TISAX (Trusted Information Security Assessment Exchange)
Seguridad de la información para la industria de la automoción
¿QUÉ ES TISAX?
Muchos proveedores de productos y servicios en la industria de la automoción procesan información muy sensible de sus clientes. Por ello, sus clientes demandan regularmente pruebas del cumplimiento de los estrictos requisitos de seguridad de la información.
En la mayoría de los casos, estas pruebas se proporcionan con la ayuda de los catálogos de criterios de Evaluación de Seguridad de la Información (ISA) desarrollados por la Asociación Alemana de la Industria Automotriz (VDA). Sin embargo, como los fabricantes individuales han llevado a cabo estas ISA para sus proveedores de forma independiente hasta ahora, muchos proveedores han tenido que someterse a la misma evaluación varias veces.
Para reducir estos esfuerzos y gastos innecesarios, a principios de 2017 VDA dio forma a TISAX (Trusted Information Security Assessment Exchange), un nuevo mecanismo de evaluación e intercambio. La plataforma online TISAX está diseñada para apoyar el reconocimiento entre empresas de la industria automotriz de evaluaciones de seguridad de la información. Al compartir online en TISAX sus resultados de ISA, las empresas permiten a los OEM verificar por sí mismos si un proveedor ya ha completado con éxito la evaluación. Además, TISAX se puede utilizar para contratar a proveedores de auditoría como TÜV SÜD para llevar a cabo una evaluación. Los resultados de tales evaluaciones son válidos por tres años.
Después de registrarse, las empresas y los proveedores de auditoría pueden acceder a la plataforma y compartir información. VDA ha optado por la Asociación ENX como operador TISAX y organismo de tercera parte.
Los participantes de TISAX pueden:
- Contratar proveedores de servicios acreditados para llevar a cabo evaluaciones.
- Compartir los resultados de las evaluaciones finalizadas con otros participantes.
- Ver los resultados de otros participantes.
SUS BENEFICIOS DE UN VISTAZO
- Sin duplicación o multiplicación de evaluaciones.
- Grandes ahorros de tiempo y costes gracias al reconocimiento de evaluaciones e información entre compañías.
- Confianza en las empresas evaluadas.
Las evaluaciones solo pueden ser realizadas por proveedores de auditoría específicamente acreditados para TISAX.
TÜV SÜD se encuentra actualmente en proceso de acreditación y puede realizar evaluaciones TISAX.
Importante: Usted mantiene el control de sus resultados en todo momento; esta información solo se puede intercambiar y compartir después de la aprobación previa
¿CUÁLES SON LOS DIFERENTES NIVELES DE EVALUACIÓN?
Hay tres niveles de evaluación:
Nivel 1: Los proveedores estándar solo necesitan completar el cuestionario ISA y publicar esta autoevaluación en TISAX.
Nivel 2: En el caso de proveedores más complejos, la autoevaluación será seguida de verificaciones aleatorias de plausibilidad por teléfono por parte de un proveedor de auditoría aprobado.
Nivel 3: Los proveedores que manejan datos externos altamente sensibles se someten a una inspección in situ realizada por un proveedor de auditoría aprobado en función de su autoevaluación.
LA EVALUACIÓN EN 6 PASOS
PASO 1: CLASIFICACIÓN
En el paso 1, los proveedores son clasificados por un OEM / cliente en función de la sensibilidad de los datos involucrados.
Paso 2: REGISTRO
En el siguiente paso se registran con ENX, incluyendo su número de alcance.
PASO 3: EVALUACIÓN
TÜV SÜD realiza la evaluación de acuerdo con el nivel solicitado.
PASO 4: INFORME
La compañía evaluada recibe el informe de los auditores de TÜV SÜD.
PASO 5: ELIMINACIÓN DE LAS VULNERABILIDADES
La empresa sometida a evaluación elimina las vulnerabilidades identificadas.
PASO 6: SUBIR EL INFORME
El informe completo se sube a la plataforma de intercambio. El intercambio de estos resúmenes solo es posible entre los participantes registrados y únicamente después de que la empresa evaluada haya indicado expresamente que desea compartir los resultados con la empresa que realiza la solicitud.