TISAX certificering van de informatiebeveiliging wordt besproken door een man en vrouw in een controlekamer

Avaliação TISAX®

Segurança da informação para fornecedores e prestadores de serviços do setor automotivo

Avaliação TISAX® - Segurança da informação na indústria automotiva

Sua empresa atua como fornecedora ou prestadora de serviços para a indústria automotiva? Então é cada vez mais importante demonstrar a segurança das informações confidenciais recebidas, a disponibilidade dos seus serviços e, quando aplicável, o tratamento adequado de protótipos. A avaliação TISAX® permite comprovar esses requisitos de forma padronizada e com reconhecimento dentro da rede ENX. Dessa forma, sua empresa fortalece a confiança junto a clientes, parceiros e demais participantes da cadeia automotiva.

Reconhecimento dentro da rede TISAX® coordenada pela ENX.

Mais confiança para fornecedores e prestadores de serviços auditados

Avaliação estruturada com critérios alinhados ao setor automotivo

Redução de auditorias repetidas e melhor aproveitamento de recursos

Informação básica sobre a avaliação TISAX®.

TISAX® é um mecanismo de avaliação e compartilhamento de resultados voltado à segurança da informação na indústria automotiva. A avaliação é baseada no catálogo ISA, desenvolvido com apoio do VDA, e incorpora requisitos relevantes para empresas que precisam demonstrar maturidade em segurança da informação, proteção de protótipos e disponibilidade operacional, além disso a avaliação se baseia nos requisitos da norma internacional ISO/IEC 27001.

A ISA também faz referência à ISO/SAE 62443-2-1 para sistemas de controle industrial voltados à automação e ao monitoramento de instalações de produção industrial, incluindo IACS e tecnologias operacionais (TO).

Além disso, a Associação Alemã da Indústria Automotiva (VDA) estabeleceu o TISAX® (Trusted Information Security Assessment Exchange), um mecanismo conjunto de avaliação e compartilhamento de informações. TISAX® é uma marca registrada da Associação ENX e é utilizado para reforçar a segurança da informação entre montadoras, fornecedores automotivos e demais participantes relevantes do setor. Por meio do TISAX®, as empresas demonstram maturidade em segurança da informação e contam com um processo de avaliação conduzido por prestadores de serviços aprovados pela ENX.

Mais de 10.000 locais já foram avaliados de acordo com a TISAX®, tornando esta norma a segunda mais amplamente implementada em termos de regras para segurança da informação em todo o mundo, depois da ISO 27001. VDA e ENX formaram grupos de trabalho internacionais para a TISAX® e o catálogo ISA para desenvolver ainda mais a norma. Ao mesmo tempo, isso promove uma cooperação mais estreita com a indústria automotiva global. Com a TISAX 6.0, a forma atualizada do procedimento de avaliação e troca foi publicada no outono de 2023.

TISAX® 2.2 - Obrigatório a partir de 1º de abril de 2024 - Notas de transição

As avaliações TISAX® com contrato assinado até 31 de março de 2024 podem ser conduzidas de acordo com a versão 5.1 do ISA. Já as avaliações iniciais e as reavaliações com contrato assinado a partir de 1º de abril de 2024 devem ser realizadas exclusivamente conforme o novo procedimento TISAX® e com base no catálogo ISA 6.0.

Atividades vinculadas a auditorias já existentes, como avaliações de planos de ação corretiva, avaliações de acompanhamento, extensões de escopo e avaliações simplificadas de grupo em continuidade, seguem a versão aplicável à auditoria originalmente realizada.

Informações adicionais sobre as principais mudanças do ISA 6.0 podem ser consultadas em nossa publicação dedicada ao "Novo Catálogo ISA 6.0".

O novo catálogo ISA 6.0 representa um marco importante para a evolução do TISAX®. Entre as mudanças, estão ajustes em requisitos aplicáveis aos prestadores de auditoria, atualização da linguagem principal para o inglês em função da perspectiva global do programa e avanços voltados ao desenvolvimento internacional do modelo.

As mudanças mais relevantes no ISA 6.0 incluem:

Alterações nos labels de segurança:

O label “Segurança da Informação” foi substituído pelos labels “Disponibilidade” e “Confidencialidade”. Dependendo da função da empresa na cadeia de abastecimento, um deles ou ambos podem ser relevantes.
O label anteriormente associado à “Alta Segurança da Informação” foi substituído por combinações como “Alta Disponibilidade” e “Alta Confidencialidade”. O mesmo racional se aplica aos níveis mais elevados de proteção.
Todos os labels continuam partindo de um conjunto comum de requisitos básicos, complementado por exigências específicas conforme o nível de proteção necessário.
A escolha dos labels deve considerar o papel da empresa na cadeia automotiva e as expectativas dos clientes em relação à proteção das informações.

Maior foco na segurança da informação e nos sistemas de TO na cadeia de fornecimento:

Empresas relevantes na cadeia de abastecimento podem precisar atender requisitos de alta disponibilidade ou disponibilidade muito elevada.
O modelo passa a dar maior ênfase aos sistemas de Tecnologia Operacional (TO) em produção e em outras áreas avaliadas no contexto TISAX®.
As referências à IEC 62443-2-1 e os novos requisitos do catálogo ISA reforçam esse direcionamento para ambientes industriais.
Sistemas de comunicação e controle industrial (IACS) passam a ter atenção ampliada dentro do escopo de avaliação.
Empresas com atuação em desenvolvimento, produção ou tratamento de informações sensíveis precisam demonstrar controles adequados para proteção de dados e continuidade operacional.
A avaliação seletiva busca garantir que cada empresa cumpra apenas os requisitos relevantes ao seu papel dentro da cadeia de abastecimento.

Novos desafios para empresas de manufatura:

Os sistemas de TO passam a exigir uma gestão mais próxima da já aplicada aos ambientes de TI, considerando riscos, vulnerabilidades e controles compatíveis com a realidade industrial.
Isso exige maior integração entre segurança da informação, operação e gestão de ativos, com responsabilidades claras e processos consistentes.

Quais as vantagens de uma avaliação TISAX® para a sua empresa?

Como fornecedora ou prestadora de serviços para o setor automotivo, sua empresa precisa demonstrar aos clientes que atende aos requisitos de segurança da informação aplicáveis à sua operação. No modelo TISAX®, as empresas participantes podem selecionar um prestador de serviços de avaliação aprovado pela ENX e conduzir um processo padronizado, reconhecido por diferentes organizações da cadeia automotiva.

Na prática, isso torna a avaliação mais eficiente, comparável e útil para fortalecer a confiança junto a clientes e parceiros.

Redução de avaliações duplicadas ou múltiplas por diferentes clientes, com economia de tempo e recursos
Reconhecimento entre empresas participantes do TISAX®
Resultados mais consistentes com base em um catálogo de avaliação harmonizado
Aumento da confiança na empresa avaliada por meio do label TISAX®

Após uma avaliação bem-sucedida, a empresa recebe um label TISAX® na plataforma online do programa. Esse label não equivale a uma certificação tradicional, mas funciona como evidência reconhecida da avaliação realizada e reforça a confiança de clientes e parceiros na maturidade da empresa em segurança da informação.

Como funciona a TISAX®?

Na TISAX®, os participantes podem assumir dois papéis principais: o de “Consumidor de Informação”, como uma empresa que deseja consultar o resultado de avaliação de um fornecedor, e o de “Contribuinte de Informação”, como uma empresa que deseja ser avaliada para demonstrar conformidade com requisitos de segurança da informação no contexto da cadeia automotiva.

Uma organização também pode assumir os dois papéis, conforme sua atuação e necessidade de compartilhamento de informações.

Para atuar como Contribuinte de Informação no TISAX®, o processo normalmente segue estas etapas:

Realizar o registro na plataforma da ENX.
Selecionar um prestador de serviços de avaliação aprovado pela ENX, como a DQS.
Definir o escopo aplicável e conduzir a avaliação TISAX®.
Compartilhar os resultados da avaliação com clientes e parceiros autorizados por meio da plataforma TISAX®.

Se uma empresa desejar consultar resultados já disponíveis no ecossistema TISAX®, ela pode se registrar como Consumidor de Informação. O compartilhamento dos resultados é sempre controlado pela empresa avaliada, que decide com quais participantes autorizados deseja disponibilizar seu status TISAX®

Como funciona uma avaliação TISAX®?

Antes de iniciar a avaliação TISAX®, sua empresa precisa definir um escopo claro. Essa definição inclui o nível de avaliação e os requisitos aplicáveis ao processo. Dependendo da sua operação e das exigências dos clientes, o escopo pode envolver temas como disponibilidade, confidencialidade, proteção de protótipos e proteção de dados pessoais.

Esses critérios de referência são aplicados a todos os locais incluídos no escopo da avaliação.

Um dos desafios mais relevantes está em agrupar, de forma coerente, diferentes unidades ou locais com requisitos semelhantes dentro de um mesmo escopo. A DQS pode fornecer orientações de desenho e entendimento do escopo para avaliar se faz sentido adotar uma abordagem abrangente ou restringida. Em muitos casos, a consolidação de locais sob um único escopo pode contribuir para reduzir o esforço total de auditoria, especialmente quando existe um sistema de gestão centralizado.

Após concluir o cadastro e o pagamento da taxa de registro no portal ENX/TISAX®, sua empresa receberá um documento de aprovação e registro do escopo. Esse documento será utilizado para solicitar uma proposta de auditoria junto à DQS.

Ao enviar a solicitação de proposta e fazer o upload do documento emitido pela ENX/TISAX® no ambiente da DQS, sua empresa receberá uma proposta de avaliação TISAX® com as etapas necessárias para o processo completo.

Na proposta apresentada pela DQS, estarão descritas as fases da auditoria, incluindo as atividades iniciais de alinhamento, como o kick-off da avaliação realizada offsite.

Na etapa seguinte, ocorre a revisão documental, incluindo a verificação do VDA-ISA, e posteriormente a avaliação local na empresa, considerando os tópicos aplicáveis de segurança da informação e, quando necessário, módulos relacionados à proteção de protótipos.

Existe ainda uma alternativa metodológica para avaliações no Nível de Avaliação 2. Em vez de uma verificação tradicional de plausibilidade, o prestador de serviços de auditoria pode conduzir uma avaliação remota completa. Esse formato é, em alguns contextos, chamado de Nível de Avaliação 2.5. A principal vantagem é sua compatibilidade metodológica com o Nível de Avaliação 3, permitindo evolução futura com esforço gerenciável.

Os resultados da auditoria TISAX® são consolidados em um relatório intermediário. Caso sejam identificadas não conformidades ou pontos que exijam tratamento, medidas corretivas podem ser definidas dentro de um prazo acordado.

Essa etapa contribui para que os pontos identificados durante a avaliação sejam tratados de forma estruturada, respeitando os requisitos aplicáveis ao escopo.

O resultado final da avaliação é publicado no portal ENX. A empresa passa a constar como participante do processo TISAX® com o label correspondente ao escopo avaliado.

Diferentemente de modelos tradicionais de certificação, a TISAX® não gera um certificado. O reconhecimento ocorre por meio do registro e do compartilhamento controlado dos resultados dentro do ecossistema ENX.

O relatório final da avaliação é publicado online no portal ENX. Com a conclusão desse processo, sua empresa passa a constar como participante da TISAX® com a respectiva etiqueta de auditoria vinculada ao escopo avaliado.

Quanto custa a avaliação TISAX®?

Dois fatores principais influenciam o escopo da avaliação e, consequentemente, os valores envolvidos no processo:

A avaliação pode ser realizada com base em um escopo mais amplo, em um escopo inicial ou padrão, ou ainda em um escopo mais específico e restrito.
A definição do escopo depende dos objetivos de proteção da empresa, do porte da operação, da quantidade de locais envolvidos e dos requisitos ou solicitações dos clientes que demandam a avaliação TISAX®.

As metas de proteção podem incluir, por exemplo, requisitos relacionados à proteção de protótipos, à proteção de dados e à segurança das informações no contexto da cadeia automotiva.

Se sua empresa deseja entender melhor o procedimento TISAX®, a DQS pode orientar a análise do escopo e apresentar uma proposta de avaliação compatível com o nível e os requisitos aplicáveis ao seu negócio.

Essa é a melhor forma de calcular com precisão o esforço de auditoria necessário e apresentar um orçamento claro, transparente e alinhado às etapas efetivamente exigidas para a avaliação TISAX®.

O que você pode esperar da DQS?

A DQS é uma prestadora de serviços de auditoria aprovada pela Associação ENX para auditorias TISAX®
Auditores brasileiros para realizar as auditorias TISAX® na sua empresa, contribuindo para maior proximidade operacional e eficiência no processo
Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
Auditorias que agregam valor a sua organização
Auditores com experiência prática e alto nível de competência no ramo de atuação da sua empresa
Experiência internacional em auditorias e sistemas de gestão
Presença global com mais de 80 escritório em aproximadamente 66 países
Portfólio com ampla experiência em auditorias e serviços relacionados a sistemas de gestão

A DQS entende o contexto do seu negócio e atua com suporte técnico por meio de especialistas nos níveis local, nacional e internacional
Relatórios de auditoria significativos, com achados relevantes e pontos de melhoria quando aplicável
Propostas claras e transparentes, de acordo com as características e necessidades da empresa
Experiência em auditorias multi-normas (ISO/IEC 27001, ISO/IEC 20000-1, TISAX®, ISO 9001, etc), proporcionando à sua empresa uma amplo atendimento as normas de sistemas de gestão
Atendimento próximo por meio da equipe local da DQS

Avaliação TISAX®

A DQS GmbH é uma participante registrada no TISAX® e passou por uma avaliação TISAX® para o label "Segurança da Informação Very High" no Nível de Avaliação 3. As avaliações TISAX® são realizadas por prestadores de serviços de avaliação credenciados pela ENX. Os resultados das avaliações TISAX® não são destinados ao público em geral. O resultado da avaliação na DQS GmbH está disponível para participantes registrados através do portal ENX: https://portal.enx.com/

Baixe o Documento aqui