本契約之修改應經雙方同意，並以書面為之。但因「COVID- 19(新冠肺炎)」疫情致影響本契約之履行者，任一方得於該不可抗力事由發生日起七日內，以電子郵件等方式檢具相關證明文件通知他方，由雙方本於誠信原則協議修改有關規 定。

契約編號：3.1

專案委託契約書

臺灣證券交易所股份有限公司 （以下簡稱甲方）

立契約書人

（以下簡稱乙方）

茲因甲方委託乙方進行「109年度網際網路紅隊演練檢測作業」之工作（以下簡稱本專案），經雙方議定契約條款如下：

1. 專案內容

1. 乙方須在不影響甲方業務營運前提下，對甲方進行模擬入侵攻擊，於專案執行期間內，以各種可利用方式，由甲方對外網路服務所有可能的進入點執行攻擊，嘗試完成以下演練目標：

1. 從外部網路取得網站伺服器或資料庫機敏資料。

2. 取得甲方員工帳號控制權。

3. 取得伺服器主機控制權，並於取得控制權後嘗試以下作業：

1. 垂直提升權限（如取得管理員權限）。

2. 水平擴張權限（如取得其他伺服器主機控制權）。

3. 取得記錄甲方所有員工帳號密碼資料之目錄服務主機控制權。

2. 相關作業內容可參考「紅隊演練滲透測試作業計畫建議書」(附件一)，惟建議書內容如與本契約書牴觸時，須以本契約書內容為主。

2. 執行期間

x專案之執行期間，自109年8月1日起至109年11月30日止，原則包含1個月檢測作業、2個月弱點修補作業及1個月複測作業，乙方應於第五條第一款及第二款期限內提出初測報告，並於提供初測報告後，依甲方指示辦理複測，且視弱點修補進度，提供不受次數限制之複測報告，至甲方修補初測報告揭露之所有弱點，或滿足第五條履約期限所訂日期為止。

3. 價款總額

x專案之總價款共計新台幣（以下同） 元整（含稅，以下同）。

4. 付款方式

契約簽定後，依以下規定由甲方分二期支付乙方：

1. 第一期：契約生效後，由乙方開立之發票或收據，甲方確認無誤即支付乙方 元整（總價款百分之四十）。

2. 第二期：乙方提出複測報告後，經甲方確認各項弱點皆已修補完成或專案執行期間已屆期，由乙方開立發票或收據，甲方確認無誤即支付乙方 元整（總價款百分之六十）。

5. 履約期限

乙方應依約定完成本案各階段工作，各階段完成期限如次：

1. 執行演練作業：實際演練日期應與甲方議定後執行演練，惟所有演練作業須於109年8月31日前完成。

2. 提供並確認演練報告：應於演練作業完成後2週內，提供演練報告及改善建議。

3. 修補及複測作業：

1. 甲方依乙方提供之改善建議辦理相關作業後，乙方應辦理複測作業協助甲方確認各項弱點是否已修補完成，如確認弱點均已修補完成，乙方可於提供複測報告後通知甲方辦理驗收請款。

2. 本專案執行期間內，乙方須不限次數，依甲方需求辦理複測作業，惟於109年11月30日後，如甲方仍未完成修補作業，乙方可於提供複測報告後，以書面通知甲方辦理驗收請款，後續複測作業費用由甲乙雙方另行議定。

6. 專案執行期間之延長

乙方如因事實需要，認為計畫有延長之必要時，應於執行期間屆滿二週前提出有關資料並徵得甲方書面同意後延長之。延長以一次為限，且不得增加費用。

7. 專案報告

   1. 乙方應依據本合約第五條第二及第三款規定，如期提供初測及複測報告。

   2. 乙方提交之報告，應符合本專案計畫書之規劃及需求。

8. 審查及說明備詢

1. 專案執行期間或報告提出後，乙方應依甲方安排提供至少1小時之諮詢講解，若甲方認為不足時，經乙方同意，得依甲方實際需要增加諮詢講解時數。

2. 乙方交付演練報告後，應依甲方之通知參加諮詢會議，說明報告內容及備詢。乙方應依諮詢會議結論，補充演練報告，並於諮詢會議後2週內提交修正後之演練報告。

9. 權利歸屬

x專案之研究報告以甲方為著作人。乙方引用研究報告及相關資料（含經驗性研究資料）應註明引用出處，如對外發表應事先經甲方書面同意。

10. 擔保賠償條款

1. 乙方擔保交付甲方之標的物並無侵害他人之智慧財產權或其他權利之情形。甲方如因而遭致他人控告、索賠者，乙方應即提出說明及提供相關之有利資料予甲方，並負責為甲方從事有關之和解談判及提出抗辯，保障甲方及其相關人員免受損害。甲方因此所生之一切損失及費用，包括但不限於和解費用、律師服務費或相關憑證所載金額等，均由乙方負責償付。

2. 本專案若有侵害他人之智慧財產權或其他權利，致甲方不得繼續使用時，除依前項規定辦理外，乙方並應於接到甲方通知之日起十五日內，按下列方式擇一解決：

   1. 修改侵害部分，使本標的物不再侵害他人之智慧財產權或其他權利。

   2. 乙方取得他人授權，使甲方得依本契約規定繼續使用標的物。

3. 乙方無法依前項規定處理者，應於前項期限屆至後返還甲方就本標的物已給付之費用，並賠償甲方因此所受之損害，甲方則不得再使用本標的物。

11. 資料保密義務

    1. 乙方對於因承作本專案所獲悉包括但不限於本契約內容、甲方智慧財產權、營業計畫、系統、財務、交易狀況、個人資料等一切資訊，應負保密義務；乙方應以善良管理人之注意，善盡保密義務，採取一切可能之適當措施，防止其自身或與本專案相關人員以任何形式將資料轉發或洩漏予任何與本專案無關之第三人。本契約因終止、解除或有效期間屆滿而失其效力者，亦同。

    2. 乙方應與本專案相關人員簽署保密合約，或要求工作人員出具保密承諾書，使其相關人員對甲方同負資料保密及維護資通安全義務；相關人員嗣後離職者，仍不解免其資料保密責任。

    3. 乙方應就承作本專案而蒐集、處理、利用之個人資料遵守個人資料保護相關法令規定，建構完備之資料控管保護機制及簽署資訊保密附加條款（附件二），並責成其相關人員遵守個人資料保護相關法令規定及資訊保密附加條款；乙方應依甲方之委外資通安全規範（附件三），暨甲方所定作業程序及作業程序書之存取控制規定執行本專案相關作業；並責成其相關人員遵守資安相關法令規定及委外資通安全規範條款。

    4. 乙方或其相關人員如有違反第一項、第二項、第三項規定，乙方對於甲方因此所受一切損害應負賠償責任（含甲方依法對第三人應負賠償責任及應給付之罰鍰）。本契約因終止、解除或有效期間屆滿而失其效力者，亦同。

    5. 乙方或其相關人員，如有違反本條各項情事之一，甲方得不經催告而終止本契約。

12. 移轉限制

非經他方書面同意，任一方不得將本契約之權利義務讓與或移轉予第三人。

13. 轉包

乙方就本契約之工作事項不得轉包或分包予第三人。

14. 罰則

    1. 乙方未依第七條或第八條所定之時間進度交付報告予甲方者，每逾一日，應支付按契約總價款百分之一計算之懲罰性違約金予甲方，甲方得自應付價款扣抵之。

    2. 乙方違反第九條規定者，應支付本專案總價款一倍之懲罰性違約金予甲方。

    3. 演練作業期間，甲方系統如有無法正常服務情形，並經檢視確實為乙方執行檢測作業導致，且未事先告知甲方可能風險，或未經甲方事先同意，乙方應依系統無法正常服務時數，每一小時(未滿一小時視同一小時)支付按契約總價款千分之一計算之懲罰性違約金予甲方，甲方得自應付價款扣抵之。

15. 契約之解除或終止

    1. 任一方當事人有違反本契約之規定時，經他方以書面通知其於十五日內改正，逾期未改正者，他方得以書面通知違約方解除或終止本契約。

    2. 甲方認為本專案無繼續進行之必要者，得以書面通知乙方終止本契約；乙方認為本專案不能達預期之效果而欲終止契約，應於第七條第一項所定期限前二週提出並徵得甲方之書面同意終止本契約。

    3. 契約經依前項規定終止後，雙方應即按本專案價款及截至當時已完成之工作所占比例，核算甲方應付乙方之價款，扣除甲方已付價款，多退少補。

16. 契約之修改

1. x契約之修改應經雙方同意，並以書面為之。但因「COVID-19(新冠肺炎)」疫情致影響本契約之履行者，任一方得於該不可抗力事由發生日起七日內，以電子郵件等方式檢具相關證明文件通知他方，由雙方本於誠信原則協議修改有關規定。

2. 任一方給予他方任何優惠，不構成本契約有關條款之變更。任一方未行使其依本契約對他方享有之某項權利，並不得視同放棄該項權利或影響其他權利。

17. 佣金回扣之禁止

    1. 乙方保證，除本契約明定者外，不得基於任何理由，以直接或間接方式，主動或應要求或期約給付佣金、回扣或任何名目之酬勞予甲方任何人員。乙方應遵守所簽署之採購廠商誠信治理承諾書（附件四），並責成其所屬人員遵守相關規定。

    2. 乙方知悉或甲方發現甲方人員涉有要求期約給付，或乙方人員違反前項規定之可疑情事時，乙方應即向甲方或其指定機構舉報並據實告知該等人員身分、要求期約數額及給付方式。另於甲方請求協助調查時，乙方應配合提供有關之事證資料；甲方對於因調查案件所知悉之乙方營業秘密，應負保密責任，並應責成其指派人員同負保密之責任。

    3. 違反第一、二項規定時，甲方得向乙方請求契約金額百分之二十之懲罰性違約金，並得自應給付之契約價款中如數扣除。

18. 契約效力

    1. x契約自簽約日起生效，並取代契約簽訂前雙方所有以口頭或書面之計畫、協議或會談。

    2. 附件視為本契約之一部分，但附件與契約本文有牴觸時，以契約本文為準。

19. 訴訟管轄

因本契約而引起之疑義爭執或糾紛，雙方應依誠信原則解決之，如有訴訟之必要時，同意以臺灣臺北地方法院為第一審管轄法院。

20. 契約份數

x契約書壹式三份，計正本二份，副本一份，由甲乙雙方各執正本一份，副本由甲方執存，印花稅票統一由乙方貼足。

立契約書人

甲 方：臺灣證券交易所股份有限公司

代 表 人：

地 址：xxxxxxxxxxxx

x x： 股份有限公司

代 表 人：

地 址：

營利事業統一編號：

中 華 民 國　　　　　年　　　　　月　　　 日

附件一：網際網路紅隊演練檢測作業計畫建議書

附件二：資訊保密附加條款

第一條 個人資料安全維護措施

一、乙方應防止甲方提供之個人資料檔案被竊取、竄改、毀損、滅失或洩漏，並應制定資料保密及安全之措施與作業程序。

二、乙方應就因承作本案而蒐集、處理、利用之個人資料，建構完備之資料控管保護機制，並遵守個人資料保護相關法令規定，採取以下必要措施：

(一)配置管理之專責人員及相當資源。

(二)界定個人資料之範圍。

(三)個人資料之風險評估及管理機制

(四)事故之預防、通報及應變機制。

(五)個人資料之蒐集、處理及利用之內部管理程序。

(六)資料安全管理及人員管理。

(七)認知宣導及教育訓練。

(八)設備安全管理。

(九)資料安全稽核機制。

(十)使用紀錄、軌跡資料及證據保存。

(十一) 個人資料安全維護之整體持續改善。

三、乙方或其受僱人或為其工作之人應妥善保管並防止甲方提供之資料遺失，如有違反個人資料保護相關法令或本契約及附加條款而致個人資料被竊取、洩漏、竄改或其他侵害之情事，應立即通知甲方，並說明違反事項及採行之補救措施。

四、乙方未經甲方同意，不得將甲方提供之資料及因承作本專案蒐集之個人資料委託第三人處理或傳輸予第三人。

五、甲方提供乙方之資料，乙方應善盡保管責任，並於委託事務執行完成後刪除，不得以任何型式儲存，刪除或銷毀完畢後應以書面通知甲方。

六、乙方對於甲方之指示，認為有違反個人資料保護相關法令規定之情事者，應立即通知甲方。

第二條 資訊安全之稽核及罰則

一、甲方得隨時向乙方調取其蒐集、處理、利用個人資料過程之存取紀錄，或派員查核乙方是否遵循個人資料保護相關法令或本契約及附加條款之規定，乙方應以合作之態度在合理時間內提供甲方相關書面資料或協助詢問相關當事人。本契約因終止、解除或有效期間屆滿而失其效力後，亦同。

二、甲方得指派專業第三人實施本附加條款約定事項之查核，費用由甲方負擔。

三、甲方或其指派人員執行稽核程序發現有缺失者，乙方應於甲方所定期限內採取適當改進措施，並將改進情形以書面通知甲方或其指定之人。

四、公務機關、法定機構依法律規定請求甲方提供有關本契約相關資料時，乙方應於甲方通知期限內提出該等資料。

公務機關、法定機構依法逕向乙方要求提供時，乙方應先通知甲方，但屬偵查不公開者，不在此限。

五、委任事項依主管機關之指示或甲方之要求，需由律師監督或處理時，乙方應無條件配合聘請律師監督或處理委任事項。

六、乙方拒絕或不配合本附加條款稽核事項之查核，每次應支付按總價款千分之一計算之懲罰性違約金予甲方，甲方得自應付價款中扣抵。但累計違約金以不超過本契約總價款百分之十為限。

第三條 資料載體、設備於本契約失效時之處置

甲方所提供之資料載體或其他物件或屬甲方所有之設備等，乙方均應於契約終止、解除或有效期間屆滿後3日內返還予甲方或甲方指定之人。

附件三：委外資通安全規範

1. 程序與環境之資通安全要求

委外廠商辦理受託業務之相關程序及環境，應具備完善之資通安全管理措施或通過第三方驗證(例如：ISO 27001)。

2. 團隊成員與教育訓練要求

委外廠商應配置充足且經適當之資格訓練、擁有資通安全專業證照或具有類似業務經驗之資通安全專業人員。指派參與受託業務之團隊成員，應接受相關之資通安全教育訓練。

3. 遵守法令之義務

委外廠商辦理受託業務時，應遵守資通安全相關法令，如違反規定而造成本公司或第三人之損害者，委外廠商應負全部之損害賠償責任，因而衍生之一切民刑事及行政紛爭，委外廠商應自行解決，與本公司無涉。

4. 系統存取之方法

委外廠商指派之存取人員，應先依本公司程序申請使用者識別碼及密碼，於本公司核准發給後進行存取作業；委外廠商應保證其所指派之存取人員遵守本公司有關使用者識別碼及密碼之管理規定。

5. 資訊保密之義務

委外廠商辦理受託業務而知悉本公司之任何資料，應負保密之責任，不得任意存取或洩漏予他人；並應責成其在職或嗣後離職之專案成員，同負保密之責任。

6. 電腦病毒之防止

委外廠商作業時應採取防止電腦病毒散佈之處置措施；如未盡此防毒之義務，因而損害到本公司之電腦系統，委外廠商應負責修復，如有造成本公司其他之損害，委外廠商應負責賠償。

7. 系統開發及維護作業事宜

委外廠商禁止於交付之資通訊產品中私下設計或安裝任何未與需求相符之程式，如：後門程式、系統監測程式。若受託業務包括本公司客製化資通系統開發，應提供該資通系統之安全性檢測證明，並配合安全檢測結果進行相關弱點的修補。

8. 系統版本之管理

受託業務包括客製化資通系統開發者，委外廠商應針對各版本進行版本管理，並落實版本權限控管與存取紀錄保存。

9. 非自行開發之系統或資源授權

受託業務包括客製化資通系統開發者，如涉及利用非自行開發之系統或資源之情形，委外廠商應標示非自行開發之內容與其來源及提供授權證明或授權宣告。

10. 外包管理

x契約訂有本公司同意得轉包第三方廠商或委託外包協力廠商協助履約之規定者，委外廠商應於其與第三方廠商或外包協力廠商簽訂之契約中要求對方落實本件規範及資通安全相關法令；必要時，委外廠商應將本件規範列為上開所簽契約之附件。

11. 資通安全事件通報與處理

委外廠商應就受託業務建立資通安全事件通報機制，並對專案成員實施資通事件通報演練或相關宣導作業，使專案團隊成員了解通報流程及資通安全相關法令規定。委外廠商於違反資通安全相關法令規定或知悉資通安全事件時或發現存有任何潛在問題和危害而有影響受託業務之虞者，應即通知本公司並採取相關補救措施。

12. 監督與審查

於受託業務範圍內，本公司對委外廠商有監督與稽核的權利，委外廠商有義務配合並提供本公司監督及稽核所需之相關文件資料。

13. 委外契約終止後之事宜

委外契約關係終止前，委外廠商應返還、移交、刪除或銷毀所持有之本公司的資訊資產及使用者識別碼，或依本公司指定之方法處理，並留存執行紀錄。

14. 補充規定

x規範如有未盡事宜者，悉依資通安全管理法及相關法令辦理。

附件四：臺灣證券交易所股份有限公司採購廠商誠信治理承諾書

x廠商為建構與臺灣證券交易所股份有限公司(以下簡稱：臺灣證券交易所)良善採購合作夥伴關係，願在相互誠信之基礎上，共同維護公平、透明之採購環境，並避免徇私及利益衝突風險。基於前述目的，本廠商承諾遵守下列聲明：

1. 本廠商應要求所屬員工秉持誠信交易原則，不得以直接、間接方式，透過期約、交付或其他方式給予臺灣證券交易所人員有形或無形利益，藉以換取本廠商或相關人員之利益。

2. 本廠商承諾不得脅迫所屬員工透過期約、交付或其他方式給予臺灣證券交易所人員有形或無形利益，藉以換取本廠商之利益。

3. 本承諾書所稱利益，係指任何具有價值之事物，包括任何形式或名義之金錢、餽贈、佣金、職位、服務、優待、回扣、疏通費、款待、應酬等。但屬正常社交禮俗或係偶發且無影響特定權利義務之虞者，不在此限。

4. 本廠商將嚴守利益迴避之立場，與臺灣證券交易所共同防範內線交易、聯合行為或其他不公平競爭等不法交易行為。

5. 本廠商恪遵營業秘密、智慧財產權及個人資料保護等相關法令規定，對於與臺灣證券交易所達成或試圖達成交易有關之資料及資訊，應依合法程序及誠信原則取得。

6. 本廠商如獲悉所屬員工或其他廠商與臺灣證券交易所人員之間有發生下列誠信治理風險情事時，當即具名並檢附相關具體事證，向臺灣證券交易所所設之「第三方舉報中心平台」（網址：xxxxx://xxx. xxxxxxxxx.xxx.xx/XXXX；Email信箱：xxxx@xxxxxxxxx.xxx.xx；傳真號碼：00-0000-0000；郵件信箱：台北郵政 112-113 號信箱）或臺灣證券交易所之內部稽核室（聯絡窗口：0000@xxxx.xxx.xx）舉報：

   1. 提供回扣或有其他不當有形、無形利益之情事。

   2. 有利益衝突應迴避而未迴避之情事。

   3. 為獲取不當利益而有未遵循正常程序之情事。

   4. 有其他圍標、綁標及違反法令規定或不符臺灣證券交易所採購管理規範等情事。

7. 本廠商承諾如違反上述聲明事項者，將配合臺灣證券交易所依相關法令及契約約定辦理，絕無異議。

投標廠商： (投標廠商印章) /負責人： （印章或簽署）

11