TISAX® Certification and Assessment

Evaluación TISAX® - Seguridad de la información en la industria del automóvil

¿Es usted proveedor o prestador de servicios de automoción? Entonces tiene que demostrar la disponibilidad de sus servicios o la seguridad de la información sensible que recibe. También se espera de usted que demuestre la correcta manipulación de los prototipos. Como participante en el proceso TISAX®, esto es posible mediante la correspondiente evaluación, que sólo debe realizarse cada tres años. La certificación TISAX® es válida para todos los sectores y define los requisitos de seguridad de la información de su empresa.

Reconocimiento mutuo entre todos los participantes en TISAX®

Los proveedores y prestadores de servicios logran una mayor confianza en su empresa auditada

La evaluación para la certificación TISAX® tiene lugar sólo cada tres años

Ahorro de tiempo y costes al participar en la red TISAX®

Información básica sobre la evaluación TISAX®

TISAX® es un procedimiento de evaluación e intercambio común para el sector del automóvil. Se basa en el cuestionario (ISA - Information Security Assessment) desarrollado por el grupo de trabajo de la VDA "Seguridad de la Información", que a su vez se basa en aspectos clave de la norma internacional ISO/IEC 27001 y se ha ampliado para incluir un modelo de madurez.

ISA también hace referencia a la norma ISO/SAE 62443-2-1 para sistemas de control industrial para la automatización y supervisión de instalaciones de producción industrial (IACS) y tecnologías operativas (OT).

Además, los organismos responsables de la Asociación Alemana de la Industria del Automóvil (VDA) han creado las condiciones para establecer el mecanismo conjunto de evaluación e intercambio bajo el nombre de TISAX® (Trusted Information Security Assessment eXchange). TISAX® es una marca registrada de la Asociación ENX. La Asociación de fabricantes europeos de automóviles, proveedores de automóviles y asociaciones de automoción supervisa la calidad de las evaluaciones TISAX® y controla la aprobación de los proveedores de servicios de auditoría TISAX®.

Ya se han evaluado más de 10.000 emplazamientos según TISAX®, lo que convierte a esta norma en el segundo conjunto de reglas para la seguridad de la información más implantado en todo el mundo después de ISO 27001. VDA y ENX han formado grupos de trabajo internacionales para TISAX® y el catálogo ISA para seguir desarrollando la norma. Al mismo tiempo, esto promueve una cooperación más estrecha con la industria automovilística mundial. Con TISAX® 6.0, la forma actualizada del procedimiento de evaluación e intercambio se publicó en otoño de 2023.

Mostrar menos

TISAX® 2.2 - Obligatorio a partir del 1 de abril de 2024 - Notas de transición

Las evaluaciones TISAX® que se hayan encargado antes del 31 de marzo de 2024 podrán realizarse según la antigua versión 5.1 de la ISA. Las evaluaciones iniciales o de recertificación encargadas a partir del 1 de abril de 2024 se realizarán exclusivamente según el nuevo procedimiento TISAX® conforme al catálogo 6.0 de la ISA. Las actividades de auditoría que dependan de auditorías existentes, como las evaluaciones del plan de acciones correctivas, las evaluaciones de seguimiento, las evaluaciones de ampliación del alcance o las evaluaciones continuadas de grupos simplificados, seguirán realizándose de acuerdo con la versión con arreglo a la cual se realizó la auditoría original.Encontrará información sobre los principales cambios de la nueva NIA 6.0 en la entrada de nuestro blog https://www.dqsglobal.com/de-de/wissen/blog/isa-katalog-6-0-ab-2024

El nuevo Catálogo ISA 6.0 es un hito importante para TISAX®. El catálogo de evaluación conlleva ajustes de los requisitos para los proveedores de auditoría, que se definieron en el reglamento TISAX® ACAR 2.2. El cambio del idioma principal al inglés subraya la perspectiva global y los esfuerzos conjuntos para el desarrollo mundial. Están previstas más traducciones de TISAX® VDA 6.0. Los cambios más importantes del nuevo catálogo ISA 6.0 son:Cambios en las etiquetas de seguridad:

La etiqueta Seguridad de la información se sustituye por las etiquetas Disponibilidad y Confidencialidad. Dependiendo de su función en la cadena de suministro, la Disponibilidad o la Confidencialidad, o ambas, pueden ser relevantes para usted.
Una etiqueta existente de “Seguridad de la información alta” se sustituirá por las etiquetas combinadas de “Disponibilidad alta” y “Confidencialidad alta”. Lo mismo se aplica a una etiqueta existente de “Seguridad de la información muy alta”. Se sustituirá por “Disponibilidad muy alta” y “Confidencialidad estricta”.
Ambas etiquetas deben cumplir el mismo conjunto de requisitos básicos. Además, cada etiqueta tiene requisitos específicos para las necesidades de protección alta y muy alta. El proceso de evaluación se rige por las etiquetas, teniendo en cuenta su papel en la cadena de suministro. Por tanto, merece la pena comprobar con sus clientes qué etiquetas son pertinentes para su función.

Mayor atención a la seguridad de la información y los sistemas de OT en la cadena de suministro

Las empresas pertinentes de la cadena de suministro deben cumplir requisitos de “alta disponibilidad” o “muy alta disponibilidad”.
Énfasis en los sistemas de Tecnología Operativa (OT) en producción y otras áreas en la evaluación TISAX®.
Las referencias a IEC 62443-2-1 y los nuevos requisitos del catálogo ISA fomentan el enfoque OT.
Inclusión de sistemas industriales de comunicación y control (IACS).
Las empresas de esta categoría deben demostrar una protección adecuada de los datos sensibles en el desarrollo y la producción.
Muchos de los requisitos se solapan con los de “Alta sensibilidad” o “Muy alta sensibilidad”.
Las empresas de la cadena de suministro que no son de alta relevancia pero a las que se confía información sensible deben demostrar que esta información puede protegerse adecuadamente.
Las etiquetas “Alta Confidencialidad” o “Confidencialidad Estricta” se utilizan para seleccionar los requisitos TISAX® que contribuyen a este objetivo de protección.
El principal objetivo de la evaluación selectiva descrita anteriormente es garantizar que las empresas sólo tengan que cumplir los requisitos del catálogo ISA que sean pertinentes para su función.

Nuevos retos para las empresas de fabricación

Los sistemas OT deben estar sujetos a una gestión similar a la que se exige generalmente para los sistemas TISAX®.
Como resultado, la OT en la gestión de activos se identifica con sus riesgos específicos, se analiza en busca de vulnerabilidades potenciales, se gestiona por empleados competentes, se somete a procesos conformes con el SGSI para el mantenimiento remoto y otras mejores prácticas de gestión.

Mostrar menos

¿Cuáles son las ventajas de una evaluación TISAX® para su empresa?

Como proveedor o prestador de servicios de automoción, tiene que demostrar a sus clientes que cumple sus requisitos de seguridad de la información. Hasta ahora, estas evaluaciones las realizaban principalmente los propios fabricantes. Los participantes registrados en la red TISAX® pueden seleccionar un proveedor de servicios de evaluación a través de una plataforma común en línea y encargar una evaluación. Las ventajas para las empresas superan a las desventajas:

Se pueden evitar las evaluaciones duplicadas y múltiples por parte de diferentes clientes, lo que ahorra tiempo y dinero.
Reconocimiento interempresarial de las evaluaciones para los participantes en TISAX®.
Resultados fiables gracias al catálogo de evaluación armonizado, que garantiza un proceso de evaluación coherente.
Mayor confianza en la empresa evaluada gracias a la etiqueta TISAX®.

Tras una evaluación satisfactoria, recibirá una etiqueta TISAX® en la plataforma en línea TISAX®. Esta etiqueta es comparable a un certificado y sirve para reforzar la confianza en su empresa y confirmar sus esfuerzos por garantizar la seguridad de la información.

Mostrar menos

¿Cómo funciona TISAX®?

En TISAX® , los participantes pueden adoptar dos papeles diferentes: el "consumidor de información" (pasivo), por ejemplo es un fabricante que desea recibir información sobre un proveedor, y el "contribuyente de información" (activo), por ejemplo, un proveedor de piezas o de servicios que desea ser auditado para recibir pedidos de los fabricantes.

Una empresa también puede asumir ambos papeles de participante. Quien desee participar en TISAX® como contribuyente de información debe seguir los cuatro pasos principales siguientes

Registrarse en línea en www.enx.com/TISAX
Seleccionar un proveedor de servicios de auditoría aprobado por ENX, como DQS
Someterse a una evaluación TISAX®
Intercambiar los resultados de la auditoría en la plataforma online de TISAX®

Si una empresa está interesada en tus resultados TISAX®, puede registrarse en ENX como "Consumidor de información". Puedes decidir para cada Consumidor de Información si quieres compartir tu estado actual de TISAX® con ellos.

Mostrar menos

¿Cómo funciona una evaluación TISAX®?

Antes de comenzar con la evaluación TISAX®, su empresa debe definir un alcance claro. Esto incluye el nivel de evaluación, que define los requisitos específicos de la evaluación. Estos requisitos pueden incluir asegurar la "disponibilidad" de las capacidades de producción, garantizar la "confidencialidad" de la información confiada o asegurar las "piezas prototipo" y los "datos personales". Estos criterios básicos se aplican a todos los centros incluidos en el ámbito de aplicación.
Un reto clave es combinar centros con requisitos similares en un único ámbito de aplicación. El DQS puede proporcionar una valiosa orientación sobre si se trata de un único ámbito global o de varios. En principio, la combinación de centros en un único ámbito presenta ventajas, como la posible reducción del esfuerzo de auditoría si todos los centros operan con un SGSI centralizado.

En el primer paso, se selecciona un proveedor de servicios de auditoría autorizado. En el segundo paso, hay un inicio, la revisión de documentos (autoevaluación, no in situ) y una evaluación posterior (Nivel 2: no in situ, Nivel 3: in situ).
Tenga en cuenta: existe un método alternativo para realizar una evaluación en el Nivel 2 de evaluación. En lugar de una comprobación de plausibilidad, el proveedor de servicios de auditoría realiza una evaluación remota completa. Este método se denomina a veces «Nivel de evaluación 2.5». La ventaja de un Nivel de Evaluación 2.5 es que el enfoque es metodológicamente compatible con el Nivel de Evaluación 3. Por lo tanto, es posible pasar más adelante a un examen completo de evaluación de nivel 3 con un esfuerzo razonable.

Los resultados de la auditoría TISAX® se registran en un informe provisional. En caso de no conformidad, se acuerdan las medidas que deben aplicarse. Si es necesario, se determina la aplicación de las medidas en un plazo acordado. Este procedimiento garantiza que todos los problemas detectados se aborden con eficacia y prontitud.

Una vez cerradas las no conformidades, se realiza una revisión de la eficacia para validar el cierre de las no conformidades y evaluar la eficacia general de las medidas correctoras adoptadas.

El resultado final se publicará en línea en el portal ENX®. Su empresa figurará entonces como participante en el proceso TISAX® con la etiqueta de prueba correspondiente. A diferencia de otras certificaciones, no existe un certificado TISAX®.

¿Cuánto cuesta la evaluación TISAX®?

Hay dos factores importantes que influyen en el alcance de toda la evaluación y, por tanto, en los costes. Las evaluaciones son posibles sobre la base de un alcance ampliado, un alcance estándar o un alcance restringido. Su decisión sobre el alcance debe estar bien preparada y determinada por los objetivos de protección deseados, pero también por el tamaño de su empresa.

Los objetivos de protección, por ejemplo, se refieren a si quiere incluir en la evaluación temas como la protección de prototipos o la protección de datos. Si desea participar en el procedimiento TISAX®, hable con DQS, su proveedor de servicios de auditoría autorizado, lo antes posible. Sólo así podremos determinar el cálculo correcto del alcance de la evaluación y ofrecerle un presupuesto fiable del coste de su certificación TISAX®.

Mostrar menos

Lo que puede esperar de nosotros

DQS es un proveedor de servicios de auditoría aprobado por la Asociación ENX
Una visión de valor añadido sobre la seguridad de la información en su organización
Acreditaciones para todas las normativas relevantes del sector de la automoción
Auditores con experiencia en el sector y expertos en la materia

Más de 35 años de experiencia en la certificación de sistemas y procesos de gestión
Certificados con aceptación internacional
Asistencia personal y fluida de nuestros especialistas, a nivel regional, nacional e internacional
Ofertas individuales con condiciones contractuales flexibles sin costes ocultos

Mostrar menos