2025年渗透测试服务保密补充协议.docxVIP

2025年渗透测试服务保密补充协议

甲方（渗透测试服务提供方）：[提供方公司全称]

住所地：[提供方公司住所地]

统一社会信用代码：[提供方统一社会信用代码]

法定代表人：[提供方法定代表人姓名]

乙方（渗透测试服务接受方）：[接受方公司全称]

住所地：[接受方公司住所地]

统一社会信用代码：[接受方统一社会信用代码]

法定代表人：[接受方法定代表人姓名]

鉴于甲方是一家提供专业渗透测试服务的公司，拥有相应的技术能力和资质；乙方需要委托甲方对其信息系统的安全性进行评估和测试；双方于[主合同签订日期]签订了编号为[主合同编号]的《渗透测试服务合同》（以下简称“主合同”），约定由甲方为乙方提供渗透测试服务。

为更进一步明确双方在保密方面的权利与义务，根据《中华人民共和国民法典》及其他相关法律法规，经双方友好协商，达成如下补充协议，作为主合同的补充部分，与主合同具有同等法律效力。

第一条定义

1.1除非本协议另有约定，下列词语具有以下含义：

(1)“保密信息”是指由一方（“披露方”）向另一方（“接收方”）披露的，与主合同项下的渗透测试服务相关的，无论以何种形式（书面、口头、电子等）存在，且在披露时被披露方明确标示为“保密”、“机密”或类似字样，或者根据其性质应当被合理理解为保密的信息，包括但不限于：

a.乙方提供的用于测试的IT系统详细架构信息、网络拓扑图、系统配置数据、业务流程信息、API接口细节；

b.乙方提供的用于测试的账号、密码、密钥等凭证及其使用范围和限制说明；

c.甲方为执行测试而制定的具体测试计划、测试方案、测试脚本、使用的工具和技术细节；

d.渗透测试过程中发现的安全漏洞详情，包括漏洞名称、CVE编号、严重等级、攻击路径、潜在影响及复现步骤；

e.渗透测试报告的完整版本，包括但不限于技术附录、风险评估结果、安全建议和修复指导；

f.双方就渗透测试服务事宜进行的讨论、沟通内容；

g.参与乙方信息系统渗透测试的甲方人员姓名及其联系方式；

h.与主合同项下渗透测试服务相关的其他未公开的技术信息、商业信息。

(2)“非保密信息”是指接收方接收到的保密信息中，经披露方明确告知不属于保密信息的内容，或者能够从公开渠道合法获得的内容，或者接收方独立开发产生且未使用披露方保密信息的内容。

(3)“关联公司”是指本协议双方及其任何直接或间接持股5%以上的母公司、子公司、关联实体及其他控制、被控制或共同控制的公司。

第二条保密义务

2.1接收方同意并承诺，对披露方披露的保密信息予以严格保密，并采取不低于保护自身同等重要保密信息的谨慎程度（但无论如何不应低于合理的谨慎程度）予以保护。

2.2接收方仅能将保密信息用于为履行主合同而进行渗透测试服务的目的，不得为任何其他目的使用保密信息。

2.3接收方应确保其内部接触保密信息的所有员工、顾问、代理人、顾问和分包商（以下简称“受托人”）都知晓本协议的保密义务，并要求其遵守不低于本协议规定的保密要求。接收方对受托人的违反保密义务的行为承担连带责任。

2.4接收方不得向任何第三方披露保密信息，但下列情况除外：

(1)披露方事先书面同意；

(2)接收方根据法律法规、监管机构的要求或司法/行政命令必须披露，且在披露前已尽合理努力通知披露方，并仅在法律或命令要求的范围内披露；

(3)接收方已经合法地获得该部分保密信息的全部或部分。

2.5接收方应建立并维持合理的行政管理和技术保护措施，以防止未经授权的访问、使用、复制、披露或丢失保密信息，包括但不限于数据加密、访问控制、安全审计等措施。

第三条保密期限

3.1接收方对保密信息的保密义务自其首次接收保密信息之日起生效，并在以下期限内持续有效：

(1)对于乙方提供的保密信息（包括但不限于乙方系统信息、业务信息等），保密期限为自信息披露之日起十年；

(2)对于甲方提供的保密信息（包括但不限于测试方法、工具、报告完整版等），保密期限为自信息披露之日起五年；

(3)对于双方在合作过程中产生或交换的新的保密信息，保密期限自该信息产生或披露之日起五年；

(4)对于涉及核心商业秘密或知识产权的保密信息，即使本协议终止，保密期限仍然持续有效。

3.2本协议约定的保密期限不因主合同的终止或解除而终止，但以本协议本身的有效期限为准。

第四条信息的使用与披露限制

4.1未经披露方事先书面同意，接收方不得将保密信息用于任何与主合同约定的渗透测试服务无关的目的。

4.2除非法律规定或本协议第二条约定的