Avaliação TISAX® com a DQS | Confiança no Mercado Automotivo

Avaliação TISAX® - Segurança da informação na indústria automotiva

Você é um fornecedor automotivo ou prestador de serviços? Então você precisa comprovar a disponibilidade dos seus serviços ou a segurança das informações confidenciais que recebe. Espera-se também que você forneça provas do manuseio correto dos protótipos. Como participante do processo TISAX®, isso é possível através de uma avaliação correspondente, que só precisa ser realizada a cada três anos. A avaliação TISAX® é válida para todos os setores e define os requisitos de segurança da informação da sua empresa.

Reconhecimento mútuo entre todos os participantes da TISAX® dentro da ENX.

Uma empresa que audita TISAX® obtém maior credibilidade perante seus fornecedores e prestadores de serviços

A auditoria/avaliação TISAX® é realizada pelo menos uma vez de três em três anos

Ao participar da rede TISAX® sua empresa economiza tempo e reduz custos

Informação básica sobre a avaliação TISAX®.

TISAX® é uma avaliação para a troca de informações do setor automotivo, sendo baseado no questionário ISA (Information Security Assessment - desenvolvido pelo VDA), além disso a avaliação se baseia nos requisitos da norma internacional ISO/IEC 27001.

A ISA também se refere à ISO/SAE 62443-2-1 para sistemas de controle industrial para automação e monitoramento de instalações de produção industrial (IACS) e tecnologias operacionais (TO).

Além disso, a Associação Alemã da Indústria Automobilística (VDA) estabeleceu o TISAX® (Trusted Information Security Assessment eXchange), um mecanismo conjunto de avaliação e compartilhamento de informações. A TISAX® é uma marca registrada da Associação ENX e é usado para monitorar a segurança da informação entre os organismos responsáveis pelos fabricantes europeus de automóveis, fornecedores automotivos e associações do setor. Através da TISAX®, eles garantem a qualidade das avaliações e aprovam os prestadores de serviços de auditoria que participam do processo.Mais de 10.000 locais já foram avaliados de acordo com o TISAX®, tornando esta norma a segunda mais amplamente implementada em termos de regras para segurança da informação em todo o mundo, depois do ISO 27001. VDA e ENX formaram grupos de trabalho internacionais para o TISAX® e o catálogo ISA para desenvolver ainda mais a norma. Ao mesmo tempo, isso promove uma cooperação mais estreita com a indústria automobilística global. Com o TISAX 6.0, a forma atualizada do procedimento de avaliação e troca foi publicada no outono de 2023.

Mostrar mais

Mostrar menos

TISAX® 2.2 - Obrigatório a partir de 1º de abril de 2024 - Notas de transição

As avaliações TISAX® com contrato assinado até 31 de março de 2024 podem ser realizadas de acordo com a antiga versão 5.1 do ISA. As avaliações iniciais ou de reavaliação com contrato assinado a partir de 1º de abril de 2024 serão realizadas exclusivamente de acordo com o novo procedimento TISAX® de acordo com o catálogo ISA 6.0. As atividades de auditoria que dependem de auditorias existentes, tais como avaliações de planos de ação corretivas, avaliações de acompanhamento, avaliações de extensão de escopo ou avaliações de grupo simplificadas continuadas, continuarão a ser realizadas de acordo com a versão sob a qual a auditoria original foi realizada.

Informações sobre as principais mudanças na nova ISA 6.0 podem ser encontradas em nossa postagem no blog "Novo Catálogo ISA 6.0".

O novo Catálogo ISA 6.0 é um marco importante para a TISAX®. O catálogo de avaliação leva a ajustes nos requisitos para prestadores de auditoria, que foram definidos nos regulamentos TISAX® ACAR 2.2. A mudança da língua principal para o inglês sublinha a perspectiva global e os esforços conjuntos para o desenvolvimento mundial. Outras traduções do TISAX VDA 6.0 estão planejadas.

As mudanças mais importantes no novo catálogo ISA 6.0 são

Alterações nos labels de segurança:

O label Segurança da Informação é substituído pelos labels Disponibilidade e Confidencialidade. Dependendo da sua função na cadeia de abastecimento, Disponibilidade ou Confidencialidade ou ambas podem ser relevantes para você.
Um label existente "Alta Segurança da Informação" será substituído pelos labels combinados "Alta Disponibilidade" e "Alta Confidencialidade". O mesmo se aplica a um label existente de Segurança da Informação Muito Alta. Será substituído por “Disponibilidade muito elevada” e “Confidencialidade estrita”.
Ambos os labels devem atender ao mesmo conjunto de requisitos básicos. Além disso, cada etiqueta possui requisitos específicos para necessidades de proteção altas e muito altas. O processo de avaliação é orientado pelos labels, levando em consideração o seu papel na cadeia de abastecimento. Portanto, vale a pena verificar com seus clientes quais labels são relevantes para sua função.

Maior foco na segurança da informação e nos sistemas de TO na cadeia de fornecimento

As empresas relevantes na cadeia de abastecimento devem cumprir requisitos de “alta disponibilidade” ou “disponibilidade muito elevada”.
Ênfase em sistemas de Tecnologia Operacional (TO) em produção e demais áreas na avaliação TISAX®.
Referências à IEC 62443-2-1 e aos novos requisitos do catálogo ISA promovem o foco em TO.
Inclusão de Sistemas de Comunicação e Controle Industrial (IACS).
As empresas nesta categoria devem demonstrar proteção adequada de dados sensíveis no desenvolvimento e na produção.
Muitos dos requisitos se sobrepõem a “Alta Sensibilidade” ou “Muito Alta Sensibilidade”.
As empresas da cadeia de abastecimento que não são altamente relevantes, mas às quais são confiadas informações sensíveis, devem demonstrar que essas informações podem ser adequadamente protegidas.
As etiquetas “Alta Confidencialidade” ou “Estrita Confidencialidade” são utilizadas para selecionar os requisitos TISAX® que contribuem para este objetivo de proteção.
O principal objetivo da avaliação seletiva descrita acima é garantir que as empresas apenas tenham de cumprir os requisitos do catálogo ISA que sejam relevantes para a sua função.

Novos desafios para empresas de manufatura

Os sistemas TO devem estar sujeitos a uma gestão semelhante à geralmente exigida para os sistemas TI TISAX®.
Como resultado, a TO na gestão de ativos é identificada com seus riscos específicos, analisada quanto a potenciais vulnerabilidades, gerenciada por funcionários competentes, sujeita a processos compatíveis com SGSI para manutenção remota e outras melhores práticas de gestão.

Mostrar mais

Mostrar menos

Quais as vantagens de uma avaliação TISAX® para a sua empresa?

Como prestador ou fornecedor de serviços automotivos, você precisa demonstrar aos seus clientes que atende aos requisitos de segurança da informação. Até agora, estas avaliações eram realizadas principalmente pelos próprios fabricantes. Os participantes registados na rede TISAX® podem selecionar um prestador de serviços de avaliação através de uma plataforma online comum e encomendar uma avaliação. As vantagens para as empresas superam as desvantagens:

Podem ser evitadas avaliações duplicadas e múltiplas por diferentes clientes, economizando tempo e dinheiro.
Reconhecimento entre empresas de avaliações para participantes do TISAX®
Resultados confiáveis graças ao catálogo de avaliação harmonizado, que garante um processo de avaliação consistente
Aumento da confiança na empresa avaliada através do label TISAX®

Após uma avaliação bem-sucedida, você receberá um label TISAX® na plataforma online TISAX®. Este label é comparável a um certificado e serve para reforçar a confiança na sua empresa e para confirmar os seus esforços para garantir a segurança da informação.

Mostrar mais

Mostrar menos

Como funciona a TISAX®?

Dentro da TISAX®, os participantes podem assumir dois papéis distintos: o de "Consumidor de Informação" (passivo), que seria, por exemplo, um fabricante buscando receber informações sobre um fornecedor, e o de "Contribuinte de Informação" (ativo), que seria, por exemplo, um fornecedor de peças ou prestador de serviços desejando ser auditado quanto à sua adequação para poder receber pedidos dos fabricantes.

Uma empresa também tem a opção de assumir ambos os papéis de participante. Qualquer empresa que deseje ser um Contribuinte de Informação na TISAX® deve seguir os quatro principais passos abaixo:

1. Realizar o registro online em www.enx.com/TISAX.
2. Selecionar um prestador de serviços de auditoria aprovado pela ENX, como a DQS.
3. Passar por uma avaliação TISAX®.
4. Compartilhar os resultados da auditoria na plataforma online do TISAX®.

Se uma empresa estiver interessada nos resultados do seu TISAX®, ela pode se registrar na ENX como “Consumidor de Informação”. Você pode decidir para cada Consumidor de Informações se deseja compartilhar seu status TISAX® atual com eles.

Como funciona uma avaliação TISAX®?

Antes de iniciar a avaliação TISAX®, sua empresa deve definir um escopo claro. Isto inclui o nível de avaliação, que define os requisitos específicos de avaliação. Estes requisitos podem incluir a garantia da “disponibilidade” das capacidades de produção, a garantia da “confidencialidade” das informações confiadas ou a segurança das “peças do protótipo” e dos “dados pessoais”. Estes critérios de referência aplicam-se a todos os locais dentro do escopo.

Um desafio chave é combinar locais com requisitos similares em um único escopo. A DQS pode fornecer orientações de design valiosas sobre se deve ser um escopo abrangente único ou vários escopos. Em princípio, há vantagens em combinar locais sob um único escopo na forma de uma possível redução no esforço de auditoria se todos os locais operarem sob um ISMS centralizado.

Após a sua empresa realizar o cadastro e o pagamento da taxa de registro no portal ENX/TISAX, sua empresa receberá um documento de aprovação e registro do escopo. Esse documento dever ser utilizado pela sua empresa para solicitar uma proposta de auditoria ENX/TISAX no site da DQS.

Ao solicitar uma proposta no site da DQS e fazer o upload do documento recebido da TISAX/ENX no site da DQS, você receberá prontamente uma proposta de auditoria TISAX®.

Na proposta de auditoria TISAX® realizada pela DQS você encontrará as informações das etapas de auditoria que são necessárias para a realização do processo completo de auditoria. Na proposta constará as etapas iniciais de (kick-off) auditoria realizada offsite.

Na segunda etapa é realizada a revisão de documentos (check VDA-ISA) e posteriormente uma avaliação localmente na empresa verificando os tópicos de segurança da informação (information security) e módulos de protótipo (protoype module), conforme o caso.

Observe: Existe um método alternativo para realizar uma avaliação no Nível de Avaliação 2. Em vez de uma verificação de plausibilidade, seu provedor de serviços de auditoria realiza uma avaliação remota completa. Esse método às vezes é chamado de "Nível de Avaliação 2.5". A vantagem de um Nível de Avaliação 2.5 é que a abordagem é metodologicamente compatível com o Nível de Avaliação 3. Portanto, é possível atualizar para um exame de Nível 3 completo posteriormente com esforço gerenciável.

Os resultados da auditoria TISAX® são registrados em um relatório intermediário. Em caso de não conformidades, são acordadas medidas a serem implementadas. Se necessário, a implementação das medidas é determinada dentro de um período acordado. Esse procedimento garante que todos os problemas identificados sejam abordados de forma eficaz e rápida.

O resultado final será publicado online no portal ENX®. Sua empresa será listada como participante no processo TISAX® com o label de teste correspondente. Ao contrário de outras certificações, não há um certificado TISAX®.

O relatório final é publicado de forma online no portal ENX. Com a realização desse processo e a publicação do relatório a sua empresa constará como participante do TISAX® com a etiqueta de auditoria realizada.

Quanto custa a avaliação TISAX®?

Dois fatores importantes influenciam o escopo de toda a avaliação e, portanto, os valores da auditoria:

As avaliações são possíveis de serem realizadas com base num âmbito expandido, num âmbito inicial ou standard, ou num âmbito específico/restrito.
A decisão da sua empresa por qual escopo escolher deve ser bem avaliada e determinada pelos objetivos de proteção desejados, tamanho da sua empresa, requisitos e solicitações dos seus clientes que solicitaram a avaliação / auditoria do TISAX®.

As metas de proteção, por exemplo, são para empresas que desejam incluir tópicos como a proteção de protótipos ou a proteção de dados na avaliação.

Se você quiser entender um pouco melhor sobre o procedimento TISAX®, entre em contato com a DQS e solicite uma proposta, sua certificadora, de auditoria aprovada e credenciada pelo TISAX® no site da ENX, o mais cedo possível.

Esta é a única forma de ajudarmos a sua empresa a entender o processo de auditoria e determinarmos o cálculo correto para o escopo da avaliação e fornecer para a sua empresa um orçamento claro e transparente com todas as etapas necessárias para a sua auditoria de avaliação TISAX®.

Mostrar mais

Mostrar menos

O que você pode esperar da DQS?

A DQS é uma prestadora de serviços de auditoria aprovada pela Associação ENX para auditorias TISAX®
Auditores Brasileiros para realizar as auditorias da TISAX® na sua empresa, reduzindo assim os custos da avaliação
Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
Auditorias que agregam valor a sua organização
Auditores com experiência prática e alto nível de competência no ramo de atuação da sua empresa
Certificados com aceitação internacional
Presença global com mais de 80 escritório em aproximadamente 66 países
Portfólio que inclui mais de 200 serviços em certificações de sistemas de gestão

A DQS entende o seu negócio e trabalha de forma a dar suporte a sua empresa através dos nossos especialistas - a nível local, nacional e internacional
Relatórios de auditoria significativos, incluindo recomendações de ações e pontos de melhoria
Propostas claras e transparentes de acordo com as características da empresa
Auditores multi-normas (ISO/IEC 27001, ISO/IEC 20000-1, TISAX®, ISO 9001, etc), proporcionando à sua empresa uma amplo atendimento as normas de tecnologia
Pronto atendimento para a sua empresa, através de equipe da DQS local

Mostrar mais

Mostrar menos

Avaliação TISAX®

A DQS GmbH é uma participante registrada no TISAX® e passou por uma avaliação TISAX® para o label "Segurança da Informação Very High" no Nível de Avaliação 3. As avaliações TISAX® são realizadas por prestadores de serviços de avaliação credenciados pela ENX. Os resultados das avaliações TISAX® não são destinados ao público em geral. O resultado da avaliação na DQS GmbH está disponível para participantes registrados através do portal ENX: https://portal.enx.com/

Baixe o Documento aqui