PSRC用户服务协议

亲爱的用户,欢迎您使用平安集团安全应急响应中心平台及服务!

         平安集团安全应急响应中心(Pingan Security Response Center,以下简称为“PSRC”)隶属于平安科技(深圳)有限公司(以下简称“平安科技”),该平台是外部用户向中国平安保险(集团)股份有限公司及其旗下公司(以下简称“平安集团”)反馈各产品和业务安全漏洞的平台,也是平安科技加强与安全业界和同仁合作交流的渠道之一。

         本用户协议(以下称为“本协议”)是平安科技与登陆、使用PSRC的用户(以下称为“您“)签订的具有约束力的法律文书。请您在使用PSRC之前,认真阅读、并充分理解本协议及各条款内容,尤其需关注免除或者限制责任的条款以及其他以粗体及下划线标识的重要条款,并确认是否接受。前述重要条款将以加粗及下划线标识的方式提示您特别注意。

         除非您已阅读并接受本协议所有条款,否则您无权使用PSRC,无权跳转到平安一账通进行注册,在注册平安一账通时请务必阅读和理解《平安一账通会员服务协议》。用户的账号获取和登录、PSRC服务使用等行为将视为已接受本协议所有条款及其约束。未满18周岁的未成年人请在法定监护人的陪同下阅读本协议及其他相关协议。

         平安科技有权不定期更新本协议条款,您可以在本软件的最新版本中查阅本协议的最新版本。本协议条款变更后,如您继续使用PSRC,即视为您已接受修改后的协议。本协议自您选择页面中的“我已阅读并同意接受《PSRC用户服务协议》”后,即表示您已充分阅读、理解并接受本协议的全部内容。阅读本协议的过程中,如果您不同意相关协议或其中任何条款约定,您应当立即停止使用。

一、漏洞提交

1.1 通过PSRC平台收集的漏洞是您以研究为目的测试平安集团漏洞过程中发现的平安集团的漏洞。

1.2 在您同意遵守本协议及其他相关协议的前提下,我们授权您在不影响被测试、评估系统正常运行、不危害系统及平台用户隐私、数据安全的情况下,以测试和评估系统安全性为目的收集漏洞。

1.3 对于您向PSRC提交的漏洞,您需要保证研究漏洞的方法、方式、工具及手段的合法性,PSRC对此不承担任何法律责任;

1.4 您同意必须基于诚信原则提交漏洞信息,并确保您是依据您自身所拥有的知识和技能,通过合法正当的方式和途径发现该漏洞信息的存在,您保证您所提交的漏洞信息所包含的全部权利为合法。

1.5 用户进行测试,应当遵守如下原则:

不得影响生产业务系统的正常工作。严禁修改或删除任何数据信息,包括但不限于应用程序、网络设备配置、业务数据等。

存在信息泄露的安全漏洞,严禁批量获取生产业务数据,能证明漏洞即可。

测试getshell时,严禁上传真实的webshell,仅可上传无危害的php/jsp等文件,文件命名为psrctest,以用来验证漏洞,例如输出“hello world!”。

对可获操作系统管理员权限的漏洞,无需过度测试,如上传webshell或后门。

在未经授权允许下,不得在计算机信息网络中增加测试账户、订单、文件等任何数据,授权增加的任何信息必须在提交的报告中体现,并明确标注;严禁批量增加大量信息。

提交的漏洞poc,请明确包含影响的url或app,漏洞证据清晰,影响描述恰当,安全修复建议合理。

测试结束后,严禁保存或扩散任何测试过程中获取的数据。

1.6 您不得为任何非法目的而使用漏洞及漏洞提供的相关信息和PSRC网站的信息,具体地,您不得从事以下活动:

未经允许进入计算机信息网络或者使用计算机信息网络资源的;

未经允许,对计算机信息网络功能进行删除、修改或者增加的;

未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的; 故意制作、传播计算机病毒等破坏性程序的;

故意制作、传播计算机病毒等破坏性程序的;

其他危害计算机信息网络安全的行为。

二、用户使用须知

1、用户在使用PSRC网络服务过程中,必须遵循以下原则:

1) 遵守中国有关的法律和法规;遵守所有与网络服务有关的网络协议、规定和程序。

2) 不得为任何非法目的而使用网络服务系统。

3) 不得利用PSRC网络服务系统进行任何可能对互联网或移动网正常运转造成不利影响的行为。

4) 不得侵犯平安集团和其他任何第三方的专利权、著作权、商标权、名誉权或其他任何合法权益。

5) 不得用漏洞测试为借口,利用安全漏洞进行破坏、损害任何平安集团利益的黑客行为,包括但不限于利用漏洞盗取用户隐私及虚拟财产、入侵业务系统、窃取用户数据、恶意传播漏洞等。

6) 不得利用安全漏洞恐吓、敲诈平安集团,以及攻击平安集团的任何网络服务。

7) 不得利用安全漏洞用作不利于平安的负面言论或宣传。

8) 用户在提交安全漏洞后,该漏洞禁止对外公开。

9) 在PSRC上提交的漏洞不得在其它第三方漏洞平台再次提交;也不得将其他任何第三方平台的漏洞在PSRC上提交。

10) 如发现任何非法使用用户账号或账号出现安全漏洞的情况,应立即通告PSRC。

2、账号使用须知

1) 用户承诺在注册和使用本平台及服务过程中,遵守法律法规、社会主义制度、国家利益、公民合法权益、公共秩序、社会道德风尚和信息真实性等“七条底线”。

2) 用户承诺在注册和使用本平台的过程中,以真实身份信息进行认证;PSRC管理组有权对非实名用户进行封号或取消漏洞积分奖励。同时,PSRC平台可能要求您提供更多的身份资料和信息,做进一步的身份认证或资格验证。您理解并同意,我们有权按照国家司法、行政、安全等机关的要求对个人信息等进行查询、披露。

3) 用户承诺在注册和使用本软件的过程中,注册和使用的互联网账号名称、头像和简介等注册信息不得存在下列情形:

a) 违反宪法或法律规定的;

b) 危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;

c) 损害国家荣誉和利益的,损害公共利益的;

d) 煽动民族仇恨、民族歧视,破坏民族团结的;

e) 破坏国家宗教政策,宣扬邪教和封建迷信的;

f) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;

g) 侮辱或者诽谤他人,侵害他人合法权益的;

h) 含有法律、行政法规禁止的其他内容的。

4) 不得为他人发布上述不符合国家规定或本协议条款约定的信息内容提供任何便利,包括但不限于设置URL链接等。

5) 用户有责任妥善保管注册账户信息及账户密码的安全,用户须自行负责对您的登录名、昵称和密码保密,该登录名、昵称和密码下发生的所有活动(包括但不限于信息披露、发布信息等)均视为用户本人行为。用户同意在任何情况下不向他人透露账户及密码信息。在您怀疑他人在使用您的账号时,您应立即通知平安科技处理。

三、法律责任

1、如用户在使用网络服务时违反任何上述规定,或者收到用户举报或投诉,平安科技或其授权的人有权要求用户改正,或有权不经通知随时视情况直接采取一切必要的措施(包括但不限于更改或删除用户收藏的内容等、暂停或终止用户使用网络服务的权利)以减轻用户不当行为造成的影响。

2、如用户违反前述2-2)至2-3)条约定,依据相关法律、法规及国家政策要求,平安科技有权随时采取不予注册、通知限期改正、注销登记用户账号、中止或终止用户对PSRC的使用等措施。如果用户冒用关联机构或社会名人注册账号名称,平安科技或其授权的人有权注销该账号,并向互联网信息内容主管部门报告。

3、如您违反前述1.6条约定,平安科技有权采取注销您的账户等措施,如因您上述行为给我们造成损失的,您应予赔偿。

4、如用户违反本协议,导致任何第三方向平安集团追究法律责任的,用户应独立承担其行为造成的法律后果;因此给平安集团造成损失的,平安集团保留向用户追究法律责任的权利。

四、其他注意事项

1、用户在提交安全漏洞后,经PSRC测试无误,会得到相应的漏洞积分奖励,详见《平安外部漏洞处理流程3.0》,积分可兑换税后现金,现金由PSRC指定的第三方负责报税及发放。

2、本协议的成立、生效、履行、解释及纠纷解决,适用中华人民共和国大陆地区法律不包括香港、澳门特别行政区及台湾地区法律)。

如果就本协议的解释或执行发生争议,双方应首先力争通过友好协商解决该争议。如果在一方向其他方送达要求开始协商的书面通知后六十天内未能通过协商解决争议,那么任何一方均可将争议提交至深圳仲裁委员会,按照其届时有效的规则进行仲裁。相关争议应单独仲裁,不得与任何其它方的争议在任何仲裁中合并处理,仲裁裁决是终局的,对各方均有约束力。仲裁费用由败诉方承担,除非仲裁裁决另有规定。当任何争议发生时以及在对任何争议进行仲裁时,除争议事项外,各方应继续行使各自在本协议项下的其他权利,履行各自在本协议项下的其他义务。

3、如本协议中的任何条款因任何原因被判定为完全或部分无效或不具有执行力,本协议的其余条款仍应有效并且有执行力。

平安科技(深圳)有限公司