¿Qué es TISAX y por Qué la Industria Automotriz lo Exige?
TISAX (Trusted Information Security Assessment Exchange) es el estándar de evaluación de seguridad de la información creado por VDA (Verband der Automobilindustrie) — la asociación alemana de la industria automotriz — basado en los controles del catálogo VDA ISA (Information Security Assessment). Fue desarrollado para resolver un problema concreto: los OEMs automotrices compartían datos altamente sensibles (diseños de vehículos, datos de prueba, información de prototipos, datos personales de conductores) con cientos de proveedores en todo el mundo, sin una forma estandarizada de verificar que esos proveedores protegían la información adecuadamente.
A diferencia de ISO 27001, que es un estándar genérico de gestión de seguridad, TISAX está específicamente calibrado para los riesgos y requisitos de la cadena de suministro automotriz. El catálogo VDA ISA 6.0 contiene más de 60 controles agrupados en dominios que cubren desde seguridad de información hasta protección de prototipos y datos personales (bajo GDPR).
Los Tres Niveles de Evaluación TISAX
TISAX define tres niveles de evaluación (Assessment Level, AL) según la sensibilidad de la información manejada:
AL 1 — Información Normal
Autoevaluación interna. Para información de baja criticidad. Validación por revisión documental. Punto de entrada al programa TISAX.
AL 2 — Información Sensible
Auditoría in-situ por proveedor acreditado ENX. Aplica a la mayoría de proveedores Tier 1 con acceso a datos de diseño, prueba y producción.
AL 3 — Prototipos y Datos Altamente Sensibles
Auditoría in-situ rigurosa con controles adicionales de seguridad física. Requerido para proveedores con acceso a vehículos prototipo o datos pre-producción.
El Proceso de Alineación: De Cero al Label TISAX
1. Registro en el Portal ENX
Tu empresa se registra en el portal ENX Association (tisax.enx.com), define el alcance de la evaluación y los objetos de evaluación (ubicaciones, sistemas, procesos).
2. Autoevaluación VDA ISA
Completar el cuestionario VDA ISA 6.0 — más de 60 controles con madurez de 0 a 5. TCE realiza un gap analysis previo para identificar brechas críticas antes de la auditoría.
3. Auditoría por Proveedor Acreditado
Para AL 2 y AL 3, un auditor acreditado por ENX verifica in-situ la implementación de controles. El resultado es un informe de evaluación formal.
4. Label TISAX en la Plataforma
Una vez aprobado, tu label TISAX se publica en la plataforma de intercambio ENX — visible solo para los OEMs que tú autorices. Válido por 3 años.
Los Dominios Críticos del Catálogo VDA ISA 6.0
El catálogo VDA ISA 6.0 evalúa cinco grandes áreas. Nuestra experiencia muestra que los proveedores típicamente tienen las mayores brechas en gestión de activos, seguridad de terceros y continuidad del negocio:
Seguridad de Información
Políticas, organización, gestión de activos, control de acceso, criptografía, seguridad física y de redes. El núcleo del catálogo.
Seguridad de Proveedores
Cómo gestionas la seguridad en tu propia cadena de suministro — tus proveedores también deben cumplir requisitos proporcionales.
Protección de Datos Personales
Controles específicos para datos personales bajo GDPR. Crítico si manejas datos de empleados de OEMs o datos de conductores conectados.
Seguridad de Prototipos
Controles especializados para el manejo, transporte, fotografía y acceso a vehículos prototipo y componentes pre-producción.
TISAX vs. ISO 27001: ¿Cuál Necesitas?
Si tu cliente principal es un OEM automotriz o un proveedor Tier 1, TISAX es el requisito específico — ISO 27001 no lo sustituye. Sin embargo, tener ISO 27001 implementado reduce significativamente el trabajo de alineación TISAX, ya que comparten una base conceptual similar. Si operas en múltiples industrias, la combinación ISO 27001 + TISAX te posiciona como proveedor de seguridad premium tanto para el sector automotriz como para cualquier cliente corporativo.