Certificação TISAX

ENX Association

Webinar

São Bernardo do Campo | 06.04.2021 Data classification: Internal

Agenda
Tisax – Trusted Information Security Assessment Exchange

1. O que é Tisax
2. O processo TISAX
3. Tempo de avaliação
4. Termos / papéis
5. Tisax scope
6. Objetivos / níveis de avaliação e proteção TISAX
7. Compartilhamento / divulgação de resultado
8. Ferramentas homologadas de conexão
9. Tipos de conexão
10.Tipos de custos
11.Links de referencia

2 06.04.2021 | B-RS Group Security Region SAM

Tisax - Trusted Information Security Assessment EXchange

O que é TISAX ? O que é a ENX ? O que é o VDA ISA ?

 É o certificado/ rótulo e  É uma Associação que  É o catálogo de teste do

modelo de teste da VDA monitora a qualidade da VDA, baseia-se na
ISA implementação e os norma ISO 27001
 A plataforma online resultados das avaliações internacionalmente
TISAX permite que os  Garante um alto grau de reconhecida e inclui
participantes transparência e fortalece catálogos de critérios
compartilhem os dados a confiança entre os especiais para o setor
da avaliação respectivos clientes automotivo

3 06.04.2021 | B-RS Group Security Region SAM

Processo Tisax

O processo TISAX geralmente

começa com a solicitação da
montadora aos seus fornecedores
para que atestem um nível definido
de gerenciamento de segurança da
informação de acordo com os
requisitos da "Avaliação de
Segurança da Informação da VDA"
4º (VDA ISA).
3º
Para atender a essa solicitação, sua
2º
organização deve concluir o
processo TISAX em 4 etapas.

Preenchimento dos documentos

1º NDA VWB e Orga 27 com as áreas de Negócio

4 06.04.2021 | B-RS Group Security Region SAM

 Tempo de avaliação
 A duração total do processo TISAX dependerá de
vários fatores.

 A grande variação dos tamanhos das organizações, os

objetivos de avaliação e a respectiva prontidão de um
sistema de gerenciamento de segurança da
informação contribuirão para o tempo total do
processo.

 No entanto, o TISAX define uma duração máxima de

9 meses para todo o processo de avaliação.

5 06.04.2021 | B-RS Group Security Region SAM

Tisax - Termos e papéis

Participante ativo
 Fornecedor/ Auditado: organização que deve demonstrar a eficácia do seu
sistema de gerenciamento de segurança da informação (SGSI) com a marca TISAX
a pedido de um de seus clientes "participante passivo“.

Participante passivo
 Cliente/ Montadora: organização que solicita a seus parceiros de negócios
relevantes ("participantes ativos") que demonstrem a eficácia de seu SGSI com a
marca TISAX correspondente.

Provedor de auditoria
 Certificadora credenciada pela TISAX, aprovado pela ENX para realizar as
avaliações.

6 06.04.2021 | B-RS Group Security Region SAM

Tisax Scope Excerpt
 ID de participante
 ID de escopo
 ID do local

A consultoria selecionada
analisará quais avaliações
deverão ser realizadas, em
quais locais (sites) e
definição dos objetivos à
serem auditados acordados
entre montadora e
fornecedor.

7 06.04.2021 | B-RS Group Security Region SAM

 Tisax
Objetivos e níveis da avaliação Tisax
No. TISAX Assessment objective Abbreviation No. TISAX assessment objective Assessment level (AL)
1. Information with high protection needs Info high 1. Information with high protection needs AL 2
2. Information with very high protection needs Info very high 2. Information with very high protection needs AL 3
3. Data protection Data 3. Data protection AL 2
According to article 28 (“Processor”) of the European General Data Protection According to article 28 (“Processor”) of the European General Data Protection
Regulation (GDPR) Regulation (GDPR)

4. Data protection with special categories of personal data Special data 4. Data protection with special categories of personal data AL 3
According to article 28 (“Processor”) with special categories of personal data as According to article 28 (“Processor”) with special categories of personal data as
specified in article 9 of the European General Data Protection Regulation (GDPR) specified in article 9 of the European General Data Protection Regulation (GDPR)

5. Protection of prototype parts and components Proto parts 5. Protection of prototype parts and components AL 3
6. Protection of prototype vehicles Proto vehicles 6. Protection of prototype vehicles AL 3
7. Handling of test vehicles Test vehicles 7. Handling of test vehicles AL 3
8. Protection of prototypes during events and film or photo shootings Events + 8. Protection of prototypes during events and film or photo shootings AL 3
Shootings

 Se você estiver conduzindo test drives em vias públicas, o objetivo de avaliação No.  Quanto maiores às necessidades de proteção, mais o fornecedor deverá garantir que a
7 “Manuseio de veículos de teste” é um dos seus objetivos de avaliação. segurança da informação seja tratada como se fosse dele. Portanto, o TISAX difere nos
três níveis de avaliação (AL).

 O nível de avaliação define a profundidade com que as Certificadoras credenciadas pela

TISAX utilizarão para realizarem o processo de auditoria.

8 06.04.2021 | B-RS Group Security Region SAM

Tisax

A pedido de um participante passivo (montadora), o contratante

(fornecedor) deve fornecer relatórios detalhados com a profundidade
de detalhes solicitada, de acordo com as regras definidas pela ENX

O conteúdo do relatório TISAX é estruturado em níveis.

Compartilhamento
Sua organização poderá decidir até que nível a montadora terá acesso.
e divulgação de
resultado da
O resultado da avaliação da sua organização é válido por três anos, não
Certificação Tisax ocorrendo auditorias de monitoração anuais.

Supondo que sua organização ainda seja um fornecedor daquela

montadora após os 3 anos, você precisará renovar seu resultado de
avaliação seguindo o processo de três etapas novamente.

9 06.04.2021 | B-RS Group Security Region SAM

 Tisax
Ferramentas homologadas de conexão

Confidencial Secreta

Conexão
com SimplX OFTP2 KVS ECA Connect KVS Connect
Fornecedores

 Preenchimento CSN Shortlist e envio – (Fornecedor e Área VW)

 Contratação da conexão com Operational services (Fornecedor)
 Solicitação do usuário e Token (O key user de T.I da área VW deve contatar a T.I)

10 06.04.2021 | B-RS Group Security Region SAM

Tisax – Tipos de conexão
 Padrão do Grupo VW para Conexão

www.operational-services.de
E-MAIL: csn.service@o-s.de

11 06.04.2021 | B-RS Group Security Region SAM

 Tisax - Tipos de custos

Consultoria
(Provedor credenciado)
• Custo de • Contratação
registro na • Custo para do serviço de
plataforma realização da conexão
auditoria
Conexão
ENX
Operational Services

12 06.04.2021 | B-RS Group Security Region SAM

 Tisax
Links de referencia

Portal ENX Association

https://portal.enx.com/en-us/TISAX/

TISAX Handbook
https://portal.enx.com/tphen.pdf

Provedores credenciados
https://portal.enx.com/en-US/TISAX/xap/?country=BR

VDA
https://www.vda.de/en/topics/safety-and-standards/information-security/information-security-
requirements

Operational services
www.operational-services.de

13 06.04.2021 | B-RS Group Security Region SAM

Obrigado.

14 06.04.2021 | B-RS Group Security Region SAM