SYNTHIA^® adalah solusi perangkat lunak retrosintesis berbasis cloud yang dikembangkan dan dikomersialkan oleh Merck KGaA, Darmstadt, Jerman, dan afiliasinya. Platform ini dirancang untuk memungkinkan ahli kimia merencanakan Rute Sintetis secara efisien untuk molekul baru dan molekul yang telah dipublikasikan. Keamanan dan perlindungan data merupakan hal yang sangat penting bagi SYNTHIA^®, sebagaimana dibuktikan dengan sertifikasi ISO 27001:2022 dan peringkat keamanan siber tingkat atas. Dokumen ini memberikan gambaran faktual tentang langkah-langkah keamanan, sertifikasi, dan praktik yang berlaku untuk SYNTHIA^®,dengan hanyamerujuk pada sumber terlampir dan yang dipublikasikan secara resmi.

 

Gambaran Umum Kerangka Kerja Keamanan

Garis besar domain dan praktik keamanan inti di seluruh tata kelola, infrastruktur, kepatuhan, dan manajemen risiko.
 

Tata Kelola Keamanan Informasi

Sertifikasi ISO 27001

SYNTHIA^® disertifikasi dengan standar ISO/IEC 27001:2022 untuk Sistem Manajemen Keamanan Informasi (SMKI). Sertifikasi ini mencakup pengembangan dan komersialisasi SYNTHIA^® dan solusi digital lainnya, memastikan pendekatan sistematis untuk mengelola informasi sensitif dan memitigasi risiko. Sertifikasi terlampir.

Baca lebih lanjut
 

Peringkat Platinum CyberVadis
Pada tahun 2025, Merck menerima medali Platinum dari CyberVadis untuk kinerja keamanan siber yang luar biasa, yang mencerminkan kontrol keamanan yang matang dan menyeluruh di seluruh privasi data, perlindungan data, kelangsungan bisnis, dan manajemen pihak ketiga.

Baca lebih lanjut


Kerahasiaan dan Kepatuhan Data
Terdapat kebijakan perlindungan data formal, dan Fungsi Perlindungan Data bertanggung jawab atas perlindungan data pribadi (PII). Periode penyimpanan data pribadi diidentifikasi, dan prosedur untuk penghapusan, modifikasi, dan portabilitas diformalkan. Semua pemrosesan data pribadi sesuai dengan hukum, dan klausul privasi data yang diperlukan disertakan dalam kontrak. Organisasi mematuhi GDPR dan peraturan privasi data lainnya yang berlaku dan memiliki proses untuk memberi tahu individu dan regulator jika terjadi pelanggaran data.


KeamananAplikasi danInfrastruktur

SiklusPengembangan Aman
SYNTHIA^® mengikuti siklus pengembangan perangkat lunak yang aman (SSDLC), termasuk pengujian keamanan aplikasi statis dan dinamis (SAST / DAST), manajemen kerentanan, dan tinjauan kode. Pengujian penetrasi dan analisis kerentanan dilakukan setidaknya setiap tahun, dengan integrasi pengujian keamanan yang berkelanjutan dalam jalur pengembangan. Pemodelan ancaman dan tinjauan arsitektur dilakukan secara teratur.
 

Enkripsi
Data dienkripsi saat transit menggunakan HTTPS (TLS v2) dan saat istirahat menggunakan enkripsi yang dikelola cloud. Kunci enkripsi dikelola melalui sistem manajemen kunci (KMS). Semua kata sandi disimpan dalam bentuk asin dan hash.

Kontrol Akses
Kontrol akses berbasis peran (RBAC) diberlakukan, dengan otentikasi multi-faktor (MFA) untuk masuk pengguna. Hak akses ditinjau secara berkala, dan prinsip hak akses terkecil diterapkan untuk semua pengguna. Pemisahan tugas dan akun terpisah untuk tugas-tugas administratif sudah tersedia. Pencatatan, Pemantauan, dan Respons Insiden Peristiwa dan insiden keamanan dikelola sesuai dengan proses formal, dengan catatan yang terlindungi dari gangguan dan akses yang tidak sah. Keamanan Jaringan dan Titik Akhir SYNTHIA^® dilindungi oleh Web Application Firewalls (WAF), sistem deteksi/pencegahan intrusi (IDS/ IPS), dan mekanisme pencegahan kehilangan data (DLP). Perlindungan Distributed Denial of Service (DDoS) diimplementasikan pada tingkat infrastruktur. Workstation dan media penyimpanan perusahaan dienkripsi, ditambal secara teratur, dan dilindungi dari akses yang tidak sah dan malware.

Pencatatan, Pemantauan, dan Respons Insiden
Peristiwa dan insiden keamanan dikelola sesuai dengan proses yang diformalkan, dengan catatan yang terlindungi dari gangguan dan akses yang tidak sah.

Keamanan Jaringan dan Titik Akhir
SYNTHIA^® dilindungi oleh Web Application Firewalls (WAF), sistem deteksi/pencegahan intrusi (IDS/ IPS), dan mekanisme pencegahan kehilangan data (DLP). Perlindungan Denial of Service (DDoS) terdistribusi diimplementasikan di tingkat infrastruktur.
Workstation dan media penyimpanan perusahaan dienkripsi, ditambal secara teratur, dan dilindungi dari akses yang tidak sah dan malware.

Infrastruktur Cloud
SYNTHIA^® dihosting di Amazon Web Services (AWS), yang secara teratur diaudit untuk kepatuhan terhadap ISO 9001, 27001, 27018, dan SOC2. Platform ini mengikuti praktik terbaik AWS Well-Architected Framework, termasuk subnetting pribadi, manajemen kunci, dan pemantauan berkelanjutan. Konfigurasi yang aman, firewall, dan perlindungan malware diimplementasikan di tingkat aplikasi dan infrastruktur.

Kelangsungan Bisnis dan Pemulihan Bencana
Manajemen kelangsungan bisnis dan rencana pemulihan bencana diformalkan dan diuji secara berkala. Pencadangan data dienkripsi dan dilakukan setiap hari.

Keamanan Pihak Ketiga dan Rantai Pasokan
Akses pihak ketiga dibatasi pada sistem tertentu dan diatur oleh kontrak yang mencakup persyaratan keamanan, NDA, dan hak audit. Penilaian risiko pihak ketiga dilakukan, dan penyedia layanan cloud harus memberikan bukti kelangsungan bisnis dan rencana tanggap insiden, serta sertifikasi keamanan resmi.

Keamanan Pihak Ketiga dan Rantai Pasokan
Akses pihak ketiga dibatasi pada sistem tertentu dan diatur oleh kontrak yang mencakup persyaratan keamanan, NDA, dan hak audit. Penilaian risiko pihak ketiga dilakukan, dan penyedia layanan cloud harus memberikan bukti kelangsungan bisnis dan rencana tanggap insiden, serta sertifikasi keamanan resmi.

Kepatuhan dan Keselarasan Peraturan
SYNTHIA^® sesuai dengan ISO 27001:2022 dan GDPR. Persyaratan kepatuhan lokal dilacak dan diadopsi sesuai kebutuhan. Platform ini tidak memproses data pembayaran dan tidak tunduk pada persyaratan PCI DSS.

Kesadaran dan Pelatihan Keamanan
Program kesadaran keamanan informasi dan privasi data tersedia untuk semua staf, termasuk pelatihan rekayasa sosial dan kebijakan meja yang jelas. Karyawan baru, kontraktor, dan pekerja sementara diwajibkan untuk menandatangani kode etik atau NDA, dan pemeriksaan latar belakang dilakukan.