平凯数据库云服务安全附录

平凯数据库云服务安全附录（“附录”）受客户与平凯星辰之间就平凯数据库云服务（定义见下文）签订的适用协议（包括与之相关的适用数据处理协议）（“数据处理协议”）的约束，并在此纳入该协议。本附录规定了平凯星辰在云服务、支持服务和/或咨询服务（视情况而定）（“平凯数据库云服务”）中处理客户的内容（定义见主协议）的相关条款和条件，包括其中任何协议相关个人信息。本附录中未定义的术语应具有主协议或者数据处理协议中规定的含义。

1. 平凯星辰安全程序

平凯星辰将维护一套旨在保护客户的内容的安全性、保密性和完整性的安全程序（“平凯星辰安全程序”）。平凯星辰安全程序将在全公司范围内实施。平凯星辰安全程序旨在确保平凯星辰遵守适用于其履行相关数据处理协议的数据保护法律法规，这些措施基本符合 ISO/IEC 27001/27701 控制框架。

2. 第三方服务提供商

平凯星辰使用基础设施即服务（IaaS）提供商（例如宁夏西云数据科技有限公司）来提供平凯数据库云服务，并使用软件即服务（SaaS）提供商（例如上海观测未来信息技术有限公司）来提供数据监测服务。平凯星辰将定期对其第三方服务提供商进行尽职调查（包括审查行业标准报告和认证，例如 SOC 2 报告和/或网络安全等级保护测评报告），并根据其回复合理确保此类第三方已实施与平凯星辰安全控制基本相同的安全控制措施。

3. 安全漏洞应对

一旦发现安全漏洞，平凯星辰将：(a) 立即通知客户（通过客户指定的与平凯数据库云服务关联的电子邮件地址）已确认的安全漏洞，通知中应包含安全漏洞已知情况的摘要以及平凯星辰已采取或将要采取的纠正措施；(b) 对安全漏洞的情况进行调查；(c) 尽商业上合理的努力减轻安全漏洞的影响；以及 (d) 尽商业上合理的努力与客户沟通并合作，共同应对安全漏洞。“安全漏洞”是指任何已确认的安全事件，导致平凯星辰根据本协议有义务保护的客户的内容（包括其中包含的任何协议相关个人信息）遭到意外或非法销毁、丢失、更改、未经授权的披露或访问。

4. 审计报告

根据客户的书面请求，平凯星辰应向客户提供适用于平凯星辰产品的审计报告副本（包括网络安全等级保护测评报告、SOC II Type 2 审计报告或平凯星辰在收到书面请求之日可能已获得的类似报告），以及证明其符合行业标准和（如适用）相关认证的证书和证明文件。在适用情况下，经认可的独立第三方审计将按照相关标准要求的频率进行，以维持合规性和认证资格。此后，根据客户的合理必要要求，平凯星辰将每年提供最新或更新的证书、证明文件或报告。

5. 安全评估

在向平凯星辰发出合理通知后（在本协议有效期内，每十二个月不超过一次，且在正常工作时间内），平凯星辰应安排合适的平凯星辰人员在合理时间内与客户沟通，讨论平凯星辰如何履行本协议项下适用的安全义务。在进行此类讨论之前，平凯星辰可自行决定是否向客户提供与本协议相关的平凯星辰安全实践的信息或文件，包括但不限于任何旨在与第三方共享的安全评估报告。根据此评估流程或本附件以其他方式提供的任何信息或文件均应视为平凯星辰的保密信息，并受本协议保密条款的约束。

6. 平凯数据库云服务

尽管本协议另有规定，客户仍应负责：(i) 确定云服务是否适合客户使用；(ii) 实施和管理安全和隐私措施，以确保客户对云服务的访问和使用，包括但不限于管理云服务的凭证和使用安全连接；(iii) 在将插件安装到云服务之前对其进行验证；(iv) 实施、维护和监控存储在云服务中的内容的备份；以及 (v) 在相关云服务终止之前从云服务环境中删除内容。