TISAX: segurança da informação na indústria automotiva.
Na indústria automotiva, assim como em vários outros segmentos, fornecedores e prestadores de serviços lidam com muitas informações estratégicas e confidenciais de seus clientes, e por isso devem estar em conformidade com rigorosos requisitos de segurança. Pensando nisso, em 2017 a VDA (Associação Alemã da Indústria Automotiva) criou o TISAX (Trusted Information Security Assessment Exchange), um mecanismo de avaliação e intercâmbio de informações que permite comprovar que os fornecedores atendem aos requisitos de alta segurança para os dados fornecidos.
Aplicável principalmente a fornecedores de nível 1 e nível 2, mas também a cadeias de suprimentos mais complexas, a avaliação é um requisito de certos OEM (Original Equipment Manufacturer), fabricantes “originais” de equipamentos que fornecem para as grandes empresas, que por sua vez montam o produto final para o consumidor, e é reconhecida por todos os membros da VDA.
O TISAX é, portanto, uma certificação composta pelos requisitos da VDA ISA (abreviatura de “Avaliação de Segurança da Informação”) derivada da norma internacional ISO/IEC 27001:2013 e adaptada ao setor automotivo. “Ela combina requisitos da VDA ISA com a ISO/IEC 27001 – Apêndice A (Technical Controls), bem como alguns requisitos de privacidade”, explica Manuela Petrich, especialista em Sistemas de Gestão da Quality Way.
A plataforma TISAX foi projetada para reunir as avaliações de segurança da informação das empresas da indústria automotiva, que podem compartilhar os resultados de suas avaliações online e permitem que as demais empresas verifiquem se um fornecedor já concluiu a avaliação com sucesso. Por meio da plataforma é possível, também, contratar provedores de auditoria para realizar uma avaliação.
O sistema é operado pela Associação ENX (European Network Exchange), uma associação de fabricantes, fornecedores e organizações europeias de veículos, contratada pela VDA para conduzir as auditorias e que credencia os auditores e monitora a qualidade da implementação e resultados das avaliações.
TISAX x ISO 27001
Tanto o TISAX como a ISO 27001 certificam a segurança da informação. O TISAX se baseia em elementos chave da norma ISO/IEC 27001, mas se concentra nos elementos mais relevantes para a indústria automotiva. Veja as principais diferenças:
Quem já possui a certificação ISO 27001 pode precisar obter a TISAX também, pois são certificações distintas. Entretanto, se a empresa já possui essa ISO, conseguirá mais facilmente a certificação TISAX. Os dois padrões são compatíveis e podem funcionar juntos para ajudar a organização a melhorar os processos e os controles de segurança da informação.
Saiba mais sobre a ISO 27001 e a segurança da informação: https://qualityway.com.br/iso-27001-seguranca-da-informacao-e-lgpd/
Benefícios da Certificação
- Reconhecimento mútuo das avaliações na rede TISAX economiza tempo e custos;
- Acesso online ao portal;
- Lista de provedores e fornecedores para escolher livremente;
- Maior confiança em fornecedores de serviços certificados;
- Evita a necessidade de várias verificações;
- Menos mal-entendidos devido ao catálogo harmonizado de testes VDA-ISA;
- Apenas uma avaliação a cada três anos.
O que é avaliado
O TISAX vai avaliar os seguintes aspectos na empresa:
- Políticas de segurança da informação;
- Dispositivos móveis e trabalho remoto;
- Gestão de ativos;
- Classificação da informação;
- Tratamento de mídias;
- Controles de acesso;
- Criptografia;
- Segurança física e do ambiente;
- Proteção contra malware;
- Registros e monitoramento;
- Gestão de vulnerabilidades técnicas;
- Gerenciamento da segurança em redes;
- Segurança da informação na cadeia de suprimentos;
- Gestão de incidentes de segurança da informação e melhorias;
- Conformidade com requisitos legais e contratuais.
Manuela explica ainda que “a certificação é aplicável para as empresas do setor automotivo que precisam demonstrar, em intervalos regulares de três anos, que cumprem os critérios de segurança da informação exigidos pelos clientes. Portanto, a certificação tem validade de três anos, sem auditorias periódicas”.
Como funciona
O processo de avaliação é feito on-line, por meio do portal TISAX (https://enx.com/en-US/TISAX/). Começa com o registro no portal e a seleção de uma empresa de auditoria. A pesquisa pode ser feita na plataforma online, e a certificação poderá ser realizada somente por prestadores credenciados.
Etapa 1: CLASSIFICAÇÃO
Os fornecedores são classificados por um OEM/cliente, dependendo da sensibilidade dos dados envolvidos.
Etapa 2: CADASTRO
Cadastramento no ENX, incluindo seu número de escopo.
Etapa 3: AVALIAÇÃO
O prestador credenciado realiza a avaliação de acordo com o nível solicitado.
Etapa 4: RELATÓRIO
A empresa avaliada recebe o relatório dos auditores credenciados.
Etapa 5: ELIMINAÇÃO DE VULNERABILIDADES
A empresa avaliada elimina as vulnerabilidades identificadas.
Etapa 6: COMPARTILHAMENTO
O relatório completo é carregado na plataforma, e o compartilhamento das informações é possível entre participantes inscritos e somente depois de a empresa avaliada ter divulgado o resultado à empresa que fez a solicitação.
“A Quality Way pode ajudar a sua empresa na adequação aos requisitos exigidos pelo TISAX, que pode incluir a definição de processos, elaboração de documentação (políticas, procedimentos, instruções de trabalho e formulários), implantação, avaliação (auditoria interna) e manutenção do sistema de segurança da informação, entre outros aspectos”, afirma Manuela.
Saiba mais sobre a certificação TISAX: https://portal.enx.com/en-US/TISAX/
TISAX - Adequação Quality Way
