SYNTHIA^® ist eine Cloud-basierte Retrosynthese-Softwarelösung, die von der Merck KGaA, Darmstadt, und ihren Tochtergesellschaften entwickelt und vermarktet wird. Die Plattform wurde entwickelt, um Chemikern die effiziente Planung von Syntheserouten sowohl für neue als auch für bereits veröffentlichte Moleküle zu ermöglichen. Sicherheit und Datenschutz sind für SYNTHIA^® von grundlegender Bedeutung, was durch die ISO 27001:2022-Zertifizierung und die erstklassigen Cybersecurity-Ratings belegt wird. Dieses Dokument gibt einen sachlichen Überblick über die Sicherheitsmaßnahmen, Zertifizierungen und Praktiken von SYNTHIA^®, wobei nur auf die beigefügten und offiziell veröffentlichten Quellen verwiesen wird.

 

Übersicht über den Sicherheitsrahmen

Ein Überblick über die wichtigsten Sicherheitsbereiche und -praktiken in den Bereichen Governance, Infrastruktur, Compliance und Risikomanagement.
 

Informationssicherheits-Governance

ISO 27001-Zertifizierung

SYNTHIA^® ist nach der Norm ISO/IEC 27001:2022 für Informationssicherheitsmanagementsysteme (ISMS) zertifiziert. Diese Zertifizierung deckt die Entwicklung und Vermarktung von SYNTHIA^® und anderen digitalen Lösungen ab und gewährleistet einen systematischen Ansatz für die Verwaltung sensibler Informationen und die Minderung von Risiken. Die Zertifizierung ist beigefügt.

Lesen Sie mehr
 

CyberVadis Platin-Bewertung
Im Jahr 2025 erhielt Merck von CyberVadis eine Platin-Medaille für herausragende Cybersicherheitsleistungen, die ausgereifte und umfassende Sicherheitskontrollen in den Bereichen Datenschutz, Datensicherung, Geschäftskontinuität und Verwaltung von Drittanbietern widerspiegeln.

Mehr lesen


Datenschutz und Compliance

Es gibt eine formelle Datenschutzrichtlinie, und die Datenschutzfunktion ist für den Schutz personenbezogener Daten (PII) verantwortlich. Die Aufbewahrungsfristen für personenbezogene Daten sind festgelegt, und die Verfahren für Löschung, Änderung und Übertragbarkeit sind formalisiert. Die gesamte Verarbeitung personenbezogener Daten ist rechtmäßig, und die erforderlichen Datenschutzklauseln sind in den Verträgen enthalten. Die Organisation hält sich an die GDPR und andere anwendbare Datenschutzbestimmungen und verfügt über Verfahren zur Benachrichtigung von Einzelpersonen und Aufsichtsbehörden im Falle einer Datenschutzverletzung.


Anwendungs- und Infrastruktursicherheit

Sicherer Entwicklungslebenszyklus
SYNTHIA^® folgt einem sicheren Softwareentwicklungslebenszyklus (SSDLC), einschließlich statischer und dynamischer Anwendungssicherheitstests (SAST/DAST), Schwachstellenmanagement und Codeüberprüfungen. Penetrationstests und Schwachstellenanalysen werden mindestens einmal jährlich durchgeführt, wobei die Sicherheitstests kontinuierlich in die Entwicklungspipeline integriert werden. Die Modellierung von Bedrohungen und die Überprüfung der Architektur werden regelmäßig durchgeführt.

Verschlüsselung
Die Daten werden bei der Übertragung mit HTTPS (TLS v2) und im Ruhezustand mit Cloud-verwalteter Verschlüsselung verschlüsselt. Die Verschlüsselungsschlüssel werden über ein Schlüsselverwaltungssystem (KMS) verwaltet. Alle Passwörter werden in gesalzener und gehashter Form gespeichert.

Zugriffskontrolle
Es wird eine rollenbasierte Zugriffskontrolle (RBAC) mit Mehrfaktor-Authentifizierung (MFA) für die Benutzeranmeldung durchgesetzt. Die Zugriffsrechte werden regelmäßig überprüft, und für alle Benutzer gilt das Prinzip der geringsten Privilegien. Es gibt eine Aufgabentrennung und getrennte Konten für administrative Aufgaben. Protokollierung, Überwachung und Reaktion auf Vorfälle Sicherheitsereignisse und -vorfälle werden nach einem formalisierten Prozess verwaltet, wobei die Protokolle vor Manipulationen und unbefugtem Zugriff geschützt sind. Netzwerk- und Endpunktsicherheit SYNTHIA^® wird durch Web Application Firewalls (WAF), Intrusion Detection/Prevention Systeme (IDS/ IPS) und Data Loss Prevention (DLP) Mechanismen geschützt. Der Schutz vor Distributed Denial of Service (DDoS) ist auf der Infrastrukturebene implementiert. Workstations und Speichermedien des Unternehmens sind verschlüsselt, werden regelmäßig gepatcht und vor unbefugtem Zugriff und Malware geschützt.

Protokollierung, Überwachung und Reaktion auf Vorfälle
Sicherheitsereignisse und -vorfälle werden nach einem formalisierten Prozess verwaltet, wobei die Protokolle vor Manipulationen und unbefugtem Zugriff geschützt sind.

Netzwerk- und Endgerätesicherheit
SYNTHIA^® ist durch Web Application Firewalls (WAF), Intrusion Detection/Prevention Systeme (IDS/ IPS) und Data Loss Prevention (DLP) Mechanismen geschützt. 
Distributed Denial of Service (DDoS) Schutz ist auf der Infrastrukturebene implementiert. 
Workstations und Speichermedien des Unternehmens sind verschlüsselt, werden regelmäßig gepatcht und gegen unbefugten Zugriff und Malware geschützt.

Cloud-Infrastruktur
SYNTHIA^® wird auf Amazon Web Services (AWS) gehostet, das regelmäßig auf ISO 9001, 27001, 27018 und SOC2-Compliance geprüft wird. Die Plattform folgt den Best Practices des AWS Well-Architected Frameworks, einschließlich privater Subnetze, Schlüsselverwaltung und kontinuierlicher Überwachung. Sichere Konfiguration, Firewall und Malware-Schutz sind sowohl auf Anwendungs- als auch auf Infrastrukturebene implementiert.

Business Continuity und Disaster Recovery
Business Continuity Management und Disaster Recovery Pläne sind formalisiert und werden regelmäßig getestet. Datensicherungen werden verschlüsselt und täglich durchgeführt.

Sicherheit von Drittanbietern und der Lieferkette
Der Zugang von Drittanbietern ist auf bestimmte Systeme beschränkt und wird durch Verträge geregelt, die Sicherheitsanforderungen, NDAs und Auditrechte beinhalten. Es werden Risikobewertungen von Drittanbietern durchgeführt, und Cloud-Anbieter müssen Business-Continuity- und Notfallpläne sowie offizielle Sicherheitszertifizierungen nachweisen.

Sicherheit von Drittanbietern und der Lieferkette
Der Zugriff von Drittanbietern ist auf bestimmte Systeme beschränkt und wird durch Verträge geregelt, die Sicherheitsanforderungen, NDAs und Audit-Rechte enthalten. Es werden Risikobewertungen von Drittanbietern durchgeführt, und Cloud-Anbieter müssen Geschäftskontinuitäts- und Notfallpläne sowie offizielle Sicherheitszertifizierungen nachweisen.

Konformität und Einhaltung gesetzlicher Vorschriften
SYNTHIA^® ist konform mit ISO 27001:2022 und GDPR. Lokale Compliance-Anforderungen werden nachverfolgt und bei Bedarf angepasst. Die Plattform verarbeitet keine Zahlungsdaten und unterliegt nicht den PCI DSS-Anforderungen.

Sicherheitsbewusstsein und Schulungen
Für alle Mitarbeiter gibt es Programme zum Bewusstsein für Informationssicherheit und Datenschutz, einschließlich Social-Engineering-Schulungen und einer klaren Schreibtischrichtlinie. Neu eingestellte Mitarbeiter, Auftragnehmer und Zeitarbeiter müssen einen Ethikkodex oder ein NDA unterzeichnen, und es werden Hintergrundüberprüfungen durchgeführt.