档；(g)披露方为接收方执行本协议而提供的任何数据、资料或访问权限；(h)本协议本身及其修订版本。保密信息不包括：(i)在本协议生效前已经为公众所知的信息；(ii)接收方在未违反本协议的前提下，从第三方合法获得的信息；(iii)接收方独立开发，未使用披露方任何保密信息的信息；(iv)接收方根据适用的法律法规或法院、行政命令的要求必须披露的信息，但接收方在披露前应尽快通知披露方。1.2渗透测试服务是指接收方根据披露方的需求和约定，对披露方指定的信息系统进行模拟攻击，以发现其中存在的安全弱点，并提供相应的风险评估和修复建议的服务。1.3接收方是指根据本协议接受渗透测试服务并接收保密信息的实体及其授权员工、代理人、顾问和分包商。1.4披露方是指根据本协议提供渗透测试服务并披露保密信息的实体。1.5业务关联方是指披露方或接收方的母公司、子公司、关联公司或其他具有控制、共同控制或重大影响关系的实体。1.6有效期限本协议自双方授权代表签字盖章之日起生效，有效期为[选择：五（5）年或十（10）年或永久]，自协议终止或渗透测试服务完全完成之日起持续[选择：五（5）年或十（10）年]。第二条保密义务2.1接收方同意并承诺，在协议有效期内及协议终止后[选择：五（5）年或十（10）年]内，对披露方披露的所有保密信息承担严格的保密义务。2.2接收方仅能为本协议约定的渗透测试服务的目的，在必要的范围内使用保密信息，不得将保密信息用于任何其他目的。2.3接收方应采取不低于保护自身同等重要性保密信息的合理谨慎措施，保护保密信息的安全，防止任何未经授权的获取、使用、复制、披露或损毁。这些措施应包括但不限于物理安全、网络安全、访问控制、数据加密、员工培训等。2.4未经披露方事先书面同意，接收方不得向任何第三方披露任何保密信息，但以下情况除外：(a)披露方书面同意披露；(b)接收方需要向其员工、顾问或分包商披露，前提是这些人员已被告知保密信息的性质以及本协议的保密义务，并同意遵守不低于本协议规定的保密义务；(c)法律、法规或法院、行政命令要求披露，此时接收方应在法律允许的范围内，尽快通知披露方，并协助披露方采取保护措施。2.5接收方应确保其员工、顾问和分包商遵守本协议的保密义务，并对他们的违约行为承担连带责任。2.6一旦接收方意识到或理应意识到其控制或监管下的保密信息可能发生或已经发生泄露、丢失或被盗的风险，应立即通知披露方，并采取一切合理的补救措施，包括但不限于调查事件原因、控制损害范围、恢复信息安全，并将调查过程和结果告知披露方。第三条保密信息的例外情况3.1如本协议第一条第1.1款第(h)项所述，下列信息不属于保密信息的范围：(a)在本协议生效前已经为公众所知的信息；(b)接收方在未违反本协议的前提下，从第三方合法获得的信息；(c)接收方独立开发，未使用披露方任何保密信息的信息；(d)接收方根据适用的法律法规或法院、行政命令的要求必须披露的信息，但接收方在披露前应尽快通知披露方。第四条责任限制4.1接收方对因违反本协议而给披露方造成的任何直接损失或间接损失（包括但不限于利润损失、商誉损失）的责任，在任何情况下均不超过本协议生效前12个月内接收方向披露方支付的渗透测试服务费用的[选择：两（2）倍或三（3）倍]。4.2除本协议明确规定的责任外，接收方不对任何其他后果承担责任。第五条期限与终止5.1本协议自双方授权代表签字盖章之日起生效。5.2本协议在以下任一情况下终止：(a)双方协商一致终止；(b)渗透测试服务完成；(c)一方严重违反本协议且在收到披露方书面通知后[选择：三十（30）]日内未能纠正。5.3无论本协议以何种方式终止，接收方在本协议第一条第1.6款规定的保密义务持续期间内，均应继续承担保密义务，并保护所有保密信息，直至该持续期间届满。第六条法律适用与争议解决6.1本协议的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。6.2因本协议引起的或与本协议有关的任何争议，双方应首先通过友好协商解决。协商不成的，任何一方均有权将争议提交至[选择：披露方所在地有管辖权的人民法院]诉讼解决。第七条其他条款7.1完整协议本协议构成双方就保密事宜达成的完整协议，取代此前所有口头或书面的协议、谅解或安排。7.2可分割性如果本协议的任何条款被认定为无效或不可执行，该条款应被视为从本协议中删除，但本协议的其他条款应继续保持完全效力。7.3修订对本协议的任何修订或补充，均须经双方授权代表书面签署后方能生效。7.4通知与本协议有关的任何通知或通讯应以书面形式，通过传真、电子邮件或快递服务发送至本协议首页载明的地址或邮箱。7.5转让未经披露方事先书面同意，接收方不得将其在本协议下的权利或义务部分或全部转让给任何第三方。7.6知识产权渗透测试过程中产生的报告、文档等的知识产权归属，按照渗透测试服务合同的约定执行。7.7可分割实体披露方和接收方是独立的法律实体。本协议不仅约束双方，也约束其各自的继承人或受让人。第八条协议的生效本协议自双方授权