SYNTHIA^® é uma solução de software de retrossíntese SYNTHIA^® baseada na nuvem, desenvolvida e comercializada pela Merck KGaA, Darmstadt, Alemanha, e suas afiliadas. A plataforma foi concebida para permitir que os químicos planeiem com Eficiência Rotas sintéticas para moléculas novas e publicadas. A segurança e a proteção de dados são fundamentais para o SYNTHIA^®, como evidenciado pela sua Certificação ISO 27001:2022 e classificações de segurança cibernética de alto nível. Este documento fornece uma Visão Geral factual das medidas de segurança, certificações e práticas em vigor para o SYNTHIA^®, referenciando apenas as fontes anexas e oficialmente publicadas.

 

Visão geral da estrutura de segurança

Uma descrição dos principais domínios e práticas de segurança em termos de governação, infraestrutura, conformidade e gestão de riscos.
 

Governação da segurança da informação

Certificação ISO 27001

A SYNTHIA^® está certificada de acordo com a norma ISO/IEC 27001:2022 para Sistemas de Gestão de Segurança da Informação (ISMS). Esta certificação abrange o desenvolvimento e a comercialização do SYNTHIA^® e de outras soluções digitais, garantindo uma abordagem sistemática à gestão de informações sensíveis e à redução dos riscos. A certificação está anexada.

Ler mais
 

CyberVadis Platinum Rating
Em 2025, a Merck recebeu uma medalha de Platina da CyberVadis pelo seu excelente desempenho em cibersegurança, reflectindo controlos de segurança maduros e abrangentes em termos de privacidade de dados, proteção de dados, continuidade de negócio e gestão de terceiros.

Ler mais


Privacidade de Dados e Conformidade

Existe uma política formal de proteção de dados e a Função de Proteção de Dados é responsável pela proteção de dados pessoais (PII). Os períodos de retenção dos dados pessoais são identificados e os procedimentos de eliminação, modificação e portabilidade são formalizados. Todo o processamento de dados pessoais é legal e as cláusulas de privacidade de dados necessárias são incluídas nos contratos. A organização cumpre o RGPD e outros regulamentos de privacidade de dados aplicáveis e dispõe de processos para notificar os indivíduos e as entidades reguladoras em caso de violação de dados.


Segurança de aplicações e infra-estruturas

Ciclo de vida de desenvolvimento seguro
SYNTHIA^® segue um ciclo de vida de desenvolvimento de software seguro (SSDLC), incluindo testes de segurança de aplicações estáticos e dinâmicos (SAST/DAST), gestão de vulnerabilidades e revisões de código. Os testes de penetração e a análise de vulnerabilidades são realizados pelo menos anualmente, com integração contínua de testes de segurança no pipeline de desenvolvimento. A modelação de ameaças e as revisões de arquitetura são realizadas regularmente.

Encriptação
Os dados são encriptados em trânsito utilizando HTTPS (TLS v2) e em repouso utilizando encriptação gerida na nuvem. As chaves de encriptação são geridas através de um sistema de gestão de chaves (KMS). Todas as palavras-passe são armazenadas de forma salgada e com hash.

Controlo de acesso
É aplicado um controlo de acesso baseado em funções (RBAC), com autenticação multifactor (MFA) para o início de sessão do utilizador. Os direitos de acesso são revistos periodicamente e o princípio do menor privilégio é aplicado a todos os utilizadores. A segregação de funções e as contas separadas para tarefas administrativas estão em vigor. Registo, monitorização e resposta a incidentes Os Eventos e incidentes de segurança são geridos de acordo com um processo formalizado, com registos protegidos contra adulteração e acesso não autorizado. Segurança da rede e dos terminais O SYNTHIA^® está protegido por Firewalls de Aplicações Web (WAF), sistemas de deteção/prevenção de intrusões (IDS/IPS) e mecanismos de prevenção de perda de dados (DLP). A proteção contra a negação de serviço distribuída (DDoS) é implementada ao nível da infraestrutura. As estações de trabalho e os suportes de armazenamento empresariais são encriptados, corrigidos regularmente e protegidos contra acesso não autorizado e malware.

Registo, monitorização e resposta a incidentes
Os Eventos e incidentes de segurança são geridos de acordo com um processo formalizado, com registos protegidos contra adulteração e acesso não autorizado.

Segurança da rede e dos pontos terminais
A SYNTHIA^® está protegida por Firewalls de Aplicações Web (WAF), sistemas de deteção/prevenção de intrusões (IDS/IPS) e mecanismos de prevenção de perda de dados (DLP). 
A proteção contra a negação de serviços distribuídos (DDoS) está implementada ao nível da infraestrutura. 
As estações de trabalho e os suportes de armazenamento empresariais são encriptados, corrigidos regularmente e protegidos contra o acesso não autorizado e malware.

Infraestrutura de nuvem
O SYNTHIA^® está alojado na Amazon Web Services (AWS), que é regularmente auditada em termos de conformidade com as normas ISO 9001, 27001, 27018 e SOC2. A plataforma segue as melhores práticas do AWS Well-Architected Framework, incluindo sub-rede privada, gestão de chaves e monitorização contínua. A configuração segura, a firewall e a proteção contra malware são implementadas ao nível da aplicação e da infraestrutura.

Continuidade do negócio e recuperação de desastres
A gestão da continuidade do negócio e os planos de recuperação de desastres são formalizados e testados periodicamente. As cópias de segurança de dados são encriptadas e efectuadas diariamente.

Segurança de terceiros e da cadeia de suprimentos
O acesso de terceiros é restrito a sistemas específicos e é regido por contratos que incluem requisitos de segurança, NDAs e direitos de auditoria. São efectuadas avaliações de risco por terceiros e os fornecedores de serviços em nuvem devem apresentar provas de continuidade do negócio e planos de resposta a incidentes, bem como certificações de segurança oficiais.

Segurança de terceiros e da cadeia de suprimentos
O acesso de terceiros é restrito a sistemas específicos e é regido por contratos que incluem requisitos de segurança, NDAs e direitos de auditoria. São efectuadas avaliações de risco por terceiros e os fornecedores de serviços em nuvem têm de apresentar provas de continuidade do negócio e planos de resposta a incidentes, bem como certificações de segurança oficiais.

Conformidade e alinhamento regulamentar
SYNTHIA^® está em conformidade com a ISO 27001:2022 e o GDPR. Os requisitos de conformidade locais são monitorizados e adoptados conforme necessário. A plataforma não processa dados de pagamento e não está sujeita aos requisitos do PCI DSS.

Sensibilização para a segurança e formação
Estão em vigor programas de sensibilização para a segurança da informação e a privacidade dos dados para todos os funcionários, incluindo formação em engenharia social e uma política de secretária clara. As novas contratações, os contratantes e os trabalhadores temporários são obrigados a assinar um código de ética ou um NDA, e são efectuadas verificações de antecedentes.