網路安全條款

全部選項

中文版
中文版

英文版
英文版

網絡安全條款

此網路安全條款（以下稱「本條款」）自起始日起生效，並受雙方之間訂立的採購合約條款約束，且構成其一部分。除本條款中定義的術語外，使用但未定義的專有名詞應以採購合約條款中的定義或香港商雅虎資訊股份有限公司台灣分公司（以下稱「甲方」）以及供應商間協議的其他部分定義，並應具有相同涵義。

1. 定義

1.1 「甲方機密資訊（YTH Confidential Information）」，其定義參見採購合約條款，且於本條款中具有相同涵義。

1.2「業界標準（Industry Standard）」指一種安全控制、流程或做法：在考量服務性質、範圍以及供應商處理甲方資料的情況下：（a）實際上已為與供應商規模、地位及所屬產業相似，或業務功能性質相近的大量公司所採用；（b）經適用之國家認可標準機構（例如：NIST、ISO、PCI等）規定於產業領域使用；或（c）經該領域大量公認專家評估為可接受且合理，除近期揭露/公開發現顯示該標準存在重大缺陷/漏洞者除外。

1.3「惡意軟體（Malware）」指任何經任何一方懷疑或已知悉修改、損害、破壞、記錄、濫用、散布或傳輸資訊至、來自或在系統內的軟體、程式碼或應用程式，包括惡意廣告（malvertising），且未經雙方同意或授權。惡意軟體包括但不限於可能自我複製或自我散播之病毒或蠕蟲程式（worms），且可能旨在：（a）感染系統（The System）其他組成部分，（b）消耗資源，（c）修改、破壞、記錄或傳輸資料，或（d）改變系統運作。

1.4「個人資訊（Personal Information）」（或稱「個人資料」、「PII」或「可供辨識之個人資料」指在採購合約條款中定義，並應包括其全部或部分之任何副本、重製本、重製品，以及場內或場外備份（onsite or offsite backups），無論全部或部分。

1.5「安全議題（Security Issue(s)）」指（a）系統內或影響系統或供應商安全計畫政策與流程的任何已知或懷疑情況，可能危及甲方資料或系統的安全性、機密性、完整性或可用性，或損害甲方履行法律或商業義務的能力；或（b）供應商持有、控制或指示下的甲方資料未經授權揭露或使用。

1.6「安全審查（Security Review）」指對系統或與系統安全相關資訊的檢查，需要供應商協助或協調，且能識別、評估及/或診斷，或旨在識別、評估及/或診斷安全議題。

1.7「安全測試（Security Testing）」指直接或間接透過甲方及/或其代理人，及/或甲方無需供應商協調即可存取的介面，對系統進行測試，透過手動互動或自動測試案例，能識別及/或診斷，或旨在識別及/或診斷安全議題。測試包括但不限於滲透測試（penetration testing）、紅隊演練（red team testing）及漏洞掃描（vulnerability scans）。

1.8「系統（The System）」指由供應商或代表供應商擁有、營運或提供的環境中，所有涉及履行供應商根據協議義務的技術、實體及操作組成部分，包括但不限於網路、資料庫、軟體、電腦系統、備份、設備、政策、流程、文件、資料及實體場所。

1.9「使用者資料（User Data）」指使用者透過服務提交的資訊，包括所有相關訊息、附件、檔案、任務、專案名稱、團隊名稱、頻道、對話及其他類似內容。

1.10「甲方資料（YTH Data）」在採購合約條款中定義，並包括使用者資料及個人資訊，且應在本條款中具有相同涵義。

2. 治理與管理要求

2.1 根據普遍接受的業界實務及法規指引，並符合NIST網路安全框架（NIST Cybersecurity Framework）以及當前網際網路安全中心關鍵安全控制（Center for Internet Security Critical Security Controls）中描述的標準與實務，供應商同意遵守本條款規定的網路安全要求。

2.2 供應商將實施、維護、更新並遵守一套全面書面網路與資訊安全計畫，其中包含業界標準的實體、技術及行政安全保障措施，以保護系統、甲方資料及甲方機密資訊的機密性、完整性與可用性，使其免於未經授權的存取、破壞、使用、修改與揭露。

2.3 供應商的安全計畫將包括識別適當的高階管理階層及監督，以管理網路與資訊安全風險，並指定合格人員監督與管理供應商安全計畫。

2.4 供應商應具備並執行一套全面的業界標準政策、流程及實務，這些政策應合理地旨在管理供應商的網路與資訊安全風險，包括保護設施、系統、資產及資訊免受外部與內部安全威脅，包括但不限於網路入侵、數位威脅（如，惡意軟體（Malware））、服務阻斷（denial-of-service）及其他可用性攻擊，以及內部竊盜，並確保供應商產品與服務的完整性與可靠性。

2.5 供應商同意執行並維持定期第三方稽核或風險評估（至少每年一次），以審查及驗證適用的管理、技術及實體控制措施是否符合供應商安全計畫及本條款，並視情況修復與更新供應商安全計畫，使其符合業界標準（包括NIST框架和CIS CSC）及現行法律要求。

2.6 供應商人員，包括有權存取甲方資料的員工、管理階層及承包商，必須定期（至少每年一次）接受與供應商資訊安全計畫相關且與其角色職責相稱的培訓，並須以書面形式承諾保護甲方資料及甲方機密資訊的機密性。所有工作人員亦須接受網路安全風險意識之教育訓練。

2.7 供應商必須要求所有允許的承包商及供應商的供應商以書面形式承諾遵守與本條款實質相同之要求，在涉及履行本條款之服務範疇內，亦須以書面形式受到與本條款實質上相同之要求約束。

3. 操作系統之要求

3.1 資產與軟體管理：供應商同意維護資產管理系統，以確保資料、員工與網路設備、系統、軟體、應用程式及設施（合稱「資產」）皆已盤點且網路連線受到控制；資產已妥善入帳，且存在適當處置或重設資產與設備的機制；與資產遺失相關的隱私與安全風險已妥善管理，包括透過加密所有筆記型電腦與可移除式媒體（removable media）；以及無論是否為供應商所有，行動裝置皆透過行動裝置管理政策進行管理。

3.2 授權與未授權軟體：供應商同意建立政策與實務，包括使用企業映像（corporate images），以識別與管理授權軟體的安裝。供應商同意維護政策，以合理確保部署於系統上的應用程式與軟體的安全性。

3.3 配置管理：供應商將維護配置管理政策，為系統（The System）與資產建立基準配置，並確保系統在任何時候均維持安全設定，至少包括（i）更改所有應用程式、作業系統、路由器、防火牆、無線存取點及系統其他組成部分的出廠或供應商預設密碼設定；（ii）停用所有不必要的服務或功能；（iii）關閉其中所有已知及已發布的安全缺陷，包括應用更新及隨後識別的發布；（iv）確保系統僅執行具驗證業務需求的連接埠、協定與服務；（v）主動監控系統，包括配置設定的變更；以及（vi）遵守下方列出的實體安全要求。配置管理政策必須包含偏離既有配置的核准流程，並記錄配置設定的變更。

3.4 修補程式管理（Patch Management）：供應商將在任何適用的安全修補程式（security patches）可用後應儘快安裝，無論如何不得遲於任何修補程式發布後30個日曆天。當舊版本不再受支援或不再提供修補程式時，供應商將升級應用程式、作業系統、瀏覽器及其他軟體。

3.5 安全防護

3.5.1 供應商將持續維護業界標準的防火牆保護，以控制傳輸與資料進出包含甲方資料的環境。防火牆至少必須保護所有與開放公共網路的連線，包括遠端與無線存取點。供應商將至少每季測試其邊界路由器及防火牆設備，以檢查不安全配置。

3.5.2 供應商將確保系統不會受到業界公認的安全漏洞影響（例如：OWASP Top Ten 中列出的問題，請參閱：http://www.owasp.org，並隨時更新）。

3.5.3 供應商將至少每週執行一次漏洞掃描（vulnerability scanning），識別出的關鍵漏洞應於24小時內修復，高嚴重性漏洞應於一週（7天）內修復，中嚴重性漏洞應於偵測後30天內修復。除非甲方與供應商簽署書面協議另行約定，否則測試將以符合業界標準安全掃描程序的方式進行。

3.5.4 供應商將採取所有合理措施，確保系統組件不含任何惡意軟體（Malware），且供應商不會傳輸或散布任何惡意軟體。此類措施包括但不限於在所有系統上運行業界標準的商用防毒軟體，每日至少更新簽章，至少每兩週對系統進行惡意軟體掃描並清除所有發現的惡意軟體。任何惡意軟體的傳輸或散布均為安全議題。

3.6 安全測試

3.6.1 供應商應至少每年兩次對系統及其應用程式進行滲透測試（penetration testing）和漏洞掃描（vulnerability scanning），若懷疑存在安全議題或漏洞，則應更頻繁地進行。應甲方要求，供應商應提供此測試和掃描的結果予甲方。

3.6.2 甲方有權透過甲方及/或其代理人可存取的介面，對系統進行遠端安全測試，但須符合甲方與供應商雙方同意的測試流程。

3.6.3 甲方將在任何擬議的安全測試前至少10天通知供應商，並應與供應商真誠合作，達成雙方同意的測試計畫，包括將甲方指定的IP位址列入白名單（white listing），以進行準確測試。此檢查不應包含供應商合理認為會對系統造成嚴重損害或破壞的行為。

3.6.4 若供應商合理認為安全測試將對系統造成嚴重損害或破壞，供應商將（a）採取最低限度行動以減輕此類損害或破壞；（b）立即聯繫甲方並解釋潛在損害或破壞的性質；以及（c）與甲方協商並同意合適的安全測試方法，以使測試能在不造成系統嚴重損害或破壞的情況下持續進行。

4. 設計要求

4.1 加密（Encryption）

4.1.1 所有包含使用者資料或個人資訊的甲方資料（YTH Data），在供應商持有或控制期間，應始終加密（靜態儲存及傳輸中）。若根據本條款、採購合約條款其他部分或法律要求資料必須加密，供應商應使用甲方核准的最低加密演算法進行簽署和加密。甲方預先核准的演算法包括：（i）AES GCM（金鑰大小128位元或以上）；（ii）RSA（金鑰大小2048位元或以上）；以及（iii）HMAC SHA256。所有其他演算法必須在使用前經甲方安全團隊書面明確核准，並應受甲方核准時所規定之任何限制。此請求應透過甲方通知聯絡人進行協調。

4.1.2供應商將以加密形式儲存與分發加密金鑰、共享密鑰及密碼（統稱「密碼（Secrets）」）。禁止將密碼放置於線上程式碼儲存庫（例如：Github、Bitbuck等）。自動化流程使用的密碼僅可在以下情況下以未加密檔案形式儲存：（i）僅可由自動化流程存取；（ii）自動化流程初始化後不可存取；（iii）僅可供執行自動化流程的伺服器使用；（iv）不以未加密形式備份；（v）不儲存在共享檔案系統上；以及 vi) 定期輪換且最長90天。

4.1.3 驗證密碼的系統組件，至少應僅儲存密碼加鹽（salted）且具密碼學安全雜湊（cryptographically secure hash）（最低要求bcrypt工作因子8、Scrypt、argon2和PBKDF2）以供驗證。

4.2 存取控制

4.2.1 供應商僅允許授權人員在「最低權限原則（Principle of Least Privilege）」下，依照「知悉必要（need-to-know basis）」原則存取系統與甲方資料。「最低權限原則」指一種資訊存取模式，包括甲方資料，僅允許存取為個人或流程履行與服務相關的合法業務功能所必需的此類資訊及與此類資料相關的存取範圍與權限。

4.2.2 供應商同意確定所有對系統及甲方資料的遠端與無線存取皆受管控。

4.2.3 驗證（Authentication）

系統，不包括實體場所，將始終受到符合以下要求的驗證系統保護：

a. 供應商將確保（i）其採用業界標準的密碼複雜度與使用期限要求；（ii）最小化特權帳戶的使用；（iii）驗證憑證不得共享；（iv）驗證憑證必須保密；（v）個人必須使用自己的帳戶而非共享帳戶進行驗證；（vi）當授權個人不再需要存取系統時，供應商將確保其驗證憑證和對系統的存取立即終止；（vii）使用者帳戶在一定次數的失敗驗證嘗試後必須鎖定；以及（viii）除工作職能所需情況外，所有授權個人在每個工作日結束時必須登出系統。

b. 供應商將確保使用多重要素驗證（multifactor authentication）來存取所有甲方資料和系統。所有對系統和網路的遠端和無線網路連接，必須使用多重要素驗證進行單獨識別、驗證、記錄和核准。如果此類驗證控制不可行，供應商將通知甲方並與甲方合作，確保實施和維護適當的補償控制。

4.2.4 原始碼開發（Source Code Development）：供應商對所有程式碼開發均使用安全軟體開發生命週期（Secure Software Development Life Cycle, SSDLC）框架。該框架包括以下要求：

a. 所有分支、功能和發布版本必須由多於一名團隊成員審查。Pull requests 必須經由資深團隊成員核准。自動程式碼分析和整合測試在任何程式碼合併前及發布到生產環境前再次應用。

b. 所有程式碼在被考慮發布前均已測試。

c. 供應商使用業界標準的軟體框架和函式庫：原生HTML、Javascript和WebApp；MacOS上的Swift；後端（Backend）上的Node.js。所有框架均定期審查安全議題，並適當地修改任何已部署或開發中的程式碼。

d. 供應商使用內部漏洞掃描工具識別程式碼中的已知漏洞。

e. 供應商至少每年一次由獨立第三方進行滲透測試（penetration）和動態應用程式安全測試（dynamic application security test）。

4.3 日誌記錄（Logging）：供應商將記錄所有嘗試存取履行本條款義務或以其他方式處理甲方資料的伺服器的時間與日期，以及這些嘗試的結果，無論成功或失敗。為了啟用完整的活動稽核軌跡，供應商將記錄所有需要額外權限的命令的時間與日期，包括所有執行特權命令的失敗嘗試。供應商將保護日誌免受篡改。供應商將保留所有日誌條目至少6個月。除非識別或懷疑存在安全議題在此情況下，所有相關日誌必須保留至雙方共同同意安全議題已解決。日誌應由專職個人或團隊監控，以識別異常活動，或者供應商應採用自動警示功能，將異常情況自動發送給相關人員以進行解決。

4.4 通訊、電子郵件與網頁瀏覽器安全（Communications, Email, and Web Browser Security）：供應商確保環境中僅允許使用完全受支援的現行網頁瀏覽器和電子郵件客戶端；記錄URL請求；掃描與過濾網頁和電子郵件流量；以及阻擋存取未經授權的網站。供應商將對其人員進行電子郵件網路釣魚（email phishing）及其他社交工程（social engineering）技術的教育。

5. 安全議題管理與事件處理

5.1 事件回應計畫：供應商維持一份書面綜合事件回應計畫，以偵測、回應、遏制、調查及修復網路與資訊安全議題，包括所有會影響甲方資料、甲方機密資訊、系統或本條款下服務的機密性、完整性與可用性的安全事件。事件回應計畫識別並分配組織內關鍵利害關係人與決策者的角色與職責。供應商定期測試該事件回應計畫。

5.2 事件處理與通知：供應商在發生安全議題時，至少應採取以下步驟。

5.2.1 供應商應立即通知甲方其知悉或懷疑的任何安全議題，但無論如何不得遲於其知悉或懷疑安全議題後24小時。口頭通知後，供應商應提供書面通知，合理詳細地概述對甲方（若已知）的影響、安全議題的性質與原因（包括，受影響的個人類別與近似數量以及甲方資料，包括個人資訊，以及安全議題的可能後果）、據信發生安全議題的日期及/或時間段，以及供應商已採取或將採取的矯正措施。供應商應在獲得更多資訊時定期向甲方提供更新。

5.2.2 供應商應迅速採取所有必要且適當的矯正措施，並應與甲方充分合作，共同採取所有合理且合法的努力，以預防、減輕或糾正此類安全議題。供應商應（i）調查此類安全議題並進行根本原因分析（root cause analysis）；（ii）修復此類安全議題的影響；以及（iii）向甲方提供甲方所要求之保證與資訊，以證明供應商已採取合理步驟確保該安全議題不會再次發生。

5.2.3 供應商應真誠努力，在向任何第三方（包括執法機關）揭露安全議題前通知甲方，並與甲方合作制定回應策略，包括向第三方進行的任何通知或溝通。

5.2.4 保密（Confidentiality）：除適用之法律另有要求外，供應商未經甲方事先書面明確許可，不得向第三方（包括執法機關、監管機關、媒體或受影響個人）揭露任何有關安全議題的資訊。若供應商因法律要求必須揭露，合作夥伴必須在揭露前盡快通知甲方。供應商於未經許可向以下各方揭露：（a）供應商正在處理此議題的代理人，其有知悉必要，並與其簽署不低於本條款保密約定強度的保密協議以及（b）其他受影響且供應商有義務通知的各方。在此情況下，供應商不得揭露任何關於甲方、對甲方影響或甲方參與回應工作的資訊。供應商應以書面形式約束，要求任何參與提供服務的承包商，其保密條款應實質上與本條相同。

5.2.5 供應商應立即通知甲方任何政府機關、監管機關或自律組織對其資訊使用、隱私或資訊安全實務或安全議題的調查，除法律禁止其為通知。

5.2.6 供應商應對甲方負責以下因供應商造成的安全議題而產生之應對及/或減輕損害的成本、費用與支出：（a）甲方因糾正、重建及重新載入不正確、損壞或遺失資料所產生之任何成本；（b）供應商調查及修復對甲方系統與甲方資料造成損害所產生之任何成本與支出；以及（c）對甲方的任何罰鍰、罰款或罰金。

5.3 分類（Classification）：供應商的事件回應計畫應包含確保及時且適當回應所有影響甲方資料和系統的安全事件的流程。如果甲方認為某個議題未被正確分類為安全議題，得自行裁量將該事件視為安全問題。

5.4 安全議題解決：供應商將高度優先處理每個安全議題（Security Issue），並立即投入足夠且具備適當技能之人員進行處理，以符合本網條款的要求。在某些情況下，可能需要非排程更新、修改舊版程式碼、非工作時間作業以及停用系統部分（不包括實體場所），以降低損害。

6. 監控與審查權

6.1 甲方有權自費透過直接或委託獨立第三方，其須簽署經供應商核准的保密協議，進行安全審查，以評估對本條款的遵守情況。若甲方使用獨立第三方，該第三方將由甲方選定，但須經供應商核准，惟供應商不得無理拒絕或延遲核准。

6.2 甲方有權至少每年進行一次安全審查並在以下情況下進行：（a）系統可用或投入生產前；（b）系統有重大變更或計畫進行重大變更時；或（c）甲方懷疑系統可能存在安全議題時。

6.3 安全審查應符合以下條件：（a）甲方將在安全審查前向供應商提供合理通知；以及（b）安全審查應在正常營業時間內進行，且不干擾正常業務活動。

6.4 供應商應迅速回應甲方就供應商在本條款項下義務的任何詢問，並在供應商正常營業時間內提供安全審查所需的足夠資訊和記錄存取權限，並應以其他方式支援和配合安全審查，包括提供所有必要資訊以證明遵守本條款相關要求。

6.5 合規聲明：應甲方要求，供應商將每年向甲方提供一份經供應商高階主管證明之書面聲明，內容如下：

6.5.1 供應商每年已從合格的第三方安全評估和稽核公司獲得與服務相關的業界標準安全認證（如：SOC 2）或標準（NIST），或者供應商已進行內部安全審查；以及

6.5.2 供應商已遵守本條款的所有要求。

7. 資料處理與使用限制

7.1 供應商必須在邏輯上將其持有之甲方資料分開，且不得混淆。在首次處理甲方資料前，除甲方另有書面明確規定外，供應商應解決所有已識別的系統安全議題。

7.2 供應商不得儲存或要求甲方帳號（ID）和密碼組合。

7.3 供應商在儲存和檢索特定使用者資料時，應始終使用供應商帳號（ID）作為識別碼（identifier）。

7.4 嚴禁在或透過可移除式媒體（removable media）（如，USB隨身碟、行動裝置、CD/DVD光碟等）儲存或傳輸甲方資料。

7.5 本條款終止後，除甲方另有書面明確允許外，供應商必須歸還或安全銷毀甲方資料。在銷毀甲方資料之前，供應商必須提前書面通知甲方銷毀方式，且該方式必須經甲方書面核准。

7.6 根據其在本條款中的義務，供應商不得以未加密形式傳輸或儲存任何使用者資料或個人資訊（包括但不限於支付工具、銀行資訊、驗證憑證或政府頒發之身分證明）。

8. 聯絡方式

8.1 通知聯絡人：各方得指定通知聯絡人。各方可透過書面通知對方之通知聯絡人，更新或修改其通知聯絡資訊。根據本條款的通知將透過一方致電及/或電子郵件發送予另一方之通知聯絡人進行。通知聯絡人將全天候24小時、一週7天提供服務。通知聯絡資訊和通訊方式/協議（communication protocol）將約定於採購單（PO）或工作計畫書（SOW）。

8.2 安全聯絡人：供應商將向甲方提供可回應安全問題或安全疑慮之具備充分知識人員。該人員將對系統的架構與操作具備深入且最新的知識，且應全天候24小時、一週7天透過電話和電子郵件提供服務。

9. 禁制令

雙方同意違反本條款將對甲方造成無法彌補的損害，因此甲方有權透過禁制令（injunctive relief）或強制執行其在本條款及採購合約條款下的權利，無需為此提供擔保，此外，甲方亦有權獲得其他法律和衡平法上的救濟。

10. 條款期間與終止

本條款在供應商保留或可存取任何甲方資料或甲方網路、系統或資產期間持續有效。前述並不代表授權供應商保留或存取任何被本條款所涵蓋但未經協議授權的甲方任何資料。

11. 其他規定

11.1 本條款之解釋：雙方期望本條款能依其條文，以清晰的中文公正解釋，不因起草方而做對其不利之推定，且章節標題僅供參考。

11.2 完整協議：本網路安全條款與採購合約條款其他部分及任何保密協議，構成供應商與甲方就網路安全的完整協議，並取代先前或同期任何有關之協議（除本條款與該保密協議不牴觸）。除本條款另有規定者外，採購合約條款之其他條款仍完整有效。如本條款與英文版本的網路安全條款、採購合約條款或任何採購單、工作計畫書、服務品質協議（SLA）、定價服務項目附表（PLSS）、或變更單（Change Order）間有不一致或衝突，應以本條款為準。

11.3 線上條款可變更：甲方可隨時透過甲方公司網站上發布或透過電子郵件方式變更本條款或採購合約條款，此修訂後的網路安全條款或採購合約條款將取代並替換較早的網路安全條款或採購合約條款。在供應商取得該等修正內容後，若供應商仍持續提供服務，則視為供應商接受修正後的條款。

最新更新日期：2025年6月