SYNTHIA^® è un Software di retrosintesi basato su cloud sviluppato e commercializzato da Merck KGaA, Darmstadt, Germania, e dalle sue affiliate. La piattaforma è progettata per consentire ai chimici di pianificare in modo efficiente le vie sintetiche per molecole nuove e già pubblicate. La sicurezza e la protezione dei dati sono fondamentali per SYNTHIA^®, come dimostra la certificazione ISO 27001:2022 e le valutazioni di cybersecurity di alto livello. Questo documento fornisce una Panoramica delle misure di sicurezza, delle certificazioni e delle pratiche in atto per SYNTHIA^®, facendo riferimento solo alle fonti allegate e pubblicate ufficialmente.

 

Panoramica del quadro di sicurezza

Una panoramica dei domini e delle pratiche di sicurezza principali tra governance, infrastruttura, conformità e gestione del rischio.
 

Governance della sicurezza delle informazioni

Certificazione ISO 27001

SYNTHIA^® è certificata secondo lo standard ISO/IEC 27001:2022 per i sistemi di gestione della sicurezza delle informazioni (ISMS). Questa certificazione copre lo sviluppo e la commercializzazione di SYNTHIA^® e di altre soluzioni digitali, garantendo un approccio sistematico alla gestione delle informazioni sensibili e alla mitigazione dei rischi. La certificazione è allegata.

Per saperne di più
 

CyberVadis Platinum Rating
Nel 2025, Merck ha ricevuto la medaglia di platino da CyberVadis per le eccezionali prestazioni di cybersecurity, che riflettono controlli di sicurezza maturi e completi in materia di privacy dei dati, protezione dei dati, continuità operativa e gestione delle terze parti.

Per saperne di più


Privacy e conformità dei dati

È in vigore una politica formale di protezione dei dati e la funzione di protezione dei dati è responsabile della protezione dei dati personali (PII). Sono stati identificati i periodi di conservazione dei dati personali e sono state formalizzate le procedure di cancellazione, modifica e portabilità. Tutti i trattamenti dei dati personali sono leciti e i contratti contengono le necessarie clausole sulla privacy. L'organizzazione è conforme al GDPR e alle altre normative applicabili in materia di privacy dei dati e dispone di processi di notifica ai singoli e alle autorità di regolamentazione in caso di violazione dei dati.


Sicurezza delle applicazioni e delle infrastrutture

Ciclo di vita di sviluppo sicuro
SYNTHIA^® segue un ciclo di vita di sviluppo sicuro del software (SSDLC), che comprende test statici e dinamici di sicurezza delle applicazioni (SAST/DAST), gestione delle vulnerabilità e revisione del codice. I test di penetrazione e l'analisi delle vulnerabilità vengono condotti almeno annualmente, con un'integrazione continua dei test di sicurezza nella pipeline di sviluppo. La modellazione delle minacce e le revisioni dell'architettura vengono eseguite regolarmente.

Crittografia
I dati vengono crittografati in transito utilizzando HTTPS (TLS v2) e a riposo utilizzando la crittografia gestita dal cloud. Le chiavi di crittografia sono gestite tramite un sistema di gestione delle chiavi (KMS). Tutte le password sono memorizzate in forma salata e con hash.

Controllo degli accessi
Viene applicato un controllo degli accessi basato sui ruoli (RBAC), con autenticazione a più fattori (MFA) per l'accesso degli utenti. I diritti di accesso vengono rivisti periodicamente e per tutti gli utenti viene applicato il principio del minimo privilegio. È prevista la segregazione dei compiti e account separati per le attività amministrative. Registrazione, monitoraggio e risposta agli incidenti Gli eventi e gli incidenti di sicurezza sono gestiti secondo un processo formalizzato, con registri protetti da manomissioni e accessi non autorizzati. Sicurezza della rete e degli endpoint SYNTHIA^® è protetto da firewall per applicazioni Web (WAF), sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS) e meccanismi di prevenzione della perdita di dati (DLP). La protezione DDoS (Distributed Denial of Service) è implementata a livello di infrastruttura. Le postazioni di lavoro e i supporti di archiviazione aziendali sono crittografati, sottoposti a patch regolari e protetti da accessi non autorizzati e malware.

Registrazione, monitoraggio e risposta agli incidenti
Gli eventi e gli incidenti di sicurezza sono gestiti secondo un processo formalizzato, con registri protetti da manomissioni e accessi non autorizzati.

Sicurezza della rete e degli endpoint
SYNTHIA^® è protetta da firewall per applicazioni Web (WAF), sistemi di rilevamento/prevenzione delle intrusioni (IDS/IPS) e meccanismi di prevenzione della perdita di dati (DLP). 
La protezione DDoS (Distributed Denial of Service) è implementata a livello di infrastruttura. 
Le workstation e i supporti di archiviazione aziendali sono crittografati, patchati regolarmente e protetti da accessi non autorizzati e malware.

Infrastruttura cloud
SYNTHIA^® è ospitata su Amazon Web Services (AWS), che viene regolarmente sottoposta a controlli di conformità ISO 9001, 27001, 27018 e SOC2. La piattaforma segue le best practice dell'AWS Well-Architected Framework, tra cui subnetting privato, gestione delle chiavi e monitoraggio continuo. La configurazione sicura, il firewall e la protezione da malware sono implementati sia a livello di applicazione che di infrastruttura.

Continuità aziendale e disaster recovery
I piani di gestione della continuità aziendale e di disaster recovery sono formalizzati e testati periodicamente. I backup dei dati sono criptati ed eseguiti quotidianamente.

Sicurezza delle terze parti e della catena di fornitura
L'accesso delle terze parti è limitato a sistemi specifici ed è regolato da contratti che includono requisiti di sicurezza, NDA e diritti di revisione. Vengono condotte valutazioni del rischio da parte di terzi e i fornitori di cloud devono dimostrare di avere piani di continuità operativa e di risposta agli incidenti, nonché certificazioni ufficiali di sicurezza.

Sicurezza delle terze parti e della catena di fornitura
L'accesso delle terze parti è limitato a sistemi specifici ed è regolato da contratti che includono requisiti di sicurezza, NDA e diritti di revisione. Vengono condotte valutazioni del rischio di terze parti e i fornitori di cloud devono dimostrare di avere piani di continuità operativa e di risposta agli incidenti, oltre a certificazioni ufficiali di sicurezza.

Conformità e allineamento normativo
SYNTHIA^® è conforme alla norma ISO 27001:2022 e al GDPR. I requisiti di conformità locali vengono monitorati e adottati secondo le necessità. La piattaforma non elabora dati di pagamento e non è soggetta ai requisiti PCI DSS.

Sensibilizzazione e formazione sulla sicurezza
Per tutto il personale sono in atto programmi di sensibilizzazione sulla sicurezza delle informazioni e sulla privacy dei dati, compresa la formazione sull'ingegneria sociale e una politica di clear desk. I nuovi assunti, gli appaltatori e i lavoratori temporanei sono tenuti a firmare un codice etico o un NDA e vengono effettuati controlli sui precedenti.