服务条款

1. 条款接受

通过在BrickGRC平台（"服务"）上创建账户或访问该平台，由BrickGRC（"我们"）运营，您（"客户"，"您"）同意受这些服务条款（"条款"）的约束。如果您代表公司、组织或其他法律实体接受这些条款，您声明并保证您有权将该实体约束于这些条款。如果您不同意这些条款，则不得访问或使用本服务。

这些条款构成您与BrickGRC之间具有法律约束力的协议。它们管辖您对服务的访问和使用，包括通过平台、市场、API和任何相关服务提供的所有功能、内容和功能。

2. 服务描述

BrickGRC是一个模块化的治理、风险和合规（GRC）平台。该服务提供工具，用于管理符合ISO 27001、SOC 2、GDPR、HIPAA和NIST CSF等框架的合规项目。核心功能包括引导式工作项目、文档管理、证据链接、成熟度评分、报告生成和AI驱动的合规协助。

该服务使用"积木"架构，允许您连接第三方集成，包括但不限于：AI处理引擎、文档存储后端、通知服务、项目管理工具、员工目录同步（例如Google Workspace、Microsoft Entra ID）、SSO和身份提供商、日历集成、Webhook端点和组织文件夹扫描以进行自动证据收集。

该服务还包括：用于买卖合规模板和内容的市场；用于程序化集成的API密钥访问；用于账户安全的双因素认证（2FA）；以及用于事件驱动工作流的可配置Webhook集成。

3. 用户账户与角色

您有责任维护账户凭据的保密性，并对您账户下发生的所有活动负责。您必须使用强密码，并在发现任何未经授权的访问或安全违规时立即通过[email protected]通知我们。

BrickGRC支持组织内的基于角色的访问控制。组织所有者拥有最高管理控制权，包括用户管理、计费、API密钥配置和集成配置。其他角色包括管理员、审计员、编辑者和查看者。组织所有者负责管理用户角色和权限，并确保根据最小权限原则授予访问权限。

双因素认证（2FA）可用于所有账户，强烈推荐使用。您可以通过账户安全设置启用2FA。BrickGRC可自行决定对组织所有者和管理员账户强制实施2FA。

账户在多次身份验证失败后可能会被临时锁定。为您的账户颁发的API密钥与颁发用户具有相同的访问级别，必须与账户凭据同等保密对待。您对使用API密钥执行的任何操作承担全部责任。

4. 数据所有权

您保留对在服务中上传、创建或存储的所有数据的完全所有权，包括合规记录、上传的文档、项目配置和报告输出（"客户数据"）。BrickGRC不对您的客户数据主张任何知识产权。

您授予BrickGRC有限的、非独占的、免版税的许可，仅在运营和提供服务所必需的范围内处理您的客户数据——包括向AI提供商传输数据以用于您选择使用的AI驱动功能、在配置的存储后端存储文档、生成用于搜索和证据链接的嵌入向量，以及生成您请求的报告。

5. AI功能与第三方AI提供商

BrickGRC与第三方AI提供商（包括Google、Anthropic、OpenAI、Cohere、Mistral等）集成，以支持文档智能、证据自动链接、成熟度评分、语义搜索嵌入向量生成和AI合规助手等功能。当您通过Bricks系统使用自己的API密钥配置自己的AI提供商（"BYO LLM"）时，您的数据将根据您与该提供商的协议进行处理。您全权负责审查并遵守其服务条款和数据处理政策。

如果您未配置AI提供商，该服务将使用Google Gemini作为默认AI引擎，使用BrickGRC的API密钥。对于嵌入向量生成，如果主要嵌入向量提供商不可用，该服务可能会回退到Anthropic。通过在未配置自己的提供商的情况下使用AI功能，您确认您的合规数据将由Google（以及可能的Anthropic用于嵌入向量）根据其各自的API服务条款进行处理。有关传输数据的详细信息，请参阅我们的隐私政策。

您可以随时通过Bricks设置配置自己的AI提供商或不使用AI驱动功能来选择退出默认AI引擎。

BrickGRC中所有AI生成的内容——包括成熟度评分、合规建议、文档分析结果、引导式工作建议和AI助手回复——仅作为信息参考提供，可能包含错误、遗漏或不准确之处。AI生成的内容不构成也不应被视为法律建议、监管指导、专业审计意见或合规认证。您全权负责审查、验证和基于AI输出做出决策。对于需要专业判断的事项，请咨询合格的合规专业人员、审计师或法律顾问。BrickGRC不对任何AI生成内容的准确性、完整性或对您特定监管要求的适用性作出保证。

6. 可接受使用

您同意不会也不会允许任何第三方：(a) 违反任何适用法律、法规或第三方权利；(b) 上传恶意文件、恶意软件或试图破坏服务的安全性、可用性或完整性；(c) 尝试未经授权访问其他组织的数据、账户或平台基础设施；(d) 使用服务存储与治理、风险或合规活动无实质关联的内容；(e) 逆向工程、反编译、反汇编或试图推导服务的源代码、算法或数据模型；(f) 通过自动化手段从服务中提取超出授权API提供范围的数据或内容；(g) 未经事先书面授权转售、分许可、出租或重新分发服务的访问权限；(h) 对服务进行性能基准测试或竞争分析并在未经事先书面同意的情况下发布或披露结果；(i) 规避服务施加的任何使用限制、速率限制或访问控制；(j) 使用服务开发竞争产品或服务；或(k) 干扰或破坏服务或连接到服务的服务器或网络。

违反本节可能导致您的账户被立即暂停或终止，恕不另行通知。

7. 付款与计费

订阅费按照您所选计划在每月或每年基础上预付。所有费用以适用货币标示，除另有说明外不含税款。除适用法律要求外，所有费用不可退还。

新账户有资格获得七（7）天专业计划免费试用。在试用期间，您可以访问所有专业计划功能。试用期结束时，除非您订阅付费计划，否则您的账户将自动降级为免费计划。开始试用不需要提供付款信息。

我们保留提前至少三十（30）天书面通知修改定价的权利。价格变更在您下一个计费周期开始时生效。如果您不同意价格变更，可以在新定价生效前取消订阅。

如果付款失败，我们将通知您并提供七（7）天宽限期来更新您的付款方式。如果在宽限期内未收到付款，您的账户将降级为免费计划，付费计划独有的功能将变得不可访问。降级后您的数据将保留三十（30）天，之后超出免费计划限制的数据可能会被存档或删除。您可以在此期间随时通过订阅付费计划恢复完全访问权限。

8. 市场条款

对于卖家：通过在BrickGRC市场上列出内容，您声明并保证您有权出售或分发此类内容，且不侵犯任何第三方知识产权。您保留原创内容的所有权。通过在市场上列出内容，您授予BrickGRC非独占许可，在服务范围内展示、分发和推广该内容。BrickGRC对所有市场销售保留百分之三十（30%）的佣金。卖家的支付通过Stripe Connect按照Stripe的服务条款处理。您有责任提供准确的支付信息以及因市场收入产生的任何税务义务。

对于买家：从市场购买的内容被许可在您的BrickGRC组织内使用。未经卖家明确书面许可，您不得在组织外重新分发、转售或共享购买的内容。BrickGRC不保证任何市场内容的准确性、完整性或监管适用性。除非内容有实质缺陷或与描述严重不符，否则所有购买均为最终交易。

内容审核：BrickGRC保留审查、删除或拒绝违反这些条款、侵犯知识产权、包含误导性或有害内容或我们认为不当的任何市场列表的权利。反复违规可能导致永久取消销售权限。

9. API访问

BrickGRC提供API访问以实现与服务的程序化集成。API密钥按用户颁发，携带颁发账户的权限。您负责保护您的API密钥以及通过其执行的所有操作。不要将API密钥嵌入客户端代码、公共存储库或以其他方式暴露给未经授权的方。

API使用受到我们API文档中公布的速率限制的约束。BrickGRC保留随时以合理通知修改速率限制的权利。降低其他客户服务质量的过度或滥用API使用可能导致临时或永久限制API访问。

BrickGRC可能在合理通知的情况下更新或弃用API端点。我们将做出商业上合理的努力来维护向后兼容性，并为不兼容的更改提供迁移指导。

10. 数据处理与隐私

关于通过服务处理的个人数据，您（客户）作为数据控制者，BrickGRC作为数据处理者。BrickGRC仅根据您的指示并在根据这些条款和我们的隐私政策提供服务所必需的范围内处理个人数据。

数据处理协议（DPA）可应要求提供给根据适用数据保护立法需要的客户，包括欧盟通用数据保护条例（GDPR）、英国GDPR或同等框架。要请求DPA，请通过[email protected]联系我们。

BrickGRC实施适当的技术和组织措施来保护客户数据，包括传输和静态加密、访问控制和定期安全评估。我们安全实践的详细信息在隐私政策中描述。

11. 安全违规通知

在确认影响客户数据的安全违规事件中，BrickGRC将在得知违规后不迟于七十二（72）小时内通知受影响的客户，符合GDPR第33条和其他适用的数据泄露通知法律。

通知将通过电子邮件发送给组织所有者和任何指定的安全联系人。通知将包括（在已知范围内）：违规的性质、受影响记录的类别和大致数量、可能的后果，以及为解决违规和减轻其影响而采取或建议采取的措施。BrickGRC将按照适用法律的要求与受影响的客户和相关监管机构合作。

12. 服务可用性与SLA

BrickGRC的目标是按月计算达到百分之九十九点五（99.5%）的服务可用性，不包括计划维护窗口。计划维护将在低使用时段安排，并至少提前四十八（48）小时通过电子邮件或应用内通知公告。

此可用性目标不构成保证，不适用于：(a) 由BrickGRC合理控制之外的因素造成的停机，包括不可抗力事件；(b) 第三方服务和集成的中断或降级（包括AI提供商、存储后端、身份提供商和日历服务）；(c) 客户网络与BrickGRC基础设施之间的连接问题；或(d) 被标记为测试版或预览版的功能。

BrickGRC将做出商业上合理的努力，在计划外停机时迅速恢复服务，并通过我们的状态页面和电子邮件通知提供状态更新。

13. 知识产权

BrickGRC平台，包括其软件、设计、用户界面、模板、引导式工作流、框架内容、API、文档和所有相关知识产权，是并且仍然是BrickGRC的专有财产。您的订阅授予您在订阅期限内非独占、不可转让、不可分许可、可撤销的许可，用于您内部的治理、风险和合规管理目的。

服务中提供的合规框架模板（ISO 27001、SOC 2、GDPR、HIPAA、NIST CSF等）是BrickGRC对公开可用标准的解释和结构化。它们不替代相关标准化组织发布的官方标准文件，应与原始标准结合使用。

14. 赔偿

您同意赔偿、辩护并使BrickGRC、其高管、董事、员工、代理和关联公司免受因以下原因产生的或与之相关的任何索赔、损害、损失、责任、成本和费用（包括合理的律师费）：(a) 您使用服务；(b) 您通过服务上传、存储或处理的客户数据；(c) 您依赖AI生成的内容做出合规、法律、监管或商业决策；(d) 您违反这些条款；(e) 您违反任何适用法律或法规；(f) 您侵犯任何第三方权利，包括知识产权；或(g) 您通过市场列出或出售的任何内容。

BrickGRC将及时通知您任何此类索赔，并在辩护中提供合理合作。未经我们事先书面同意，您不得和解任何对BrickGRC施加义务的索赔。

15. 责任限制

在适用法律允许的最大范围内，BrickGRC不对任何间接、附带、特殊、后果性、示范性或惩罚性损害承担责任——包括但不限于利润损失、收入损失、数据损失、商业机会损失、商誉损失、预期节约损失或采购替代服务的成本——无论是否因您使用或无法使用服务、依赖AI生成的内容、第三方AI提供商或集成合作伙伴的作为或不作为、或与服务相关的任何其他事项而产生或与之相关，无论BrickGRC是否已被告知此类损害的可能性。

在任何情况下，BrickGRC因这些条款或服务产生的或与之相关的所有索赔的总累计责任不超过以下两者中的较大者：(a) 您在引起索赔的事件之前的十二（12）个月内为服务支付的总金额；或(b) 一百欧元（100欧元）。无论责任理论如何——合同、侵权（包括过失）、严格责任或其他，此限制均适用。

不可抗力：在因超出其合理控制的情况导致的范围内，BrickGRC不对未能或延迟履行这些条款项下的义务承担责任，包括但不限于：自然灾害、流行病、战争或恐怖行为、政府行为、劳资纠纷、停电、互联网或电信故障、网络攻击或第三方服务提供商的故障。BrickGRC将做出合理努力减轻任何不可抗力事件的影响，并在合理可行时尽快恢复履行。

16. 免责声明

该服务按"原样"和"可用"提供，不提供任何形式的保证，无论是明示、暗示还是法定的，包括但不限于对适销性、特定用途适用性、不侵权的暗示保证以及因交易惯例或贸易用途产生的任何保证。BrickGRC不保证服务将不间断、无错误、安全或不含有害组件，也不保证AI生成的输出将准确、完整或适合任何特定监管要求或司法管辖区。

17. 终止

任何一方可随时终止本协议。您可以通过平台设置或通过[email protected]联系我们取消订阅。取消在当前计费期结束时生效，您将保留访问权限直至该日期。

终止后，您将有三十（30）天时间导出您的客户数据。此期限过后，您的数据将根据我们的隐私政策永久删除。在导出期间，您的账户将处于只读状态。

终止后：(a) 您发布的所有活跃市场列表将被下架；(b) 已交付给买家的已购买市场内容将继续对这些买家可访问；(c) 任何待处理的市场付款将按照常规付款计划处理；(d) 第三方集成和Webhook配置将被停用；(e) API密钥将立即被撤销；(f) 当前计费期的任何未付费用仍然到期应付。

如果您出现以下情况，我们可以立即暂停或终止您的访问，无需事先通知：(a) 严重违反这些条款；(b) 从事威胁服务安全性、完整性或可用性的活动；(c) 在通知和七（7）天补救期后未支付适用费用；或(d) 以使BrickGRC面临法律责任的方式使用服务。因正当理由终止的情况下，不提供预付费用的退款。

18. 适用法律与争议

这些条款受葡萄牙共和国法律管辖并据其解释，不考虑其法律冲突条款。因这些条款或服务产生的或与之相关的任何争议应提交至葡萄牙里斯本法院的专属管辖。

本节中的任何内容均不限制您根据您所在司法管辖区的强制性消费者保护法所享有的权利，包括适用的欧盟消费者权利指令下的任何权利。

19. 条款变更

我们可能不时更新这些条款。我们将在变更生效前至少三十（30）天通过向组织所有者发送电子邮件并在服务中发布显著通知来通知您重大变更。在变更生效后继续使用服务即表示接受更新后的条款。如果您不同意任何变更，可以在变更生效前终止账户，并获得任何未使用的预付订阅期的按比例退款。

20. 杂项

可分割性：如果这些条款的任何条款被认定为不可执行或无效，该条款将被限制或消除到最低必要程度，其余条款将继续完全有效。

完整协议：这些条款连同隐私政策、任何适用的DPA以及任何订单或订阅协议，构成您与BrickGRC之间关于服务的完整协议，并取代所有先前的协议和谅解。

弃权：BrickGRC未能行使或执行这些条款的任何权利或条款不构成对该权利或条款的放弃。

转让：未经BrickGRC事先书面同意，您不得转让或转移这些条款或您在此项下的权利。BrickGRC可以在合并、收购或出售其全部或大部分资产的情况下转让这些条款。

21. 联系方式

如果您对这些条款有疑问，请通过[email protected]联系我们。