Twojedane są dla nas priorytetem. Mergin Maps dane gromadzone w terenie, przechowywane w chmurze lub obsługiwane na własnym serwerze — od projektów architektonicznych po codzienne operacje. Mergin Maps zaprojektowany tak, aby był bezpieczny, niezawodny i odpowiedni dla organizacji pracujących z wrażliwymi danymi geoprzestrzennymi, w tym samorządów lokalnych, przedsiębiorstw użyteczności publicznej i prywatnych firm.
Polityka prywatności: https://merginmaps.com/privacy-policy
Mergin Maps platforma służąca do gromadzenia i synchronizacji danych geoprzestrzennych, oparta na QGIS. Umożliwia ona pracę z danymi w terenie, zarówno w trybie online, jak i offline, oraz synchronizację zmian z centralnym repozytorium.
Platforma jest dostępna w trzech podstawowych wersjach:
• Mergin Maps : w pełni zarządzana usługa w chmurze obsługiwana przez Mergin Maps
• Mergin Maps Edition (EE): rozwiązanie lokalne hostowane w infrastrukturze klienta, z komercyjnym wsparciem technicznym i umowami o gwarantowanym poziomie usług (SLA)
• Mergin Maps Edition (CE): wersja open source, którą można samodzielnie hostować na podstawie licencji AGPL
Opcje te pozwalają organizacjom wybrać model, który odpowiada ich konkretnym wymaganiom w zakresie bezpieczeństwa i przepisom prawnym, od w pełni zarządzanej chmury po środowisko, w którym klient zachowuje pełną kontrolę nad serwerami, dostępem i danymi.
Licencjonowanie Mergin Maps : https://merginmaps.com/licenses
Mergin Maps PrzeglądMergin Maps (Cloud, EE, CE, komponenty open source): https://merginmaps.com/docs/misc/licensing/
Usługa Mergin Maps jest hostowana na Amazon Web Services (AWS), jednej z najbezpieczniejszych i najlepiej audytowanych platform chmurowych na świecie.
Amazon (Amazon Web Services, Inc.) oświadcza, że jego środowisko jest zgodne z wieloma uznanymi międzynarodowymi standardami i ramami, w tym ISO/IEC 27001, SOC 1, SOC 2, SOC 3, Kodeksem postępowania UE w zakresie chmury obliczeniowej (poziom 3), RODO oraz gotowością do spełnienia wymagań NIS2.
Ustalone i odpowiednie środki AWS są szczegółowo opisane w oficjalnym dokumencie AWS Security & Compliance Whitepaper, potwierdzającym, że AWS:
• utrzymuje system zarządzania bezpieczeństwem informacji (ISMS) zgodny z normą ISO 27001
• świadczy usługi zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa fizycznego centrów danych
• stosuje szyfrowanie, kontrolę dostępu, monitorowanie i ciągłość działania
• poddaje się regularnym niezależnym audytom i certyfikacjom w celu zapewnienia przejrzystości i zaufania klientów.
Fundacja ta umożliwia Mergin Maps bezpieczeństwa w oparciu o niezawodną, certyfikowaną na poziomie międzynarodowym platformę technologiczną.
Serwery i przechowywane dane znajdują się fizycznie na terenie UE (w Irlandii).
Klientomkorzystającym Mergin Maps Mergin Maps zapewnia zarówno bezpieczeństwo, jak i niezawodność usług poprzez:
• Szyfrowane połączenia – dostęp do interfejsu internetowego i API jest zabezpieczony protokołem HTTPS (TLS)
• Kontrola dostępu i uprawnienia – projekty mogą być udostępniane tylko określonym użytkownikom lub zespołom, z szczegółowymi uprawnieniami (odczyt, zapis itp.)
• Wersjonowanie i historia zmian – zmiany w projektach są wersjonowane w celu poprawy możliwości audytu i umożliwienia przywrócenia poprzedniej wersji
• Monitorowanie i zarządzanie infrastrukturą – usługa w chmurze jest stale aktualizowana i monitorowana
• Opcje SLA – więksi klienci mogą negocjować poziomy wsparcia i czasy reakcji poprzez umowę SLA
Wsparcie techniczne i przegląd umów SLA: https://merginmaps.com/support
Klienci, którzy potrzebują pełnej kontroli nad danymi, środowiskiem i polityką bezpieczeństwa, mogą wybrać:
• Mergin Maps Edition (EE): komercyjne rozwiązanie lokalne z obsługą, umową SLA i przejrzystym modelem licencjonowania
• Mergin Maps Edition (CE): wersja open source (AGPL), którą można wdrożyć na samodzielnie zarządzanej infrastrukturze
Aby zapewnić bezpieczne wdrożenie, Mergin Maps szczegółową dokumentację, w tym:
• Jak zainstalować Mergin Maps
• Jak skonfigurować środowisko produkcyjne
• Jak skonfigurować odwrotny serwer proxy (np. Nginx) i włączyć HTTPS
• Jak skonfigurować ważne nagłówki bezpieczeństwa i ograniczenia
• Jak dostosować ustawienia do polityki bezpieczeństwa Twojej organizacji
Sekcje „Bezpieczna Mergin Maps i „Środowisko serwera” zawierają konkretne zalecenia dotyczące wdrożeń produkcyjnych, w tym przykłady konfiguracji.
Bezpieczna Mergin Maps : https://merginmaps.com/docs/server/security/
Środowisko serwera i ustawienia zabezpieczeń: https://merginmaps.com/docs/server/environment/
Instalacja Mergin Maps (CE/EE): https://merginmaps.com/docs/server/install/
Aplikacja Mergin Maps dla systemówAndroid i iOS umożliwia pracę z QGIS w terenie, zarówno w trybie online, jak i offline. Z punktu widzenia bezpieczeństwa:
• Wykorzystuje zabezpieczenia platformy Android/iOS do przechowywania poświadczeń i obsługi danych na urządzeniu
• Komunikuje się z serwerem za pośrednictwem szyfrowanych połączeń (HTTPS)
• Przestrzega uprawnień i kontroli dostępu po stronie serwera
• Jest przeznaczona do użytku z wrażliwymi danymi geoprzestrzennymi, nawet w środowiskach o słabej łączności
Mergin Maps Google Play: https://play.google.com/store/apps/details?id=uk.co.lutraconsulting
Mergin Maps App Store:https://apps.apple.com/nz/app/mergin-maps-qgis-in-pocket/id1478603559
Większość Mergin Maps jest oparta na otwartym kodzie źródłowym, co umożliwia niezależną weryfikację, kontrolę i dostosowywanie:
• Mergin Maps : repozytorium otwartego kodu źródłowego na GitHub (wersja Community Edition)
• Aplikacja Mergin Maps : repozytorium aplikacji mobilnych oparte na otwartym kodzie źródłowym
• Inne narzędzia integracyjne (np. pakiety robocze, narzędzia do synchronizacji baz danych): zazwyczaj na licencji MIT.
Dzięki otwartej bazie kodu klienci i ich zespoły ds. bezpieczeństwa mogą przeprowadzać audyty bezpieczeństwa, przeglądy kodu i wprowadzać niestandardowe modyfikacje.
Mergin Maps (GitHub): https://github.com/MerginMaps/server
Mergin Maps AplikacjaMergin Maps (GitHub): https://github.com/MerginMaps/mobile
Przegląd licencji, w tym narzędzi na licencji MIT: https://merginmaps.com/docs/misc/licensing/
Jeśliodkryjesz lukę w zabezpieczeniach Mergin Maps czy to w usłudze w chmurze, na serwerze lokalnym, czy w aplikacji mobilnej – będziemy wdzięczni za bezpieczne i odpowiedzialne zgłoszenie.
• Nie wykorzystuj luki w zabezpieczeniach do ataków, uzyskiwania dostępu do danych innych osób lub zakłócania działania usługi
• Nie udostępniaj publicznie szczegółów dotyczących luki w zabezpieczeniach, dopóki nie zostanie ona usunięta
• Przekaż nam jak najwięcej szczegółowych informacji, aby pomóc nam odtworzyć i naprawić problem
• Skontaktuj się z nami: security@merginmaps.com lub support@merginmaps.com, wpisując w temacie wiadomości „Problem z bezpieczeństwem”.
Postępujemy zgodniez zasadami międzynarodowej normy ISO/IEC 27001 i wdrożyliśmy procesy zarządzania bezpieczeństwem informacji w całej naszej organizacji oraz w ramach rozwoju Mergin Maps.
Obecnie finalizujemy przygotowania do uzyskania oficjalnego certyfikatu, który potwierdzi poziom bezpieczeństwa, jaki już obecnie utrzymujemy.
W praktyce oznacza to:
• Wdrożono procesy zarządzania ryzykiem
• Bezpieczeństwo i prywatność są wbudowane w proces rozwoju produktu (security-by-design, privacy-by-design)
• Stosowane są zasady minimalnych uprawnień i kontroli dostępu
• Przeprowadzane są regularne przeglądy, audyty i aktualizacje zabezpieczeń
• Przeprowadzane są testy penetracyjne
• Pracownicy i podwykonawcy są szkoleni w zakresie bezpieczeństwa i ochrony danych
• Wszyscy pracownicy i współpracownicy zewnętrzni podpisują umowy o zachowaniu poufności
• Procedury wdrażania i zwalniania pracowników zapewniają kontrolę dostępu
• Istnieją ustalone procedury zgłaszania i rozwiązywania incydentów związanych z bezpieczeństwem
• Regularnie tworzone są kopie zapasowe, których możliwość odzyskania została zweryfikowana
• Procedury operacyjne wspierają zarządzanie incydentami, ciągłość działania i zarządzanie zmianami
• Cała komunikacja jest szyfrowana przy użyciu protokołu HTTPS/TLS
• Konserwacja i eksploatacja obejmują:
• Regularne aktualizacje oprogramowania i zarządzanie podatnością na zagrożenia
• Monitorowanie systemu i rejestrowanie zdarzeń
• Rozdzielenie środowisk produkcyjnych i rozwojowych
Praktyki te nie są nowe – od dawna stanowią część codziennych działań naszych zespołów ds. rozwoju, operacji i wsparcia.
Jeślipotrzebujesz szczegółowego przeglądu bezpieczeństwa, kwestionariusza bezpieczeństwa lub dokumentów do audytów wewnętrznych i zapewnienia zgodności, skontaktuj się z nami pod adresem sales@merginmaps.com. Na żądanie udostępniamy informacje dotyczące bezpieczeństwa technicznego i organizacyjnego.
