12 de julio de 2026 • Ciberseguridad
Si eres proveedor de la industria automovilística, tarde o temprano algún cliente te preguntará por TISAX. Fabricantes como Volkswagen, BMW y Mercedes-Benz solo comparten información confidencial —desde datos de prototipos hasta datos de clientes— con proveedores y prestadores de servicios que hayan demostrado su seguridad de la información. TISAX, abreviatura de «Trusted Information Security Assessment Exchange», es la norma que utilizan para acreditarlo.
En este artículo explicamos qué es lo que realmente certifica la etiqueta TISAX, los requisitos que se evalúan en 10 ámbitos, por qué la norma va mucho más allá de los proveedores directos y en qué se diferencia TISAX de la norma ISO 27001.
¿Qué es la certificación TISAX?
En sentido estricto, TISAX no es una certificación. No se obtiene un certificado, sino una etiqueta TISAX, válida durante tres años, que se comparte con los clientes a través del portal de la Asociación ENX, la organización que gestiona TISAX en nombre de la asociación alemana del sector de la automoción VDA. La etiqueta certifica que un proveedor de auditorías acreditado ha verificado que la seguridad de la información de su empresa cumple los requisitos del catálogo VDA ISA, en el nivel de evaluación que exige su cliente.
Ese nivel de evaluación depende del grado de confidencialidad de la información que manejes. En el nivel AL1, el auditor solo comprueba que exista una autoevaluación cumplimentada, por lo que casi ningún fabricante lo acepta. El nivel AL2 añade una comprobación de plausibilidad de tu autoevaluación mediante un muestreo de pruebas, normalmente a distancia. El nivel AL3, obligatorio para prototipos y otra información estrictamente confidencial, implica una auditoría completa in situ con entrevistas y observaciones.
En los días previos a la evaluación, antes de contratar a una empresa de auditoría, debes realizar una autoevaluación basándote en el catálogo VDA ISA. Ese es también el momento de poner en marcha una formación en concienciación sobre seguridad con una herramienta como Guardey. El catálogo exige que el personal haya recibido una formación demostrable y, dado que el auditor evalúa el nivel de madurez y no una situación puntual, un programa de formación que lleve meses en marcha tiene mucho más valor que uno que haya comenzado la semana pasada.
¿Estás trabajando para conseguir la certificación TISAX?
La formación gamificada en concienciación sobre seguridad de Guardey te proporciona los registros de formación que solicitan los auditores, desde el primer día. (Se configura en cuestión de minutos y no es necesario facilitar datos de pago.)
Prueba Guardey gratis durante 14 díasRequisitos de TISAX: el catálogo VDA ISA en 10 temas
Los requisitos de TISAX proceden del catálogo VDA ISA (versión 6), un cuestionario con más de 300 preguntas repartidas en tres módulos: seguridad de la información, protección de prototipos y protección de datos. Para cada control, el auditor puntúa tu nivel de madurez en una escala del 0 al 5, y el objetivo es alcanzar el nivel de madurez 3: el proceso no solo existe, sino que está documentado y se demuestra que se sigue. Resumido en 10 temas, esto es lo que abarca la evaluación:
- Política y organización. Una política de seguridad de la información, la asignación de responsabilidades y la gestión de riesgos constituyen los pilares de tu SGSI.
- El personal y la sensibilización. Empleados sometidos a controles de antecedentes, acuerdos de confidencialidad y formación demostrable en materia de seguridad para todos, con registros de quién ha recibido la formación y cuándo.
- Seguridad física. Zonificación, control de acceso a los edificios y gestión segura de los visitantes.
- Gestión de identidades y accesos. Principio del privilegio mínimo, autenticación sólida y revocación oportuna de los accesos.
- Tecnologías de la información y ciberseguridad. Fortalecimiento de la seguridad, protección contra el malware, gestión de parches, seguridad de redes y registro de eventos.
- Gestión de incidentes y continuidad del servicio. Detección, notificación y gestión de incidentes, además de copias de seguridad y disponibilidad.
- Relaciones con los proveedores. Trasladar los requisitos de seguridad a tus propios subcontratistas y proveedores de servicios.
- Cumplimiento normativo. Cumplir con los requisitos legales y contractuales y comprobarlo tú mismo periódicamente.
- Protección de prototipos. Un módulo independiente para quienes trabajen con prototipos, vehículos de prueba o camuflaje.
- Protección de datos. Un módulo específico sobre el RGPD para cualquier persona que trate datos personales en nombre del fabricante.
El tema 7 explica por qué TISAX sigue extendiéndose a lo largo de la cadena de suministro. Los fabricantes exigen la certificación a sus proveedores directos, quienes, a su vez, deben imponer los requisitos a sus propios subcontratistas. Y el ámbito de aplicación va más allá de las piezas: las empresas de ingeniería, los proveedores de logística, las empresas de TI e incluso las agencias de marketing entran dentro de su ámbito de aplicación en cuanto gestionan información protegida de un cliente del sector de la automoción. La certificación se comparte a través de la plataforma ENX, por lo que solo se te evalúa una vez, en lugar de hacerlo cada cliente por separado.
ISO 27001 frente a TISAX: las diferencias
TISAX se basa en las normas ISO 27001 e ISO 27002, por lo que el solapamiento es considerable. Cualquiera que haya implantado un SGSI conforme a la norma ISO 27001 ya ha realizado la mayor parte del trabajo preliminar para TISAX. No obstante, hay cuatro diferencias que resultan importantes en la práctica:
- Ámbito de aplicación. La norma ISO 27001 es genérica y se aplica a cualquier sector. La norma TISAX es específica del sector de la automoción e incorpora requisitos que la norma ISO no cubre, como la protección de prototipos.
- Resultado. La certificación ISO 27001 da lugar a un certificado público. La certificación TISAX da lugar a una etiqueta que solo pueden ver los socios con los que la compartas a través del portal ENX.
- Método de evaluación. Un auditor de la ISO evalúa si tu sistema de gestión funciona. Un auditor de TISAX puntúa el grado de madurez de cada control, lo que hace que el resultado sea más detallado y más difícil de rebatir.
- Reconocimiento. La norma ISO 27001 abre puertas en todos los sectores; sin embargo, en el sector de la automoción no suele ser suficiente. Los fabricantes exigen específicamente la certificación TISAX, y un certificado ISO no la sustituye.
La buena noticia es que, en lo que respecta al factor humano, ambas normas coinciden plenamente. La norma ISO 27001 exige la sensibilización a través de la cláusula 7.3 y el control 6.3, mientras que TISAX lo hace a través de sus controles relacionados con el personal y la sensibilización. Por lo tanto, un programa de sensibilización en materia de seguridad bien documentado aporta pruebas válidas para ambas evaluaciones a la vez.
Preguntas más frecuentes
¿Cuánto tiempo es válida una etiqueta TISAX?
Tres años. Transcurrido ese plazo, se lleva a cabo una reevaluación completa. A diferencia de la norma ISO 27001, no hay auditorías de seguimiento anuales entre medias, pero se espera que mantengas el nivel evaluado, y la próxima auditoría determinará si lo has hecho.
¿Es obligatorio el TISAX?
No por ley. Se trata de un requisito contractual: los fabricantes y los grandes proveedores de primer nivel exigen la etiqueta antes de compartir información protegida. En la práctica, esto lo hace igual de vinculante, ya que sin la etiqueta esos pedidos se destinan a otros proveedores.
¿Cumplo automáticamente con los requisitos de TISAX si tengo un certificado ISO 27001?
No. Aunque hay un gran solapamiento, TISAX añade requisitos específicos del sector de la automoción y utiliza su propio sistema de evaluación de madurez. Un certificado ISO 27001 agiliza considerablemente la preparación, pero aún así tendrás que someterte a la evaluación de TISAX propiamente dicha.
Tanto si TISAX forma parte de tu plan de trabajo para este año como si un cliente acaba de mencionarlo en una llamada, el primer paso es el mismo: realiza la autoevaluación y comprueba cuál es tu situación actual. El tema relativo al personal y la sensibilización es uno de los pocos en los que puedes empezar a trabajar ese mismo día, y además cuenta para otros marcos de cumplimiento.
¿Te estás preparando para una evaluación TISAX?
En una demostración de 45 minutos te mostraremos cómo Guardey combina la formación en concienciación con simulaciones de phishing, y cómo los informes proporcionan a tu auditor exactamente las pruebas que necesita.
Solicita una demostración personalizada