Cumplimiento normativo
Si trabajas o quieres trabajar para la industria de automoción, tus clientes te pedirán la etiqueta TISAX. Te preparamos para conseguirla: el cuestionario VDA ISA, la protección de prototipos y datos, y la evaluación con el proveedor acreditado, con el nivel que te pida tu cliente.
Auditores jefe de ISO 27001 (CISA, CISSP, CISM), la norma sobre la que se construye TISAX.
Qué es
TISAX es el mecanismo con el que la industria de automoción comprueba la seguridad de la información de sus proveedores. Se apoya en el cuestionario VDA ISA, que publica la asociación ENX, y nace de ISO 27001, pero añade lo que el sector necesita: protección de prototipos, manejo seguro de datos de socios y controles de privacidad.
Al superar la evaluación obtienes una etiqueta que se publica en la plataforma ENX. Tú decides qué fabricantes pueden verla, y vale tres años antes de una nueva evaluación completa.
TISAX y la ISO comparten gran parte de los controles, pero no son equivalentes. Ningún fabricante importante acepta la ISO 27001 como sustituto de TISAX, aunque tenerla te acerca mucho.
No es una obligación legal, es un requisito de negocio: si quieres ser proveedor de un fabricante o de un Tier 1, te pedirán la etiqueta por contrato para poder trabajar con ellos.
Los niveles
El nivel de evaluación lo marca la sensibilidad de la información que manejas para el fabricante, y casi siempre lo fija tu cliente en el contrato. Estos son los tres, aunque en la práctica la mayoría de proveedores se mueve entre los dos más altos.
AL 1
Rellenas el cuestionario por tu cuenta, sin revisión externa. No genera etiqueta visible y casi ningún fabricante lo acepta como suficiente.
AL 2
Un proveedor acreditado revisa tu autoevaluación por plausibilidad, con entrevista y revisión documental, sin visita presencial. Habitual para información de alta protección.
AL 3
Auditoría completa en tus instalaciones: documentación, procesos e implementación técnica revisados a fondo. El nivel que exige la mayoría de fabricantes, sobre todo para información muy sensible o prototipos.
El más pedidoSi no sabes qué nivel te corresponde, lo aclaramos contigo y, si hace falta, lo confirmamos con tu cliente antes de empezar. Elegir mal el nivel cuesta tiempo y dinero.
Los módulos
Según lo que hagas para el fabricante, tu evaluación cubre uno o varios de estos tres módulos. El cuestionario VDA ISA define los controles de cada uno y el nivel de madurez que debes demostrar.
El módulo obligatorio, siempre. Es la base de la evaluación y cubre los controles de seguridad sobre los que se apoya todo lo demás.
Entra si manejas piezas o vehículos de preserie del fabricante. Cubre zonas seguras, control de accesos físicos y trazabilidad.
Entra si tratas datos personales por encargo del fabricante, con controles de privacidad alineados con la normativa.
La protección de prototipos es uno de los puntos más exigentes y donde más se concentran los hallazgos: el control de accesos físicos, las zonas seguras y la trazabilidad de quién toca qué.
Servicio
Definición de alcance y nivel: qué localizaciones entran, qué módulos y si necesitas AL2 o AL3, según lo que te pida tu cliente.
Análisis de brechas frente al cuestionario VDA ISA, midiendo la madurez de cada control y lo que falta para llegar al nivel exigido.
Implantación de controles: políticas, procesos y medidas técnicas para alcanzar la madurez que TISAX pide en cada control aplicable.
Protección de prototipos: zonas seguras, control de accesos físicos y trazabilidad, si tu evaluación incluye este módulo.
Cumplimentación del VDA ISA y preparación de la evidencia que el proveedor acreditado revisará en la evaluación.
Acompañamiento en la evaluación: te preparamos para la entrevista y la revisión, y te apoyamos en el cierre de hallazgos.
Método
Definimos localizaciones, módulos y nivel, y medimos la distancia frente al VDA ISA en tu caso.
Hoja de ruta priorizada para alcanzar la madurez que pide tu nivel, con los plazos del registro en ENX.
Controles, protección de prototipos si aplica, documentación y cumplimentación del cuestionario.
Te acompañamos ante el proveedor acreditado y en el cierre de hallazgos hasta obtener la etiqueta.
Sinergias
TISAX nace de ISO 27001, así que si ya tienes un SGSI gran parte del trabajo está hecho: los controles del Anexo A son la base del cuestionario VDA ISA. Trabajamos con ese mapeo para aprovechar lo que ya tienes y centrarnos en lo que TISAX añade: la protección de prototipos, el manejo de datos de socios y el nivel de madurez que exige cada control.
Y lo que nos diferencia: somos auditores jefe de ISO 27001, la norma sobre la que se construye TISAX. Sabemos qué evidencia pedirá el proveedor acreditado porque trabajamos con esa misma lógica de auditoría cada día. Además preparamos TISAX como parte de tu auditoría interna, de modo que llegues a la evaluación sin sorpresas.
Dudas
TISAX es el mecanismo con el que la industria de automoción comprueba y comparte la seguridad de la información de sus proveedores. Se basa en el cuestionario VDA ISA, que publica la asociación ENX, y se apoya en ISO 27001 añadiendo requisitos propios del sector: protección de prototipos, manejo de datos de socios y controles de privacidad. Al superar la evaluación obtienes una etiqueta que compartes con tus clientes a través de la plataforma ENX.
No. Comparten gran parte de los controles, porque TISAX nace de la ISO, pero no son equivalentes. Ningún fabricante importante acepta la ISO 27001 como sustituto de TISAX. La buena noticia es que si ya tienes la ISO llevas mucho andado: la base está hecha y solo hay que cubrir lo que TISAX añade.
Depende de la sensibilidad de la información que manejes para el fabricante, y casi siempre lo fija tu cliente. El AL2 es una revisión remota de tu autoevaluación y el AL3 una auditoría completa en tus instalaciones. La mayoría de proveedores se mueve entre esos dos. Si no estás seguro, lo aclaramos contigo y, si hace falta, lo confirmamos con tu cliente antes de empezar.
La etiqueta TISAX es válida tres años. Pasado ese tiempo no hay una auditoría de seguimiento como en la ISO, sino que toca una reevaluación completa. Por eso conviene mantener vivo el sistema durante esos tres años, no solo prepararlo para pasar la evaluación y olvidarlo.
Es uno de los módulos de TISAX, obligatorio si manejas piezas o vehículos de preserie del fabricante. Cubre las zonas seguras, el control de accesos físicos y la trazabilidad de quién accede a qué. Es uno de los puntos más exigentes y donde más se concentran los hallazgos, por eso lo trabajamos con cuidado desde el principio.
Depende del nivel, del estado de partida y de los módulos, pero conviene no dejarlo para el último momento: hay que registrarse en la plataforma ENX, preparar la documentación, cerrar las brechas y agendar la evaluación con el proveedor acreditado, que tiene sus propios plazos. Si tu cliente te ha puesto una fecha, cuanto antes empecemos el diagnóstico, mejor: las brechas que aparecen a mitad de proceso son las que alargan los tiempos.
En toda España. Gran parte de la preparación es documental y remota, así que trabajamos contigo estés donde estés. Conocemos bien los polos de automoción del país, desde el eje del Ebro, con Navarra y Aragón, hasta Cataluña, la Comunidad Valenciana, Castilla y León o el País Vasco, donde fabricantes y proveedores necesitan TISAX para trabajar juntos. Y si prefieres cercanía, estamos en Tudela, en pleno corredor industrial.
¿Hablamos?
Cuéntanos para qué fabricante necesitas TISAX y en qué punto estás. En una primera conversación te decimos qué nivel te toca y qué te separa de la etiqueta.
Ponte en contacto