漏洞提交 - 充电设备和运营平台全球提供商

1. 协议范围

1.1 本协议由您（“报告者”）与 EN+ 就您参与本计划事宜订立并具法律效力。

1.2 报告者包括通过 EN+ 指定渠道提交漏洞的自然人、法人或其他组织。

1.3 本协议包括 EN+ 不时发布的规则、补充协议及说明文件，上述内容与本协议具有同等效力。

2. 关于本计划

2.1 报告者应通过指定平台（链接：补充 URL）并按指引提交漏洞。

2.2 漏洞报告应包含：漏洞描述及潜在影响；

● 复现步骤、操作流程或 PoC；

● 测试环境信息（URL/APP、代码片段、设备型号、系统版本、测试 IP、账号信息等）；

● 测试过程中产生的截图、日志等材料。

2.3 可受理范围包括：

● EN+ 官网（补充 URL）；

● EN+ 官方 APP（如 EVCHARGO、安装商等）；

● EN+ 在维保周期内的硬件及后台系统。

2.4 下列情况不予受理：

● 已停止销售且不再维护的产品；

● 第三方平台或服务的问题；

● 已公开或已被提交的漏洞。

2.5 漏洞评级参考因素包括：

● 敏感数据暴露程度及危害性；

● 利用难度；

● 对用户、系统、品牌的影响范围；

● 是否具备可传播性或可广泛利用。

2.6 漏洞披露原则：

● 未经 EN+ 书面许可不得公开漏洞；

● 经许可披露时不得包含敏感信息；

● 披露内容须客观准确，不得夸大或制造恐慌。

2.7 报告者须确保提交材料真实合法，不得因虚假信息导致风险。

● 2.8 修复周期参考：高危及以上：原则上 90 个工作日内；

● 中低危：原则上 180 个工作日内；

● 特殊情况将另行通知。

3. 报告者的权利与义务

3.1 报告者需遵守法律法规和本协议，不得破坏 EN+ 系统或侵害用户权益。

3.2 不得通过扫描、嗅探、爆破、钓鱼等非法方式获取漏洞。

3.3 禁止以下行为：未授权入侵 EN+ 系统；

● 泄露、出售 EN+ 或用户数据；

● 在测试中干扰用户正常服务；

● 利用漏洞进行敲诈、炒作、威胁等不当行为。

3.4 报告者需保证报告内容真实完整。

3.5 提交后不得以公开漏洞为要挟，亦不得转让或授权第三方使用或披露。

3.6 漏洞报告及其成果的全部知识产权归 EN+ 所有。

3.7 报告者对在参与过程中接触到的任何 EN+ 信息负有严格保密义务。

3.8 未成年人（未满18周岁）须在监护人指导下参与。

4. EN+ 的权利与责任

4.1 EN+ 负责维护漏洞提交流程的正常运行。

4.2 EN+ 有权独立验证、评级并决定修复措施。

4.3 EN+ 将对有效报告及时跟进并在合理周期内反馈处理意见。

4.4 EN+ 依法保护报告者个人信息。

4.5 对恶意、违法或误导性报告，EN+ 有权终止参与资格并追责。

4.6 EN+ 有权调整或终止本计划，并通过公告或邮件通知。

4.7 EN+ 的审查不免除报告者对提交内容合法性的责任。

4.8 报告者与第三方的纠纷须自行处理，若 EN+ 因此受损，报告者须承担赔偿责任。

5. 漏洞报告提交规范

5.1 报告内容应完整、准确、可复现，包括：

● 漏洞发现背景与利用流程；

● URL、APP、接口或模块；

● 设备型号、系统及 APP 版本、序列号（如适用）；

● 测试账号、IP 地址等；

● 非破坏性的验证样例；

● 抓包、日志、截图或视频等材料。

5.2 漏洞评级考虑因素包括：

● 数据泄露范围；

● 利用难度；

● 对平台或用户的影响；

● 是否影响在维保期内的系统。

5.3 未经 EN+ 书面同意，不得向任何第三方披露漏洞。

● 5.4 经批准公开时，应确保：不包含用户隐私或敏感信息；

● 内容客观真实；

● 不引发不必要恐慌或误导。

5.5 漏洞报告及成果所有权归 EN+ 所有，未经授权不得使用、发布或转让。

6. 知识产权与数据处理

6.1 报告者提交的漏洞报告、测试材料等均归 EN+ 所有。

6.2 未经书面许可不得复制、传播或使用相关材料。

6.3 若违反本章规定，EN+ 有权取消资格并追究法律责任。

6.4 报告者提交的个人信息仅用于身份核验、漏洞处理及统计。

6.5 EN+ 将采取合理技术与管理措施保护信息安全。

6.6 报告者应确保个人信息真实有效，否则后果自负。

7. 免责与中止

7.1 EN+ 可基于业务、技术、安全等原因暂停或终止本计划，报告者不得据此要求赔偿。

7.2 若报告者存在以下任一情形，EN+ 可立即取消资格并追责：虚假、恶意或重复提交；

● 利用漏洞攻击或干扰 EN+ 或用户；

● 未授权泄露或传播漏洞；

● 违反法律或本协议规定；

● 拒绝配合验证，或提供虚假身份信息。

7.3 以下情况导致的服务不可用，EN+ 不承担责任：

● 不可抗力；

● 网络故障、攻击等；

● 第三方平台异常；

● 报告者自身设备问题。

7.4 EN+ 不保证平台无漏洞或持续可用。

7.5 报告者退出计划后，EN+ 有权删除其全部数据，且无需提供导出服务。

8. 法律适用与争议解决

8.1 本协议适用中华人民共和国现行法律法规（不含冲突规范）。

8.2 争议应通过协商解决；协商不成的，提交 EN+ 所在地（深圳市南山区）人民法院处理。

8.3 若部分条款无效，不影响其余条款效力。

8.4 条款标题仅为阅读便利，不影响解释。

8.5 您继续参与本计划即视为接受更新后的条款。

9. 联系方式

如有疑问、投诉或建议，请联系：

● 邮箱： support@en-plus.com.cn

● 地址：中国广东省深圳市南山区松柏路1026号6栋2楼

提交漏洞