首页
提交漏洞
公告
英雄榜
礼品商城
登录
/
注册
平安好学安全应急响应中心用户协议V2.0
发布日期:2020年5月19日
平安好学安全应急响应中心(以下简称“iSRC”)承诺对每一位报告者反馈的问题都有专人负责跟进、反馈 、分析和处理,并及时给予答复。iSRC恪守并支持负责任的漏洞报告流程,尊重每一位报告者的研究成果。平安好学将用户利益放在第一位,尽最大努力保护平安好学用户的利益。 ###一、【协议范围】 1.1 本协议是您与平安好学之间订立的关于使用 iSRC平台所订立的协议。 1.2 “您”或“报告者”是指通过注册帐号的途径获得iSRC平台账号权限的个人或组织。 1.3 本协议内容同时包括平安好学可能不断发布的关于本项目的相关协议、业务规则等内容。上述内容一经正式发布,即为本协议不可分割的组成部分,您同样应当遵守。 ### 二、【关于本项目】 2.1 您进入iSRC注册/登录后可根据相关指引提交平安好学公司产品和服务的漏洞。iSRC将对您提交的漏洞进行评估,若被认定为安全漏洞,将根据评分结果给予相应的奖励,平安好学会从前述奖励金中扣除个人所得税(如有)。 2.2 **您理解并同意:**在您将相关奖励进行礼品、现金等兑换,iSRC在向您发放相应奖励或其他必要的情况下,平安好学有权要求您提供包括但不限于如下个人信息资料(如果您不提供相关信息,可能无法进行礼品、现金兑换,或者无法获得相关服务): 2.2.1 姓名,系您正在使用的公民身份证、护照以及其他有效身份证件载明的姓名。 2.2.2 证件号码:您有效身份证件的编号。 2.2.3 移动电话:您本人的正在使用的移动电话号码。 2.2.4 联系地址:您本人常住的住所地址或有效的通讯地址。 2.3 **您理解并同意:**您在使用本服务过程中提供的个人信息资料必须是完整的、真实的、有效的,平安好学对您提供的个人信息资料仅进行书面的、形式的审查,平安好学并没有能力验证、核实您个人信息资料的真实性;因您未提供完整的、真实的、有效的个人信息资料导致在本服务中产生的任何不利于您的后果均由您承担。应当准确填写并及时更新您的联系信息,以便我们与您进行有效联系,因通过这些联系方式无法与您取得联系,导致您所产生任何损失或后果的,由您全部承担。 2.4符合要求并且高质量的漏洞报告将会加快iSRC漏洞评估的进程,同时加快您获得奖励的进程。高质量的报告应当包括如下内容: (1)详细描述漏洞的细节,并包括漏洞的易利用程度和危害性; (2)复现漏洞的详细步骤; (3)提供详细的测试环境信息,包括: 漏洞涉及的URL/APP 、代码片段; 您在测试使用的公网IP地址; 您在测试时使用的帐号; 非破坏性的漏洞POC(比如对于RCE漏洞,运行“hello world”); 保留测试时的数据,并且作为报告附件提交。 **您理解并同意:缺少上述信息可能会导致iSRC评估漏洞困难,并且影响对您的响应及奖励发放事宜。** **2.5您理解并同意:平安好学不接受对于官方宣布不再支持的服务的漏洞反馈,平安好学不接受除平安好学设计开发之系统以外的第三方产品或服务的漏洞反馈** 2.6 在对漏洞进行评级时,平安好学将主要考虑以下几个因素: (1)可能泄漏的数据的敏感程度及数量; (2)漏洞的易利用程度; (3)对平安好学用户造成损失的可能性及总体风险; (4)平安好学产品或者服务器的受影响范围; 您理解并同意,在对漏洞进行评级时,下列因素不在平安好学的考虑范围: (1)您在漏洞挖掘过程中投入的时间成本; (2)您为了漏洞挖掘所购买平安好学产品的花费; (3)已被平安好学所知晓的漏洞; (4)其他不能明确漏洞影响或者严重程度的因素。 2.7 奖励原则遵循“第一报告人”原则,即同种类型的安全漏洞,依据在iSRC平台完成提交的时间先后,只有第一报告人可以获得相应的奖励。对于漏洞的评估和认定,包括但不限于漏洞的有效性、漏洞的威胁等级、奖励金额的匹配等,平安好学拥有最终解释权。 2.8关于漏洞的披露,您必须遵循以下要求: (1)不在未获得平安好学许可的情况下向他人披露有关漏洞的任何细节; (2)获得平安好学的许可后,在披露过程中不公布用户数据、用户隐私或平安好学服务器地址等可能损害平安好学及用户合法权益的信息; (3)必须客观、真实描述漏洞的影响,任何夸大漏洞影响、煽动用户、恶意制造恐慌的行为将会受到追究; ###三、【报告者的权利义务】 3.1 您在使用平安好学产品和服务或进行漏洞收集、提交或发布时,应当遵守宪法、法律、法规和规章、公共秩序和社会公德以及本协议的规定,不得影响平安好学产品和服务的正常运行,不得侵害平安好学产品和服务的用户隐私和数据安全,不得危害网络安全。 3.2 您不得利用平安好学产品和服务或在漏洞收集过程中从事包括但不限于危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分列国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。 3.3 **您理解并同意**:您是以研究和测试为目的进行漏洞发现和收集活动,基于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。 3.4 **您理解并同意:**您对您发现、收集、提交或发布漏洞等的研究或评估的方式、方法、工具及手段的合法性负责,平安好学对此不承担任何法律责任。 3.5 **您理解并同意:**在进行漏洞收集、测试过程中,不得非法侵入平安好学网络、干扰平安好学产品和服务的正常功能、窃取用户数据等;不得提供专门用于侵入平安好学网络、干扰平安好学产品和服务正常功能、窃取用户数据等的程序和工具;并不得为他人从事上述危害活动提供技术支持等帮助。 3.6 iSRC尊重您的个人隐私,将会采取必要的、合理的措施保护您的个人信息,除用于受理、评判和处理您提交的漏洞、法律或有法律赋予权限的有关部门要求或您同意等原因外,iSRC未经您的同意不向第三方公开或透露您提交的本协议第 2.2 条所指的个人信息。 3.7 **您理解并同意**:您不得窃取或以其他非法方式获取平安好学产品和服务的用户信息,不得非法出售或者非法向他人提供平安好学产品和服务的用户信息。 3.8 **您理解并同意:**您在iSRC所提交的漏洞报告的所有权及全部知识产权归平安好学所有。未经平安好学书面许可,您不得自行使用、向任何第三方披露或允许第三方使用上述漏洞报告和该等知识产权。如您违反本条规定,平安好学有权追回向您发放的所有奖励并追究您的法律责任。 3.9 **您理解并同意:**对您在发现、收集、提交或发布漏洞及本协议履行过程中所知悉的任何关于平安好学技术秘密和平安好学商业秘密(以下简称“保密信息”),无论在本协议期限内还是本协议终止后,您均负有严格的保密义务。您保证,您所知悉的所有平安好学的保密信息只用于本协议的目的,不得用于其他任何目的。未经平安好学事先书面授权,您不得自行使用,或以任何方式向第三方披露、转让、许可使用、交换、赠与或与任何其他第三方共同或以任何其他方式使用该等保密信息。如您违反本条规定,平安好学有权追回向您发放的所有奖励,并追究您的法律责任。 ### 四、【报告者行为规范】 4.1【注意事项】 4.1.1 您充分理解并同意:本项目的某些功能可能会让iSRC以外的组织或个人知晓您的某些信息,例如:您在iSRC网站上的昵称、排名等。您应了解本部分的信息公开和透露可能会给您带来潜在风险,并自行承担由此造成的风险。 4.1.2 您充分理解并同意:平安好学可能会对您在本项目中的相关操作信息等进行使用,也可能通过第三方提供的服务向您本人、其他用户展示您的相关信息。平安好学也可能会基于安全因素,收集、使用您在iSRC网站上的相关操作行为等信息。 4.1.3 平安好学有权向您展现各种信息,包括但不限于、新闻信息及宣传信息等。 4.1.4 您理解并同意:iSRC将努力保障您在本项目中的数据存储安全,但是,并不能就此提供完全保证,包括但不限于以下情形: (1)iSRC不对您在本项目中相关数据的删除或储存失败负责; (2)iSRC有权根据实际情况自行决定您在本项目中数据的最长储存期限、服务器中数据的最大存储空间等,您可根据自己的需要自行备份本项目中的相关数据。 (3)如果您退出本项目,平安好学可以从服务器上永久地删除您的数据,iSRC没有义务向您返还任何数据。 4.2【禁止行为】 4.2.1您在参与本项目时不得从事以下行为,包括但不限于: (1)发布、传送、传播、储存违反国家法律、危害国家安全统一、社会稳定、公序良俗、社会公德以及侮辱、诽谤、淫秽、暴力的内容; (2)发布、传送、传播、储存侵害他人名誉权、肖像权、知识产权、商业秘密等合法权利的内容; (3)虚构事实、隐瞒真相以误导、欺骗他人; (4)发表、传送、传播广告信息及垃圾信息; (5)以测试为借口,利用漏洞进行破坏、损害用户利益的行为,包括但不限于利用漏洞盗取用户资料、隐私及虚拟财产; (6)利用漏洞攻击平安好学的系统,造成系统宕机或者失效; (7)利用安全漏洞实施恐吓、敲诈或恶意夸大漏洞影响,引起公众恐慌; (8)有害或者结果不可控的安全测试行为; (9)不负责任的漏洞披露、恶意传播漏洞; (10)未妥善保管漏洞测试过程中的数据,导致平安好学蒙受损失; (11)从事其他违反法律法规、政策及公序良俗、社会公德等的行为。 4.2.2除非法律允许或平安好学书面许可,您不得从事下列行为: (1)删除iSRC网站及其副本上关于著作权的信息; (2)对本项目进行反向工程、反向汇编、反向编译,或者以其他方式尝试发现的源代码; (3)对iSRC拥有知识产权的内容进行使用、出租、出借、复制、修改、链接、转载、汇编、发表、出版、建立镜像站点等; (4)对本项目运行所必需的系统数据,进行复制、修改、增加、删除、挂接运行或创作任何衍生作品,形式包括但不限于使用插件、外挂或非iSRC授权的第三方工具/服务接入; (5)通过修改或伪造本项目运行中的指令、数据,增加、删减、变动软件的功能或运行效果,或者将用于上述用途的软件、方法进行运营或向公众传播,无论这些行为是否为商业目的; (6)自行、授权他人或利用第三方软件对本项目的组件、模块、数据等进行干扰; (7)在漏洞测试过程中下载平安好学的代码和数据; (8)其他违反法律法规规定、侵犯其他用户合法权益、干扰产品正常运营或未经平安好学明示授权、许可或违反本协议及相关协议、规则的行为。 **您理解并同意:若您违反前述约定、本协议或相关法规政策,iSRC有权不经您同意而直接终止您加入本项目。若由于iSRC按照前述约定终止您对本项目的参加而对您产生影响或任何损失的,您同意不追究平安好学的任何责任或不向iSRC主张任何权利。** 4.3【对自己行为负责】 您充分了解并同意,您必须为自己注册帐号下的一切行为负责。您应对加入本项目时接触到的内容自行加以判断,并承担因使用内容而引起的所有风险,包括因对内容的正确性、完整性或实用性的依赖而产生的风险。平安好学无法且不会对您因前述风险而导致的任何损失或损害承担责任。 4.4【违约处理】 如果iSRC发现或收到他人举报您有违反本协议约定的,iSRC有权不经通知随时对相关内容进行删除、屏蔽,并采取包括但不限于暂停、中止、终止您参与本项目、追究法律责任、要求您承担由此造成的所有经济损失(包括但不限于直接或间接经济损失、为实现权利而支付的合理开支、商誉损失、预期利益等)等措施。 4.5【对第三方损害的处理】 您违反本协议约定,导致任何第三方损害或索赔的,您应当独立承担责任;平安好学、平安好学关联公司或平安好学合作单位因此遭受损失的,您也应当一并赔偿。 ###五、【iSRC的权利和义务】 5.1 iSRC供与本项目有关的技术支持,并负责iSRC网站的正常运行和维护。 5.2 iSRC有权对您提交的漏洞信息和个人信息进行调查与核实,并在调查处理完毕后向您的帐号及通讯设备发送相关处理结果。但并不因为iSRC的调查和审核,而减轻您对其提交的信息的完整性、真实性、合法性的保证责任,由此产生的一切责任和后果仍由您单独承担。如iSRC对您提供的信息的完整性、真实性、合法性存在任何疑问时,平安好学有权发出通知要求您做出解释、改正,iSRC亦有权不通知而直接做出终止您参与本项目、冻结帐号等处理。 5.3 您因参与本项目而与其他人或任何第三方产生纠纷的,由您自行处理并承担所有责任。 5.4 如iSRC发现或收到他人举报报告者存在违反本协议规定或相关法律法规、政策的,有权向报告者核实有关情况,限制报告者活动,发出警告通知以及终止该报告者参与本项目。 5.5iSRC有权将所有发给您的通告通过电子邮件或常规的信件传送,送达内容可能包括但不限于服务条款的修改、服务变更、或其它重要事情。 ###六、【iSRC网站的更新】 6.1 平安好学有权不经向您特别通知而对iSRC网站进行更新,或者对部分功能效果进行改变或限制。 6.2 新版本发布后,旧版本的排他可能无法使用。平安好学不保证旧版本功能继续可用,请您随时核对并使用最新版本。 ###七、【第三方提供的产品或服务】 您在使用第三方提供的产品或服务时,除遵守本协议约定外,还应遵守第三方的用户协议。平安好学和第三方对可能出现的纠纷在法律规定和约定的范围内各自承担责任。 平安好学不保证通过第三方提供服务及内容的安全性、准确性、有效性及其他不确定的风险,由此若引发的任何争议及损害,与平安好学无关,平安好学不承担任何责任。 ###八、【知识产权声明】 8.1 平安好学是本项目的知识产权权利人。本项目的著作权、商标权、专利权、商业秘密等知识产权,以及与本项目相关的所有信息内容(包括但不限于文字、图片、音频、视频、图表、界面设计、版面框架、有关数据或电子文档等)均受中华人民共和国法律法规和相应的国际条约保护,平安好学依法享有上述相关知识产权,但相关权利人依照法律规定应享有的权利除外。 8.2 未经平安好学或相关权利人书面同意,您不得为任何商业或非商业目的自行或许可任何第三方实施、利用、转让上述知识产权。 ###九、【安全责任】 9.1 您理解并同意,本服务同大多数互联网软件、服务一样,可能会受多种因素影响(包括但不限于网络服务质量、社会环境等);也可能会受各种安全问题的侵扰(包括但不限于他人非法利用报告者资料,进行现实中的骚扰;报告者下载安装的其他软件或访问的其他网站中可能含有病毒、木马程序或其他恶意程序,威胁您的信息和数据的安全,继而影响本项目的正常运行等)。因此,您应加强信息安全及个人信息的保护意识,注意密码保护,以免遭受损失。 9.2 您不得制作、发布、使用、传播用于窃取注册帐号及他人个人信息、财产的恶意程序。 9.3 维护本项目安全与正常使用是平安好学和您的共同责任,平安好学将按照行业标准合理审慎地采取必要技术措施保护您的终端信息和数据安全,但是您承认和同意平安好学不能就此提供任何保证。 ###十、【第三方软件或技术】 本项目可能会使用第三方软件或技术,平安好学将按照相关法规或约定,对相关的协议或其他文件,可能通过本协议附件、在软件安装包特定文件夹中打包等形式进行展示,它们可能会以“软件使用许可协议”、“授权协议”、“开源代码许可证”或其他形式来表达。前述通过各种形式展现的相关协议或其他文件,均是本协议不可分割的组成部分,与本协议具有同等的法律效力,您应当遵守这些要求。如果您没有遵守这些要求,该第三方或者国家机关可能会对您提起诉讼、罚款或采取其他制裁措施,并要求平安好学给予协助,您应当自行承担法律责任。 ###十一、【本项目的变更、中止或终止】 **11.1 您理解并同意:平安好学有权自主决定经营策略,有权在无需通知您的情况下随时对本项目进行变更、修改,以及中断、中止或终止。若由此给您造成损失的,您同意放弃追究平安好学的责任。** **11.2 您理解并同意:本协议约定的其他中止或终止条件发生或实现的,平安好学有权随时中止或终止您对本项目的全部或部分参与。** **11.3 您理解并同意:如本协议或本项目因为任何原因终止的,对于您帐号中的全部数据或您因参与本项目而存储在平安好学服务器中的数据等任何信息,平安好学可将该等信息保留或删除,包括本项目终止前您尚未完成的任何数据,您同意不追究平安好学的任何责任或不向平安好学主张任何权利。** ###十二、【免责】 **12.1 您理解并同意:平安好学有权定期或不定期地对本项目下的相关设备进行检修、维护、升级等,此类情况可能会造成相关功能在合理时间内中断或暂停的,若由此给您造成损失的,您同意放弃追究平安好学的责任。** **12.2 您理解并同意:本项目是按照现有技术和条件所能达到的现状设计的,平安好学不能保证本项目毫无瑕疵,也无法随时预见和防范法律、技术以及其他风险,包括但不限于不可抗力、病毒、木马、黑客攻击、系统不稳定、第三方服务瑕疵、政府行为等原因可能导致的本项目中断、数据丢失以及其他的损失和风险。所以您也同意:即使本项目存在瑕疵,但上述瑕疵是当时行业技术水平所无法避免的,其将不被视为平安好学违约,同时,由此给您造成的数据或信息丢失等损失的,您同意放弃追究平安好学的责任。** **12.3 您理解并同意:在参与本项目的过程中,可能会遇到不可抗力等风险因素,使本项目发生中断。不可抗力是指不能预见、不能克服并不能避免且对一方或双方造成重大影响的客观事件,包括但不限于自然灾害如洪水、地震、瘟疫流行和风暴等以及社会事件如战争、动乱、政府行为等。出现上述情况时,平安好学将努力在第一时间与相关单位配合,及时进行修复,若由此给您造成损失的,您同意放弃追究平安好学的责任。** **12.4 您理解并同意:若由于以下情形导致本项目中断或受阻,给您造成损失的,您同意放弃追究平安好学的责任:** **(1)受到计算机病毒、木马或其他恶意程序、黑客攻击的破坏;** **(2)您或平安好学的电脑软件、系统、硬件和通信线路出现故障;** **(3)您操作不当;** **(4)您通过非平安好学授权的方式参与本项目;** **(5)其他平安好学无法控制或合理预见的情形。** ### 十三、【其他】 13.1 您参与本项目即视为您已阅读并同意受本协议的约束。平安好学有权在必要时修改本协议条款。您可以在本项目查阅本协议的最新版本。本协议条款变更后,如果您继续参与本项目,即视为您已接受修改后的协议。如果您不接受修改后的协议,应当停止参与本项目。 13.2 本协议签订地为中华人民共和国上海市虹口区。 13.3 本协议的成立、生效、履行、解释及纠纷解决,适用中华人民共和国大陆地区法律(不包括冲突法)。 13.4 在漏洞报告处理过程中,如果您对流程处理、漏洞定级、漏洞评分等有异议,您可以通过向pub_pahxsecurity@pingan.com.cn发送标题为【漏洞处理异议】的邮件与iSRC工作人员进行沟通。您有任何关于本项目的意见和建议,均可通过pub_pahxsecurity@pingan.com.cn邮箱进行反馈, 主题为【iSRC建议】。 13.5若您和平安好学之间发生任何纠纷或争议,首先应友好协商解决;协商不成的,您同意将纠纷或争议提交本协议签订地有管辖权的人民法院管辖。 13.6 本协议所有条款的标题仅为阅读方便,本身并无实际涵义,不能作为本协议涵义解释的依据。 13.7 本协议条款无论因何种原因部分无效或不可执行,其余条款仍有效,对双方具有约束力。