🚨 A NIS2 já está em vigor. A sensibilização para a segurança é agora uma obrigação legal na UE.

Verificar a conformidade
Inicia o teu teste gratuito
Voltar ao Centro de Recursos

Certificação TISAX: o que é, quais são os requisitos e em que difere da ISO 27001

Se forneces à indústria automóvel, mais cedo ou mais tarde um cliente vai perguntar-te sobre o TISAX. Fabricantes como a Volkswagen, a BMW e a Mercedes-Benz só partilham informações confidenciais — desde dados de protótipos até dados de clientes — com fornecedores e prestadores de serviços que tenham comprovado a sua segurança da informação. O TISAX, abreviatura de «Trusted Information Security Assessment Exchange», é a norma que eles usam para essa comprovação.

Neste artigo, vamos explicar o que o selo TISAX realmente significa, os requisitos que são avaliados em 10 temas, porque é que a norma vai muito além dos fornecedores diretos e como é que a TISAX se compara à ISO 27001.

O que é a certificação TISAX?

A rigor, o TISAX não é uma certificação. Não recebes um certificado, mas sim um selo TISAX, válido por três anos, que partilhas com os clientes através do portal da Associação ENX, a organização que gere o TISAX em nome da associação automóvel alemã VDA. O selo atesta que uma entidade de auditoria acreditada verificou que a tua segurança da informação cumpre os requisitos do catálogo VDA ISA, ao nível de avaliação que o teu cliente exige.

Esse nível de avaliação depende do grau de confidencialidade da informação com que lidas. No AL1, o auditor limita-se a verificar se existe uma autoavaliação preenchida, razão pela qual quase nenhum fabricante o aceita. O AL2 acrescenta uma verificação de plausibilidade à tua autoavaliação, com amostragem de provas, normalmente à distância. O AL3, exigido para protótipos e outras informações estritamente confidenciais, implica uma auditoria completa no local, com entrevistas e observações.

Na fase que antecede a avaliação, antes de contratares uma empresa de auditoria, tens de fazer uma autoavaliação com base no catálogo VDA ISA. Esse é também o momento ideal para implementares uma formação de sensibilização para a segurança com uma ferramenta como o Guardey. O catálogo exige que o pessoal tenha recebido formação comprovada e, como o auditor avalia a maturidade em vez de uma situação pontual, um programa de formação que já esteja a decorrer há meses vale muito mais do que um que tenha começado na semana passada.

Estás a tentar obter a certificação TISAX?

A formação gamificada em sensibilização para a segurança da Guardey dá-te os registos de formação que os auditores pedem, desde o primeiro dia. (Configurada em minutos, sem necessidade de fornecer dados de pagamento.)

Experimenta o Guardey gratuitamente durante 14 dias

Requisitos TISAX: o catálogo VDA ISA em 10 temas

Os requisitos do TISAX provêm do catálogo VDA ISA (versão 6), um questionário com mais de 300 perguntas distribuídas por três módulos: segurança da informação, proteção de protótipos e proteção de dados. Para cada controlo, o auditor avalia o teu nível de maturidade numa escala de 0 a 5, sendo que o objetivo é atingir o nível de maturidade 3: o processo não só existe, como está documentado e é comprovadamente seguido. Resumido em 10 temas, eis o que a avaliação abrange:

  1. Política e organização. Uma política de segurança da informação, atribuição de responsabilidades e gestão de riscos: são a base do teu SGSI.
  2. Pessoas e sensibilização. Colaboradores submetidos a verificação de antecedentes, acordos de confidencialidade e formação comprovada em sensibilização para a segurança para todos, com registos de quem recebeu formação e quando.
  3. Segurança física. Delimitação de zonas, controlo de acesso aos edifícios e gestão segura dos visitantes.
  4. Gestão de identidade e acesso. Princípio do privilégio mínimo, autenticação forte e revogação atempada do acesso.
  5. TI e cibersegurança. Fortalecimento de sistemas, proteção contra malware, gestão de patches, segurança de rede e registo de eventos.
  6. Gestão de incidentes e continuidade. Identificar, comunicar e resolver incidentes, além de cópias de segurança e disponibilidade.
  7. Relações com fornecedores. Transmitir os requisitos de segurança aos teus próprios subcontratados e prestadores de serviços.
  8. Conformidade. Cumprir os requisitos legais e contratuais e verificar isso tu mesmo de vez em quando.
  9. Proteção de protótipos. Um módulo específico para quem trabalha com protótipos, veículos de teste ou camuflagem.
  10. Proteção de dados. Um módulo específico do RGPD para quem processa dados pessoais em nome do fabricante.

O Tema 7 explica por que é que o TISAX continua a alargar-se ao longo da cadeia de abastecimento. Os fabricantes exigem a certificação aos seus fornecedores diretos, que, por sua vez, têm de impor os requisitos aos seus próprios subcontratados. E o âmbito vai além das peças: empresas de engenharia, prestadores de serviços de logística, empresas de TI e até agências de marketing ficam abrangidas assim que lidam com informação protegida de um cliente do setor automóvel. A certificação é partilhada através da plataforma ENX, pelo que só tens de ser avaliado uma vez, em vez de teres de passar por uma avaliação separada com cada cliente.

ISO 27001 vs. TISAX: as diferenças

O TISAX baseia-se nas normas ISO 27001 e ISO 27002, pelo que há uma grande sobreposição. Quem já tiver implementado um SGSI (Sistema de Gestão da Segurança da Informação) de acordo com a ISO 27001 já fez a maior parte do trabalho preparatório para o TISAX. Ainda assim, há quatro diferenças que são importantes na prática:

  • Âmbito. A norma ISO 27001 é genérica e aplica-se a qualquer setor. A TISAX é específica do setor automóvel e acrescenta requisitos que a ISO não abrange, como a proteção de protótipos.
  • Resultado. A certificação ISO 27001 dá origem a um certificado público. A certificação TISAX dá origem a um selo que só é visível para os parceiros com quem o partilhas através do portal ENX.
  • Método de avaliação. Um auditor da ISO avalia se o teu sistema de gestão funciona. Um auditor da TISAX atribui uma pontuação de maturidade a cada controlo, o que torna o resultado mais detalhado e mais difícil de contornar com argumentos.
  • Reconhecimento. A norma ISO 27001 abre portas em todos os setores; no setor automóvel, porém, normalmente não é suficiente. Os fabricantes pedem especificamente o selo TISAX, e um certificado ISO não o substitui.

A boa notícia: no que diz respeito ao fator humano, as duas normas coincidem totalmente. A ISO 27001 exige a sensibilização através da cláusula 7.3 e do controlo 6.3, enquanto a TISAX o faz através dos seus controlos relativos ao pessoal e à sensibilização. Um programa de sensibilização à segurança bem documentado fornece, portanto, provas para ambas as avaliações ao mesmo tempo.

Perguntas mais frequentes

Quanto tempo é que um selo TISAX é válido?

Três anos. Depois disso, segue-se uma reavaliação completa. Ao contrário da norma ISO 27001, não há auditorias de vigilância anuais entretanto, mas espera-se que mantenhas o nível avaliado, e a tua próxima auditoria vai mostrar se o fizeste.

O TISAX é obrigatório?

Não por lei. É um requisito contratual: os fabricantes e os grandes fornecedores de nível 1 exigem o selo antes de partilharem informação protegida. Na prática, isso torna-o igualmente vinculativo, porque sem o selo essas encomendas vão para outro lado.

Se eu tiver um certificado ISO 27001, isso significa que cumpro automaticamente os requisitos do TISAX?

Não. A sobreposição é grande, mas a TISAX acrescenta requisitos específicos do setor automóvel e utiliza a sua própria avaliação de maturidade. Um certificado ISO 27001 acelera consideravelmente a tua preparação, mas ainda assim terás de passar pela avaliação da TISAX propriamente dita.

Quer o TISAX faça parte do teu plano de ação para este ano ou um cliente tenha simplesmente mencionado o assunto numa chamada, o primeiro passo é sempre o mesmo: faz a autoavaliação e vê em que ponto estás. O tema das pessoas e da sensibilização é um dos poucos que podes começar a tratar ainda hoje, e conta também para outros quadros de conformidade.

Estás a preparar-te para uma avaliação TISAX?

Numa demonstração de 45 minutos, vamos mostrar-te como o Guardey combina formação em sensibilização com simulações de phishing e como os relatórios fornecem ao teu auditor exatamente as provas de que ele precisa.

Marca uma demonstração personalizada
Dinela Lokvancic
Dinela Lokvancic Especialista em Marketing A Dinela mantém a presença online da Guardey atualizada. Ela cria conteúdos que tornam acessíveis temas complexos de cibersegurança e ajuda as organizações a entender por que a formação em consciencialização de segurança é importante para as suas equipas.
PRONTO PARA COMEÇAR?

Junta-te às mais de 500 empresas que já protegem as suas equipas com o Guardey

Começa o teu período de teste gratuito de 14 dias
14 dias grátis · Sem cartão de crédito · Acesso total · Configuração em 5 minutos
Ou marca uma demonstração personalizada