SYNTHIA^® es una solución de software de retrosíntesis basada en la nube desarrollada y comercializada por Merck KGaA, Darmstadt, Alemania, y sus filiales. La plataforma está diseñada para permitir a los químicos planificar eficazmente rutas sintéticas tanto para moléculas nuevas como para moléculas publicadas. La seguridad y la protección de los datos son fundamentales para SYNTHIA^®, como demuestran su certificación ISO 27001:2022 y sus altos niveles de ciberseguridad. Este documento ofrece una descripción general de las medidas, certificaciones y prácticas de seguridad de SYNTHIA^®, haciendo referencia únicamente a las fuentes adjuntas y publicadas oficialmente.

Descripción general del marco de seguridad

Un resumen de los principales ámbitos y prácticas de seguridad en materia de gobernanza, infraestructura, cumplimiento y gestión de riesgos.
 

Gobierno de la seguridad de la información

Certificación ISO 27001

SYNTHIA^® está certificada según la norma ISO/IEC 27001:2022 para Sistemas de Gestión de la Seguridad de la Información (SGSI). Esta certificación cubre el desarrollo y la comercialización de SYNTHIA^® y otras soluciones digitales, garantizando un enfoque sistemático para gestionar la información sensible y mitigar los riesgos. La certificación se adjunta.

Más información
 

Calificación de Platino de CyberVadis
En 2025, Merck recibió una medalla de Platino de CyberVadis por su sobresaliente rendimiento en ciberseguridad, que refleja controles de seguridad maduros y completos en privacidad de datos, protección de datos, continuidad del negocio y gestión de terceros.

Más información


Privacidad de datos y cumplimiento

Existe una política formal de protección de datos, y la función de protección de datos es responsable de la protección de los datos personales (PII). Se identifican los periodos de conservación de los datos personales y se formalizan los procedimientos de eliminación, modificación y portabilidad. Todo tratamiento de datos personales es lícito, y en los contratos se incluyen las cláusulas de privacidad de datos necesarias. La organización cumple con el GDPR y otras normativas de privacidad de datos aplicables y dispone de procesos para notificar a las personas y a los reguladores en caso de violación de datos.


Seguridad de aplicaciones e infraestructuras

Ciclo de vida de desarrollo seguro
SYNTHIA^® sigue un ciclo de vida de desarrollo de software seguro (SSDLC), que incluye pruebas de seguridad de aplicaciones estáticas y dinámicas (SAST/DAST), gestión de vulnerabilidades y revisiones de código. Las pruebas de penetración y el análisis de vulnerabilidades se realizan al menos una vez al año, con una integración continua de las pruebas de seguridad en el proceso de desarrollo. El modelado de amenazas y las revisiones de arquitectura se realizan con regularidad.

Cifrado
Los datos se cifran en tránsito mediante HTTPS (TLS v2) y en reposo mediante cifrado gestionado en la nube. Las claves de cifrado se gestionan mediante un sistema de gestión de claves (KMS). Todas las contraseñas se almacenan con sal y hash.

Control de acceso
Se aplica un control de acceso basado en roles (RBAC), con autenticación multifactor (MFA) para el inicio de sesión de los usuarios. Los derechos de acceso se revisan periódicamente y se aplica el principio del mínimo privilegio a todos los usuarios. Existe una segregación de funciones y cuentas separadas para las tareas administrativas. Registro, supervisión y respuesta a incidentes Los eventos e incidentes de seguridad se gestionan de acuerdo con un proceso formalizado, con registros protegidos contra la manipulación y el acceso no autorizado. Seguridad de redes y puntos finales SYNTHIA^® está protegido por cortafuegos de aplicaciones web (WAF), sistemas de detección/prevención de intrusiones (IDS/IPS) y mecanismos de prevención de pérdida de datos (DLP). La protección contra la denegación de servicio distribuida (DDoS) se aplica a nivel de infraestructura. Las estaciones de trabajo y los medios de almacenamiento corporativos se cifran, se parchean periódicamente y se protegen contra el acceso no autorizado y el malware.

Registro, supervisión y respuesta a incidentes
Los eventos e incidentes de seguridad se gestionan según un proceso formalizado, con registros protegidos contra la manipulación y el acceso no autorizado.

Seguridad de redes y puntos finales
SYNTHIA^® está protegido por cortafuegos de aplicaciones web (WAF), sistemas de detección y prevención de intrusiones (IDS/IPS) y mecanismos de prevención de pérdida de datos (DLP). 
La protección contra denegación de servicio distribuida (DDoS) se aplica a nivel de infraestructura. 
Las estaciones de trabajo y los medios de almacenamiento corporativos están cifrados, se parchean periódicamente y se protegen contra el acceso no autorizado y el malware.

Infraestructura en la nube
SYNTHIA^® se aloja en Amazon Web Services (AWS), que se somete periódicamente a auditorías de conformidad con las normas ISO 9001, 27001, 27018 y SOC2. La plataforma sigue las mejores prácticas de AWS Well-Architected Framework, incluidas la subred privada, la gestión de claves y la supervisión continua. La configuración segura, el firewall y la protección contra malware se implementan tanto en las aplicaciones como en la infraestructura.

Continuidad empresarial y recuperación ante desastres
La gestión de la continuidad empresarial y los planes de recuperación ante desastres están formalizados y se prueban periódicamente. Las copias de seguridad de los datos se cifran y se realizan a diario.

Seguridad de terceros y de la cadena de suministro
El acceso de terceros está restringido a sistemas específicos y se rige por contratos que incluyen requisitos de seguridad, acuerdos de confidencialidad y derechos de auditoría. Se llevan a cabo evaluaciones de riesgos de terceros, y los proveedores de la nube deben aportar pruebas de planes de continuidad de negocio y respuesta a incidentes, así como certificaciones oficiales de seguridad.

Seguridad de terceros y de la cadena de suministro
El acceso de terceros está restringido a sistemas específicos y se rige por contratos que incluyen requisitos de seguridad, acuerdos de confidencialidad y derechos de auditoría. Se llevan a cabo evaluaciones de riesgos de terceros, y los proveedores de la nube deben proporcionar pruebas de planes de continuidad del negocio y de respuesta a incidentes, así como certificaciones oficiales de seguridad.

Cumplimiento y alineación normativa
SYNTHIA^® cumple la norma ISO 27001:2022 y el GDPR. Los requisitos de cumplimiento locales se rastrean y adoptan según sea necesario. La plataforma no procesa datos de pago y no está sujeta a los requisitos de PCI DSS.

Concienciación y formación sobre seguridad
Existen programas de concienciación sobre seguridad de la información y privacidad de los datos para todo el personal, que incluyen formación sobre ingeniería social y una política de escritorio claro. Los nuevos empleados, contratistas y trabajadores temporales deben firmar un código ético o un acuerdo de confidencialidad, y se comprueban sus antecedentes.