Antes de saber como obtener la certificación debemos comprender:
Qué es TISAX®?
TISAX® (Trusted Information Security Assessment Exchange) una marca registrada que pertenece a ENX, siendo un marco que permite a los vendedores independientes compartir sus resultados de certificación y evaluación con sus clientes del sector de la automoción. La etiqueta ENX TISAX es la certificación oficial para el cumplimiento de VDA ISA.
La norma VDA ISA (Evaluación de la seguridad de la información) contiene criterios de evaluación de la seguridad de la información estrictamente estructurados, KPI y módulos adicionales opcionales.
¿Cuáles son los requisitos de TISAX®?
El procedimiento de evaluación e intercambio TISAX® contiene los requisitos de las evaluaciones de seguridad de la información (ISA) de la VDA. Este cuestionario sobre la seguridad de la información en la industria del automóvil fue desarrollado por el grupo de trabajo de la VDA. Sin embargo, TISAX® también se basa en los requisitos esenciales de la norma ISO 27001 (Sistema de gestión de la seguridad de la información).
El catálogo VDA ISA específico del sector está disponible en su versión 5.1 desde 2022. Esta versión es obligatoria para todas las auditorías de TISAX® desde enero de 2022. Los requisitos de la norma internacional para la seguridad de la información ISO 27001, a su vez, contribuyen, entre otras cosas, a que las empresas miren más allá de la protección de los sistemas técnicos de TI, es decir, a todos los activos corporativos que deben protegerse.
¿Cuáles son los pasos para obtener la certificación acorde TISAX®?
En TISAX®, los participantes pueden adoptar dos roles diferentes: el de «consumidor de información» (pasivo), por ejemplo, es un fabricante que desea recibir información sobre un proveedor, y el de «contribuyente de información» (activo), por ejemplo, es un proveedor de piezas o de servicios que desea ser auditado en cuanto a su idoneidad para recibir pedidos de los fabricantes.
Una empresa también puede asumir ambos papeles de participante. Quien desee participar en TISAX® como contribuyente de información debe seguir los siguientes cuatro pasos principales:
- Registrarse en línea
- Seleccionar un proveedor de servicios de auditoría aprobado por ENX
- Someterse a una evaluación TISAX® por el proveedor externo
- Intercambiar los resultados de la auditoría en la plataforma online TISAX®.
En esta etapa el principal objetivo es recopilar información sobre la empresa en el registro TISAX®, el cual es un proceso de registro On-line que se realiza en el portal ENX: www.enx.com/TISAX
Durante esta etapa, es importante definir claramente el alcance y los objetivos de la certificación que van vinculados a diferentes opciones de tipo de Auditorías.
Para el Alcance es necesario tener en cuenta el número de sedes de la empresa y las actividades que se llevan a cabo en cada una, ya que en base a eso se puede aplicar lo que TISAX considera una evaluación de «Grupo».
Paso 3- Evaluación TISAX®
La empresa certificadora, lleva a cabo la auditoría para ver si cumple con el estándar ISA-VDA. Pudiendo identificar cuatro tipos de hallazgos:
- No conformidad mayor
- No conformidad menor
- Observación
- Oportunidad de mejora
De haber no conformidades se debe proceder a solventarlas en un período definido, para que posteriormente la empresa certificadora, verifique el cierre de las mismas. Para así poder obtener el informe de final de la evaluación, y emisión de la etiqueta TISAX® correspondiente.
Una vez superada la auditoría de certificación, la última fase consiste en subir la información a la plataforma ENX de TISAX, para así poder comunicar los resultados del informe de la auditoria a los clientes o fabricantes. El acceso al informeal informe se puede ajustar por niveles de acceso, con lo que se puede controlar el nivel de detalle a compartir.
Los informes o certificados TISAX son válidos por tres años, tras este periodo deberán repetirse los procesos de recertificación.
