Feenics SAAS 服务条款

这些软件即服务条款和条件（“SAAS条款”）由北美范德比尔特工业dba ACRE Access Control（“ACRE”）与购买了访问和使用Acre提供的任何软件即服务产品（“SAAS软件”）的许可证的组织或个人（“客户”）签订，无论此类购买是直接从ACRE还是从ACRE的授权经销商处购买。

这些SAAS条款最早在以下日期生效：（i）客户执行引用这些SAAS条款的订单表格（“订单表”）的日期；（ii）客户通过在SAAS软件中点击接受或同意接受这些条款的日期；或（iii）客户使用SAAS软件的日期。

1。许可范围；限制

1.1 访问权限；许可。根据本 SAAS 条款和适用订单表的条款，ACRE 授予客户非独家、可撤销、不可再许可、不可转让的权利，以便：(a) 访问和使用 SAAS 软件；以及 (b) 在受权访问和使用的个人在适用订单上规定的期限内，使用 ACRE 提供的与适用的 SAAS 软件（“文档”）相关的任何适用文件或其他信息代表客户（每人均为 “最终用户”）提供此类SAAS软件。

1.2 最终用户。客户不得授予任何第三方访问SAAS软件的权限。客户对因客户直接或间接提供访问权限而导致的SAAS软件和文档的所有使用负责，无论此类访问或使用是本SAAS条款允许还是违反这些SAAS条款。在不限制前述内容概括性的前提下，客户应对其最终用户的所有作为和不作为负责，如果客户采取任何将构成违反这些SAAS条款的行为或不作为，客户将被视为对这些SAAS条款的违反。客户应尽合理努力使所有最终用户了解本SAAS条款中适用于此类最终用户使用SAAS软件的规定，并应促使所有最终用户遵守此类规定。

1.3 证书。要访问和使用 SAAS 软件，每位最终用户都应注册以接收登录凭证。客户应确保每个登录凭据仅供与之相关的最终用户使用。如果个人不再获得访问和使用SAAS软件的授权，客户应立即以书面形式通知ACRE，这样可以终止使用该个人凭证进行的访问。客户对所有登录凭证的安全和使用全权负责。如果客户得知任何未经授权的访问或使用 SAAS 软件，应立即以书面形式通知 ACRE。

1.4 设备。客户应负责获取和维护连接、访问或以其他方式使用SAAS软件所需的任何设备和辅助服务，包括但不限于调制解调器、硬件、服务器、软件、操作系统、网络、网络服务器等（统称为 “设备”）。客户应负责维护客户设备及其设备的所有用途的安全。

1.5 使用限制。除非本SAAS条款或适用的订单表中另有规定，否则客户不得自己或通过任何第三方，也不得导致最终用户不得：

(a) 反编译、反汇编、逆向工程或以其他方式尝试发现 SAAS 软件的源代码或确定 SAAS 软件的提供方式；

(b) 修改、转换或以其他方式准备SAAS软件的衍生产品；

(c) 出售、分发、再许可、出租、租赁、转让、质押或以其他方式向任何未经授权的第三方提供 SAAS 软件或授予其任何权利；

(d) 删除或修改 SAAS 软件或 SAAS 软件随附文档中或其中的任何保密或所有权声明；

(e) 尝试访问SAAS软件中未获准访问或未经授权访问相关系统或网络的区域，或违反任何安全措施；

(f) 以合理预期会干扰、降低或破坏ACRE技术、服务、系统或产品的完整性或性能的方式使用SAAS软件；

(g) 使用与 SAAS 软件中包含的相同或相似的创意、特征、功能或图形开发具有竞争力的产品或服务；或

(h) 以其他方式以SAAS条款未规定的方式使用SAAS软件，包括以SAAS软件随附文档未规定的方式或以违反任何适用法律或第三方权利的方式使用SAAS软件。

1.6 暂停。在以下情况下，ACRE 可以暂时暂停客户或任何最终用户对 SAAS 软件任何部分或全部的访问，前提是：(a) ACRE 合理地确定 (i) 任何 SAAS 软件受到威胁或攻击；(ii) 客户或任何最终用户对 SAAS 软件的使用中断 SAAS 软件或对 ACRE 的任何其他客户构成安全风险；或 (iii) 客户或任何最终用户正在使用 SAAS 软件用于欺诈或非法活动的 SAAS 软件；(b) 客户或任何最终用户违反了这些 SAAS 条款；或 (c) ACRE 的任何供应商已暂停或终止了ACRE对客户访问SAAS软件所需的任何第三方服务或产品的访问或使用。在此类暂停后，ACRE应尽商业上合理的努力向客户提供任何此类暂停的书面通知。在导致暂停的事件结束后，ACRE应尽商业上合理的努力尽快恢复提供SAAS软件的访问权限。

1.7 修改或终止的权利。ACRE 保留自行决定在 SAAS 软件中添加或修改任何特性、功能或其他工具的权利，无论是否事先通知客户。在停止 SAAS 软件中的任何实质性特性或功能之前，ACRE 应向客户提供书面通知。

2。可用性；支持

2.1 SAAS 软件可用性。ACRE 应尽商业上合理的努力提供 SAAS 软件并根据附录 A 的条款提供某些支持服务。

3.期限和终止

3.1 期限。这些SAAS条款应自生效之日起生效，并将持续到所有订单根据这些SAAS条款或订单表的适用条款（“期限”）到期或终止为止。

3.2 SAAS 软件的订购表条款。除非适用的订单表中另有规定，否则每份订单的初始期限应为一（1）年（“初始期限”）。初始期限到期后，除非任何一方在初始期限或当时的续订期限到期后的六十 (60) 天内提供不续订的书面通知，否则订单将自动连续续订一年（每个期限均为 “续订期限”）。

3.3 因违约而终止。如果任何一方违反了这些 SAAS 条款或有效订单表中的条款，并且未能在收到另一方指明违规性质的书面通知后的三十 (30) 天内纠正此类违规行为（如果可以治愈），则任何一方均可在向另一方书面通知后终止这些 SAAS 条款或任何有效的订单表。如果另一方申请破产、破产或为债权人的利益进行转让，则任何一方均可立即终止这些SAAS条款或任何有效的订单表。

3.4 终止的影响。在本SAAS条款或订单到期或提前终止时，客户应立即停止使用所有适用的SAAS软件，并应销毁所有计算机、硬盘、网络和其他存储介质中的所有副本，并将其从所有计算机、硬盘、网络和其他存储介质中删除。此外，客户应删除和销毁ACRE的任何机密信息，并应要求以书面形式证明此类行为已经发生。终止不得解除客户在终止生效之日之前根据所有已终止的订单表或整个协议向ACRE支付应计或应付的任何费用的义务。在本协议或订单表终止或到期后，ACRE可以立即停用与已终止的订单表或本协议相关的客户账户（如适用）。在终止或到期后的三十 (30) 天内，ACRE将授予客户对已终止的SAAS软件的合理访问权限，其唯一目的是检索与此类终止的SAAS软件相关的客户数据。

4。担保免责声明

4.1 第三方材料：客户承认 SAAS 软件可能包含或包含第三方材料或软件（“第三方材料”）。第三方材料不受本第 4 节中规定的任何担保的保护。ACRE 对任何第三方材料不作任何陈述或保证，所有使用第三方材料的风险均由客户自行承担。

4.2 免责声明：Acre提供的SaaS软件和文档以及任何服务均按 “原样” 和 “按可用状态” 提供。除Acre在与客户签订的协议中直接提供的明示陈述和担保外，Acre特此拒绝所有明示、暗示、法定或其他担保，包括对适销性、特定用途适用性、所有权和非侵权性的暗示担保，以及因交易、使用或贸易惯例而产生的所有担保。在不限制上述内容概括性的前提下，Acre对saas软件或服务将满足客户或任何其他人的要求、不间断运行、实现任何预期结果、兼容或与任何软件、系统或其他服务兼容，或安全、准确、完整、无有害代码或无错误不作任何形式的保证。

5。知识产权

5.1 英亩知识产权。ACRE、其第三方许可人及其各自的继承人和受让人应保留所有用于创建或开发、体现、使用或以其他方式与 SAAS 软件及其组件相关的所有知识产权的所有权利、所有权和利益。除此处明确授予的有限权利外，客户及其最终用户未被授予上述任何内容的任何权利、所有权或利益。如果客户或其最终用户拥有或任何知识产权的任何权利、所有权或利益，则客户代表其自身及其最终用户，特此将所有此类权利、所有权和利益转让给 ACRE。客户承认并同意，因使用ACRE的知识产权而产生的任何商誉将有利于ACRE或其许可人（如适用）。

5.2 禁止的行为。客户不得：(a) 采取任何干涉ACRE任何知识产权的行动，包括ACRE的所有权或其行使；(b) 质疑ACRE在ACRE知识产权中的任何权利、所有权或利益；(c) 对ACRE对ACRE知识产权的所有权提出任何索赔或采取任何不利的行动；(d) 参与任何倾向于贬低、淡化ACRE知识产权价值的行动，或对 SAAS 软件或 ACRE 本身造成负面影响；以及 (e) 更改、掩盖或删除 ACRE 的任何所有权声明，包括在 SAAS 软件上发布的任何专利标记或版权声明。

5.3 反馈。客户或任何最终用户可以向ACRE提供与SAAS软件运行相关的意见、想法、建议的更改、改进、问题、缺陷和其他反馈（统称为 “反馈”）。在客户或任何最终用户提供任何反馈的情况下，客户代表自己及其最终用户，特此向ACRE转让其中的所有权利、所有权和利益，包括所有相关的知识产权。

6。数据

6.1 客户数据。在客户和ACRE之间，客户是并将继续是客户或其最终用户通过SAAS软件向ACRE提供的所有信息、数据和其他内容（统称为 “客户数据”）的所有权利、所有权和利益的唯一和独家所有者。客户授予ACRE托管、使用、处理、显示和传输客户数据的权利，以根据并按照这些SAAS条款和适用的订单表提供SAAS软件。客户对客户数据的准确性、质量、完整性、合法性、可靠性和适当性负全部责任，并有责任获得 ACRE 提供SAAS软件所需的与客户数据相关的所有权利。

6.2 数据安全。在提供 SAAS 软件时，ACRE 应遵守本文附录 B（“数据安全政策”）所附的数据安全政策。

6.3 去识别的数据。客户向 ACRE 授予非独家、永久、免版税、可转让、可再许可的许可，允许其复制、分发、展示、创作衍生作品以及以其他方式利用客户数据，仅用于向客户提供 SAAS 软件和创建去识别数据。ACRE 及其许可方可以将去识别数据用于任何合法目的，包括用于营销、推广、基准测试、改进和进一步开发 SAAS 软件的目的。“去识别数据” 是指ACRE通过处理或分析客户数据以及以其他方式通过SAAS软件的操作得出的所有数据，前提是去识别身份数据的形式不能用于识别客户或其最终用户。

7。赔偿

7.1 按英亩计算。ACRE应赔偿、捍卫客户并使客户免受任何损失、责任、损害赔偿、损失、要求和开支，包括合理的律师费、费用和支出（统称为 “损害赔偿”），这些指控或实际诉讼、调查、诉讼、诉讼或任何其他索赔（统称为 “索赔”）是因使用SAAS软件时所依据的第三方提出的任何指控或实际诉讼、调查、诉讼、诉讼或任何其他索赔（统称为 “索赔”）引起的或与之相关的任何损失、责任、损失、要求和开支（统称为 “损害赔偿”）这些 SAAS 条款和适用的订单表违反、挪用或以其他方式违反了任何第三方知识产权。

7.2 由客户提供。客户应赔偿、捍卫ACRE并使ACRE免受因以下任何索赔而产生的或与之相关的任何损失：(a) 客户数据侵犯、盗用或以其他方式侵犯任何第三方知识产权或其他权利；(b) 因客户和/或其最终用户违反SAAS条款或客户或任何最终用户使用SAAS软件而引起或与之相关的任何损失；或 (c) 由或与之相关的任何索赔针对客户或任何最终用户的重大过失、故意的不当行为或非法行为，包括导致的行为有形的人身伤害或财产损失。

7.3 赔偿程序。各方的赔偿义务以受赔方为条件：（a）立即向赔偿方发出索赔的书面通知；（b）让赔偿方完全控制索赔的辩护和和解；（c）应赔偿方的要求和费用，向赔偿方提供与索赔有关的所有可用信息和协助。受赔方可以参与索赔的辩护，费用由受赔方自行承担（不需报销）。任何一方均不得承认对任何判决的责任或同意任何判决，也不得让步、和解或妥协任何索赔，除非此类承认或让步、和解或妥协包括完全和无条件地免除另一方与该索赔有关的所有责任。

7.4 其他补救措施。在不限制本 SAAS 条款第 7.1 节中规定的ACRE义务的前提下，如果SAAS软件成为索赔的主体，或者ACRE的合理认为很可能成为索赔的主体，或者由于索赔或索赔的和解，SAAS软件的使用受到限制、禁止或受到实质性限制，ACRE可以自行选择并承担费用 (a) 获得客户在不支付任何额外费用的情况下继续使用SAAS软件的权利; (b) 更换或修改相同内容，使其成为非侵权行为，而不会对其造成任何实质性影响功能或性能；或 (c) 终止SAAS条款，并将终止生效之日后的任何预付费用按比例退还给客户。

7.5 例外情况。根据本 SAAS 条款第 7.1 节，ACRE 没有义务向客户提供赔偿，前提是索赔的依据是：(a) 未经授权对 SAAS 软件的修改；(b) 将 SAAS 软件与 ACRE 未提供或 SAAS 条款或 SAAS 软件附带文档中未考虑或规定的其他产品、流程、设备、数据、材料、软件或硬件结合使用；或 (c) 在 SAAS 软件中使用 SAAS 软件 SAAS 条款未授权的方式。这些SAAS条款的第7节规定了ACRE对SAAS软件侵犯任何第三方知识产权的索赔的全部责任。

8。责任限制

在适用法律允许的最大范围内，根据任何法律理论，任何一方均不对由SAAS条款引起或与之相关的任何间接、偶然、惩戒性、后果性、特殊、惩罚性或类似的损害承担责任，即使该方知道或应该知道此类损害的可能性，也无论任何有限补救措施的根本目的都未达到。ACRE对因这些SAAS条款引起或与之相关的损害赔偿的总责任将不超过客户在引起索赔的事件之前的十二（12）个月内向ACRE支付的费用金额。

9。保密性

9.1 已定义。“机密信息” 是指对方收到或以其他方式获知的与 SAAS 条款有关的所有非公开机密或专有信息以及任何性质或与之相关的任何性质的材料。ACRE的机密信息包括SAAS软件的非公开元素。客户的机密信息包括客户数据。双方将努力将所有此类信息以有形形式明确标记为机密信息（或如果以口头或其他无形形式披露，则将其标识为机密信息），但如果在披露的情况下，信息被合理地理解为或应该是机密信息，则无需将其标记或标识为机密信息即可被视为 SAAS 条款下的机密信息。

9.2 保密义务。各方应（a）对披露方的机密信息完全保密，（b）不得出于SAAS条款中规定的目的以外的任何目的使用或披露或允许使用或披露披露方的机密信息。尽管有上述规定，接收方可以向其员工和任何分包商披露披露方的机密信息，这些分包商需要了解此类信息以协助接收方或根据SAAS条款代表接收方行事，并且在获得访问权限之前已经签署了包含保密义务的具有约束力的协议，这些保密义务对披露方机密信息的保护至少与SAAS条款中规定的保密义务相同。在不限制前述内容概括性的前提下，各方应采取与保护自己同类机密信息的机密性相同的谨慎程度，但在任何情况下都应采取合理的谨慎措施。本第9.2节中的保密义务不适用于以下机密信息：(i) 接收方在从披露方收到之前就知道了，而且没有向披露方承担保密义务的印象；(ii) 在没有接收方的过错的情况下公开或成为众所周知的；(iii) 在接收方没有理由相信存在违约的情况下由接收方从第三方那里获得的对披露方承担的保密义务；或（iv) 接收方可以通过合理的证据证实对此类机密信息一无所知的接收方或其代表进行了实质性的独立开发。

9.3 允许的披露。接收方可披露方的机密信息（a）在法律或法院命令或政府当局要求的范围内；前提是接收方必须在法律允许的情况下迅速提供书面通知，并向披露方提供合理的协助，使披露方能够寻求保护令或以其他方式阻止或限制此类披露的性质和范围；（b）在特权通信中与该方的代理人、律师、律师、审计师、保险公司和其他代表，以及仅受保密义务的约束，其保护性至少与 SAAS 条款中规定的相同，以及 (c) 根据进行此类程序的调解员或仲裁员的批准和指示，与当事方之间的争议或程序有关的保密义务。

9.4 信息返回。SAAS条款终止或披露方先前的书面请求终止后，接收方应将接收方拥有或控制的包含披露方机密信息的所有记录和材料退还给披露方，或应披露方的书面要求，销毁接收方拥有或控制的所有包含披露方机密信息的记录和材料，并立即以书面形式证明其已完全遵守上述义务。

9.5 补救措施。各方同意并承认，任何违反或威胁违反本第9节的行为都可能对披露方造成无法弥补的损害，除了根据SAAS条款或法律或衡平法可能提供的任何其他补救措施外，披露方有权寻求禁令救济。

10。杂项

10.1 不可抗力。对于未能或延迟履行或延迟履行本 SAAS 条款的任何条款，如果此类故障或延迟是由于 ACRE 合理控制范围以外的原因（包括但不限于任何通信设施、网络主机或互联网服务提供商的故障、中断或中断）导致或导致的，则ACRE对客户不承担任何责任或责任，也不会被视为违反了这些 SAAS 条款；旨在禁用或破坏系统的恶意代码、工具或设备、基础设施和运营；地震、火灾、洪水以及其他天灾；禁运、暴动、骚乱、民众骚动、罢工、停工或其他劳工骚乱；战争或恐怖主义行为；流行病、流行病或其他公共卫生事件；以及任何政府机构或其他方的不作为或延迟行动（“不可抗力事件”）。ACRE 应在合理可行的情况下尽快将此类不可抗力事件通知客户。ACRE 将采取商业上合理的努力来恢复服务。如果不可抗力事件持续超过六十 (60) 天，则任何一方均可在前六十 (60) 天期限到期后的三十 (30) 天内向另一方发出书面通知后终止这些 SAAS 条款。

10.2 适用法律。SAAS条款将受纽约州法律管辖，并根据纽约州法律进行解释，不提及需要适用不同司法管辖区法律的法律冲突原则。各方不可撤销地同意，其以任何方式提起的任何因SAAS条款引起或与之相关的法律诉讼、诉讼或诉讼必须仅在位于纽约州纽约的州和联邦法院提起。《联合国国际货物销售公约》的规定不适用于 SAAS 条款。

10.3 作业。未经ACRE事先书面同意，客户不得转让SAAS条款或其在SAAS条款下的相应权利和义务。任何声称违反上述规定的转让均属无效。

10.4 独立当事方。双方是并将始终作为独立承包商行事，SAAS条款中包含的任何内容都不会被解释或暗示在双方之间建立机构、协会、合伙企业或合资企业，或要求任何一方有义务在排他性的基础上与对方打交道。

10.5 没有第三方受益人。SAAS条款中的任何内容均无意也不会产生任何第三方受益人，无论是有意的还是偶然的，并且任何一方都不会做出任何相反的陈述。

10.6 豁免；可分割性。除非双方以书面形式签署，否则任何豁免都不会生效。一方在一次场合同意或放弃执行 SAAS 条款，在任何其他场合均不被视为对任何其他条款或此类条款的放弃。如果有司法管辖权的法院裁定SAAS条款中的任何条款为非法、无效或不可执行，或者任何条款变得非法、无效或不可执行，则SAAS条款的其余条款如果能够实质性执行，将继续保持完全的效力和效力，而不会受到任何损害或失效。双方同意改革任何非法、无效或不可执行的条款，并以最接近非法、无效或不可执行条款的意图和经济效果的合法、有效和可执行的条款取代任何非法、无效或不可执行的条款。

10.7 宣传。未经 ACRE 事先书面同意，客户不得发布或发布与 SAAS 条款相关的任何公告、声明、新闻稿或其他宣传或营销材料，也不得以其他方式使用 ACRE 的名称或商标。经客户事先书面同意，ACRE可以在促销和营销材料中将客户的姓名列入其当前和前任客户名单。

10.8 注意事项。如果要求或允许一方向另一方发出通知，则当收到送达确认书时，此类通知将视为已送达，并且此类通知通过美国挂号邮件、要求的退货收据或国家认可的隔夜快递服务送达订购单中列出的地址。根据本第 10.8 节，一方可以通过向另一方发出通知来指定新的联系人或新地址。尽管有上述规定，发票审批和电子发票等管理性质的通知也可以通过确认的电子邮件发送，在收件人确认收货后将被视为已送达。

10.9 导出。美国的出口法律法规以及任何其他相关的当地出口法律法规适用于 SAAS 软件。客户和 ACRE 均同意遵守所有此类出口法律和法规（包括 “视同出口” 和 “视为再出口” 法规）。客户同意，SAAS Software产生的任何数据、信息、软件程序和/或材料都不会被直接或间接地出口出口，也不会用于这些法律禁止的任何目的，包括但不限于核、化学或生物武器的扩散或导弹技术的开发。

10.10《反海外腐败行为法》。各方声明并保证：(a) 就本SAAS条款而言，它没有也不会直接或间接地向任何政府或任何机构或部门的任何官员支付任何款项或礼物或任何形式的礼物或任何要约或承诺；(b) 它将在所有方面遵守《反海外腐败法》、《2010年英国反贿赂法》或任何类似的适用法律。

10.11 生存。就其性质而言，旨在在本协议终止或到期后继续有效的所有条款均应继续有效，包括但不限于第 3.4 节（终止的效力）；第 4 节（免责声明）；第 5 节（知识产权）；第 6 节（数据）；第 7 节（赔偿）；第 8 节（责任限制）；第 9 节（保密）；第 10 节（其他）。

10.12 完整协议。SAAS条款由适用的订单表中列出的文件组成，规定了双方就本协议标的达成的完整、独家和最终协议，并取代、取代和合并了双方先前和同期就本协议标的达成的所有口头和书面协议、沟通和谅解。

10.13 变更。ACRE 保留不时更改或修改这些 SAAS 条款的权利，恕不另行通知。这些SAAS条款的所有修订版本将在www.acresecurity.com上公布。客户或其最终用户在修订后的SAAS条款发布后使用SAAS软件即表示接受变更。客户有责任不时查看ACRE的网站，以了解SAAS条款的任何更改。

展览 A

软件服务级别和支持

1。服务级别。ACRE将采取商业上合理的努力，使SAAS软件在学期内每个日历月的至少99.9％的可用时间内可用，但不包括由于下述任何例外情况而导致的不可用性（“可用性要求”）。“可用” 是指客户及其最终用户可以根据适用文档的材料访问和使用SAAS软件。

2。例外。为了计算可用性要求，以下是可用性要求的例外情况，SAAS软件不被视为不可用，无论是全部还是部分原因，都是由于以下任何原因造成的：(i) 客户或任何不遵守这些SAAS条款的最终用户访问或使用SAAS软件；(ii) 由于客户延迟执行或未能执行任何内容而导致的全部或部分性能延迟或失败其在本SAAS条款下的义务；（iii）客户或其最终用户的互联网连接；(iv) 不可抗力事件；(v) ACRE 未根据本 SAAS 条款提供的任何软件、硬件、系统、网络、设施或其他事项出现故障、中断、停机或其他问题；(vi) 定期维护（定义见下文）；或（vii）紧急维护（定义见下文）。

3.定期维护。为了维护 SAAS 软件的性能和安全性，ACRE 可能需要进行定期维护，这可能会导致 SAAS 软件在一段时间内不可用（“定期维护”）。ACRE将尽商业上合理的努力：(a) 在美国东部时间晚上 10:00 至上午 7:00 之间进行定期维护；(b) 至少提前四十八 (48) 小时通知客户所有定期维护。

4。紧急维护。某些情况可能要求ACRE进行计划外维护，因为某种状况或情况可能导致SAAS软件的实质性中断或中断和/或对SAAS软件或ACRE的系统和网络构成安全风险（例如计划外维护，“紧急维护”）。在进行紧急维护之前，ACRE将尽商业上合理的努力尽可能提前通知客户。

5。SAAS 软件更新。ACRE 应向客户提供 SAAS 软件的任何更新、升级、发布或其他改编或修改，包括任何更新的文档，由 ACRE 免费向其他处境相似的客户提供。

6。技术支持。ACRE将在美国东部时间周一至周五上午 9:00 和下午 5:00 为客户提供技术支持，联邦假日除外（“支持时间”）。客户应在支持时间内发送电子邮件至 support@acre-co.com 和/或致电 855-818-7001 发起所有支持请求。

展品 B

数据安全政策

1。合规；向美国境外转账

1.1 合规性。关于收集、存储、传输和使用客户数据，包括与已识别或可识别的自然人有关的所有信息（“个人数据”），ACRE应遵守 (a) 适用的隐私法和公认的行业标准，以及 (b) 在适用的范围内，遵守支付卡行业的要求。

1.2 在美国境外转账。ACRE 将所有客户数据存储在美国。如果 ACRE 希望将客户数据的存储位置转移到美国境外，ACRE 应至少提前九十 (90) 天向客户提供此类意图的书面通知，并让客户有机会拒绝此类传输。

2。个人数据

2.1 隐私政策。如果客户或其最终用户的任何个人数据是由ACRE或代表ACRE收集、维护和/或处理的，ACRE将根据其在www.acresecurity.com上提供的隐私政策（“隐私政策”）收集、维护和处理此类个人数据，ACRE可以自行决定不时修改该政策。客户同意ACRE根据隐私政策使用个人数据。

3.信息安全计划

3.1 信息安全计划。ACRE应维护全面的书面信息安全计划，该计划符合适用的隐私法和普遍接受的行业标准，其中包括合理的管理、技术和物理保护措施，以保护客户数据免受未经授权的访问、披露、处理、修改和破坏（“信息安全计划”）。除其他条款外，信息安全计划应要求以下内容：

(a) ACRE中负责制定和实施ACRE信息安全措施的指定个人或团队；

(b) 雇员和承包商背景调查；

(c) 为所有从事SAAS解决方案工作或与之相关的员工提供安全和隐私意识培训；

(d) 以加密/安全的方式传输和存储所有数据；

(e) 防火墙、入侵探测系统、记录和监测系统以及出入控制系统；

(f) 限制经批准的雇员和承包商访问数据、应用程序、系统、数据库和网络，这些雇员和承包商在获得访问权限之前已签订了具有约束力的保密协议；

(g) 在用户身份发生任何变化时，合理地及时取消、撤销或修改用户对数据、应用程序、系统、数据库和网络的访问权限；

(h) 明确的业务连续性/灾难恢复计划，包括 (i) 提供合理的人身保护，使其免受蓄意攻击以及自然原因和灾害造成的损害；(ii) 实施安全机制和冗余以合理保护设备免受公用事业服务中断的影响；(iii) 合理保护传输数据的电信设备、电缆和中继器免遭截获或损坏；

(i) 测试按计划间隔恢复备份的情况；以及

(j) 通过合理的保障措施限制对SAAS软件的实际访问，例如围栏、隔离墙、屏障、警卫、大门、电子监控、物理认证机制、接待台和安全巡逻。

4。测试和审计

4.1 ACRE 将 (a) 每年进行一次网络层面的渗透测试和漏洞扫描；(b) 每年对其业务连续性/灾难恢复计划进行一次测试。根据客户的合理要求，ACRE应向客户提供每项此类测试的高级执行摘要，但须遵守SAAS条款中规定的保密义务。

5。数据事件

5.1 ACRE 应尽快通知客户，但不得迟于得知数据事故后的四十八 (48) 小时。“数据事件” 是指损害或涉嫌危及客户数据的安全性、机密性或完整性或 ACRE 为保护客户数据的安全性、机密性或完整性而采取的行政、技术或物理保护措施的泄露行为。