As relações comerciais envolvem a entrega de serviços e/ou produtos, bem como a troca de uma grande quantidade de informações, que é considerada o elemento mais valioso para uma organização.
Nos dias de hoje, a globalização das relações, bem como o networking, tem trazido grandes benefícios para as empresas, como o acesso aos mercados internacionais, redução dos custos de produção, maior competitividade e qualidade dos serviços, mas tudo isto assumindo riscos, até então desconhecidos, devido aos vários processos tecnológicos que o tornam possível.
Por isso, as organizações devem controlar os riscos aos quais estão expostas, estabelecendo medidas padronizadas de segurança da informação para todos os atores envolvidos, o que garante proteção em toda a cadeia de valor.
Nesse sentido, a Associação Alemã da Indústria Automotiva (VDA) desenvolveu uma metodologia para avaliar a segurança da informação de maneira uniforme na indústria automotiva chamada TISAX (Trusted Information Security Assessment Exchange).
O que é TISAX?
Trata-se de uma norma de segurança cujo objetivo é garantir e credenciar a segurança da informação aplicada, entre outros, a fornecedores relacionados aos principais fabricantes automotivos alemães.
Baseia-se em uma abordagem orientada para a maturidade de segurança que visa estabelecer níveis padronizados de segurança da informação na indústria, economizar custos e esforços entre fabricantes e fornecedores, bem como permitir um reconhecimento comum dos esforços feitos para a proteção da informação.
Requisitos para conformidade com TISAX
Os requisitos para estar em conformidade com o padrão TISAX são desenvolvidos na versão atual 5.1 do módulo “Segurança da Informação” da VDA, que contém todos os controles de segurança necessários aplicáveis a empresas e funcionários da indústria automotiva.
Os requisitos do VDA são divididos em três blocos de controles:
- Segurança da informação: 41 questões de segurança distribuídas nos seguintes blocos:
- Políticas de Segurança da Informação
- Organização de segurança da informação
- Gestão de ativos
- Gestão de Riscos
- Avaliações
- Gerenciamento de incidentes
- Recursos humanos
- Segurança física e continuidade de negócios
- Gerenciamento de identidade
- Gerenciamento de acesso
- Criptografia
- Segurança das operações
- Compras, gerenciamento de requisitos e desenvolvimento de sistemas
- Relações com fornecedores
- Conformidade
- Proteção de Protótipo: 22 questões distribuídas nos seguintes blocos:
- Segurança física e ambiental
- Requisitos organizacionais
- Movimentação de veículos, componentes e peças
- Requisitos aplicáveis aos veículos de ensaio
- Requisitos de eventos e filmagens
- Proteção de Dados: Estabelecimento de um bloco único com 4 perguntas sobre proteção de dados pessoais.
Para cada uma das questões de controle, são estabelecidos os objetivos a serem alcançados pelas organizações, detalhando os objetivos considerados obrigatórios (devem), objetivos a serem levados em consideração (deveriam), bem como requisitos para altas necessidades de proteção e adicionais para necessidades de proteção muito altas.
A tabela a seguir resume os objetivos de segurança a serem atendidos pelas organizações:
| Evaluation objective | Applicable requirements |
|---|---|
| High protection information | All requirements of the criteria catalog "Information Security" ("Requirements (must)" and "Requirements (should)") Additionally "Requirements for high protection needs" (if applicable) |
| Very high protection information | All requirements of the "Information Security" criteria catalog ("Requirements (must)" and "Requirements (should)") Additionally "Requirements for high protection needs" and "Requirements for very high protection needs" (if applicable) |
| Protection of parts and components | All requirements applicable to "High Protection Information" plus the requirements of the "Protection of Prototypes" chapter: • Physical and environmental security • Organizational requirements • Handling of vehicles, components and parts |
| Protection of prototype vehicles | All requirements applicable to "High Protection Information" plus the requirements of the "Protection of Prototypes" chapter: • Physical and environmental security • Organizational requirements • Handling of vehicles, components and parts |
| Handling of test vehicles | All requirements applicable to "High Protection Information" plus the requirements of the chapter "Protection of Prototypes": • Organizational requirements • Handling of vehicles, components and parts • Requirements for test vehicles |
| Protection at events and filming | All requirements applicable to "High Protection Information", plus the requirements of the "Protection of Prototypes" chapter: • Organizational requirements • Handling of vehicles, components and parts • Requirements for events and filming |
| Data protection | All requirements applicable to "Highly Protected Information" plus the requirements of the "Data Protection" chapter. |
| Protection special data categories | All requirements applicable to "Very Highly Protected Information" plus the requirements of the "Data Protection" chapter. |
O formulário onde são definidos os requisitos TISAX deve ser preenchido, de acordo com os critérios da tabela acima, indicando o nível de maturidade para cada uma das questões definidas, sendo um requisito fundamental para atingir uma pontuação igual ou superior a 3, com base nos 6 níveis de maturidade estabelecidos:
- Nível 0: Incompleto
- Nível 1: Realizado
- Nível 2: Gerenciado
- Nível 3: Estabelecido
- Nível 4: Previsível
- Nível 5: Otimizado
Como obter a certificação em TISAX?
O primeiro passo é se registrar online no ENX (European Network Exchange) coletando informações essenciais sobre a organização, como:
- Nome do participante.
- Contato principal.
- Endereço do participante.
- Escopo da avaliação.
- Alcance os locais.
A segunda etapa consiste na avaliação da norma, diferenciando entre 3 níveis:
- Nível 1: Definido para provedores que precisam apenas preencher o questionário VDA e publicar a autoavaliação.
- Nível 2: Estabelecido para provedores mais complexos, onde a autoavaliação do VDA deve ser concluída e uma verificação aleatória por um provedor de auditoria deve ser realizada por videoconferência ou chamada telefônica.
- Nível 3: Definido para os fornecedores que lidam com dados externos altamente confidenciais, onde é necessária uma auditoria no local por um fornecedor de auditoria credenciado.
Por fim, após a realização da auditoria, é emitido um relatório com os resultados obtidos pela organização e, se estes forem satisfatórios, é entregue uma certificação que comprove isso. O certificado TISAX é válido por 3 anos e não são realizadas auditorias anuais de acompanhamento para verificar a correta aderência à norma.
Como podemos ajudá-lo na adaptação ao TISAX?
A implementação do TISAX é essencial para os fornecedores relacionados à indústria automotiva e que precisam proteger as informações que gerenciam em uma organização. Nesse sentido, a GlobalSuite Solutions fornece suporte essencial para a implementação do TISAX e ajuda as organizações a gerenciar com mais eficiência os controles de segurança em vigor.
Entre em contato conosco e descubra como podemos ajudar sua organização a cumprir os controles em vigor, proteger suas informações e melhorar a segurança das informações da empresa!
