SYNTHIA^®是一种基于云计算的逆合成软件解决方案，由德国达姆施塔特的默克公司及其附属公司开发和商业化。该平台旨在帮助化学家高效规划新分子和已发表分子的合成路线。安全和数据安全是SYNTHIA^® 的基础，其 ISO 27001:2022 认证和顶级网络安全评级就是证明。本文件如实概述了SYNTHIA^® 的安全措施、认证和实践，仅引用附件和官方公布的资料来源。

 

安全框架概述

治理、基础设施、合规性和风险管理的核心安全领域和实践概述。
 

信息安全治理

ISO 27001 认证

SYNTHIA^®已通过 ISO/IEC 27001:2022 信息安全管理系统 (ISMS) 标准认证。该认证涵盖SYNTHIA^®和其他数字解决方案的开发和商业化，确保以系统化的方法管理敏感信息并降低风险。

了解更多
 

CyberVadis 白金评级
2025 年，默克公司凭借出色的网络安全表现获得了 CyberVadis 颁发的白金奖章，体现了在数据隐私、数据保护、业务连续性和第三方管理方面成熟而全面的安全控制。

阅读更多


数据隐私与合规

制定了正式的数据保护政策，数据保护职能部门负责保护个人数据 (PII)。确定了个人数据的保留期限，并正式确定了删除、修改和可移植性程序。所有个人数据的处理都是合法的，必要的数据隐私条款已纳入合同。组织遵守 GDPR 和其他适用的数据隐私法规，并制定了在发生数据泄露时通知个人和监管机构的流程。


应用程序和基础设施安全

安全开发生命周期
SYNTHIA^®遵循安全软件开发生命周期 (SSDLC)，包括静态和动态应用程序安全测试 (SAST/DAST)、漏洞管理和代码审查。渗透测试和漏洞分析至少每年进行一次，并在开发流程中持续集成安全测试。威胁建模和架构审查定期进行。

加密
数据在传输过程中使用 HTTPS（TLS v2）加密，在静态时使用云管理加密。加密密钥通过密钥管理系统 (KMS) 进行管理。所有密码都以加盐和散列形式存储。

访问控制
实施基于角色的访问控制（RBAC），用户登录采用多因素身份验证（MFA）。对访问权限进行定期审查，并对所有用户执行最小特权原则。对管理任务实行职责分工和独立账户。日志记录、监控和事件响应 安全事件和事故按照正式流程进行管理，并防止日志被篡改和未经授权的访问。网络和端点安全SYNTHIA^®由 Web 应用程序防火墙 (WAF)、入侵检测/防御系统 (IDS/ IPS) 和数据丢失防护 (DLP) 机制提供保护。在基础设施层面实施了分布式拒绝服务（DDoS）保护。对工作站和企业存储介质进行加密，定期打补丁，防止未经授权的访问和恶意软件。

日志记录、监控和事件响应
安全事件和事故按照正式流程进行管理，并防止日志被篡改和未经授权的访问。

网络和端点安全
SYNTHIA^®由 Web 应用程序防火墙 (WAF)、入侵检测/防御系统 (IDS/ IPS) 和数据丢失防护 (DLP) 机制提供保护。
在基础架构层面实施分布式拒绝服务 (DDoS) 防护。
工作站和企业存储介质经过加密，定期打补丁，并防止未经授权的访问和恶意软件。

云基础设施
SYNTHIA^®托管在亚马逊网络服务（AWS）上，该服务定期接受 ISO 9001、27001、27018 和 SOC2 合规性审核。该平台遵循 AWS Well-Architected Framework 最佳实践，包括专用子网、密钥管理和持续监控。安全配置、防火墙和恶意软件保护均在应用程序和基础设施层面实施。

业务连续性和灾难恢复
业务连续性管理和灾难恢复计划正规化并定期测试。数据备份每日加密并执行。

第三方和供应链安全
第三方访问仅限于特定系统，并受包括安全要求、NDA 和审计权限在内的合同约束。进行第三方风险评估，云提供商必须提供业务连续性和事故响应计划以及官方安全认证的证据。

第三方和供应链安全
第三方访问仅限于特定系统，并受包括安全要求、NDA 和审计权限在内的合同约束。进行第三方风险评估，云提供商必须提供业务连续性和事故响应计划以及官方安全认证的证据。

合规性和监管一致性
SYNTHIA^®符合 ISO 27001:2022 和 GDPR 标准。将根据需要跟踪和采用当地合规要求。该平台不处理支付数据，不受 PCI DSS 要求的限制。

安全意识和培训
为所有员工制定了信息安全和数据隐私意识计划，包括社会工程培训和明确的办公桌政策。新员工、承包商和临时工必须签署职业道德规范或 NDA，并进行背景调查。