TISAX - Setor Automotivo

TISAX: segurança da informação na indústria automotiva.

Na indústria automotiva, assim como em vários outros segmentos, fornecedores e prestadores de serviços lidam com muitas informações estratégicas e confidenciais de seus clientes, e por isso devem estar em conformidade com rigorosos requisitos de segurança. Pensando nisso, em 2017 a VDA (Associação Alemã da Indústria Automotiva) criou o TISAX (Trusted Information Security Assessment Exchange), um mecanismo de avaliação e intercâmbio de informações que permite comprovar que os fornecedores atendem aos requisitos de alta segurança para os dados fornecidos.

Aplicável principalmente a fornecedores de nível 1 e nível 2, mas também a cadeias de suprimentos mais complexas, a avaliação é um requisito de certos OEM (Original Equipment Manufacturer), fabricantes “originais” de equipamentos que fornecem para as grandes empresas, que por sua vez montam o produto final para o consumidor, e é reconhecida por todos os membros da VDA. 

O TISAX é, portanto, uma certificação composta pelos requisitos da VDA ISA (abreviatura de “Avaliação de Segurança da Informação”) derivada da norma internacional ISO/IEC 27001:2013 e adaptada ao setor automotivo. “Ela combina requisitos da VDA ISA com a ISO/IEC 27001 – Apêndice A (Technical Controls), bem como alguns requisitos de privacidade”, explica Manuela Petrich, especialista em Sistemas de Gestão da Quality Way.

A plataforma TISAX foi projetada para reunir as avaliações de segurança da informação das empresas da indústria automotiva, que podem compartilhar os resultados de suas avaliações online e permitem que as demais empresas verifiquem se um fornecedor já concluiu a avaliação com sucesso. Por meio da plataforma é possível, também, contratar provedores de auditoria para realizar uma avaliação. 

O sistema é operado pela Associação ENX (European Network Exchange), uma associação de fabricantes, fornecedores e organizações europeias de veículos, contratada pela VDA para conduzir as auditorias e que credencia os auditores e monitora a qualidade da implementação e resultados das avaliações.

TISAX x ISO 27001

Tanto o TISAX como a ISO 27001 certificam a segurança da informação. O TISAX se baseia em elementos chave da norma ISO/IEC 27001, mas se concentra nos elementos mais relevantes para a indústria automotiva. Veja as principais diferenças:

Gráfico Tisax

Quem já possui a certificação ISO 27001 pode precisar obter a TISAX também, pois são certificações distintas. Entretanto, se a empresa já possui essa ISO, conseguirá mais facilmente a certificação TISAX. Os dois padrões são compatíveis e podem funcionar juntos para ajudar a organização a melhorar os processos e os controles de segurança da informação.

Saiba mais sobre a ISO 27001 e a segurança da informação: https://www.qualityway.com.br/iso-27001-seguranca-da-informacao-e-lgpd/

Benefícios da Certificação

  • Reconhecimento mútuo das avaliações na rede TISAX economiza tempo e custos;
  • Acesso online ao portal;
  • Lista de provedores e fornecedores para escolher livremente;
  • Maior confiança em fornecedores de serviços certificados;
  • Evita a necessidade de várias verificações;
  • Menos mal-entendidos devido ao catálogo harmonizado de testes VDA-ISA;
  • Apenas uma avaliação a cada três anos.

O que é avaliado

O TISAX vai avaliar os seguintes aspectos na empresa:

  • Políticas de segurança da informação;
  • Dispositivos móveis e trabalho remoto;
  • Gestão de ativos;
  • Classificação da informação;
  • Tratamento de mídias;
  • Controles de acesso;
  • Criptografia;
  • Segurança física e do ambiente;
  • Proteção contra malware;
  • Registros e monitoramento;
  • Gestão de vulnerabilidades técnicas;
  • Gerenciamento da segurança em redes;
  • Segurança da informação na cadeia de suprimentos;
  • Gestão de incidentes de segurança da informação e melhorias;
  • Conformidade com requisitos legais e contratuais.

Manuela explica ainda que “a certificação é aplicável para as empresas do setor automotivo que precisam demonstrar, em intervalos regulares de três anos, que cumprem os critérios de segurança da informação exigidos pelos clientes. Portanto, a certificação tem validade de três anos, sem auditorias periódicas”.

Como funciona

O processo de avaliação é feito on-line, por meio do portal TISAX (https://enx.com/en-US/TISAX/). Começa com o registro no portal e a seleção de uma empresa de auditoria. A pesquisa pode ser feita na plataforma online, e a certificação poderá ser realizada somente por prestadores credenciados. 

Etapa 1: CLASSIFICAÇÃO
Os fornecedores são classificados por um OEM/cliente, dependendo da sensibilidade dos dados envolvidos. 

Etapa 2: CADASTRO
Cadastramento no ENX, incluindo seu número de escopo. 

Etapa 3: AVALIAÇÃO
O prestador credenciado realiza a avaliação de acordo com o nível solicitado. 

Etapa 4: RELATÓRIO
A empresa avaliada recebe o relatório dos auditores credenciados.

Etapa 5: ELIMINAÇÃO DE VULNERABILIDADES
A empresa avaliada elimina as vulnerabilidades identificadas. 

Etapa 6: COMPARTILHAMENTO
O relatório completo é carregado na plataforma, e o compartilhamento das informações é possível entre participantes inscritos e somente depois de a empresa avaliada ter divulgado o resultado à empresa que fez a solicitação. 

“A Quality Way pode ajudar a sua empresa na adequação aos requisitos exigidos pelo TISAX, que pode incluir a definição de processos, elaboração de documentação (políticas, procedimentos, instruções de trabalho e formulários), implantação, avaliação (auditoria interna) e manutenção do sistema de segurança da informação, entre outros aspectos”, afirma Manuela.

Saiba mais sobre a certificação TISAX: https://portal.enx.com/en-US/TISAX/

Assuntos Relacionados