🚨 A NIS2 já está em vigor. A conscientização sobre segurança é agora uma exigência legal na UE.

Verificar a conformidade
Inicie sua avaliação gratuita
Voltar ao Centro de Recursos

Certificação TISAX: o que é, quais são os requisitos e como ela difere da ISO 27001

Se você fornece para a indústria automotiva, mais cedo ou mais tarde um cliente perguntará sobre o TISAX. Fabricantes como Volkswagen, BMW e Mercedes-Benz só compartilham informações confidenciais — desde dados de protótipos até dados de clientes — com fornecedores e prestadores de serviços que tenham comprovado sua segurança da informação. O TISAX, abreviação de Trusted Information Security Assessment Exchange, é a norma que eles utilizam para essa comprovação.

Neste artigo, abordamos o que a certificação TISAX realmente atesta, os requisitos aos quais você é avaliado em 10 temas, por que a norma vai muito além dos fornecedores diretos e como a TISAX se compara à ISO 27001.

O que é a certificação TISAX?

A rigor, o TISAX não é uma certificação. Você não recebe um certificado, mas sim um selo TISAX, válido por três anos, que é compartilhado com os clientes por meio do portal da Associação ENX, a organização que administra o TISAX em nome da associação automotiva alemã VDA. O selo atesta que uma entidade de auditoria credenciada verificou que sua segurança da informação atende aos requisitos do catálogo VDA ISA, no nível de avaliação exigido pelo seu cliente.

Esse nível de avaliação depende do grau de confidencialidade das informações com as quais você lida. No AL1, o auditor verifica apenas se existe uma autoavaliação preenchida, e é por isso que praticamente nenhum fabricante aceita esse nível. O AL2 acrescenta uma verificação de plausibilidade da sua autoavaliação por meio de amostragem de evidências, geralmente realizada remotamente. O AL3, exigido para protótipos e outras informações estritamente confidenciais, implica uma auditoria completa no local, com entrevistas e observações.

Na preparação para a avaliação, antes de contratar uma empresa de auditoria, você deve realizar uma autoavaliação com base no catálogo VDA ISA. Esse também é o momento ideal para implementar um treinamento de conscientização sobre segurança com uma ferramenta como o Guardey. O catálogo exige que a equipe tenha recebido treinamento comprovado e, como o auditor avalia o nível de maturidade — e não apenas uma situação pontual —, um programa de treinamento em andamento há meses tem muito mais valor do que um que tenha começado na semana passada.

Está se preparando para obter a certificação TISAX?

O treinamento gamificado de conscientização sobre segurança da Guardey fornece os registros de treinamento exigidos pelos auditores, desde o primeiro dia. (Configurado em poucos minutos, sem necessidade de fornecer dados de pagamento.)

Experimente o Guardey gratuitamente por 14 dias

Requisitos do TISAX: o catálogo VDA ISA em 10 temas

Os requisitos do TISAX provêm do catálogo VDA ISA (versão 6), um questionário com mais de 300 perguntas distribuídas por três módulos: segurança da informação, proteção de protótipos e proteção de dados. Para cada controle, o auditor avalia sua maturidade em uma escala de 0 a 5, e a meta é o nível de maturidade 3: o processo não apenas existe, mas está documentado e é comprovadamente seguido. Resumida em 10 temas, eis o que a avaliação abrange:

  1. Política e organização. Uma política de segurança da informação, atribuição de responsabilidades e gestão de riscos: os alicerces do seu SGSI.
  2. Pessoas e conscientização. Funcionários submetidos a triagem, acordos de confidencialidade e treinamento comprovado em conscientização sobre segurança para todos, com registros de quem foi treinado e quando.
  3. Segurança física. Zoneamento, controle de acesso aos prédios e gerenciamento seguro de visitantes.
  4. Gerenciamento de identidade e acesso. Princípio do privilégio mínimo, autenticação robusta e revogação oportuna do acesso.
  5. TI e segurança cibernética. Fortalecimento de sistemas, proteção contra malware, gerenciamento de patches, segurança de rede e registro de eventos.
  6. Gerenciamento de incidentes e continuidade. Reconhecimento, notificação e tratamento de incidentes, além de backup e disponibilidade.
  7. Relações com fornecedores. Transferência dos requisitos de segurança para seus próprios subcontratados e prestadores de serviços.
  8. Conformidade. Cumprir os requisitos legais e contratuais e verificar isso periodicamente por conta própria.
  9. Proteção de protótipos. Um módulo específico para quem trabalha com protótipos, veículos de teste ou camuflagem.
  10. Proteção de dados. Um módulo específico do RGPD para qualquer pessoa que trate dados pessoais em nome do fabricante.

O Tema 7 explica por que o TISAX continua se expandindo pela cadeia de suprimentos. Os fabricantes exigem o selo de seus fornecedores diretos, que, por sua vez, devem impor os requisitos aos seus próprios subcontratados. E o escopo vai além das peças: empresas de engenharia, prestadores de serviços de logística, empresas de TI e até mesmo agências de marketing estão sujeitas a ele assim que lidam com informações protegidas de um cliente do setor automotivo. O selo é compartilhado por meio da plataforma ENX, de modo que você é avaliado uma única vez, em vez de ser avaliado separadamente por cada cliente.

ISO 27001 x TISAX: as diferenças

O TISAX baseia-se nas normas ISO 27001 e ISO 27002, portanto, há uma grande sobreposição entre elas. Qualquer pessoa que já tenha implementado um SGSI (Sistema de Gestão de Segurança da Informação) de acordo com a ISO 27001 já fez a maior parte do trabalho preparatório para o TISAX. No entanto, há quatro diferenças que são relevantes na prática:

  • Âmbito. A norma ISO 27001 é genérica e se aplica a qualquer setor. A TISAX é específica para o setor automotivo e acrescenta requisitos que a ISO não abrange, como a proteção de protótipos.
  • Resultado. A certificação ISO 27001 resulta em um certificado público. A certificação TISAX resulta em um selo visível apenas aos parceiros com os quais você o compartilha por meio do portal ENX.
  • Método de avaliação. Um auditor da ISO avalia se o seu sistema de gestão funciona. Um auditor da TISAX atribui uma pontuação de maturidade para cada controle, o que torna o resultado mais detalhado e mais difícil de contornar com argumentos.
  • Reconhecimento. A norma ISO 27001 abre portas em todos os setores; no setor automotivo, porém, geralmente não é suficiente. Os fabricantes exigem especificamente o selo TISAX, e um certificado ISO não o substitui.

A boa notícia: no que diz respeito ao fator humano, os dois se sobrepõem completamente. A norma ISO 27001 exige conscientização por meio da cláusula 7.3 e do controle 6.3, enquanto a TISAX o faz por meio de seus controles relacionados às pessoas e à conscientização. Um programa de conscientização em segurança bem documentado, portanto, fornece evidências para ambas as avaliações ao mesmo tempo.

Perguntas frequentes

Qual é o prazo de validade de um selo TISAX?

Três anos. Após esse período, é realizada uma reavaliação completa. Ao contrário da ISO 27001, não há auditorias de vigilância anuais nesse intervalo, mas espera-se que você mantenha o nível avaliado, e sua próxima auditoria irá comprovar se você o fez.

O TISAX é obrigatório?

Não por lei. Trata-se de uma exigência contratual: os fabricantes e os grandes fornecedores de nível 1 exigem o selo antes de compartilhar informações protegidas. Na prática, isso torna a exigência igualmente vinculativa, pois, sem o selo, esses pedidos vão para outros fornecedores.

O fato de eu possuir um certificado ISO 27001 significa que estou automaticamente em conformidade com a TISAX?

Não. A sobreposição é grande, mas a TISAX acrescenta requisitos específicos para o setor automotivo e utiliza sua própria avaliação de maturidade. Um certificado ISO 27001 agiliza consideravelmente sua preparação, mas você ainda precisará passar pela avaliação da TISAX propriamente dita.

Quer o TISAX faça parte do seu plano de ação para este ano ou um cliente tenha simplesmente mencionado o assunto durante uma ligação, o primeiro passo é o mesmo: realize a autoavaliação e veja em que ponto você se encontra. O tema “pessoas e conscientização” é um dos poucos que você pode começar a abordar no mesmo dia, e ele também conta para outras estruturas de conformidade.

Está se preparando para uma avaliação TISAX?

Em uma demonstração de 45 minutos, vamos mostrar como o Guardey combina treinamento de conscientização com simulações de phishing e como os relatórios fornecem ao seu auditor exatamente as evidências que ele solicita.

Agende uma demonstração personalizada
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de segurança cibernética e ajuda as organizações a compreender por que a formação em consciencialização sobre segurança é importante para as suas equipes.
PRONTO PARA COMEÇAR?

Junte-se a mais de 500 empresas que já protegem suas equipes com o Guardey

Comece seu teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou agende uma demonstração personalizada