Auditoria VCS: Segurança cibernética de acordo com o padrão ENX

Auditoria VCS - Vehicle Cybersecurity in the Automotive Industry (Cibersegurança veicular na indústria automotiva)

Sua empresa está desenvolvendo, fabricando ou é responsável pela manutenção a longo prazo de componentes VCS que são integrados à arquitetura de cibersegurança de um veículo? Se sim, você precisa demonstrar que atende aos requisitos contratualmente garantidos da ISA/SAE 21434 durante todo o ciclo de vida do veículo.

Como participante do programa VCS, sua empresa pode fazer isso por meio de auditorias apropriadas que devem ser conduzidas a cada três anos e durante toda a duração de suas obrigações contratuais. A certificação VCS é aplicável a todas empresas de qualquer tamanho ou setor e define requisitos para o seu Sistema de Gestão de Segurança Cibernética (CSMS) em todos os ciclos de vida relevantes dos seus componentes VCS.

Um pré-requisito para a realização da auditoria VCS é que a empresa possua um Sistema de Gestão de Segurança da Informação (ISMS) de acordo com a TISAX® e um Sistema de Gestão da Qualidade (QMS) de acordo com a ISO 9001

Reconhecimento mútuo entre todos os participantes do VCS.

Fornecedores e prestadores de serviços ganham mais confiança na sua empresa auditada.

Auditoria de certificação VCS é realizada uma única vez a cada três anos.

A adesão ao programa VCS economiza tempo e dinheiro.

Informações básicas sobre auditorias VCS

VCS é um programa comum de auditoria e troca de resultados para empresas da indústria automotiva. É baseado no questionário Vehicle Cyber Security Audit (VCSA). O VCS é um programa de auditoria padronizado internacionalmente e implementa os aspectos essenciais das normas internacionais ISO/SAE 21434 e ISO/PAS 5112 para Sistemas de gestão de cibersegurança (CSMS).

Ao abrigo da UN R 155, os fabricantes de veículos rodoviários são obrigados a assumir a responsabilidade pela segurança cibernética dos seus veículos. Neste contexto, a cibersegurança refere-se à segurança e fiabilidade de todos os componentes baseados em TI de um veículo. Ao contrário dos componentes puramente eletrônicos ou controlados fisicamente, os componentes do VCS são acionados por software. Isto permite que um veículo adapte dinamicamente o seu comportamento de condução ao condutor e ao ambiente, estacione-se ou inicie uma travagem de emergência. As soluções by-wire, há muito utilizadas na aviação, permitem novas soluções de design para habitáculos, manobras mais fáceis nos centros das cidades graças a ângulos de direção mais elevados a baixas velocidades (steer-by-wire) ou travões de estacionamento totalmente automáticos (brake-wire).

A arquitetura de cibersegurança dos veículos rodoviários baseia-se na interação eficaz de muitos componentes VCS, que juntos implementam as funcionalidades do veículo e muitas vezes vêm de fornecedores externos. Com o VCS, os fabricantes podem obter uma comprovação de seus fornecedores de que os componentes VCS podem ser projetados, produzidos e mantidos de forma segura a longo prazo, sob as regras eficazes de um CSMS.

Mesmo daqui a 10 anos, ainda deve ser possível para um fornecedor contratado fornecer uma atualização para seus componentes a fim de resolver um novo problema de segurança que tenha surgido. Nossas auditorias VCS são projetadas para verificar esse compromisso.

Semelhante a TISAX ® , o VCS possui um mecanismo de troca para os resultados das auditorias ENX VCS. O VCS é um mecanismo de auditoria da Associação ENX. Uma associação de fabricantes automotivos europeus, fornecedores automotivos e associações automotivas que monitora a qualidade das auditorias VCS e controla a aprovação dos prestadores de serviços de auditoria VCS.

Mostrar mais

Mostrar menos

Quais são os benefícios de uma auditoria VCS para sua empresa?

Como prestador de serviços ou fornecedor de componentes VCS, você assume a responsabilidade perante os fabricantes por certas atividades que determinam a cibersegurança dos componentes. Com uma auditoria VCS, você não recebe apenas a comprovação de conformidade da DQS, mas também se envolve proativamente na gestão de riscos. Particularmente em relação a obrigações de prazo muito longo, podemos ajudá-lo a garantir que suas medidas sejam adequadas a longo prazo. No passado, essas auditorias eram realizadas principalmente pelos próprios fabricantes. Os participantes registrados na rede VCS podem selecionar um prestador de serviços de auditoria e encomendar uma auditoria VCS através de uma plataforma online comum. As vantagens para as empresas superam as desvantagens.:

A duplicação e as múltiplas auditorias por diferentes clientes podem ser evitadas, economizando tempo e dinheiro.
Reconhecimento cruzado de auditorias entre empresas participantes do VCS.
Resultados confiáveis graças ao catálogo de auditoria VCSA harmonizado, que garante um processo de auditoria consistente.
Aumento da confiança na sua organização auditada com um ou mais selos VCS chamados "Desenvolvimento VCS", "Produção VCS" ou "Operações e Manutenção VCS".

Após uma auditoria bem-sucedida, você receberá seus selos VCS na plataforma online do VCS. Esses selos são comparáveis a certificados e servem para confirmar suas capacidades como fornecedor VCS.

Mostrar mais

Mostrar menos

Como funciona o VCS?

No VCS, os participantes podem assumir dois papéis diferentes: o "Consumidor de Informações" (passivo), por exemplo, um fabricante que deseja receber informações sobre um fornecedor, e o "Contribuidor de Informações" (ativo), por exemplo, um fornecedor ou prestador de serviços VCS que gostaria de ser auditado para verificar sua adequação e assim receber pedidos de fabricantes.

Uma empresa também pode assumir ambos os papéis de participante. Qualquer pessoa que deseje participar do VCS como um Contribuidor de Informações deve seguir os seguintes quatro passos principais:

1. Registre-se online em www.enx.com/VCS

2. Selecione um provedor de serviços de auditoria aprovado pela ENX, como a DQS

3. Submeta-se a uma auditoria ENX VCS

4. Troca de resultados da auditoria na plataforma online do VCS.

Se uma empresa estiver interessada nos seus resultados VCS, ela pode se registrar na ENX como um "Consumidor de Informações". Você pode decidir para cada Consumidor de Informações se deseja compartilhar seu status atual do VCS com eles.

Mostrar mais

Mostrar menos

Como funciona uma auditoria VCS?

Antes de começar com a auditoria VCS, sua empresa deve definir um escopo claro. Isso inclui determinar por quais atividades VCS sua empresa é responsável. Se essas forem atividades de desenvolvimento VCS, você deve cumprir os requisitos do "Desenvolvimento VCS". Se sua empresa for responsável pela produção segura e configuração básica dos componentes VCS, você deve cumprir os requisitos da "Produção VCS". Se sua empresa for responsável pela operação e manutenção a longo prazo dos componentes VCS, você deve cumprir os requisitos das "Operações e Manutenção VCS".

O CSMS central será auditado no local que controla principalmente o CSMS. A eficácia do CSMS central é auditada nos locais onde as atividades VCS do CSMS são realizadas. Portanto, todos os locais onde essas atividades VCS distribuídas ocorrem são incluídos no escopo da auditoria. No entanto, durante o curso da auditoria, uma amostra de projetos VCS é selecionada para determinar quais locais estão realmente incluídos na auditoria. Em princípio, todos os locais em questão devem ter um selo TISAX^® válido no momento da auditoria.

No primeiro passo, você seleciona a DQS como seu provedor de auditoria aprovado.
No segundo passo, é realizada uma reunião de kick-off para orientar todas as partes responsáveis às expectativas da equipe de auditoria.
No terceiro passo, você realiza uma autoavaliação do seu CSMS central usando o catálogo de auditoria VCSA e compila um pacote de documentos referenciados no catálogo que você disponibiliza para a equipe de auditoria.
No quarto passo, o auditor líder conduz uma revisão de todos os documentos fornecidos.
No quinto passo, seu CSMS central é auditado e avaliado quanto à conformidade com o VCSA.
No sexto passo, uma amostra aleatória de seus projetos VCS é selecionada com base em critérios de risco.
No sétimo passo, os projetos VCS amostrados são auditados para garantir que os requisitos do CSMS tenham sido implementados. Isso é feito através da auditoria dos líderes de equipe do projeto e revisão dos produtos de trabalho exigidos pela ISO/SAE 21434.

Os resultados da auditoria VCS são registrados em um relatório provisório. Em caso de não conformidades, são acordadas medidas a serem implementadas. Se necessário, a implementação das medidas é determinada dentro de um período acordado. Este procedimento garante que todas as não conformidades identificadas sejam abordadas de forma eficaz e rápida.

Uma vez que as não conformidades tenham sido fechadas, é realizada uma revisão de eficácia para validar o fechamento das não conformidades e avaliar a eficácia geral das ações corretivas tomadas.

O resultado será publicado online no portal da ENX®. Sua empresa então será listada como participante no processo VCS com os selos correspondentes.

Quanto custa uma auditoria VCS?

Os selos VCS necessários determinam quais capítulos específicos do VCSA são auditados: Desenvolvimento VCS, Produção VCS, Operações e Manutenção VCS. Como resultado, o número exato de dias de auditoria necessários para uma auditoria VCS variará de uma organização para outra. Durante a auditoria, poderão ser necessários dias adicionais de auditoria. Isto, por sua vez, influencia o âmbito da auditoria e, portanto, o custo.

O número total de projetos VCS determina o tamanho mínimo da amostra. Isso determina quais equipes de projeto em quais locais serão auditadas.

O que você pode esperar de nós

A DQS é um fornecedor de serviços de auditoria aprovado pela Associação ENX
Nosso objetivo é fornecer Insights e auditorias que agregam valor sobre a segurança da informação da sua organização
Possuímos acreditações para todas as normas automotivas relevantes
Auditores experientes e especialistas no setor automotivo e de segurança da informação (ISO/IEC 27001, ISO/IEC 20000-1, TISAX® , ISO 9001, etc)
Mais de 35 anos de experiência na certificação de sistemas e processos de gestão
Propostas claras e transparentes de acordo com as características da empresa
Certificados com aceitação internacional
Presença global com mais de 80 escritório em aproximadamente 66 países
Portfólio que inclui mais de 200 serviços em certificações de sistemas de gestão
A DQS entende o seu negócio e trabalha de forma a dar suporte a sua empresa através dos nossos especialistas - a nível local, nacional e internacional
Relatórios de auditoria significativos, incluindo recomendações de ações e pontos de melhoria
Pronto atendimento para a sua empresa, através de equipe da DQS local