2025年渗透测试服务保密条款执行协议.docxVIP

2025年渗透测试服务保密条款执行协议

本协议由以下双方于2025年签署：

渗透测试服务提供方（以下简称“甲方”）：

公司名称：[甲方公司全称]

注册地址：[甲方公司注册地址]

法定代表人/授权代表：[姓名]

联系方式：[电话、邮箱]

客户方（以下简称“乙方”）：

公司名称：[乙方公司全称]

注册地址：[乙方公司注册地址]

法定代表人/授权代表：[姓名]

联系方式：[电话、邮箱]

鉴于甲方拥有提供渗透测试服务的能力和资质，乙方希望委托甲方为其信息系统的安全性提供渗透测试服务，并双方希望在提供服务的过程中及服务结束后，对涉及双方的保密信息承担保密义务，特依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其他相关法律法规，经友好协商，达成如下协议，以资共同遵守。

第一条定义与解释

除非本协议另有明确约定，下列词语具有以下含义：

（一）“保密信息”是指一方（以下简称“披露方”）以书面、口头、电子或其他形式向另一方（以下简称“接收方”）披露，或接收方在合作过程中接触、知悉的，与渗透测试服务相关的，未公开的，且披露方或接收方有合理理由认为应予保密的所有技术信息、经营信息、客户信息、财务信息以及其他非公开信息。具体包括但不限于：

1.乙方的网络架构、系统配置、软件应用、数据库结构、访问控制策略、安全设备信息、操作凭证等；

2.甲方或乙方在渗透测试过程中使用的工具、方法、脚本、测试策略、测试过程记录、中间发现报告等；

3.渗透测试报告、漏洞评估结果、风险评估、修复建议、测试评分、安全基线配置等；

4.乙方商业计划、运营数据、财务信息、客户资料、供应商信息等与测试系统相关的商业秘密；

5.双方在合作过程中通过会议、邮件、即时通讯、书面文件等形式交流的，涉及上述内容的沟通内容；

6.法律法规、行业规范要求保密的信息；

7.接收方独立开发或从第三方合法获得，但能推知其源于披露方的保密信息。

（二）“非保密信息”是指接收方在接收保密信息前已知悉的信息，或接收方接收后能够轻易地从公开渠道获取的信息，或经披露方明确标识为非保密的信息，或信息已非因接收方违反本协议而进入公有领域的信息。

（三）“代表”是指甲乙双方的董事、高级管理人员、员工、顾问、代理人以及任何在提供服务过程中接触或知悉保密信息的外包服务商、分包商的相应人员。

（四）“渗透测试服务”是指甲方根据乙方的需求和约定，对乙方的信息系统进行模拟攻击，以发现其中存在的安全脆弱性并提供修复建议的服务。

（五）“项目信息”是指与特定的渗透测试项目相关的所有保密信息。

第二条保密义务

（一）甲乙双方及其代表均应严格保守在合作过程中接触或知悉的对方的保密信息，并承担不低于保护自身同类保密信息的谨慎义务。如法律规定或有权机关要求披露保密信息，接收方应在法律允许的范围内，尽力提前通知披露方，并配合披露方采取必要的保护措施，披露方有权要求接收方提供必要的协助。

（二）甲方仅能将在履行本协议约定的渗透测试服务目的所必需的保密信息披露给其内部需要知悉的代表，并确保该等代表承担与甲方同等的保密义务。甲方应采取合理的措施，防止其代表泄露保密信息。

（三）乙方应确保甲方及其代表仅能在为乙方提供渗透测试服务的范围内使用保密信息，不得用于任何其他目的，不得向任何第三方披露（法律法规另有规定或获得甲方事先书面同意的除外）。

（四）甲乙双方均不得对保密信息进行任何形式的复制、转让、许可或许可使用，除非获得披露方的书面同意。

（五）双方应采取合理的物理、技术和管理措施，保护保密信息的安全，防止未经授权的访问、使用、复制、披露或丢失。对于存储或传输保密信息的载体（包括但不限于硬盘、U盘、文件、网络传输等），应采取不低于行业标准的保护措施。

（六）在本协议终止后或根据对方的书面要求，接收方应立即停止使用保密信息，并在收到要求后[三十/六十]日内，将所有包含保密信息的载体（包括但不限于电子文档、纸质文件、存储介质等）返还给披露方，或根据披露方的指示进行销毁，并出具书面证明。接收方在返还或销毁前，应确保已采取不低于保护自身同类保密信息的措施。

（七）未经对方事先书面同意，任何一方不得将本协议项下的权利或义务部分或全部转让给任何第三方。但甲方在获得乙方书面同意的情况下，可将部分服务外包给具有相应资质和保密能力的第三方，且甲方对此类外包第三方负有连带责任，确保其遵守不低于本协议标准的保密义务。

第三条保密期限

（一）双方对于从对方获取的保密信息，应在本协议有效期内以及本协议终止后持续承担保密义务。

（二）本协议终止后，保密期限自动延长[三/五]年。即，对于在本协议终止时仍为保密的信息，双方应继续履行保密义务至终止后[三/五]年止，或直至