茲因甲方委託乙方進行「CyberArk軟體」之維護，經雙方議定契約條款如下：

契約編號：2 .6

電腦應用軟體維護契約書

臺灣證券交易所股份有限公司 （以下簡稱甲方）

立契約書人

廠商名稱 （以下簡稱乙方）

茲因甲方委託乙方進行「CyberArk軟體」之維護，經雙方議定契約條款如下：

第一條 維護標的及場所

1. 維護標的詳如附件一。

2. 維護地點：

第一資訊中心-新北市（詳細地址由甲方另行告知）

第二資訊中心-台北市（詳細地址由甲方另行告知）

第二條 契約有效期間

一、本契約自111年1月1日起至111年12月31日止，有效期間1年。

二、本契約有效期間屆滿後，如甲方尚未訂定新維護契約或乙方與甲方之新維護廠商未完成交接前，乙方應依甲方之要求按本契約所訂維護內容繼續維護。

第三條 維護費用

一、全部維護費共計新台幣（以下同） 元整（含稅，以下同）。

二、符合第六條第三項第五款第二目情形，自停用日起停止支付停用部分之維護費。

三、乙方應與甲方之原維護廠商進行交接，自完成交接日起計收維護費用。

四、乙方依第二條第二項與甲方之新維護廠商完成交接前，應繼續維護，除遲延交接事由可歸責乙方外，甲方應按比例支付維護費用予乙方。

第四條 付款方式

一、甲方按季給付乙方維護費╴╴元整，未滿一季時，按實際執行情形比例計算。

二、乙方應於每季終了後，檢具發票及維護紀錄報告向甲方請領上一季之維護費，甲方應於收到上開資料並經確認無誤後付款。

第五條 指派人員之工作及時間

1. 乙方應指派一名以上作業人員，依甲方排定時間執行第一條所列工作。

2. 甲方因業務需要得要求乙方限期增派或更換人員，乙方更換指派人員須經甲方同意。

3. 乙方指派人員因故請假時，乙方應即派員遞補，並應事先通知甲方，經甲方同意始得為之。

第六條 維護及維修服務時間及方式

一、維護服務時間：

(一)週一至週五上午八時至下午六時，其間遇有國定假日者除外。

(二)乙方應依甲方指示指派人員至其指定地點，如發現問題，應於次一營業日開盤前恢復正常運作，不受維護服務時間之限制，且不另計費。

二、維護方式：

(一)定期維護：

乙方應每月派人於維護服務時間內，至指定地點進行例行性之CyberArk軟體效能調整，以及每月總時數至少八小時之CyberArk軟體執行狀況檢測及最佳化調整，並將定期維護之紀錄乙份留存甲方。

(二)故障維修：

1.維護標的在正常使用狀態下發生異常者，乙方應負免費解決問題之責任（含工時等費用）。如經乙方證明維護標的之異常係因天災、人為破壞或疏失、電源失調等不可歸責乙方之事由所致者，乙方得依解決問題所需維護人力成本，開立發票向甲方收費。

2.乙方於維護服務時間內接獲甲方之問題處理通知，應指派合格之維修人員於二小時內回應並處理問題，或於四小時內抵達甲方指定地點進行問題處理，並於當日內完成問題解決；到達及服務之時間均不受維護服務時間限制，不得另行計費。

3.如甲方要求乙方於維護服務時間外進行問題處理時，須事前通知乙方，乙方應按約定時間到達甲方指定地點，於次一營業日開盤前完成問題解決，並於完成問題解決可供使用後開立發票，向甲方收取服務費，計費標準如下：按每一人工小時壹仟元整，未滿一小時者以一小時計，超過壹萬元整之部分以八折計收。但待問題處理之標的必須在非甲方營業時間方可進行維修者，不得另要求服務費。

4.維護標的發生問題，有上述第二、三目情形之一，而須現場維修時，若因問題重大發生而未能於第二、三目所定時限前完全解決，或該問題涉及原廠，乙方應請原廠派遣維修工程師於甲方通知後四十八小時內，至甲方現場實施問題處理，其費用概由乙方支付，乙方並應於甲方通知後五日內主動提出書面說明。

5.乙方依甲方問題處理需求完成問題處理服務後，應提出問題處理紀錄報告供甲方確認，由乙方收執。

三、其他約定事項

(一)甲方因處理緊急事件、市場會測或業務需要，得要求乙方於維護服務時間外，指派專人配合甲方作業。

(二)乙方應主動留意瞭解國內外所發生有礙維護標的軟體應用之問題，對於可能影響甲方軟體應用作業之問題，乙方應於知悉或收到原廠通知後，即以書面通知甲方，並應善盡預防之責任，且提供完整之技術諮詢，如有舉辦講習會之必要，由甲乙雙方協議後辦理。

(三)維護標的之應用軟體如有原廠新版軟體，乙方應主動通知及提供版本升級作業程序書予甲方，並由雙方檢視作業程序內容及議定作業時間後進行版本升級作業。

(四)甲方於本契約有效期間所提出維護需求，若乙方之維護時xx逾契約效期者，乙方仍應繼續解決原問題及其衍生之問題，且不得另行收費。

(五)增減維護標的：

1.甲方日後新購相同軟體時，得請求乙方併入維護標的範圍，乙方不得拒絕或要求增加維護費率。

2.如甲方停用（含汰換）部分維護標的時，得於預定停用日之三十日前，以書面通知乙方停止該部分維護標的之維護工作，並自停用日起停止支付停用部分之維護費。

(六)應用軟體修改、新增功能及安全性檢測：

1.維護標的之應用軟體如須修改或新增功能者，乙方應依甲方之通知及需求辦理之，並應在測試環境進行測試，俟功能正常，經甲方認可後，再行安裝上線。

2.維護標的之應用軟體經弱點掃描、滲透測試、源碼檢測等安全性檢測，發現有中風險以上安全性漏洞者，乙方應負免費維修之責任（含工時等費用），並應於180日內完成修補，如乙方評估認為不須修補者，應提出書面說明，並取得甲方同意。

(七)維護標的使用場所變更：

甲方欲變更維護標的之地點時，應事先通知乙方，乙方應儘速指派工程師會同甲方協調維護標的安裝與移機事宜，並提供必要之技術支援，若超出本契約原訂維護範圍時，乙方得向甲方酌收合理服務費。

(八)乙方指派人員應具有軟體工程師資格，於維護服務時間內不得處理與本契約無關事項。

(九)因不可歸責於乙方之事由，致乙方無法依本條規定時間內進行或完成維護、維修者，乙方不負遲延責任。

第七條 擔保條款

乙方使用其所有之軟體或其獲授權使用之軟體提供維護服務者，應保證上述軟體未侵害甲方或第三人之智慧財產權。如因可歸責於乙方之事由，致甲方遭第三人對甲方請求賠償及訴訟時，乙方應即提出說明及提供相關有利資料予甲方，並負責為甲方從事有關之和解談判及提出抗辯，且保障甲方及其相關人員免受損害。乙方對於甲方因此所生之一切損失及費用，包括但不限於和解費用、律師服務費或相關憑證所載金額等，應於接到甲方通知五日內償付甲方；甲方亦得逕自應付乙方之費用內扣抵。

第八條 罰則

一、乙方經甲方通知後，未依第六條第二項規定時間進行維護或維修，每逾一小時，應支付貳仟元整之懲罰性違約金予甲方，甲方得自每季支付之維護費扣抵。但因非可歸責乙方之事由所致者，不在此限。

二、乙方經甲方通知後，未依第六條第三項第六款規定時間進行維護或維修，每逾一日，應支付按第三條維護費百分之十計算之懲罰性違約金予甲方，甲方得自每季支付之維護費扣抵。但因非可歸責乙方之事由所致者，不在此限。

三、除乙方有違反本契約情形者外，甲方遲延付款或所開支票不獲兌現時，乙方除請求償付所欠款項外，並得請求甲方給付以法定利率二分之一計算之遲延利息。

第九條 移轉限制

非經他方書面同意，任一方不得將本契約之權利義務讓與或移轉予第三人。

第十條 轉包

乙方就本契約之工作事項不得轉包予第三人。

第十一條 契約之解除或終止

一、任何一方違反或不履行本契約之任何約定，經他方通知限期改善逾期仍未改善時，他方得解除或終止本契約，並請求損害賠償(包括因本契約解除或終止所受之損害)。

二、乙方經甲方通知後，逾十二小時(或甲方另行通知之更短期限)仍未到場修復，甲方得終止契約，並請求損害賠償(包括因本契約終止所生損害)。

三、如甲方停用或汰換全部維護標的者，得以書面通知乙方終止本契約，乙方不得請求任何補償。

四、除有第一項至第三項所定事由外，非經雙方書面同意，任何一方不得任意解除或終止本契約。

第十二條 維護工具授權使用

x契約期滿或終止時，甲方得要求乙方授權甲方繼續使用為提供本契約各項服務所使用之應用軟體，包括乙方所有或乙方被授權可使用之軟體，乙方不得拒絕之。上述軟體授權條件由雙方協議定之，但不得苛於本契約原規定之條件，或市場上類似軟體授權使用之條件。如協議不成，甲方得自本契約期滿或終止之日起三十個工作天，視同乙方已授權而繼續使用上述軟體。

第十三條 契約之修改

1. x契約之修改應經雙方同意，並以書面為之。但因「COVID-19(新冠肺炎)」疫情致影響本契約之履行者，任一方得於該不可抗力事由發生日起七日內，以電子郵件等方式檢具相關證明文件通知他方，由雙方本於誠信原則協議修改有關規定。

2. 任一方給予他方任何優惠，不構成本契約有關條款之變更。任一方未行使其依本契約對他方享有之某項權利，並不得視同放棄該項權利或影響其他權利。

第十四條 資料保密義務及資通安全

1. 乙方因承作本案而知悉甲方之任何資料，應負保密之責任，不得竊用或洩漏予他人；並應責成其從業人員、作業維護人員，同負保密之責任；嗣後離職者，亦同。

2. 乙方應就承作本案而蒐集、處理、利用之個人資料建構完備之資料控管保護機制，並遵守個人資料保護相關法令規定及資訊保密附加條款（附件二）。

3. 乙方及其指派之作業維護人員應遵照甲方之委外資通安全規範（附件三），並依甲方所定作業程序及作業程序書之存取控制規定，執行本案相關作業；另乙方應提供並要求其作業維護人員簽署「委外人員保密暨資訊安全同意書」。

4. 乙方作業維護人員於甲方辦公處所活動時應配戴適當或甲方發給之識別標示。

5. 甲方有權至乙方作業維護人員於甲方之工作場所，對作業維護人員於維護過程可能取得之系統軟硬體架構、網路架構、測試資料、備品及汰舊之設備等，是否依保密程序妥善保存、銷毀或為其他適當之處理等事項，進行不定時稽核。

6. 乙方或其指派之作業維護人員如有違反第一項、第二項、第三項規定，乙方對於甲方因此所受一切損害（含甲方依法對第三人應負賠償責任及應給付之罰鍰），應負賠償責任。本契約因終止、解除或有效期間屆滿而失其效力者，亦同。

七、乙方或其指派之作業維護人員如有違反第一項、第二項、第三項規定，乙方除應依第六項負賠償責任外，並應支付按第三條維護費百分之二十計算之懲罰性違約金予甲方。本契約因終止、解除或有效期間屆滿而失其效力者，亦同。

八、乙方或其指派之作業維護人員如有違反本條各項情事之一，甲方得不經催告終止本契約。

第十五條 佣金回扣之禁止

一、乙方保證，除本契約明定者外，不得基於任何理由，以直接或間接方式，主動或應要求或期約給付佣金、回扣或任何名目之酬勞予甲方任何人員。乙方應遵守所簽署之採購廠商誠信治理承諾書（附件四），並責成其所屬人員遵守相關規定。

二、乙方知悉或甲方發現甲方人員涉有要求期約給付，或乙方人員違反前項規定之可疑情事時，乙方應即向甲方或其指定機構舉報並據實告知該等人員身分、要求期約數額及給付方式。另於甲方請求協助調查時，乙方應配合提供有關之事證資料；甲方對於因調查案件所知悉之乙方營業秘密，應負保密責任，並應責成其指派人員同負保密之責任。

三、違反第一、二項規定時，甲方得向乙方請求契約金額百分之二十之懲罰性違約金，並得自應給付之契約價款中如數扣除。

第十六條 禁止使用具資安疑慮之資通訊產品

1. 乙方及其所屬人員於本案服務範圍，不得使用大陸廠牌或其他有資安疑慮之資通訊產品(含硬體、軟體及服務)作業，或將工作項目轉包或分包予大陸廠商。

2. 乙方或其所屬人員如有違反前項規定，乙方應支付按第三條維護費百分之五計算之懲罰性違約金予甲方，並對於甲方因此所受一切損害負賠償責任（含甲方依法對第三人應負賠償責任及應給付之罰鍰）。本契約因終止、解除或有效期間屆滿而失其效力者，亦同。

3. 乙方或其所屬人員如有違反第一項情事，甲方得不經催告而終止本契約。

第十七條 契約效力

x契約之附件，視同本契約之一部分，與本契約具同等效力。但附件與契約本文有牴觸時，以契約本文為準。

第十八條 訴訟管轄

因本契約所生疑義爭執或糾紛，雙方應依誠信原則解決之，如有訴訟之必要時，同意以臺灣臺北地方法院為第一審管轄法院。

第十九條 契約份數

x契約壹式六份，計正本二份，副本四份，由甲乙雙方各執正本一份，副本由甲方執存三份，乙方執存一份，印花稅票由乙方貼足。

立契約書人

甲 方：臺灣證券交易所股份有限公司

代 表 人：

地 址：xxxxxxxxxx九樓

統一編號：03559508

乙 方：

代 表 人：

地 址：

營利事業統一編號：

中 華 民 國　　　　　年　　　　　月　　　　　日

CyberArk軟體維護需求規格書

1. 軟體維護清單如后。

2. 範圍：一資主系統、二資備援系統。

3. 每月進行維護作業，確認系統運作正常(CPU、記憶體、磁碟空間使用、系統服務、防毒更新、校時等)、報表產製功能正常、系統日誌完整性、備份系統日誌(含操作影片檔)至指定位置留存。

4. 每月產製稽核報表(一組)。

5. 配合政策調整(如GCB政策、安全性政策等)進行系統確認及相關設定/補強作業。

6. 可維護現有特權帳號密碼函列印封存工具(可列印A-B Part密碼)，或提供滿足A-B Part密碼函列印功能之工具。密碼函內容必須包括IP位址、帳號名稱、作業系統/平台，且清楚標示為密碼前半段或後半段(A-B Part)。

7. 配合密碼定期變更作業(一組每季乙次、五組每半年乙次)，確認各納管作業系統之特權帳號皆可正常變更密碼並協助排除無法變更密碼之情形。

8. 現有納管設備：RHEL、Windows Server、QNAP NAS

9. 人力服務：60人天/1年，服務內容如下：

1. 調整系統相關設定與異常處理。

2. 調整CPM密碼政策。

3. 收納新系統設備特權帳號。

4. 更新軟體版本與CVE hot fix修正。

5. CyberArk軟體維運管理諮詢。

6. 資安合規與法遵之諮詢。

一組

交易系統軟體-維護標的清單
1.CyberArk
項次	內容描述／規格	維護數量
1	PIM Enterprise Infrastructure (Software) Includes Vault Server license, 1 CPM license, unlimited password license and Password Vault web-access.Ready for EPV, AIM, PSM and OPM 特權帳號管理系統平台模組	1
2	25 user licenses 前端使用者帳號授權數	2
3	Enterprise Disaster Recovery module (Software) Includes full passive support for all services and components of the Production installation 異地備援金庫模組	1
4	Enterprise High Availability module (Software) Includes full standby support for all services and components of the Production installation 同地金庫備援模組	1
5	5 PSM concurrent session licenses - per PSM Server Target Servers for PSM for Servers include Unix/Linux,Windows, Series (AS400), zSeries (MF) and network devices. 同時連線側錄授權	4
6	Additional Central Policy Manager (CPM) module 密碼管理政策模組	1
7	Password Vault web-access(PVWA) module 入口網站	1
2.Windows微軟遠端連線作業系統
項次	內容描述／規格	維護數量
1	WinRmtDsktpSrvcsCAL 2012 SNGL OLP NL DvcCAL (將改為2016版)	20
2	WinRmtDsktpSrvcsCAL 2012 SNGL OLP NL UsrCAL (將改為2016版)	20
3	WinSvrStd 2012R2 SNGL OLP NL 2Proc (將改為2016版)	3
4	WIN SERVER 2012 中文隨機標準版,不含5個CAL (將改為2016版)	9

五組

非交易系統軟體-維護標的清單
1.專案名稱：提升非交易系統資訊安全機制-強化高權限帳號密碼及操作側錄管理案
項次	內容描述／規格	數量
1	PIM Enterprise Infrastructure (Software) Includes Vault Server license, 1 CPM license, unlimited password license and Password Vault web-access. Ready for EPV, AIM, PSM and OPM 特權帳號管理系統平台	1
			2	25 user licenses 前端使用者帳號授權	1
3	Enterprise High Availability module (Software) Includes full standby support for all services and components of the Production installation 同地備援模組	1
			4	5 PSM concurrent session licenses - per PSM Target Servers for PSM for Servers include Unix/Linux, Windows, iSeries (AS400), zSeries (MF) and network devices. 同時連線側錄授權	2
5	Additional Central Policy Manager (CPM) module 密碼管理政策模組	1
			6	WINDOWS SERVER 中文隨機版的5個連線授權,USER CAL 微軟遠端連線授權	4
2.專案名稱：提昇非交易系統資訊安全機制-作業系統操作側錄及強化高權限帳號密碼管理(第二階段)
項次	內容描述／規格	數量
1	5 PSM concurrent session licenses - per PSM Target Servers for PSM for Servers include Unix/Linux, Windows, iSeries (AS400), zSeries (MF) and network devices. 同時連線側錄授權	2
			2	Additional Central Policy Manager (CPM) module 密碼管理政策模組	2
3	Cyber-Ark標準密碼函印表程式	1
			4	WINDOWS SERVER 中文隨機版的5個連線授權,USER CAL	4

附件二

資訊保密附加條款

第一條 個人資料安全維護措施

一、乙方應防止甲方提供之個人資料檔案被竊取、竄改、毀損、滅失或洩漏，並應制定資料保密及安全之措施與作業程序。

二、乙方應就因承作本案而蒐集、處理、利用之個人資料，建構完備之資料控管保護機制，並遵守個人資料保護相關法令規定，採取以下必要措施：

(一)配置管理之專責人員及相當資源。

(二)界定個人資料之範圍。

(三)個人資料之風險評估及管理機制

(四)事故之預防、通報及應變機制。

(五)個人資料之蒐集、處理及利用之內部管理程序。

(六)資料安全管理及人員管理。

(七)認知宣導及教育訓練。

(八)設備安全管理。

(九)資料安全稽核機制。

(十)使用紀錄、軌跡資料及證據保存。

(十一) 個人資料安全維護之整體持續改善。

三、乙方或其受僱人或為其工作之人應妥善保管並防止甲方提供之資料遺失，如有違反個人資料保護相關法令或本契約及附加條款而致個人資料被竊取、洩漏、竄改或其他侵害之情事，應立即通知甲方，並說明違反事項及採行之補救措施。

四、乙方未經甲方同意，不得將甲方提供之資料及因承作本專案蒐集之個人資料委託第三人處理或傳輸予第三人。

五、甲方提供乙方之資料，乙方應善盡保管責任，並於委託事務執行完成後刪除，不得以任何型式儲存，刪除或銷毀完畢後應以書面通知甲方。

六、乙方對於甲方之指示，認為有違反個人資料保護相關法令規定之情事者，應立即通知甲方。

第二條 資訊安全之稽核及罰則

一、甲方得隨時向乙方調取其蒐集、處理、利用個人資料過程之存取紀錄，或派員查核乙方是否遵循個人資料保護相關法令或本契約及附加條款之規定，乙方應以合作之態度在合理時間內提供甲方相關書面資料或協助詢問相關當事人。本契約因終止、解除或有效期間屆滿而失其效力後，亦同。

二、甲方得指派專業第三人實施本附加條款約定事項之查核，費用由甲方負擔。

三、甲方或其指派人員執行稽核程序發現有缺失者，乙方應於甲方所定期限內採取適當改進措施，並將改進情形以書面通知甲方或其指定之人。

四、公務機關、法定機構依法律規定請求甲方提供有關本契約相關資料時，乙方應於甲方通知期限內提出該等資料。

公務機關、法定機構依法逕向乙方要求提供時，乙方應先通知甲方，但屬偵查不公開者，不在此限。

五、委任事項依主管機關之指示或甲方之要求，需由律師監督或處理時，乙方應無條件配合聘請律師監督或處理委任事項。

六、乙方拒絕或不配合本附加條款稽核事項之查核，每次應支付按總價款千分之一計算之懲罰性違約金予甲方，甲方得自應付價款中扣抵。但累計違約金以不超過本契約總價款百分之五為限。

第三條 資料載體、設備於本契約失效時之處置

甲方所提供之資料載體或其他物件或屬甲方所有之設備等，乙方均應於契約終止、解除或有效期間屆滿後3日內返還予甲方或甲方指定之人。

附件三、

委外資通安全規範

1. 程序與環境之資通安全要求

委外廠商辦理受託業務之相關程序及環境，應具備完善之資通安全管理措施或通過第三方驗證(例如：ISO 27001)。

2. 團隊成員與教育訓練要求

一、委外廠商應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。指派參與受託業務之團隊成員，應接受相關之資通安全教育訓練。

二、委外廠商專案團隊成員在專案期間內如有調整與異動者，應提前告知本公司，於取得本公司同意後更換。

3. 遵守法令之義務

委外廠商辦理受託業務時，應遵守資通安全相關法令，如違反規定而造成本公司或第三人之損害者，委外廠商應負全部之損害賠償責任，因而衍生之一切民刑事及行政紛爭，委外廠商應自行解決，與本公司無涉。

4. 系統存取之方法

委外廠商指派之存取人員，應先依本公司程序申請使用者識別碼及密碼，於本公司核准發給後進行存取作業；委外廠商應保證其所指派之存取人員遵守本公司有關使用者識別碼及密碼之管理規定。

5. 資訊保密之義務

委外廠商辦理受託業務而知悉本公司之任何資料，應負保密之責任，不得任意存取或洩漏予他人；並應責成其在職或嗣後離職之專案成員，同負保密之責任。

6. 電腦病毒之防止

委外廠商作業時應採取防止電腦病毒散佈之處置措施；如未盡此防毒之義務，因而損害到本公司之電腦系統，委外廠商應負責修復，如有造成本公司其他之損害，委外廠商應負責賠償。

7. 系統開發及維護作業事宜

1. 委外廠商禁止於交付之資通訊產品中私下設計或安裝任何未與需求相符之程式，如：後門程式、系統監測程式。

2. 委外廠商於完成新系統建置時，應訂定緊急應變與回復作業程序。

3. 若受託業務包括本公司客製化資通系統開發者：

1. 資通系統防護基準之要求：委外廠商應依受託系統資訊安全等級執行符合「資通安全責任等級分級辦法」附表十「資通系統防護基準」之控制措施要求。

2. 安全性弱點之管理：委外廠商應提供該資通系統之安全性檢測證明，並配合本公司安全性檢測結果進行中風險以上安全性漏洞的修補。

3. 系統版本之管理：委外廠商應針對各版本進行版本管理，並落實版本權限控管與存取紀錄保存。

4. 非自行開發之系統或資源授權：如涉及利用非自行開發之系統或資源之情形，委外廠商應標示非自行開發之內容與其來源及提供授權證明或授權宣告。

8. 外包管理

x契約訂有本公司同意得轉包第三方廠商或委託外包協力廠商協助履約之規定者，委外廠商應於其與第三方廠商或外包協力廠商簽訂之契約中要求對方落實本件規範及資通安全相關法令；必要時，委外廠商應將本件規範列為上開所簽契約之附件。

9. 資通安全事件通報與處理

委外廠商應就受託業務建立資通安全事件通報機制，並對專案成員實施資通事件通報演練或相關宣導作業，使專案團隊成員了解通報流程及資通安全相關法令規定。委外廠商於違反資通安全相關法令規定或知悉資通安全事件時或發現存有任何潛在問題和危害而有影響受託業務之虞者，應即通知本公司並採取相關補救措施。

10. 監督與審查

1. 於受託業務範圍內，本公司對委外廠商有監督與稽核的權利，委外廠商有義務配合並提供本公司監督及稽核所需之相關文件資料。

2. 委外廠商應定期或不定期自行執行稽核作業，配合本公司監督要求提供稽核報告，並針對異常發現提出矯正報告。

11. 委外契約終止後之事宜

委外契約關係終止前，委外廠商應返還、移交、刪除或銷毀所持有之本公司的資訊資產及使用者識別碼，或依本公司指定之方法處理，並留存執行紀錄。

12. 風險改善作業

委外廠商應依本公司執行風險評鑑作業所發現之風險議題，配合辦理風險改善作業。

13. 補充規定

x規範如有未盡事宜者，悉依資通安全管理法及相關法令辦理。

附件四、

臺灣證券交易所股份有限公司採購廠商誠信治理承諾書

x廠商為建構與臺灣證券交易所股份有限公司(以下簡稱：臺灣證券交易所)良善採購合作夥伴關係，願在相互誠信之基礎上，共同維護公平、透明之採購環境，並避免徇私及利益衝突風險。基於前述目的，本廠商承諾遵守下列聲明：

1. 本廠商應要求所屬員工秉持誠信交易原則，不得以直接、間接方式，透過期約、交付或其他方式給予臺灣證券交易所人員有形或無形利益，藉以換取本廠商或相關人員之利益。

2. 本廠商承諾不得脅迫所屬員工透過期約、交付或其他方式給予臺灣證券交易所人員有形或無形利益，藉以換取本廠商之利益。

3. 本承諾書所稱利益，係指任何具有價值之事物，包括任何形式或名義之金錢、餽贈、佣金、職位、服務、優待、回扣、疏通費、款待、應酬等。但屬正常社交禮俗或係偶發且無影響特定權利義務之虞者，不在此限。

4. 本廠商將嚴守利益迴避之立場，與臺灣證券交易所共同防範內線交易、聯合行為或其他不公平競爭等不法交易行為。

5. 本廠商恪遵營業秘密、智慧財產權及個人資料保護等相關法令規定，對於與臺灣證券交易所達成或試圖達成交易有關之資料及資訊，應依合法程序及誠信原則取得。

6. 本廠商如獲悉所屬員工或其他廠商與臺灣證券交易所人員之間有發生下列誠信治理風險情事時，當即具名並檢附相關具體事證，向臺灣證券交易所所設之「第三方舉報中心平台」（網址：xxxxx://xxx.xxxxxxxxx.xxx.xx/XXXX；Email信箱：xxxx@xxxxxxxxx.xxx.xx；傳真號碼：00-0000-0000；郵件信箱：110928臺北信義郵局第93號信箱）或臺灣證券交易所之內部稽核室（聯絡窗口：0000@xxxx.xxx.xx）舉報：

   1. 提供回扣或有其他不當有形、無形利益之情事。

   2. 有利益衝突應迴避而未迴避之情事。

   3. 為獲取不當利益而有未遵循正常程序之情事。

   4. 有其他圍標、綁標及違反法令規定或不符臺灣證券交易所採購管理規範等情事。

7. 本廠商承諾如違反上述聲明事項者，將配合臺灣證券交易所依相關法令及契約約定辦理，絕無異議。

廠商： (廠商印章) /負責人： （印章或簽署）

中華民國 年 月 日

17