- CERTIFICACIÓN
- +34 91 766 31 33
¿Qué es TISAX®?
TISAX® es un programa para evaluar los sistemas de seguridad de la información de las empresas del sector de la automoción. Su objetivo es la protección e integridad de los datos, así como la disponibilidad tanto en el proceso de fabricación de automóviles como durante la operación del vehículo. Detrás de TISAX® se encuentra un Sistema de Gestión de Seguridad de la Información (SGSI) similar al definido por la Norma Internacional ISO 27001. Con base en esta norma, la Asociación Alemana de la Industria Automotriz (VDA) desarrolló un conjunto de catálogos de requisitos (ISA) para la necesidades específicas de la industria automotriz.
La eficacia de un SGSI se puede demostrar superando con éxito una evaluación independiente realizada por un socio autorizado, por ejemplo, TÜV NORD. De ser así, ENX*, la organización que administra y gestiona el programa TISAX®, emite una etiqueta TISAX® en su online platform.
Esta etiqueta es reconocida por todos los miembros de VDA y fabricantes de vehículos como Audi, BMW, Mercedes Benz y Volkswagen, lo que facilita la participación en futuras licitaciones. Los participantes,pueden ser, activos y pasivos, en el programa TISAX® intercambian información sobre el estado de la seguridad de la información mediante la aplicación del portal online. Además de ponerse en contacto entre sí, el intercambio de datos de evaluación a través del portal genera confianza en toda la cadena de suministro. Imprescindible registro en el portal TISAX® para quienes deseen participar
Los participantes pasivos son, por ejemplo, los fabricantes de vehículos. Estos solicitan a otra empresa (por ejemplo, un proveedor), que demuestre que posee ciertas etiquetas TISAX® y que realice la evaluación correspondiente. También solicitan acceso a los resultados de la evaluación..
Los participantes activos o los auditados pueden ser proveedores. Una empresa es requerida por otra empresa (por ejemplo, OEM o fabricante de vehículos) para realizar una evaluación basada en los criterio del catálogo, o realiza la evaluación por iniciativa propia. Después de la evaluación, el participante activo decide quién dentro de la red TISAX® puede tener acceso a los resultados de su evaluación.
Beneficios de TISAX®
- Los criterios de evaluación son especialmente relevantes para el sector de la automoción
- La evaluación y los resultados de la evaluación son consistentes y de alta calidad
- Los procedimientos de evaluación e informe de evaluación están estandarizados
- Los resultados son altamente comparables y significativos
- Se evitan evaluaciones dobles y múltiples
- Se establece un sistema de gestión de riesgos y se reducen los riesgos.
- El esquema goza de amplia aceptación en el sector de la automoción
- Hay un enfoque constante en los requisitos del cliente.
TISAX® en 4 pasos
¿Cómo se procede en una evaluación TISAX®?
La Asociación ENX, como operador del programa TISAX®, ha definido claramente los niveles y alcances de la evaluación. TISAX® diferencia entre tres clases de protección de datos y niveles de evaluación diferentes. Estos dependen del nivel de protección requerido para los datos en cuestión.
Esto está destinado a los requisitos de seguridad normales. El auditado puede alcanzar el nivel 1 mediante una autoevaluación.
El nivel de evaluación 2 está destinado a proveedores y proveedores de servicios con altas necesidades de protección de datos. El requisito previo es que ya se haya realizado una autoevaluación completa. La evaluación de Nivel 2 debe ser realizada por una organización de evaluación (TISAX® AP), y los pasos son los siguientes:
- Reunión de lanzamiento
- Comprobación de la exhaustividad y verosimilitud de la autoevaluación y de las pruebas adecuadas
- Entrevista telefónica a los responsables del Sistema de Gestión de la Seguridad de la Información (SGSI) en base a la verificación de plausibilidad, o inspección in situ si hay participación de terceros y/o protección del prototipo
La evaluación de Nivel 3 establece requisitos muy estrictos en materia de protección de datos. Aquí también, debe participar un proveedor de evaluación (TISAX® AP) y debe estar presente una autoevaluación completa. Los pasos de evaluación son similares a los del Nivel 2, pero con la adición de que los aspectos importantes del sistema de gestión se consideran en una auditoría in situ.
- Reunión de lanzamiento
- Comprobación de la exhaustividad y verosimilitud de la autoevaluación y de las pruebas adecuadas
- Evaluación de la eficacia y nivel de madurez del SGSI mediante una auditoría in situ con los implicados (entrevistas a expertos in situ, inspección de áreas relevantes de la organización)
Después de la evaluación, los resultados y las acciones correctivas necesarias se resumen en un informe preliminar. A continuación, se deben completar dos pasos más para lograr la etiqueta TISAX®:
- Desarrollo de un plan de acción correctivo por parte del auditado y evaluación por parte de la organización de evaluación acreditada - TISAX® Assessment Provider (TISAX® AP).
- Implementación de las acciones correctivas por parte del Auditado y evaluación de su efectividad por parte del TISAX® AP.
Preguntas Frecuentes
TISAX® significa Trusted Information Security Assessment Exchange y describe un procedimiento de evaluación e intercambio para la seguridad de la información en el sector automotriz.
TISAX® fue desarrollado por la Asociación Alemana de la Industria Automotriz (Verband der Automobilindustrie e.V. (VDA)) y es administrado por la Asociación ENX, que monitorea la calidad y los resultados de las evaluaciones.
Todos los proveedores y prestadores de servicios que trabajan con información sensible de los fabricantes de vehículos deberían estar interesados en participar en TISAX®. Por un lado, el esquema les permite cumplir con los requisitos de sus clientes y, por otro, se ahorran evaluaciones repetidas por parte de una variedad de clientes con respecto al contenido idéntico de seguridad de la información.
Las empresas obtienen acceso al portal de intercambio de evaluaciones TISAX® registrándose como participantes en el esquema. Esto es esencial para solicitar una evaluación a una organización de evaluación (TISAX® AP) como TÜV NORD.
Solo los proveedores de evaluación (TISAX® AP) aprobados por ENX pueden realizar evaluaciones TISAX®. TÜV NORD CERT es un socio contractual aprobado de ENX.
El alcance y la duración de la evaluación TISAX® dependen principalmente de los objetivos acordados, la madurez y complejidad del SGSI y la cantidad de sitios a evaluar.
Se permite un período de nueve meses desde la reunión de cierre (es decir, la reunión final de la evaluación inicial) hasta la finalización de todo el procedimiento de evaluación (incluida la revisión de la implementación exitosa de cualquier acción correctiva necesaria). Si no es posible cumplir con el plazo, el proceso debe comenzar de nuevo desde el principio. La etiqueta TISAX® es válida por tres años y luego se requiere una nueva evaluación.
Para recibir una oferta para una evaluación TISAX®, el primer paso es registrarse en el portal ENX e ingresar la información requerida. Hemos recopilado información detallada sobre el proceso de consulta aquí.
La Asociación ENX ha reunido información detallada en un manual para participantes en el sitio website.
Evaluaciones TISAX® con TÜV NORD
TÜV NORD es su socio preferido cuando se trata de demostrar la calidad de su Sistema de Gestión de Seguridad de la Información (SGSI), y hemos sido acreditados para la auditoría y certificación de SGSI con el organismo de acreditación oficial alemán (DAkkS) durante muchos años. Específicamente para el sector automotriz, TÜV NORD está aprobado como proveedor de evaluación TISAX® (TISAX® AP) por la Asociación ENX, con autoridad para realizar evaluaciones en todo el mundo.
*Aviso: TÜV NORD CERT GmbH está autorizado por ENX para ofrecer servicios de evaluación TISAX®. La propiedad intelectual asociada con el programa TISAX® y las marcas comerciales relacionadas son propiedad de ENX.