Datenschutz und Informationssicherheit bei Twist

Der Schutz von Kunden- und Partnerdaten hat bei Twist als wesentliche Verantwortung höchste Priorität. Unsere Kunden und Partner geben uns Zugriff auf vertrauliche Informationen, die zur Grundlage ihres geistigen Eigentums werden könnten. Für Twist bedeutet der Schutz kritischer Kundendaten die Implementierung robuster Sicherheitsmaßnahmen zum Schutz sensibler und vertraulicher Informationen vor unbefugtem Zugriff, Verstößen und Cyber-Bedrohungen sowie die Verwendung von Verschlüsselung, sicheren Speichersystemen und strengen Zugangskontrollen. Wir haben klare Richtlinien für den Umgang mit Daten festgelegt, schulen unsere Mitarbeiter regelmäßig in bewährten Sicherheitspraktiken, halten die einschlägigen nationalen und internationalen Datenschutzvorschriften ein und sind ihnen sogar voraus. Regelmäßige Sicherheitsprüfungen und Systemaktualisierungen sind unerlässlich, um neu auftretende Schwachstellen zu beseitigen. 

Das Datensicherheitsprogramm von Twist basiert ebenso wie unsere Qualitäts-, Datenschutz- und Biosicherheitsprogramme auf der Grundlage internationaler Standards und wird von Experten auf diesem Gebiet überwacht und einer strengen und kontinuierlichen Prüfung unterzogen.

Twist ist nach der aktuellsten Revision 2022 der Norm ISO 27001 zertifiziert. Eine akkreditierte, unabhängige Zertifizierungsstelle prüft Twist jedes Jahr, um sicherzustellen, dass alle funktionierenden Teile des Informationssicherheitsprogramms – unsere Mitarbeiter, unsere Prozesse und unsere Technologie – die Norm erfüllen oder übertreffen. Unser Vorstand überwacht alle Bemühungen auf höchster Ebene des Unternehmens.

Mitarbeiter 

• Alle Mitarbeiter des Unternehmens werden in unserem Cybersecurity Awareness-Programm geschult, das auch Themen wie Phishing und Social Engineering umfasst. Das Programm umfasst jährliche Schulungen, vierteljährliche Tests und wöchentliche Informationskampagnen, um die digitale Sicherheit im Bewusstsein unseres Teams hochzuhalten.
• Wir überprüfen den Hintergrund unserer Mitarbeiter, legen Rollen und Zuständigkeiten klar fest, wenden eine strikte Philosophie der geringsten Privilegien bei der Zugangskontrolle an und integrieren eine Aufgabentrennung in unsere Richtlinien und Abläufe.
•  Wir gehen Partnerschaften mit Compliance-Experten, Penetrationstestern, Security-Operation-Center-Teams, auf Cybersicherheit spezialisierten Anwaltskanzleien sowie nationalen und globalen Behörden, darunter das Center for Internet Security (CIS), MITRE, das United States Computer Emergency Readiness Team (US-CERT), die Cybersecurity and Infrastructure Security Agency (CISA) und das Federal Bureau of Investigation (FBI), ein.
• Unser Executive Leadership Team (ELT), Audit Committee (AC) und Product Approval Committee (PAC) werden alle regelmäßig über die Cybersicherheitslage des Unternehmens informiert und geben Hinweise zu Strategie und Prioritäten.
• Der Vorstand wird halbjährlich über unsere Cybersicherheitslandschaft und unsere Roadmap unterrichtet und über den Stand der Dinge informiert.

Prozess

• Jährliche Audits und Neuzertifizierung nach ISO 27001, um sicherzustellen, dass die Datenschutzpraktiken den geltenden Gesetzen und Best Practices für Cybersicherheit entsprechen.
• Jährliche Risikobewertung durch das Informationssicherheitsteam unter der Schirmherrschaft des CIO.
• Jährliche Penetrationsprüfungen durch eine akkreditierte Drittagentur.
• Kontinuierliches Prüfen auf und Beheben von Schwachstellen sowohl in unserem Code als auch bei unseren Diensten.
• Vierteljährliche Überprüfung der Zugangskontrolle für alle wichtigen Anwendungen.
• Richtlinien und Verfahren für Reaktionen auf Vorfälle, Geschäftskontinuität und Notfallwiederherstellung zur Bewältigung von Cybersicherheitsvorfällen oder Naturkatastrophen.
• Supply-Chain-Management mit Lieferantenauswahl-Sicherheitsbewertungen und Lieferantenbewertungen.
• Datenschutzpolitik und -praktiken des Unternehmens, die mit den geltenden Gesetzen und Vorschriften zum Schutz personenbezogener Daten in Einklang stehen.

Technologie

• In AWS SOC-geprüften Rechenzentren untergebrachte Produktionsinfrastruktur.
• KI-gesteuerter Endpunktschutz und Gateway-Sicherheit.
• Verwaltung des Identitätslebenszyklus.
• Einmaliges Anmelden, Multi-Faktor-Authentifizierung und VPN.
• Verwaltung von Geheimnissen und privilegierten Zugängen.
• Verschlüsselung im Ruhezustand und während des Transports mit KMS.
• Firewall-Technologie der nächsten Generation, segmentierte Netzwerke und zertifikatsbasierte Authentifizierung.

Biosicherheit bei Twist

Twist ist ein führender Anbieter von synthetischer DNA auf globaler Ebene und setzt sich für einen verantwortungsvollen Umgang mit seinen Produkten ein. Zu diesem Zweck hat das Unternehmen erhebliche Ressourcen in die Entwicklung und kontinuierliche Verbesserung eines umfassenden Biosicherheitsprogramms investiert. Dieses Programm umfasst die Teilnahme an nationalen und internationalen Initiativen zur Verbesserung von Algorithmen, Metadaten und Tools, die von Forschern zur Bewertung potenzieller biologischer Risiken verwendet werden, die von bestimmten DNA- und Proteinsequenzen ausgehen.

Als wichtiger Technologieanbieter ist sich Twist der Bedeutung einer verbesserten Biosicherheit bewusst und ist bestrebt, zu einer sicheren Biotechnologieumgebung beizutragen. Das Unternehmen arbeitet mit Regierungen, akademischen Institutionen, internationalen Nichtregierungsorganisationen und anderen DNA-Synthese-Anbietern zusammen, um eine Reihe konsistenter Best Practices für die Biosicherheit zu entwickeln. Während sich die Bereiche Biotechnologie und synthetische Biologie weiterentwickeln, arbeitet Twist weiterhin aktiv an der Erstellung des Biosicherheitsleitfadens, um sicherzustellen, dass geeignete Schutzmaßnahmen vorhanden sind.

Nationale und internationale Vorschriften

Um alle Richtlinien und Vorschriften der US-Regierung einzuhalten, führt Twist strenge Maßnahmen zur Biosicherheit und Exportkontrolle durch, um sicherzustellen, dass alle Aufträge ordnungsgemäß ausgeführt werden. Zu diesen Maßnahmen gehört die Einhaltung des Screening Framework Guidance for Providers and Users of Synthetic Nucleic Acids, das 2023 von der US-Regierung veröffentlicht wurde, und des Harmonisierten Screening-Protokolls, das vom International Gene Synthesis Consortium erstellt wurde. Das U.S. Federal Select Agent Program (FSAP) ist der wichtigste Rechtsrahmen für die Kontrolle bestimmter synthetischer DNA-Sequenzen in den Vereinigten Staaten. Da Twist alle Produkte in den USA (Wilsonville, OR, und South San Francisco, CA) herstellt, unterliegt der Verkauf synthetischer DNA außerdem den vom US-Handelsministerium verwalteten Export Administration Regulations (EAR), die vorschreiben, dass für bestimmte Nukleinsäuresequenzen vor dem Export eine Lizenz eingeholt werden muss.

Durch die Einhaltung dieser Vorschriften stellt Twist sicher, dass DNA-Sequenzen, die im Falle eines Missbrauchs ein erhebliches Risiko darstellen, nicht synthetisiert oder an Organisationen geliefert werden, die sie möglicherweise nicht verantwortungsvoll verwenden.

Überprüfung von Sequenzen und Kunden

Um die Synthese potenziell gefährlicher Sequenzen zu vermeiden, hat Twist ein umfassendes Screening-Programm implementiert. 

Alle bestellten doppelsträngigen DNA-Sequenzen werden daraufhin untersucht, ob sie von einem Organismus oder Toxin stammen, dessen Besitz im In- oder Ausland kontrolliert wird. Zu diesen kontrollierten Organismen oder Toxinen gehören Variola (was Pocken verursacht), gefährliche Stämme der Vogelgrippe und andere Krankheitserreger, die eine erhebliche Gefahr für die Gesundheit von Tieren, Pflanzen oder Menschen darstellen. Kontrollierte Organismen und Toxine unterliegen strengen Vorschriften, und ihr Besitz ist eingeschränkt.

Wenn beim Screening eine kontrollierte Sequenz (oder ein Teil davon) entdeckt wird, kontaktiert Twist den Kunden, um die Identität des Kunden, seinen Verwendungszweck für die Sequenzen und frühere Veröffentlichungsaufzeichnungen zu ähnlichen Forschungsarbeiten zu überprüfen und sicherzustellen, dass alle erforderlichen Lizenzen vor dem Versand ausgestellt werden.

Darüber hinaus verwendet Twist verschiedene behördliche Listen, wie z. B. die Specially Designated Nationals List des US-Finanzministeriums, die Denied Parties List des US-Außenministeriums und die Entity List des US-Handelsministeriums, um jeden Kunden zu überprüfen und sicherzustellen, dass synthetische DNA nicht an potenziell gefährliche Einzelpersonen oder Organisationen verkauft wird. Darüber hinaus bestätigt Twist die Gültigkeit jeder Organisation, an die Twist verkauft, und verlangt, dass Kunden zustimmen, von Twist hergestellte synthetische DNA nicht weiterzuverkaufen, es sei denn, sie wurden im Rahmen eines bestimmten Vertrags dazu lizenziert. Twist versendet synthetische DNA nur an gültige gewerbliche Adressen und nicht an Privatadressen oder Postfächer.

Stellenbesetzung

Twist setzt Personalressourcen ein, um sicherzustellen, dass seine Mitarbeiter alle Richtlinien und Verfahren einhalten, die Teil seines Biosicherheitsprogramms sind, und um auf etwaige Bedenken einzugehen. Zu diesem Team gehören ein Trade Compliance Manager, ein Screening Manager und ein Biosecurity Response Team.

Meldung

Twist arbeitet mit verschiedenen Regierungs- und Industrieorganisationen zusammen, um Belange der Biosicherheit zu adressieren. Zu diesen Organisationen gehören das Federal Bureau of Investigation (FBI), die Centers for Disease Control and Prevention (CDC), das U.S. Commerce Department Bureau of Industry and Security und der Animal and Plant Health Inspection Service des US-Agrarministeriums. Darüber hinaus ist Twist Mitglied des International Gene Synthesis Consortium (IGSC), einer Industriehandelsgruppe, die aus mehr als 25 der weltweit größten Hersteller synthetischer DNA besteht, und hat derzeit den Vorsitz inne. Die IGSC-Mitglieder können einen bestehenden Mechanismus nutzen, um sich gegenseitig über verdächtige Bestellungen zu informieren und so die Bestellung gefährlicher DNA-Sequenzen bei anderen Anbietern zu verhindern.

Dokumentation und Aufbewahrung

Bei Twist haben wir interne Richtlinien eingeführt, die den Empfehlungen des U.S. Department of Health & Human Services Screening Framework Guidance of Providers and Users of Synthetic Nucleic Acids 2023 in Bezug auf die Aufbewahrung der Dokumentation für jedes Biosicherheitsscreening einer bestellten DNA-Sequenz entsprechen oder diese sogar übertreffen. Twist bewahrt diese Dokumentation für einen Zeitraum von mindestens acht Jahren auf.

Red Teaming

Twist hat die Effektivität seines Biosicherheitsprogramms überprüft, indem es erfahrene Berater engagiert hat, die versuchen sollten, die Sicherheitsmaßnahmen zu überwinden – eine Praxis, die in der Cybersicherheit allgemein als Red Teaming bekannt ist. Die Berater erteilen dabei echte Aufträge, die den Screening-Prozess täuschen sollen. Trotz aller Täuschungsversuche ist keine der Verschleierungsmethoden der Experten erfolgreich gewesen, was darauf hindeutet, dass das von Twist implementierte Biosicherheitsprogramm äußerst robust ist.

Wir sind uns bewusst, dass die Biosicherheit ein sich ständig weiterentwickelnder Bereich ist, und wir bemühen uns, mit den besten Praktiken Schritt zu halten und uns auf neu auftretende Probleme einzustellen. Wir glauben, dass die biowissenschaftliche Forschung das Potenzial hat, die öffentliche Gesundheit und die Notfallvorsorge zu verbessern, und wir befürworten eine flexible Verwaltung, um neue Informationen und eine sich verändernde Dynamik zu berücksichtigen.

Um sicherzustellen, dass unsere Screening-Protokolle den besten Praktiken entsprechen oder diese sogar übertreffen, arbeiten wir aktiv mit führenden Experten zusammen und nehmen an Programmen teil, wie dem Intelligence Advanced Research Projects Activity Functional Genomic and Computational Assessment of Threats Programm, und unterstützen die International Biosecurity & Biosafety Initiative for Science (IBBIS).

Die Umsetzung dieser Richtlinien und Verfahren erfordert zwar einen hohen Zeit- und Ressourcenaufwand, aber wir bleiben dem Ziel verpflichtet, die wissenschaftliche Forschung zum Nutzen der Gesellschaft voranzutreiben. Die synthetische Biologie hat das Potenzial, die menschliche Gesundheit und die Umwelt zu verbessern. Wir sind stolz darauf, qualitativ hochwertige synthetische DNA zu liefern und gleichzeitig disziplinierte Biosicherheits-Screenings durchzuführen, die die öffentliche Sicherheit gewährleisten.