SYNTHIA^® é uma solução de software de retrossíntese SYNTHIA^® baseada em nuvem, desenvolvida e comercializada pela Merck KGaA, Darmstadt, Alemanha, e suas afiliadas. A plataforma foi projetada para permitir que os químicos planejem com Eficiência Rotas Sintéticas para moléculas novas e publicadas. A segurança e a proteção de dados são fundamentais para o SYNTHIA^®, conforme evidenciado por sua certificação ISO 27001:2022 e classificações de segurança cibernética de alto nível. Este documento fornece uma Visão Geral factual das medidas de segurança, certificações e práticas em vigor no SYNTHIA^®, fazendo referência apenas às fontes anexas e oficialmente publicadas.

Visão geral da estrutura de segurança

Um esboço dos principais domínios e práticas de segurança em governança, infraestrutura, conformidade e gerenciamento de riscos.
 

Governança da segurança da informação

Certificação ISO 27001

A SYNTHIA^® é certificada de acordo com a norma ISO/IEC 27001:2022 para sistemas de gerenciamento de segurança da informação (ISMS). Essa certificação abrange o desenvolvimento e a comercialização do SYNTHIA^® e de outras soluções digitais, garantindo uma abordagem sistemática para o gerenciamento de informações confidenciais e a redução de riscos. A certificação está anexada.

Leia mais
 

CyberVadis Platinum Rating
Em 2025, a Merck recebeu uma medalha de platina da CyberVadis pelo excelente desempenho em segurança cibernética, refletindo controles de segurança maduros e abrangentes em privacidade de dados, proteção de dados, continuidade de negócios e gerenciamento de terceiros.

Leia mais


Privacidade de dados e conformidade

Há uma política formal de proteção de dados em vigor, e a função de proteção de dados é responsável pela proteção de dados pessoais (PII). Os períodos de retenção de dados pessoais são identificados e os procedimentos para exclusão, modificação e portabilidade são formalizados. Todo o processamento de dados pessoais é legal, e as cláusulas de privacidade de dados necessárias são incluídas nos contratos. A organização está em conformidade com o GDPR e outras regulamentações de privacidade de dados aplicáveis e tem processos para notificar indivíduos e órgãos reguladores em caso de violação de dados.


Segurança de aplicativos e infraestrutura

Ciclo de vida de desenvolvimento seguro
O SYNTHIA^® segue um ciclo de vida de desenvolvimento de software seguro (SSDLC), incluindo testes de segurança de aplicativos estáticos e dinâmicos (SAST/DAST), gerenciamento de vulnerabilidades e revisões de código. Os testes de penetração e a análise de vulnerabilidade são realizados pelo menos anualmente, com integração contínua dos testes de segurança no pipeline de desenvolvimento. A modelagem de ameaças e as revisões de arquitetura são realizadas regularmente.

Criptografia
Os dados são criptografados em trânsito usando HTTPS (TLS v2) e em repouso usando criptografia gerenciada em nuvem. As chaves de criptografia são gerenciadas por meio de um sistema de gerenciamento de chaves (KMS). Todas as senhas são armazenadas em formato salgado e com hash.

Controle de acesso
O controle de acesso baseado em função (RBAC) é aplicado, com autenticação multifator (MFA) para login do usuário. Os direitos de acesso são revisados periodicamente, e o princípio do menor privilégio é implementado para todos os usuários. A segregação de funções e contas separadas para tarefas administrativas estão em vigor. Registro, monitoramento e resposta a incidentes Os eventos e incidentes de segurança são gerenciados de acordo com um processo formalizado, com registros protegidos contra adulteração e acesso não autorizado. Segurança de rede e endpoint O SYNTHIA^® é protegido por firewalls de aplicativos da Web (WAF), sistemas de detecção/prevenção de intrusão (IDS/IPS) e mecanismos de prevenção de perda de dados (DLP). A proteção contra negação de serviço distribuída (DDoS) é implementada no nível da infraestrutura. As estações de trabalho e a mídia de armazenamento corporativo são criptografadas, corrigidas regularmente e protegidas contra acesso não autorizado e malware.

Registro, monitoramento e resposta a incidentes
Os eventos e incidentes de segurança são gerenciados de acordo com um processo formalizado, com registros protegidos contra adulteração e acesso não autorizado.

Segurança de rede e endpoint
O SYNTHIA^® é protegido por firewalls de aplicativos da Web (WAF), sistemas de detecção/prevenção de intrusão (IDS/IPS) e mecanismos de prevenção de perda de dados (DLP). 
A proteção contra negação de serviço distribuída (DDoS) é implementada no nível da infraestrutura. 
As estações de trabalho e a mídia de armazenamento corporativo são criptografadas, corrigidas regularmente e protegidas contra acesso não autorizado e malware.

Infraestrutura de nuvem
O SYNTHIA^® está hospedado no Amazon Web Services (AWS), que é regularmente auditado quanto à conformidade com as normas ISO 9001, 27001, 27018 e SOC2. A plataforma segue as práticas recomendadas do AWS Well-Architected Framework, incluindo sub-rede privada, gerenciamento de chaves e monitoramento contínuo. A configuração segura, o firewall e a proteção contra malware são implementados nos níveis do aplicativo e da infraestrutura.

Continuidade dos negócios e recuperação de desastres
O gerenciamento da continuidade dos negócios e os planos de recuperação de desastres são formalizados e testados periodicamente. Os backups de dados são criptografados e realizados diariamente.

Segurança de terceiros e da cadeia de suprimentos
O acesso de terceiros é restrito a sistemas específicos e é regido por contratos que incluem requisitos de segurança, NDAs e direitos de auditoria. São realizadas avaliações de risco por terceiros e os provedores de nuvem devem fornecer evidências de continuidade dos negócios e planos de resposta a incidentes, bem como certificações oficiais de segurança.

Segurança de terceiros e da cadeia de suprimentos
O acesso de terceiros é restrito a sistemas específicos e é regido por contratos que incluem requisitos de segurança, NDAs e direitos de auditoria. São realizadas avaliações de risco de terceiros e os provedores de nuvem devem fornecer evidências de continuidade dos negócios e planos de resposta a incidentes, além de certificações oficiais de segurança.

Conformidade e alinhamento regulatório
SYNTHIA^® está em conformidade com a ISO 27001:2022 e o GDPR. Os requisitos de conformidade locais são monitorados e adotados conforme necessário. A plataforma não processa dados de pagamento e não está sujeita aos requisitos do PCI DSS.

Conscientização e treinamento em segurança
Os programas de conscientização sobre segurança da informação e privacidade de dados estão em vigor para toda a equipe, incluindo treinamento em engenharia social e uma política de mesa limpa. Os novos contratados, prestadores de serviços e trabalhadores temporários são obrigados a assinar um código de ética ou NDA, e são realizadas verificações de antecedentes.