Protección de datos y seguridad de la información en Twist

La protección de los datos de clientes y socios es una responsabilidad crucial y una prioridad absoluta en Twist. Nuestros clientes y socios nos confían información confidencial que podría convertirse en la base de su propiedad intelectual. Para Twist, la protección de los datos cruciales de los clientes implica la implementación de rigurosas medidas de seguridad para salvaguardar la información sensible y confidencial frente a accesos no autorizados, infracciones y amenazas cibernéticas, así como el uso de cifrado, sistemas de almacenamiento seguro y estrictos controles de acceso. Hemos establecido políticas transparentes de tratamiento de datos, formamos periódicamente a nuestros empleados en las buenas prácticas de seguridad y nos mantenemos al día, incluso por delante, de las normativas nacionales e internacionales de protección de datos en vigor. Las auditorías de seguridad y las actualizaciones periódicas de los sistemas son esenciales para hacer frente a las vulnerabilidades emergentes. 

El programa de Seguridad de la información de Twist, al igual que nuestros programas de Calidad, Privacidad y Bioseguridad, se basa en las normas internacionales y los expertos en el campo lo supervisan y escudriñan de manera minuciosa y continua.

Twist cuenta con la certificación ISO 27001 conforme a la revisión más reciente de 2022 de la norma. Un organismo de certificación acreditado e independiente audita a Twist cada año para asegurarse de que todas las partes del programa de seguridad de la información (nuestro personal, nuestros procesos y nuestra tecnología) cumplen o superan la norma. Nuestro Consejo de administración supervisa todas las iniciativas al nivel más alto de la empresa.

Personas 

• Todos los empleados de la empresa reciben formación en nuestro programa de concienciación sobre ciberseguridad, que incluye la suplantación de identidad (phishing) y la ingeniería social. El programa incluye formación anual, pruebas trimestrales y campañas informativas semanales para mantener la seguridad digital muy presente en la conciencia de nuestro equipo.
• Verificamos los antecedentes de los empleados, delimitamos claramente las funciones y responsabilidades, aplicamos una estricta filosofía de mínimos privilegios que rige el control de acceso e incorporamos la segregación de funciones a nuestras políticas y operaciones.
•  Establecemos asociaciones con expertos en cumplimiento de normativas, probadores de penetración, equipos de centros de operaciones de seguridad, bufetes de abogados especializados en ciberseguridad, y organismos nacionales y mundiales como el Centro de seguridad de internet (CIS), MITRE, el Equipo de preparación para emergencias informáticas de Estados Unidos (US-CERT), la Agencia de ciberseguridad y seguridad de infraestructuras (CISA) y la Oficina federal de investigaciones (FBI).
• Nuestro Equipo de liderazgo ejecutivo (ELT), el Comité de auditoría (AC) y el Comité de aprobación de productos (PAC) reciben regularmente información sobre la postura de la empresa en materia de ciberseguridad y proporcionan orientación sobre la estrategia y las prioridades.
• El Consejo recibe semestralmente información sobre nuestro panorama y hoja de ruta en materia de ciberseguridad.

Proceso

• Auditorías anuales y renovación de la certificación ISO 27001 para garantizar que las prácticas de protección de datos cumplan la legislación aplicable y las mejores prácticas de ciberseguridad.
• Evaluación anual de riesgos realizada por el equipo de Seguridad de la información y promovida por el director de tecnologías de la información (CIO).
• Pruebas de penetración anuales realizadas por una agencia externa acreditada.
• Escaneo y mitigación continuos de vulnerabilidades tanto en nuestro código como en nuestros servicios.
• Revisiones trimestrales del control de acceso a todas las aplicaciones importantes.
• Políticas y procedimientos de respuesta a incidentes, continuidad de negocio y recuperación ante desastres para hacer frente a incidentes de ciberseguridad o desastres naturales.
• Gestión de la cadena de suministro con evaluaciones de seguridad de selección de proveedores y evaluaciones de proveedores.
• Política de privacidad de la empresa y prácticas de privacidad conforme a las leyes y normativas de protección de datos personales en vigor.

Tecnología

• Infraestructura de producción alojada en centros de datos auditados por los controles de organización y sistemas (SOC) de los servicios web de Amazon (AWS).
• Protección de puntos finales y seguridad de puertas de enlace basadas en inteligencia artificial (IA).
• Gestión del ciclo de vida de la identidad.
• Inicio de sesión único, autenticación multifactor y red privada virtual (VPN).
• Gestión de secretos y accesos privilegiados.
• Cifrado en reposo y en tránsito con un sistema de gestión del conocimiento (KMS).
• Tecnología de cortafuegos de última generación, redes segmentadas y autenticación basada en certificados.

Bioseguridad en Twist

Twist Bioscience es un proveedor líder de ADN sintético a escala global y está comprometido con la promoción de un uso responsable de sus productos. En este aspecto, la empresa ha invertido recursos significativos en el desarrollo y la mejora continuos de un programa de bioseguridad completo. Este programa de bioseguridad incluye la participación en iniciativas nacionales e internacionales para mejorar los algoritmos, los metadatos y las herramientas utilizados por los investigadores para evaluar los riesgos biológicos potenciales planteados por secuencias específicas de ADN y proteínas.

Twist entiende la importancia de avanzar en la bioseguridad como proveedores de tecnología básica y se esfuerza por contribuir a un entorno biotecnológico seguro. La empresa se ha comprometido y ha colaborado con gobiernos, instituciones académicas, organizaciones no gubernamentales internacionales y otros proveedores de síntesis de ADN para desarrollar un conjunto de buenas prácticas coherentes en materia de bioseguridad. A medida que el campo de la biología sintética y la biotecnología siguen evolucionando, Twist sigue participando activamente en la redacción del manual de bioseguridad para garantizar que se apliquen las salvaguardias adecuadas.

Reglamentos nacionales e internacionales

Para cumplir con todos los reglamentos y las directrices del gobierno estadounidense, Twist Bioscience implanta estrictas medidas de cribado de control de las exportaciones y bioseguridad con el fin de garantizar que todas las disposiciones se cumplan de forma adecuada. Estas medidas incluyen el cumplimiento de las directrices del marco de cribado para proveedores y usuarios de ácidos nucleicos sintéticos publicadas en 2023 por el gobierno estadounidense y el protocolo armonizado de cribado establecido por el consorcio internacional de síntesis de genes. El programa federal estadounidense de agentes selectos (FSAP) es el principal marco regulador del control de ciertas secuencias de ADN sintético en los Estados Unidos. Asimismo, como Twist Bioscience fabrica todos sus productos en los EE. UU. (Wilsonville, Oregón, y sur de San Francisco, California), la venta de ADN sintético está sujeta al cumplimiento de los reglamentos de la administración de exportaciones (EAR) que gestiona el Ministerio de Comercio estadounidense y que dicta que ciertas secuencias de ácidos nucleicos podrían requerir una licencia antes de su exportación.

Mediante el seguimiento de estos marcos reguladores, Twist Bioscience garantiza que las secuencias de ADN que supongan un riesgo significativo en caso de mal uso no se sinteticen ni envíen a organizaciones que pudieran no usarlas con responsabilidad.

Cribado de secuencias y clientes

Para evitar la síntesis de secuencias potencialmente peligrosas, Twist Bioscience ha implementado un programa de examen exhaustivo. 

Todas las secuencias de ADN de doble cadena solicitadas se examinan para identificar si proceden de un organismo o toxina cuya posesión está controlada a nivel nacional o internacional. Estas toxinas u organismos controlados incluyen la viruela, cepas peligrosas de gripe aviar y otros patógenos que suponen una amenaza significativa para la salud animal, vegetal o humana. Las toxinas y los organismos controlados están muy regulados y su posesión está restringida.

Si se detecta una secuencia controlada (o una parte de ella) durante el cribado, Twist Bioscience se pone en contacto con el cliente para verificar su identidad y el uso que pretende dar a las secuencias, el historial de publicaciones sobre investigaciones similares y asegurarse de que se expiden las licencias necesarias antes del envío.

Además, Twist Bioscience utiliza varias listas gubernamentales, como la lista de nacionales especialmente designados del Ministerio de Hacienda de los EE. UU., la lista de partes denegadas del Ministerio de Asuntos Exteriores de los EE. UU y la lista de entidades del Ministerio de Comercio, para examinar a cada cliente, lo cual garantiza que el ADN sintético no se venda a personas u organizaciones potencialmente peligrosas. Además, Twist confirma la validez de cada organización a la que le vende y exige que los clientes se comprometan a no revender ADN sintético producido por Twist Bioscience a menos que hayan obtenido una licencia para hacerlo en virtud de un contrato específico. Twist Bioscience solo envía ADN sintético a direcciones comerciales válidas y no lo enviará a una dirección residencial o a un apartado de correos.

Personal

Twist Bioscience asigna recursos humanos para garantizar que sus empleados sigan todas las políticas y procedimientos parte de su programa de bioseguridad y para solucionar cualquier asunto que pueda surgir. Este equipo incluye un jefe de Conformidad Comercial, un jefe de Cribado y un equipo de Respuesta de Bioseguridad.

Informes

Twist Bioscience colabora con diferentes organizaciones gubernamentales y del sector para solucionar asuntos de bioseguridad. Estas organizaciones incluyen la Oficina federal de investigación (FBI), los Centros de control y prevención de enfermedades (CDC), el departamento de Industria y Seguridad del Ministerio de Comercio de los EE. UU. y el servicio de Inspección Sanitaria de Plantas y Animales del Ministerio de Agricultura de los EE. UU. Asimismo, Twist es un miembro del consorcio internacional de síntesis de genes (IGSC), que actualmente preside, un grupo comercial del sector formado por más de 25 de los mayores fabricantes de ADN sintético del mundo. Los miembros del IGSC pueden utilizar un mecanismo existente para notificarse entre sí los pedidos sospechosos recibidos para evitar que se encarguen secuencias peligrosas de ADN a otros proveedores.

Conservación de registros

En Twist Bioscience hemos implantado políticas internas que cumplen o superan las recomendaciones establecidas en las directrices del marco de cribado para proveedores y usuarios de ácidos nucleicos sintéticos publicadas en 2023 con respecto a la conservación de la documentación de cada cribado de bioseguridad de las secuencias de ADN solicitadas. Twist conserva esta documentación durante un período de al menos ocho años.

Equipo rojo

Twist Bioscience ha puesto a prueba la efectividad de su programa de bioseguridad contratando a consultores especializados para que intenten romper sus medidas de seguridad, una práctica que se conoce como “equipo rojo” en el campo de la ciberseguridad. Los consultores realizan pedidos reales cuya finalidad es engañar al proceso de cribado. A pesar de estos intentos, ninguno de los métodos de ofuscación de los expertos ha tenido éxito, lo que indica que el programa de bioseguridad implantado por Twist Bioscience es muy sólido.

Reconocemos que la bioseguridad es un campo en evolución constante y nos esforzamos por seguir el ritmo de las prácticas recomendadas y adaptarnos a lo que pueda surgir. Creemos que la investigación en el campo de la biociencia tiene el potencial de mejorar la sanidad pública y la preparación ante emergencias, y fomentamos una dirección flexible para asimilar la nueva información y las dinámicas cambiantes.

Con el fin de garantizar que nuestros protocolos de cribado cumplan o superen la prácticas recomendadas, nos asociamos de forma activa con los expertos líderes y participamos en programas, como la Intelligence Advanced Research Projects Activity Functional Genomic y el programa Computational Assessment of Threats program, y apoyamos la International Biosecurity & Biosafety Initiative for Science (IBBIS).

Aunque la implantación de estas políticas y procedimientos requiere invertir tiempo y recursos, seguimos comprometidos con el avance de la investigación científica en beneficio de la sociedad. La biología sintética tiene el potencial de mejorar la salud humana y el medio ambiente, y estamos orgullosos de proporcionar ADN sintético de alta calidad al tiempo que mantenemos un estricto cribado de bioseguridad que garantiza la seguridad pública.