## **1. 专用条款的适用性** 1.1 本专用条款适用于您向火山引擎订购或（和）使用安全产品和服务（“**本服务**”），本服务具体内容以火山引擎官网-产品-云基础-安全板块内容为准。本专用条款有特别约定的，适用本专用条款。**本专用条款不适用安全托管服务、渗透测试服务、红蓝对抗服务、云工作负载保护平台、容器安全防护平台。** 1.2 一旦您订购或使用了本服务，本专用条款将与（1）火山引擎官网公示的[《火山引擎服务条款》](https://www.volcengine.com/docs/6256/64903)与[《火山引擎隐私政策》](https://www.volcengine.com/docs/6256/64902)，（2）[《产品和服务协议》](https://www.volcengine.com/docs/6256/68938)，（3）订购协议／服务订单，（4）《服务等级协议》（如有），和（5）服务规则等所适用的其他协议共同构成您与火山引擎之间就订购或（和）使用本服务的完整协议。 1.3 本专用条款未明确约定事项，将遵照您与火山引擎订立的其他所适用协议或服务规则的约定。 ## **2. 服务使用规则** 2.1 您应当使用您合法注册的火山引擎官网账号登录火山引擎官网，通过官网控制台使用本服务。如果您使用 API 和／或在线 SDK 的访问密钥，您应参照使用说明使用服务，您应对密钥的完整性和保密性负责，并应采取妥善的安全措施（包括但不限于进行访问权限管理、密钥加密）。 2.2 您理解并同意，火山引擎服务均由技术工具自动完成，除非另有书面约定和／或为履行服务协议下的特别义务（例如在适用情形下进行故障排除、检测等事项），火山引擎对服务过程及结果不进行人工干预。 2.3 火山引擎服务仅限于您根据服务协议的约定针对您的产品自行进行使用。您理解并同意，如您就本服务进行商业使用或以其他方式直接或间接获得收益，则您应事先获得火山引擎的书面许可。若您超出火山引擎授权范围使用、转让、再许可、出租火山引擎向您提供的任何资源、技术支持和服务等（包括向您的关联方转让、再许可、出租），火山引擎有权立即终止前述许可，由此遭致的损失和后果，应由您自行承担，火山引擎不为此承担责任。 2.4 您同意，将遵守《[火山引擎信息与网络安全规则](https://www.volcengine.com/docs/6256/79758)》（“**安全规则**”）。如您违反安全规则或本协议中任一项，包括但不限于在本协议签订时不具备开展业务所需的全部资质许可、履行相关手续，或在本协议有效期内丧失全部或部分资质许可的，火山引擎有权暂停提供服务，要求您在限期内改正。如您在限期内未改正的，火山引擎有权终止本协议，要求您承担违约责任并赔偿火山引擎的相应损失。 ## **3. 服务试（使）用说明** 3.1 火山引擎可能通过开展邀请测试、公测等方式为您提供免费服务或在一定使用额度内为您提供免费服务，免费试（使）用期限／额度具体以火山引擎官网公布的信息为准。在免费期间或免费额度内，您不需支付费用，火山引擎不排除日后收取费用的可能，届时火山引擎将提前通过在网站内合适版面发布公告或发送站内通知等方式公布收费政策及规范；如果收费期开始后您仍使用相应服务的，您应按届时有效的收费政策为后续使用的产品／服务付费。具体以火山引擎官网公示的或您与火山引擎签署的《产品和服务测试协议》（如有）的约定为准。 3.2 在免费试用期间，火山引擎会对服务可用性和可靠性提供支撑，但不对任何服务可用性、可靠性做出承诺，《服务等级协议》将在您开通使用产品和服务正式发布版本后开始适用。 ## **4. 服务特别说明** **4.1** **DDoS 防护服务**。您将在所选购的防护带宽范围内享受 DDoS 防护服务。如攻击流量有可能超过您所购买的防护带宽，您应及时升级至更高流量的防护带宽，否则您的服务器会由于被攻击或触发黑洞策略导致服务中断。 **4.2** **密钥管理系统**。如果您不再继续使用密钥管理系统，请及时登录控制台删除您的密钥信息。 **4.3 高级网络威胁检测系统、云防火墙**。为了确保服务正常使用，高级网络威胁检测系统、云防火墙服务将收集您的业务流量元数据信息以及安全告警数据。 **4.4 云安全中心** 4.4.1 云安全中心服务是针对使用火山引擎云服务器服务和火山引擎负载均衡服务（以下简称“**云服务器**”和“**负载均衡**”）的用户提供的一项安全监控服务，您只有开通了云服务器及／或负载均衡才可以正常开通云安全中心服务。 4.4.2 为了向您提供云安全中心服务，火山引擎需要对您开通云安全中心服务的账号下的所有云服务器和负载均衡的访问数据进行分析计算，因此您一旦开通服务即意味着您授权火山引擎对您开通服务的账号下所有云服务器和负载均衡的访问数据进行收集及分析计算。 4.4.3 开通云安全中心服务后，将自动开启安全体检功能。当您运行在火山引擎产品上的应用或服务存在漏洞、弱口令及开放不明端口时，安全体检服务会及时监控到并对您产品中存在的以上风险并进行提示。安全体检服务在检测时会自动对网络流量中的 URL 提取再重放来进行安全检测，提取内容不包含 COOKIE，POST 的数据，仅包含 URL 且会进行脱敏处理，提取的信息仅会用来检测用户的安全风险，不会用于其他任何用途。 4.4.4 云安全中心服务将向您推送攻击者 IP 的威胁情报信息作为安全预警。该威胁情报信息来源于云安全中心服务对收集的数据进行计算以及匹配相应的规则后产生的数据，包括：攻击者 IP 的属性、地域，以及对攻击者 IP 开放端口进行扫描的结果。 4.4.5 云安全中心服务由安装在您服务器上的云安全中心 Agent 插件和在云端的云安全中心服务器共同组成。您授权火山引擎通过安装在您服务器上的云安全中心 Agent 插件收集您服务器上的文件、进程及登录日志等的安全特征信息并上传到云端的云安全中心服务器进行安全分析，以向您提供相应的安全功能。您可以通过云安全中心控制台选择开启或关闭其中部分或全部的功能。如您选择关闭相关功能，则相关安全服务将停止提供。 4.4.6 您了解火山引擎无法保证云安全中心 Agent 插件与所有服务器系统兼容，由于可能存在的不兼容情况，您的服务器资源占用率可能出现显著升高的情况，并有一定服务器宕机可能，您理解并认可，火山引擎云对上述兼容性引起的问题不承担责任。 4.4.7 您理解云安全中心服务提供的安全事件和安全威胁信息仅作为您评估安全风险和做出安全决策的参考，您基于云安全中心服务进行的任何行为的风险和后果由您自行承担。 4.4.8 如果您使用云安全中心的模型安全扫描服务，我们特别提示您：（1）本服务旨在为您自有的业务和模型提供模型安全扫描服务，包括但不限于安全性测试、性能分析、偏差检测等。严禁用于对任何第三方模型或系统进行未授权的测试、扫描或分析。（2）您应确保您的模型符合所有适用的法律、法规以及行业标准。特别是，您应确保评估的模型不侵犯任何第三方的知识产权、个人信息、隐私权等，且不涉及非法内容。（3）您需要根据自身的技术环境和需求，评估模型风险评估服务与您当前使用的系统、软件等是否兼容。（4）您应向我们提供必要的信息，包括不限于联系人信息、模型服务信息，并提供必要的协助。如有变动，您应及时更新这些信息并通知我们。提供不实、不准确或不完整的信息，以及因管理人员的行为或不作为造成的后果，将由您负责。（5）在使用本服务前，您确保对您的数据和资料进行备份。任何因您保护不当或操作失误导致的数据、凭证丢失或泄露，以及由此引发的损失和后果，将由您自行承担。（6）鉴于计算机和互联网技术的特殊性，使用模型风险评估服务可能存在系统宕机、业务中断或数据丢失的风险。您应明确了解并接受这些风险，并应采取预防措施，对于因服务引起的系统宕机、业务中断或数据丢失的后果和损失，我们不承担责任。（7）鉴于模型的复杂性和多变性，我们无法保证100%排除所有风险或漏洞。但是，我们承诺将根据技术发展持续优化服务质量和水平，以尽可能保障您的模型和系统安全。（8）由于技术限制和外部因素（如模型的复杂性、数据动态变化等），我们不能保证评估结果的绝对准确性或完整性，因此，我们不对因依赖评估结果而做出的决策或行动承担责任。（9）我们通过线下形式按次向您提供本服务，与购买时长无关，同时本服务不适用《云安全中心服务等级协议》。（10）该服务是按次计费，在完成对您提供的模型进行扫描并提交相应报告后，该次服务即完成。 4.4.9 如果您使用云安全中心的威胁应急溯源服务，我们特别提示您：（1）本服务旨在为您自有的ECS云服务器提供主机入侵威胁事后溯源服务，包括攻击失陷确认、入侵根因分析、受害评估、因果推断、骨干攻击路径发现、威胁缓解与应急处置。（2）您承诺及时向我们提供完整的基础信息用于威胁溯源分析，包括但不限于：威胁基本情况、详细网络架构、业务系统架构、网络设备日志、业务系统日志、主机日志、受害主机远程授权访问凭证、各类安全设备管控平台授权访问等相关信息。（3）您理解并确认，基于终端设备、网络系统的复杂性，我们无法保证100%追踪到攻击者及其攻击目的，您不得因此向火山引擎主张损失。（4）我们通过线下形式按次向您提供本服务，与购买时长无关，同时本服务不适用《云安全中心服务等级协议》。（5）该服务是按次计费，在完成对您提供的威胁进行溯源实施并提交相应报告后，该次服务即完成。（6）双方共同对服务过程中涉及的所有信息保密，履行相应保密义务。 **4.5 攻击面管理**。如果您使用攻击面管理服务，您还应当遵守火山引擎官网公布的攻击面管理[《用户服务使用须知》](https://www.volcengine.com/docs/6945/149451)。 **4.6 云信任中心**。如果您使用云信任中心的隐私合规评估功能，本服务仅提供问卷设计、评估流程管理等功能，您需根据自己产品实际自行填写问卷、自行出具评估结论／意见，您应对自己的评估结论／意见的合法性、有效性负责。 **4.7 云加密机** 4.7.1 您对自己使用云加密机服务的口令、密码的完整性和保密性负责。因您维护不当或保密不当致使上述口令、密码、以及数据等丢失或泄漏所引起的一切损失和后果均由您自行承担。 4.7.2 您应仔细阅读火山引擎官网关于云加密机的产品／服务说明，判断云加密机与您选择适用的操作系统、云服务器等产品或服务的适配性。 4.7.3 云加密机虽经过详细测试，但不能保证其与所有的软硬件系统完全兼容，不保证完全没有错误。如果出现不兼容及软件错误的情况，您可以通过火山引擎官网公布的联系方式联系火山引擎，获得技术支持。如果无法解决兼容性问题，您可以选择停止使用云加密机。 **4.8 Web 应用防火墙** 4.8.1 您在使用 WAF 的 CNAME 接入方式时，将自动创建一个公网 IP，您在使用该 IP 时应当遵守相关法律法规，不得从事违法违规行为，您对您的使用行为承担相应的法律责任。 4.8.2 您通过云上实例接入 WAF 的防护方式时，请谨慎删除云上实例，如果您自行删除该云上实例，造成的网络或业务风险由您自行承担。 **4.9 多云安全平台** 4.9.1 您在使用多云安全平台服务中，多云安全平台将对您添加至多云安全平台的云账号的安全资产和风险事件数据进行分析计算，上述数据仅会用来检测您的安全风险，不会用于其他任何用途。 4.9.2 您理解多云安全平台服务提供的安全事件和安全威胁信息仅作为您评估安全风险和做出安全决策的参考，您基于多云安全平台服务进行的任何行为的风险和后果由您自行承担。 4.9.3 如果您使用多云安全平台中的数据库审计模块，我们特别提示您：（1）数据库审计按照传统镜像方式部署；（2）您购买数据库审计服务时需要提供跨服务授权，来获取您的火山引擎账号下的 VPC 网络信息，否则无法购买；（3）每个数据库审计实例仅支持一个 VPC，若要审计多地域、VPC 的数据资产，您需要购买多个数据库审计服务；（4）数据库审计服务一次下单只能购买一个数据库审计实例规格，如您购买不同／多个相同数据库实例规格，您需要多次下单；（5）数据库审计实例各规格之间无法平滑升级，若需提升／降低数据库审计实例规格，您需重新下单购买对应的数据库审计实例。 4.9.4 如果您使用多云安全平台中的远程应急响应服务，我们特别提示您：（1）在使用远程应急响应服务前，您应仔细阅读火山引擎在官方页面上展示的相关服务说明、技术规范、使用流程等，并理解相关内容及可能发生的后果，在使用远程应急响应服务过程中，您应依照相关操作指引进行操作，请您自行把握风险谨慎操作，对于您违反相关操作指引所引起的后果，火山引擎将不承担责任；（2）您应自行判断应急响应服务与您选择适用的操作系统、云服务器等产品或服务的适配性；（3）您使用本服务，需要对您指定的计算机系统或网络系统进行扫描、测试、检测、分析，您仅得为自有业务使用本服务，不得利用本服务对其他任何第三方的网站、服务器或业务进行扫描、测试、检测、分析等；（4）您在使用本服务前需自行备份数据及资料，您对自己存放或提供给火山引擎云平台上的数据以及进入和管理火山引擎云平台上各类产品与服务的口令、密码的完整性和保密性负责，因您维护不当或操作不当致使上述数据、口令、密码等丢失或泄漏所引起的一切损失和后果均由您自行承担；（5）若火山引擎的远程应急响应服务涉及第三方软件或云安全产品的许可使用的，您同意遵守相关许可协议的约束；（6）您应向火山引擎提交使用本服务的联系人和管理客户网络及云平台上各类产品与服务的人员名单和联系方式并提供必要的协助，如以上人员发生变动，您应自行将变动后的信息进行更新并及时通知火山引擎，因您提供的人员的信息不真实、不准确、不完整，以及因以上人员的行为或不作为而产生的结果，均由您负责；（7）鉴于计算机、互联网的特殊性，在提供远程应急响应服务过程中，可能会发生系统宕机、业务中断、数据丢失的风险，您明确知晓并接受该风险，并应提前做好准备，火山引擎不对因远程应急响应服务所产生的系统宕机、业务中断、数据丢失的后果和损失承担责任；（8）您知悉并理解，鉴于实践中安全事件情况复杂多样，我们无法 100% 保证能够完整还原攻击入侵的链路，不能保证您的硬件或软件的绝对安全，但是我们承诺不断将根据技术的发展不断升服务质量及水平。

云信任中心

安全产品和服务专用条款