API中心合作管理规范
Print
API中心合作管理规范
1.概述
本规范适用于华为云API中心的所有服务商和API软件资产或服务(以下简称“API产品”)。本规范是服务商与API中心的合作协议(下称“合作协议”)的条款和条件的补充。合作协议中已有规定的,从其规定,未有规定或本规范有特殊规定的,按照本规范执行。除非本规范另有明确约定,本规范术语与协议术语在本规范项下具有相同含义。服务商在参与华为云API中心时,必须始终遵守本文件中规定和/或提及的政策。如果服务商未遵守本规范的任何条款或条件,华为云有权采取下架服务商产品、终止与服务商合作等措施,对华为云造成损失的,华为云有权要求服务商赔偿所有损失。
2.入驻
2.1入驻条件。入驻API中心,服务商需要同时满足如下条件:
1.拥有有效的华为云账号;
2.通过华为云企业认证;
3.接受并签署API中心相关协议及管理规范,并按照协议及管理规范的条款和条件开展业务合作;
4.按照API中心现有入驻规则,服务商暂不需要缴纳入驻保证金和平台服务费;华为云保留收取入驻保证金和平台服务费的权利,需要服务商缴纳时,另行通知;
5.华为云要求满足的其他条件(含伙伴政策要求的条件)。
3.经营管理
3.1 API产品上架。服务商在上架API产品时,除需遵循合作协议外,还需遵循以下要求:
1.上架的API产品必须安全、可信,必须经过华为云安全审核;
2.服务商具有上架API产品所需的全部资质,服务商承诺API产品符合国家/行业标准和法律法规要求;对于需要作为商品进行商业售卖的API产品,服务商可通过华为云云商店进行交易变现,并且服务商和API产品需符合华为云云商店相关要求;
3.服务商对其上架的API产品应具有合法的知识产权或相关权利人的授权;若涉及开源软件,应严格遵守开源软件相关授权规定;
4.上架的API产品标题、图片、属性、描述等API产品要素之间应当互相匹配对应,并且不得故意抄袭其他已入驻平台的服务商及API产品信息;
5.API产品上架前,服务商必须提供API产品下架的策略,如:如何保证已购用户的正常使用,如何转移权属;
6.上架API产品如涉及相关行政许可或备案,在API产品上架前,服务商必须已经获得相关许可及备案。
7.上架API产品不得含有以下信息:
a)侵犯第三方知识产权或其他合法权利的;
b)含有木马、黑客程序等有损网络安全的;
c)可能套取他人身份证、邮箱、手机号、银行账号、支付宝账号等个人或者企业隐私信息的;
d)其他违反法律法规、违反国家政策或违反华为云各项规则的内容。
8.服务商不得恶意提交不符合发布规范的API产品上架;
3.2 API产品下架
3.2.1服务商下架。服务商可以申请主动将某个API产品从API中心下架。
3.2.2华为云主动下架。华为云保留将任何API产品从平台下架或暂停在平台提供任何API产品的权利。下架原因可能包括但不限于:(A)服务商违反本规范条款;(B)服务商的API产品与相关上架信息之间存在不符;(C)服务商的API产品被指侵犯第三方的知识产权;(D)服务商的API产品面临内容或质量投诉;(E)华为出于其他合理理由。
3.3 API产品的终止
3.3.1过渡期。API产品终止指华为云通知现有用户,某API产品已被终止或停止使用,用户不可再使用该API产品。在某API产品被终止时,现有用户可以继续在终止通知中指定的到期日或用户认购服务商的API产品的有效期届满之前(以两者中较长者为准,以下简称“过渡期”)使用该API产品。服务商必须在现有用户的过渡期内,继续向该等现有用户提供作为服务商API产品一部分的任何服务。过渡期满,用户不可再使用该API产品,如果用户在该截止日期之后擅自使用服务商的API产品,华为云不承担任何责任或义务。
3.3.2强制结束。除非因法律要求终止或者因强制性情形而必须终止(比如欺诈或被控侵犯知识产权)或华为云另行要求,否则服务商不应在任何API产品的逐步结束期届满之前终止该API产品。
3.4 临时中止
3.4.1若发生以下情况,华为云有权在发出通知后立即临时中止服务商账户访问或使用部分或所有API中心平台服务的权利:
1.服务商使用API中心:
a)对华为云服务网站(www.huaweicloud.com)、云服务产品和API中心平台或任何第三方产生安全风险;
b)可能对云服务产品、API中心、或其他华为云服务网站(www.huaweicloud.com)、系统的账户内容产生不利影响;
c)使华为云及其关联公司或任何第三方承担责任;
2.(服务商违反了协议及/或本规范,包括但不限于服务商对华为云或最终客户产生不利影响;
3,服务商未经华为云事先书面同意,为了债权人的利益转让服务商的财产或其他类似处置,或者服务商已成为破产、重组、清算、解散或类似诉讼或程序的主体。
3.4.2如果华为云中止了服务商访问或使用部分或所有API中心或云服务产品的权利:
1.在任一中止期间,服务商不能享受相应的合作协议下的权利;
2.除非协议中另有规定或适用法律或监管机关另有要求,华为云不会因为中止行为的发生而删除任何服务商内容。
3.4.3 因本规范3.4.1和3.4.2条临时中止而对最终客户造成的损失,由服务商独自承担并使华为云免责。
3.4.4 如华为云因上述原因中止服务商账户访问或使用后,三十天内服务商仍未补救其违约行为或消除对华为云或第三方的影响或损失的,华为云有权书面通知服务商终止协议,因此给华为云造成任何损失的,服务商应赔偿华为云所有损失。
5.平台运营
5.1行为规范。服务商在API中心平台提供服务过程中,应遵守以下行为规范:
1.提交或填写的所有入驻信息、材料应当真实、准确、有效,不得使用虚假资质或虚假信息进行入驻,入驻材料的任何变更(或失效)应自变更(或失效)之日起三十日内向API中心平台报备;
2.未经事先书面授权,不得以华为云或华为云其他关联公司等名义进行任何销售及宣传活动,包括但不限于电话,函件,邮件,文档等;
3.不得损害华为云品牌和形象,直接或间接仿冒产品;
4.服务商不得擅自修改云产品配置,包括但不限于安全配置;
5.服务过程中不得出现帐号提权、安装后门程序等危害系统安全的行为;
6.服务过程中不得隐瞒其所发现的系统缺陷且恶意利用,应立即告知华为云;
7.不得辱骂、恐吓、威胁用户;
8.服务商应当仅获取为提供API中心服务而必要的信息,且服务商在服务过程中收集的信息仅可在为某一特定用户提供API中心服务过程中使用;服务商不得将收集的信息用于服务之外的任何目的,不得将信息出售、转让或向任何第三方披露,也不得超范围收集用户信息;前述信息包括但不限于用户会员名、手机号码、地址、云产品账号密码、网站数据等;
9.未经华为云同意不得向用户发送服务推广信息,或通过任何方式对用户造成骚扰;
10.服务商已上架的API产品进行在线更新发布前,须经过华为云安全审核;
11.不得对用户实施欺诈行为;
12.服务商应积极对自身的API产品进行更新或调整,保证所提供的API产品安全、可用;
13.服务商在服务过程中应做好数据备份等工作,完结后及时删除不需长期备份的数据,不得因人为失误造成用户损失,包括但不限于:
a)云产品维护或者数据迁移过程中因服务商错误操作导致数据丢失;
b)不同的华为云最终用户数据因服务商工作失误造成混淆。
14.当发生投诉时,服务商应积极配合API中心进行调查及问题处理工作,并在30分钟内响应,不得进行任何阻碍或不配合调查及问题处理的行为,包括但不限于:
a)假冒客户致电,表示撤销投诉;
b)客户投诉后,虚构事实,隐瞒实情,阻碍华为云正常调查。
5.2 推广服务。对于优质API产品(符合安全、可用、易用等基本要求,并具备高浏览量或高调用量或行业关键能力等属性),平台会视情况给予流量支持,包括但不限于排位置前、榜单推荐、活动曝光等。
6.违规处理
6.1违规情形与处理。服务商出现违规情形后,华为云依据相应的违规情形认定和处理流程,经认定属实后,进行相应的处理。
6.2 处理措施。依据法律法规政策、协议条款及管理规范的规定,华为云有权采取的其他措施,包括但不限于所有API产品下架、展现位置调整、违规通报、限制API产品类目、终止合作等。
7.退出管理
7.1合作终止退出。协议期限届满而双方决定不再续约,或出现由一方或双方提出的提前终止协议的情形时,服务商退出API中心。
7.2主动退出。服务商有权根据自身的实际经营情况,申请退出API中心。
7.3终止合作。服务商如出现以下任一情形,华为云有权立即与其终止合作并将其清退出API中心:
1.服务商出现实质性违反协议及本规范,或违反上文【违规处理】里所列的终止合作的情形;
2.不再符合相应的入驻条件;
3.服务商会员账户因违反华为云网站的协议及其他规范,已被华为云列黑名单或终止合作的。
4.其他华为云认定服务商违规情形严重的行为
7.4退出再申请。服务商主动退出API中心的,自退出之日起须间隔365天以上方可再次提交入驻申请;华为与伙伴终止合作的,不得重新入驻。
7.5退出后业务处理。服务商退出后,其售出的API中心API产品的相关售后服务,均由服务商自行与用户协商提供。
8.企业社会责任
EICC Code(Electronic Industry Citizenship Coalition Code of Conduct,详细信息请登录网址:http://www.eiccoalition.org)是基于电子行业公民联盟发布的《行为准则》。该《行为准则》旨在建立并确保电子行业供应链提供安全的工作环境,工人获得尊重和尊严,并且企业在经营中承担环保责任并遵守道德规范。服务商在此明确承诺与华为一起公开支持EICC Code的基本守则,并且在各自的组织中部署及实施EICC Code的要求。此外,若服务商为企业,且存在下游供应商,服务商应使其下游供应商知悉并执行EICC Code所要求的企业社会责任并最终使其贯穿于整个供应链。在做出合理通知的前提下,华为有权就服务商执行企业社会责任的情况进行检查。
9.网络安全。若服务商提供的合作产品包含软件或软件存储介质,则服务商应认真阅读并同才意严格遵守作为本规范附件一的《产品与服务安全条款》的内容。
10.开源软件管理。
10.1服务商应自本规范签订之日起一(1)个月内或在华为以书面方式提出要求时,按照附件二《“API产品”中使用的开源软件清单》向华为提供根据本规范交付给华为的“API产品”中包含的所有“开源软件”的清单。在本规范有效期内,若“API产品”有任何的更新或升级,则服务商有义务按照《“API产品”中使用的开源软件清单》提供更新或升级后的“API产品”中所包含的“开源软件”清单。服务商保证依据本条款所提供的“开源软件”清单是准确的,详尽的。
10.2服务商保证其交付“API产品”前已完全履行相应“开源软件许可证”的义务。如果服务商在交付“API产品”前未履行或者未完全履行相应“开源软件许可证”义务的,服务商必须在本规范生效日期起或收到华为发出的书面通知之日起一(1)个月内对该交付的“API产品”进行修改使之完全满足“开源软件许可证”的要求,并免费为华为或客户替换,并赔偿因此给华为和最终用户造成的任何损失。
10.3在“开源软件许可证”允许的范围内,经华为要求,服务商应立即向华为免费提供相应的“开源软件”源代码。华为有权依据第三方的要求将前述“开源软件”源代码提供给第三方。
10.4服务商违反以上任一条款将构成实质性违约,华为有权解除与服务商签订的协议。服务商因违反以上规定给华为造成的一切损失和责任均由服务商承担。
11.附则
11.1生效日期。本规范自发布之日起即生效。
11.2更新。华为云有权根据平台环境、服务商管理体系发展状况等因素对本规范做相应的修订。修订后在华为云网站上发布,并于发布时生效。
附件一 产品及服务安全条款
1、序言
本“产品及服务安全条款”是《华为云API中心合作管理规范》的附件,一经双方签署,即构成《华为云API中心合作管理规范》的有效组织部分。
2、产品安全要求
(1)服务商提供的产品应满足华为安全要求,不得含有任何形式的木马、后门、蠕虫、病毒、恶意代码、未知功能及未知权限。
(2)服务商提供的产品的所有功能特性须向华为说明,特别是任何可能侵犯个人隐私和通信自由的功能,包括但不限于DPI深度报文检测、干扰业务流量等。
(3)服务商提供的产品的所有端口须向华为说明,不得存在隐藏端口。开启的端口应是系统运行和维护所必需的,无用的端口应关闭。开启/关闭端口须有权限控制,且开启/关闭的方法应向华为说明。
(4)服务商提供的产品中,所有能对系统进行管理或控制的通信端口(包括但不限于能对系统进行管理或控制的物理端口),均须有接入认证机制(无认证机制的标准协议除外);认证机制须具备防暴力破解、防仿冒等内容;服务商须提供所有认证的初始账号和口令清单。
(5)服务商提供的产品若对系统或数据进行访问时,不得采用绕过系统安全机制(包括但不限于认证、权限控制、日志记录)的隐秘或不可管理的认证或访问方式(如不可管理的账号、口令)。
(6)服务商提供的产品若具有存储或传送数据的功能,则服务商须对产品的口令、敏感个人数据(如银行帐号等)的存储和传送过程进行加密。传输的口令不得含有硬编码,若无须还原口令,则须使用不可逆算法存储口令。
(7)服务商提供的产品若含有加密算法,则此算法不得使用私有或已知不安全的加密算法,且服务商须提供加密算法清单。
(8)服务商提供的产品若含有采集或转移客户/最终用户数据(含个人数据)的功能,须向华为进行说明,且客户/最终用户有权决定是否使用或关闭此功能。
(9)服务商提供的产品若含有软件(包括但不限于服务商自研软件、第三方商用软件、开源软件等)升级的功能,须向华为说明,且客户/最终用户有权决定是否使用或关闭此功能。
(10)服务商须向华为说明产品数据外传的目的、数据格式和内容、实现和管理机制,并保证数据收集或传送遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律、法规。
(11)服务商提供的产品若含有软件(包括但不限于服务商自研软件、第三方商用软件、开源软件等)或芯片,须在交付前进行安全检测,检测项目包括但不限于:病毒扫描、端口扫描、漏洞扫描和Web安全检测,并对存在的安全问题进行修复,或升级到无安全问题的新版本。
(12)服务商提供产品时应同时提供安全测试报告,软件(含软件包/补丁包)须提供完整性校验机制(如数字签名等)。
3、服务安全要求
服务商在提供与产品相关的维护、升级等服务过程中,应遵守如下要求:
(1)遵守所在国相关法律法规以及华为及/或客户的安全要求,确保服务过程不存在安全隐患或问题。
(2)遵守所适用的关于保护个人数据和隐私、通信自由及保障网络安全运行等方面的法律法规。严格遵从双方的约定、华为及/或客户的指示进行个人数据处理、转移及其他相关业务。
(3)不得攻击、破坏华为或客户的网络、不得窃取华为或客户网络中的任何数据或信息、不得破解华为或客户的账户密码。
(4)不得在华为及/或客户的设备或系统中植入非法代码、恶意软件或后门,不得预留任何未公开接口或账号。
(5)未经华为及/或客户书面授权,不得使用非授权账号或他人账号登录设备进行操作或账号和密码与他人共享。在产品进入商用或转入维护阶段后,不得保留或使用管理员账号或其它非授权账号。
(6)未经华为及/或客户书面授权,不得访问华为及/或客户系统或收集、持有、处理、修改、泄漏、传播客户网络中的任何数据和信息。
(7)对在提供服务期间获悉的华为及/或客户的任何信息或数据应承担严格的保密义务,直至相关信息或数据被合法披露为止,并不得利用该信息或数据谋取个人利益或用于其它非法目的。
(8)须使用华为及/或客户提供的或指示渠道获得的软件版本、补丁及许可,不得使用非法软件在华为及/或客户的网络上运行。
(9)未经华为及或客户的许可或授权,不得提供华为指定的服务之外的任何服务。
4、体系安全要求
(1)服务商应建立安全保障体系,实施产品及或服务的安全管理并定期进行安全自检,同时提供自检报告给华为。华为及/或客户有权对服务商的安全保障体系及执行情况进行审核。
(2)服务商须建立安全应急响应机制,对产品及/或服务的安全问题(含安全漏洞)及问题的解决方案(含安全补丁),通过邮件、传真或其他书面方式向华为进行通报。
(3)当服务商对外发布产品及/或服务的安全问题(含安全漏洞)时,须提前72小时通过邮件、传真或其他书面方式通知华为,并将问题的解决方案(含安全补丁)通过正式版本发布渠道通知华为。
(4)服务商应对关键安全岗位员工进行安全管理,包括但不限于与员工安全协议签署、进行安全培训、对员工遵守安全规范的情况进行审核及改善通过审核发现的问题。
(5)服务商应在研发等环节建立详细的安全过程记录,以确保过程的可追溯性。若服务商的产品及/或服务含有日志,则日志应有访问控制,任何情况下不得更改或删除日志。
5、责任
任何对本规范条款的违约都是对本规范的实质违约。在无损华为依据双方签署的合作协议及或相关附件享有的各项救济措施的前提下,若服务商违反本规范约定,则华为有权单方采取以下措施之部分或全部:
(1)要求服务商在华为指定的合理期限内以费用自担的方式纠正其与本规范约定不符的行为,直至符合本规范要求。
(2)要求服务商赔偿华为因此遭受的全部损失,包括但不限于为消除供方不符合本规范约定行为的影响所支付的费用、诉讼费、律师费,以及客户主张的赔偿金等。
(3)要求服务商就华为由于服务商违反本规范遭到的如下索赔、损失、费用及开支作出赔偿:
i由于服务商或服务商人员的故意或过失导致的任何第三方(包括但不限于客户、最终用户)的实际损失;
ii最终用户根据相关的法律法规,如:《消费者权益保护法》、《产品质量法》、《侵权法》、《中华人民共和国电信条例》等(包括其修订、替换、编撰或重新发布的版本)提出的索赔。
iii 终止与服务商的合作关系,单方解除相关合作协议及/或相关的《华为云API中心合作管理规范》等。
附件二 开源软件清单申报表
“API产品”中所使用的开源软件清单 |
|||||||
序号 |
含开源软件的许可软件名称 |
开源软件名 |
开源软件版本 |
开源软件链接网站 |
许可证名称 |
开源软件使用方式 |
是否以及如何履行开源软件义务 |
1 |
|
|
|
|
|
|
|
更新日期:2022年12月12日