Twojedane są dla nas priorytetem. Mergin Maps dane gromadzone w terenie, przechowywane w chmurze lub obsługiwane na własnym serwerze — od projektów architektonicznych po codzienne operacje. Mergin Maps zaprojektowany tak, aby był bezpieczny, niezawodny i odpowiedni dla organizacji pracujących z wrażliwymi danymi geoprzestrzennymi, w tym samorządów lokalnych, przedsiębiorstw użyteczności publicznej i prywatnych firm.
Polityka prywatności: https://merginmaps.com/privacy-policy
Mergin Maps platforma służąca do gromadzenia i synchronizacji danych geoprzestrzennych, oparta na QGIS. Umożliwia ona pracę z danymi w terenie, zarówno w trybie online, jak i offline, oraz synchronizację zmian z centralnym repozytorium.
Platforma jest dostępna w trzech podstawowych wersjach:
• Mergin Maps : w pełni zarządzana usługa w chmurze obsługiwana przez Mergin Maps
• Mergin Maps Edition (EE): rozwiązanie lokalne hostowane w infrastrukturze klienta, z komercyjnym wsparciem technicznym i umowami o gwarantowanym poziomie usług (SLA)
• Mergin Maps Edition (CE): wersja open source, którą można samodzielnie hostować na podstawie licencji AGPL
Opcje te pozwalają organizacjom wybrać model, który odpowiada ich konkretnym wymaganiom w zakresie bezpieczeństwa i przepisom prawnym, od w pełni zarządzanej chmury po środowisko, w którym klient zachowuje pełną kontrolę nad serwerami, dostępem i danymi.
Licencjonowanie Mergin Maps : https://merginmaps.com/licenses
Mergin Maps PrzeglądMergin Maps (Cloud, EE, CE, komponenty open source): https://merginmaps.com/docs/misc/licensing/
Usługa Mergin Maps jest hostowana na Amazon Web Services (AWS), jednej z najbezpieczniejszych i najlepiej audytowanych platform chmurowych na świecie.
Amazon (Amazon Web Services, Inc.) oświadcza, że jego środowisko jest zgodne z wieloma uznanymi międzynarodowymi standardami i ramami, w tym ISO/IEC 27001, SOC 1, SOC 2, SOC 3, Kodeksem postępowania UE w zakresie chmury obliczeniowej (poziom 3), RODO oraz gotowością do spełnienia wymagań NIS2.
Ustalone i odpowiednie środki AWS są szczegółowo opisane w oficjalnym dokumencie AWS Security & Compliance Whitepaper, potwierdzającym, że AWS:
• utrzymuje system zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO 27001
• świadczy swoje usługi zgodnie z najlepszymi praktykami w zakresie fizycznego bezpieczeństwa centrów danych
• stosuje szyfrowanie, kontrolę dostępu, monitorowanie i ciągłość działania
• poddaje się regularnym niezależnym audytom i certyfikacjom w celu zapewnienia przejrzystości i zaufania klientów
Fundacja ta umożliwia Mergin Maps bezpieczeństwa w oparciu o niezawodną, certyfikowaną na poziomie międzynarodowym platformę technologiczną.
Serwery i przechowywane dane znajdują się fizycznie na terenie UE (w Irlandii).
Klientomkorzystającym Mergin Maps Mergin Maps zapewnia zarówno bezpieczeństwo, jak i niezawodność usług poprzez:
• Szyfrowane połączenia – dostęp do interfejsu internetowego i API jest zabezpieczony protokołem HTTPS (TLS)
• Kontrola dostępu i uprawnienia – projekty mogą być udostępniane tylko określonym użytkownikom lub zespołom, z szczegółowymi uprawnieniami (odczyt, zapis itp.)
• Wersjonowanie i historia zmian – zmiany w projektach są wersjonowane w celu poprawy możliwości audytu i umożliwienia przywrócenia poprzedniej wersji
• Monitorowanie i zarządzanie infrastrukturą – usługa w chmurze jest stale aktualizowana i monitorowana
• Opcje SLA – więksi klienci mogą negocjować poziomy wsparcia i czasy reakcji poprzez umowę SLA
Wsparcie techniczne i przegląd umów SLA: https://merginmaps.com/support
Klienci, którzy potrzebują pełnej kontroli nad danymi, środowiskiem i polityką bezpieczeństwa, mogą wybrać:
• Mergin Maps Edition (EE): komercyjne rozwiązanie lokalne z obsługą, umową SLA i przejrzystym modelem licencjonowania
• Mergin Maps Edition (CE): wersja open source (AGPL), którą można wdrożyć na samodzielnie zarządzanej infrastrukturze
Aby zapewnić bezpieczne wdrożenie, Mergin Maps szczegółową dokumentację, w tym:
• jak zainstalować Mergin Maps
• jak skonfigurować środowisko produkcyjne
• jak skonfigurować odwrotny serwer proxy (np. Nginx) i włączyć HTTPS
• jak skonfigurować ważne nagłówki bezpieczeństwa i ograniczenia
• jak dostosować ustawienia do polityki bezpieczeństwa Twojej organizacji
Sekcje „Bezpieczna Mergin Maps i „Środowisko serwera” zawierają konkretne zalecenia dotyczące wdrożeń produkcyjnych, w tym przykłady konfiguracji.
Bezpieczna Mergin Maps : https://merginmaps.com/docs/server/security/
Środowisko serwera i ustawienia zabezpieczeń: https://merginmaps.com/docs/server/environment/
Instalacja Mergin Maps (CE/EE): https://merginmaps.com/docs/server/install/
Aplikacja Mergin Maps dla systemówAndroid i iOS umożliwia pracę z QGIS w terenie, zarówno w trybie online, jak i offline. Z punktu widzenia bezpieczeństwa:
• wykorzystuje zabezpieczenia platformy Android/iOS do przechowywania danych uwierzytelniających i obsługi danych na urządzeniu
• komunikuje się z serwerem za pośrednictwem szyfrowanych połączeń (HTTPS)
• respektuje uprawnienia i kontrole dostępu po stronie serwera
• jest przeznaczona do pracy z wrażliwymi danymi geoprzestrzennymi, nawet w środowiskach o słabej łączności
Mergin Maps Google Play: https://play.google.com/store/apps/details?id=uk.co.lutraconsulting
Mergin Maps App Store:https://apps.apple.com/nz/app/mergin-maps-qgis-in-pocket/id1478603559
Większość Mergin Maps jest oparta na otwartym kodzie źródłowym, co umożliwia niezależną weryfikację, kontrolę i dostosowywanie:
• Mergin Maps : repozytorium otwartego kodu źródłowego na GitHub (wersja Community Edition)
• Aplikacja Mergin Maps : repozytorium aplikacji mobilnych oparte na otwartym kodzie źródłowym
• Inne narzędzia integracyjne (np. pakiety robocze, narzędzia do synchronizacji baz danych): zazwyczaj na licencji MIT.
Dzięki otwartej bazie kodu klienci i ich zespoły ds. bezpieczeństwa mogą przeprowadzać audyty bezpieczeństwa, przeglądy kodu i wprowadzać niestandardowe modyfikacje.
Mergin Maps (GitHub): https://github.com/MerginMaps/server
Mergin Maps AplikacjaMergin Maps (GitHub): https://github.com/MerginMaps/mobile
Przegląd licencji, w tym narzędzi na licencji MIT: https://merginmaps.com/docs/misc/licensing/
Jeśliodkryjesz lukę w zabezpieczeniach Mergin Maps czy to w usłudze w chmurze, na serwerze lokalnym, czy w aplikacji mobilnej – będziemy wdzięczni za bezpieczne i odpowiedzialne zgłoszenie.
• Nie wykorzystuj luki w zabezpieczeniach do ataków, uzyskiwania dostępu do danych innych osób lub zakłócania działania usługi
• Nie udostępniaj publicznie szczegółów dotyczących luki w zabezpieczeniach, dopóki nie zostanie ona usunięta
• Przekaż nam jak najwięcej szczegółowych informacji, aby pomóc nam odtworzyć i naprawić problem
• Skontaktuj się z nami: security@merginmaps.com lub support@merginmaps.com, wpisując w temacie wiadomości „Problem z bezpieczeństwem”.
Postępujemy zgodniez zasadami międzynarodowej normy ISO/IEC 27001 i wdrożyliśmy procesy zarządzania bezpieczeństwem informacji w całej naszej organizacji oraz w ramach rozwoju Mergin Maps.
Obecnie finalizujemy przygotowania do uzyskania oficjalnego certyfikatu, który potwierdzi poziom bezpieczeństwa, jaki już obecnie utrzymujemy.
W praktyce oznacza to:
• wdrożone procesy zarządzania ryzykiem
• bezpieczeństwo i prywatność wbudowane w proces rozwoju produktu (security-by-design, privacy-by-design)
• stosowane są zasady minimalnych uprawnień i kontroli dostępu
• przeprowadzane są regularne przeglądy, audyty i aktualizacje zabezpieczeń
• przeprowadzane są testy penetracyjne
• pracownicy i podwykonawcy są szkoleni w zakresie bezpieczeństwa i ochrony danych
• obowiązują umowy o zachowaniu poufności dla wszystkich pracowników i współpracowników zewnętrznych
• procedury wdrażania i odejść zapewniają kontrolę dostępu
• istnieją ustalone procedury zgłaszania i rozwiązywania incydentów związanych z bezpieczeństwem
• wykonywane są regularne kopie zapasowe, z weryfikowaną możliwością odzyskania danych
• procedury operacyjne wspierają zarządzanie incydentami, ciągłość działania i zarządzanie zmianami
• cała komunikacja jest szyfrowana przy użyciu protokołu HTTPS/TLS
• konserwacja i eksploatacja obejmują:
• regularne aktualizacje oprogramowania i zarządzanie podatnością na zagrożenia
• monitorowanie systemu i rejestrowanie zdarzeń
• rozdzielenie środowisk produkcyjnych i rozwojowych
Praktyki te nie są nowe – od dawna stanowią część codziennych działań naszych zespołów ds. rozwoju, operacji i wsparcia.
Jeślipotrzebujesz szczegółowego przeglądu bezpieczeństwa, kwestionariusza bezpieczeństwa lub dokumentów do audytów wewnętrznych i zapewnienia zgodności, skontaktuj się z nami pod adresem sales@merginmaps.com. Na żądanie udostępniamy informacje dotyczące bezpieczeństwa technicznego i organizacyjnego.
