欢迎您参与由深圳驿普乐氏科技有限公司及其关联公司（以下简称“EN+”或“我们”）设立的漏洞披露与响应计划（以下简称“本计划”）。

我们重视产品与业务系统的网络安全，并高度认可安全研究人员对行业生态的贡献。欢迎您向我们提交有关EN+产品与服务的安全漏洞。在加入本计划并提交漏洞前，请务必仔细阅读并充分理解本《EN+漏洞披露与响应协议》（以下简称“本协议”）。当您提交漏洞报告，即视为您已阅读并同意遵守本协议及EN+隐私政策。

1. 协议范围

1.1 本协议由您（“报告者”）与 EN+ 就您参与本计划事宜订立并具法律效力。

1.2 报告者包括通过EN+指定渠道提交漏洞的自然人、法人或其他组织。

1.3 本协议包括 EN+ 不时发布的规则、补充协议及说明文件，上述内容与本协议具有同等效力。

2. 关于本计划

2.1 报告者应通过本平台并按指引提交漏洞。

2.2 漏洞报告应包含：漏洞描述及潜在影响；

复现步骤、操作流程或 PoC；测试环境信息（URL/APP、代码片段、设备型号、系统版本、测试 IP、账号信息等）；测试过程中产生的截图、日志等材料。

2.3 可受理范围包括：

EN+官网（网址https://www.en-plus.com.cn）、EN+官方APP（如 EVCHARGO等）、EN+在维保周期内的硬件及后台系统。

2.4 下列情况不予受理：

已停止销售且不再维护的产品、第三方平台或服务的问题、已公开或已被提交的漏洞。

2.5 漏洞评级参考因素包括：

敏感数据暴露程度及危害性、 利用难度、 对用户、系统、品牌的影响范围、是否具备可传播性或可广泛利用。

2.6 漏洞披露原则：

未经EN+书面许可不得公开漏洞、经许可披露时不得包含敏感信息、披露内容须客观准确，不得夸大或制造恐慌。

2.7 报告者须确保提交材料真实合法，不得因虚假信息导致风险。

2.8 修复周期参考：

●高危及以上：原则上90个工作日内；

●中低危：原则上180个工作日内；

●特殊情况将另行通知。

3. 报告者的权利与义务

3.1 报告者需遵守法律法规和本协议，不得破坏 EN+ 系统或侵害用户权益。

3.2 不得通过扫描、嗅探、爆破、钓鱼等非法方式获取漏洞。

3.3 禁止以下行为：

未授权入侵 EN+ 系统；泄露、出售 EN+或用户数据；在测试中干扰用户正常服务；利用漏洞进行敲诈、炒作、威胁等不当行为。

3.4 报告者需保证报告内容真实完整。

3.5 提交后不得以公开漏洞为要挟，亦不得转让或授权第三方使用或披露。

3.6 漏洞报告及其成果的全部知识产权归 EN+ 所有。

3.7 报告者对在参与过程中接触到的任何 EN+ 信息负有严格保密义务。

3.8 未成年人（未满18周岁）须在监护人指导下参与。 

4. EN+的权利与责任

4.1 EN+ 负责维护漏洞提交流程的正常运行。

4.2 EN+ 有权独立验证、评级并决定修复措施。

4.3 EN+ 将对有效报告及时跟进并在合理周期内反馈处理意见。

4.4 EN+ 依法保护报告者个人信息。

4.5 对恶意、违法或误导性报告，EN+ 有权终止参与资格并追责。

4.6 EN+ 有权调整或终止本计划，并通过公告或邮件通知。

4.7 EN+ 的审查不免除报告者对提交内容合法性的责任。

4.8 报告者与第三方的纠纷须自行处理，若EN+因此受损，报告者须承担赔偿责任。

5. 漏洞报告提交规范

5.1 报告内容应完整、准确、可复现，包括：

漏洞发现背景与利用流程；URL、APP、接口或模块；设备型号、系统及 APP 版本、序列号（如适用）；测试账号、IP 地址等；非破坏性的验证样例；抓包、日志、截图或视频等材料。

5.2 漏洞评级考虑因素包括：

数据泄露范围、利用难度、对平台或用户的影响、否影响在维保期内的系统。

5.3 未经 EN+ 书面同意，不得向任何第三方披露漏洞。

5.4 经批准公开时，应确保：

不包含用户隐私或敏感信息、内容客观真实、不引发不必要恐慌或误导。

5.5 漏洞报告及成果所有权归 EN+ 所有，未经授权不得使用、发布或转让。

6. 知识产权与数据处理

6.1 报告者提交的漏洞报告、测试材料等均归EN+所有。

6.2 未经书面许可不得复制、传播或使用相关材料。

6.3 若违反本章规定，EN+有权取消资格并追究法律责任。

6.4 报告者提交的个人信息仅用于身份核验、漏洞处理及统计。

6.5 EN+将采取合理技术与管理措施保护信息安全。

6.6 报告者应确保个人信息真实有效，否则后果自负。

7. 免责与中止

7.1 EN+可基于业务、技术、安全等原因暂停或终止本计划，报告者不得据此要求赔偿。

7.2 若报告者存在以下任一情形，EN+可立即取消资格并追责：虚假、恶意或重复提交；

利用漏洞攻击或干扰EN+或用户；未授权泄露或传播漏洞；反法律或本协议规定；拒绝配合验证，或提供虚假身份信息。

7.3 以下情况导致的服务不可用，EN+不承担责任：

不可抗力；网络故障、攻击等；第三方平台异常；报告者自身设备问题。

7.4 EN+不保证平台无漏洞或持续可用。

7.5 报告者退出计划后，EN+有权删除其全部数据，且无需提供导出服务。

8. 法律适用与争议解决

8.1 本协议适用中华人民共和国现行法律法规（不含冲突规范）。

8.2 争议应通过协商解决；协商不成的，提交EN+所在地（深圳市南山区）人民法院处理。

8.3 若部分条款无效，不影响其余条款效力。

8.4 条款标题仅为阅读便利，不影响解释。

8.5 您继续参与本计划即视为接受更新后的条款。

9. 联系方式

如有疑问、投诉、建议，或需提交漏洞，请发送信息至邮箱 support@en-plus.com.cn

我们会第一时间处理您的需求。