SYNTHIA^® to oparte na chmurze Oprogramowanie do retrosyntezy opracowane i komercjalizowane przez firmę Merck KGaA, Darmstadt, Niemcy i jej podmioty stowarzyszone. Platforma została zaprojektowana, aby umożliwić chemikom efektywne planowanie ścieżek syntezy zarówno dla nowych, jak i opublikowanych cząsteczek. Bezpieczeństwo i ochrona danych mają fundamentalne znaczenie dla SYNTHIA^®, o czym świadczy certyfikat ISO 27001:2022 i najwyższe oceny cyberbezpieczeństwa. Niniejszy dokument zawiera rzeczowy przegląd środków bezpieczeństwa, certyfikatów i praktyk stosowanych w SYNTHIA^®, odwołując się wyłącznie do załączonych i oficjalnie opublikowanych źródeł.

Przegląd ram bezpieczeństwa

Zarys podstawowych domen i praktyk bezpieczeństwa w zakresie zarządzania, infrastruktury, zgodności i zarządzania ryzykiem.
 

Zarządzanie bezpieczeństwem informacji

Certyfikat ISO 27001

SYNTHIA^® posiada certyfikat zgodności z normą ISO/IEC 27001:2022 dotyczącą systemów zarządzania bezpieczeństwem informacji (ISMS). Certyfikacja ta obejmuje rozwój i komercjalizację SYNTHIA^® i innych rozwiązań cyfrowych, zapewniając systematyczne podejście do zarządzania wrażliwymi informacjami i ograniczania ryzyka. Certyfikat jest załączony.

Czytaj więcej
 

Platynowa ocena CyberVadis
W 2025 r. firma Merck otrzymała platynowy medal od CyberVadis za wyjątkową wydajność w zakresie cyberbezpieczeństwa, odzwierciedlającą dojrzałe i kompleksowe kontrole bezpieczeństwa w zakresie prywatności danych, ochrony danych, ciągłości działania i zarządzania stronami trzecimi.

Czytaj więcej


Prywatność danych i zgodność z przepisami

Istnieje formalna polityka ochrony danych, a funkcja ochrony danych jest odpowiedzialna za ochronę danych osobowych (PII). Okresy przechowywania danych osobowych są określone, a procedury usuwania, modyfikacji i przenoszenia danych są sformalizowane. Wszelkie przetwarzanie danych osobowych jest zgodne z prawem, a niezbędne klauzule dotyczące prywatności danych są zawarte w umowach. Organizacja przestrzega RODO i innych obowiązujących przepisów dotyczących prywatności danych oraz posiada procesy powiadamiania osób fizycznych i organów regulacyjnych w przypadku naruszenia danych.


Bezpieczeństwo aplikacji i infrastruktury

Secure Development Lifecycle
SYNTHIA^® przestrzega bezpiecznego cyklu życia oprogramowania (SSDLC), w tym statycznych i dynamicznych testów bezpieczeństwa aplikacji (SAST/DAST), zarządzania podatnościami i przeglądów kodu. Testy penetracyjne i analiza podatności są przeprowadzane co najmniej raz w roku, z ciągłą integracją testów bezpieczeństwa w procesie rozwoju. Modelowanie zagrożeń i przeglądy architektury są przeprowadzane regularnie.

Szyfrowanie
Dane są szyfrowane podczas przesyłania przy użyciu protokołu HTTPS (TLS v2) oraz w spoczynku przy użyciu szyfrowania zarządzanego w chmurze. Klucze szyfrowania są zarządzane za pośrednictwem systemu zarządzania kluczami (KMS). Wszystkie hasła są przechowywane w postaci zasolonej i zaszyfrowanej.

Kontrola dostępu
Kontrola dostępu oparta na rolach (RBAC) jest egzekwowana, z uwierzytelnianiem wieloskładnikowym (MFA) do logowania się użytkowników. Prawa dostępu są okresowo weryfikowane, a zasada najmniejszych uprawnień jest wdrażana dla wszystkich użytkowników. Wdrożono podział obowiązków i oddzielne konta do zadań administracyjnych. Rejestrowanie, monitorowanie i reagowanie na zdarzenia Wydarzenia i incydenty związane z bezpieczeństwem są zarządzane zgodnie ze sformalizowanym procesem, a dzienniki są chronione przed manipulacją i nieautoryzowanym dostępem. Bezpieczeństwo sieci i punktów końcowych SYNTHIA^® jest chroniona przez zapory sieciowe (WAF), systemy wykrywania i zapobiegania włamaniom (IDS/IPS) oraz mechanizmy zapobiegania utracie danych (DLP). Ochrona przed Distributed Denial of Service (DDoS) jest wdrażana na poziomie infrastruktury. Stacje robocze i firmowe nośniki danych są szyfrowane, regularnie łatane i chronione przed nieautoryzowanym dostępem i złośliwym oprogramowaniem.

Rejestrowanie, monitorowanie i reagowanie na incydenty
Wydarzenia i incydenty związane z bezpieczeństwem są zarządzane zgodnie ze sformalizowanym procesem, a dzienniki są chronione przed manipulacją i nieautoryzowanym dostępem.

Bezpieczeństwo sieci i punktów końcowych
SYNTHIA^® jest chroniona przez zapory sieciowe (WAF), systemy wykrywania i zapobiegania włamaniom (IDS/IPS) oraz mechanizmy zapobiegania utracie danych (DLP). 
Ochrona przed atakami DDoS (Distributed Denial of Service) jest zaimplementowana na poziomie infrastruktury. 
Stacje robocze i korporacyjne nośniki danych są szyfrowane, regularnie łatane i chronione przed nieautoryzowanym dostępem i złośliwym oprogramowaniem.

Infrastruktura chmury
SYNTHIA^® jest hostowana w Amazon Web Services (AWS), który jest regularnie audytowany pod kątem zgodności z normami ISO 9001, 27001, 27018 i SOC2. Platforma jest zgodna z najlepszymi praktykami AWS Well-Architected Framework, w tym prywatną podsiecią, zarządzaniem kluczami i ciągłym monitorowaniem. Bezpieczna konfiguracja, zapora sieciowa i ochrona przed złośliwym oprogramowaniem są wdrażane zarówno na poziomie aplikacji, jak i infrastruktury.

Ciągłość działania i odzyskiwanie poawarii
Zarządzanie ciągłością działania i plany odzyskiwania po awarii są sformalizowane i okresowo testowane. Kopie zapasowe danych są szyfrowane i wykonywane codziennie.

Bezpieczeństwo stron trzecich i łańcucha dostaw
Dostęp stron trzecich jest ograniczony do określonych systemów i jest regulowany umowami, które obejmują wymogi bezpieczeństwa, umowy o zachowaniu poufności i prawa do audytu. Przeprowadzane są oceny ryzyka stron trzecich, a dostawcy usług w chmurze muszą przedstawić dowody ciągłości działania i plany reagowania na incydenty, a także oficjalne certyfikaty bezpieczeństwa.

Bezpieczeństwo stron trzecich i łańcucha dostaw
Dostęp stron trzecich jest ograniczony do określonych systemów i jest regulowany umowami, które obejmują wymogi bezpieczeństwa, umowy o zachowaniu poufności i prawa do audytu. Przeprowadzane są oceny ryzyka stron trzecich, a dostawcy usług w chmurze muszą przedstawić dowody ciągłości działania i plany reagowania na incydenty, a także oficjalne certyfikaty bezpieczeństwa.

Zgodność z przepisami
SYNTHIA^® jest zgodna z normami ISO 27001:2022 i RODO. Lokalne wymagania dotyczące zgodności są śledzone i przyjmowane w razie potrzeby. Platforma nie przetwarza danych płatniczych i nie podlega wymogom PCI DSS.

Świadomość i szkolenia w zakresie bezpieczeństwa
Wszyscy pracownicy są objęci programami uświadamiającymi w zakresie bezpieczeństwa informacji i prywatności danych, w tym szkoleniami z zakresu inżynierii społecznej i polityką przejrzystego biurka. Nowi pracownicy, wykonawcy i pracownicy tymczasowi są zobowiązani do podpisania kodeksu etycznego lub umowy o zachowaniu poufności, a także przeprowadzane są kontrole przeszłości.