Regulamento PCI DSS: âmbito, finalidade e como cumprir
O Payment Card Industry Data Security Standard é um conjunto de regras e processos concebidos para proteger os dados sensíveis dos titulares de...
A TISAX é uma norma europeia de segurança da informação e cibersegurança desenvolvida para proteger dados na indústria automóvel. É utilizada para avaliar todas as organizações envolvidas na produção de veículos e permite a partilha subsequente dos resultados numa plataforma designada e não pública.
O que é a TISAX?
Este enquadramento de segurança específico da indústria é gerido pela ENX Association em nome da Associação Alemã da Indústria Automóvel (a VDA). TISAX significa Trusted Information Security Assessment Exchange.
A TISAX baseia-se num conjunto de requisitos de segurança definidos no VDA Information Security Assessment (ISA), um documento elaborado pela VDA, juntamente com muitos dos controlos técnicos da ISO 27001, com regras adicionais de proteção de protótipos e de dados.
Consoante o tipo de dados sensíveis a que uma organização tem acesso, esta enquadra-se num de três níveis de segurança e é avaliada em conformidade (saiba mais sobre os níveis abaixo).
A certificação TISAX confirma que o sistema de segurança da informação de uma organização cumpre os requisitos de segurança definidos pela TISAX.
Uma vez obtida a certificação, os resultados são armazenados e acedidos numa plataforma supervisionada pela ENX Association.
Qual é a finalidade da TISAX?
A cadeia de fornecimento automóvel é longa — os OEM (fabricantes de equipamento original) trabalham com uma rede de muitos fornecedores e parceiros que contribuem para levar novos automóveis da prancheta até à estrada. É partilhada informação sensível entre eles para concluir o trabalho, mas uma proteção de dados insuficiente ao longo da cadeia pode causar perdas de dados ou mesmo roubo.
Para proteger segredos comerciais, informação de protótipos, informação de clientes e outros dados confidenciais na indústria automóvel, a maioria dos principais OEM alemães exige a certificação TISAX aos seus parceiros na cadeia de produção e distribuição automóvel.
Isto garante que os dados se mantêm seguros durante as fases de design, produção e distribuição da produção automóvel.
Não só isso, mas uma organização que possa provar a sua conformidade com a TISAX tem uma vantagem competitiva sobre as que não o conseguem fazer, tornando-se mais credível aos olhos de potenciais clientes.
Qual é o âmbito da TISAX?
A certificação TISAX é exigida a todas as organizações que façam negócios com a maioria dos principais intervenientes da indústria automóvel alemã. É uma norma reconhecida globalmente.
Todos os fornecedores e prestadores de serviços automóveis que processem informação sensível devem obter a sua certificação TISAX. Se não for exigida pelos seus clientes atuais, poderá vir a sê-lo no futuro e, por agora, demonstrará aos consumidores que a segurança dos dados é uma consideração séria para si.
Níveis de Avaliação TISAX
Existem três níveis de avaliação na TISAX, uma vez que os níveis de cooperação entre OEM e os seus fornecedores têm escalas e complexidades diferentes. O método de auditoria necessário para obter a certificação TISAX é específico para cada nível.
Em teoria, cada organização pode decidir por si própria com que nível de avaliação pretende cumprir. Na prática, os OEM especificam o nível de avaliação que exigem das organizações com quem fazem negócios.
- Nível 1: Um nível de segurança "normal". A organização apenas tem de preencher um questionário de autoavaliação. Este nível é, na sua maioria, irrelevante quando se faz negócio e, frequentemente, é apenas usado internamente.
- Nível 2: Um nível de segurança "elevado". Um auditor aprovado dará seguimento à autoavaliação com verificações de plausibilidade feitas por telefone. Isto significa uma entrevista remota baseada em documentos e a revisão das evidências fornecidas.
- Nível 3: Um nível de segurança "muito elevado". Uma inspeção, entrevistas e avaliação do ISMS (sistema de gestão da segurança da informação) são realizadas por um auditor aprovado, que visita fisicamente a organização. Se a organização tiver mais do que uma localização, cada uma delas pode ser visitada pelo auditor.
Como implementar a TISAX
Para obter a certificação TISAX, uma organização tem de seguir estes passos na avaliação:
1.º passo: Preparação
Quem estiver interessado na certificação TISAX tem de se registar como participante TISAX no portal TISAX. Esta é a única forma de uma organização poder ser avaliada e ter acesso à plataforma TISAX para partilhar e receber resultados TISAX.
É também o momento de conhecer os requisitos TISAX.
2.º passo: Autoavaliação
Independentemente do nível de avaliação que uma organização escolha cumprir, o primeiro passo para a certificação TISAX é o questionário de autoavaliação.
3.º passo: Auditoria
Para os níveis 2 e 3, a organização precisa de um auditor aprovado para realizar uma verificação de plausibilidade remota ou uma visita de avaliação no local.
4.º passo: Otimização
Após a auditoria, o auditor chamará a atenção para quaisquer constatações que precisem de ser abordadas, e a organização terá de elaborar um plano de ação. Após mais ações da organização e verificações do auditor, a avaliação ficará concluída.
5.º passo: Resultados
O auditor carregará o relatório TISAX da organização na plataforma designada. A organização pode então decidir quem pode aceder aos resultados e em que medida. Os resultados não estão publicamente disponíveis.
Uma certificação TISAX é válida durante 3 anos, após os quais o processo tem de ser repetido. Não existem verificações intercalares durante este período.
Como é que a Safetica ajuda a cumprir a TISAX
Como mencionado acima, a norma TISAX exige que os dados se mantenham seguros durante as fases de design, produção e distribuição da produção automóvel. A solução Safetica é a ferramenta certa para processar dados eletronicamente em segurança.
Com a Safetica, é fácil cumprir os requisitos relacionados com a proteção de dados da TISAX. Terá uma melhor visão geral de como os dados relacionados com a produção automóvel são tratados, verá como os colaboradores lidam com esses dados sensíveis e minimizará o risco de utilização indevida de dados sensíveis e pessoais. Quando houver uma ameaça à segurança, será notificado em tempo real.
1. Conformidade com a Política de Segurança da Empresa
A Safetica torna possível monitorizar as operações dos utilizadores em toda a organização. Pode reconhecer informação sensível e gerar relatórios sobre como os dados são processados.
Com base na sua classificação de dados, a Safetica pode aplicar políticas de DLP e impor políticas de segurança selecionadas e o comportamento desejado dos utilizadores sempre que estes interagem com informação pessoal ou sensível. Isto ajuda os colaboradores a seguir as melhores práticas e a evitar métodos não seguros ou proibidos de armazenar e trabalhar com dados sensíveis.
2. Visibilidade dos Dados Sensíveis
Saber onde os seus dados sensíveis estão armazenados e como os seus colaboradores os processam é muito importante. É preciso garantir que o processamento de dados é seguro e reduzir o risco de fuga de dados.
A monitorização e auditoria detalhadas de ficheiros e operações de utilizadores da Safetica fornecem uma visão geral dos fluxos de informação, do armazenamento crítico de dados sensíveis e informação detalhada sobre:
- Que entidades externas e armazenamentos foram exatamente contactados
- Quais destes receberam os dados sensíveis da organização?
3. Notificação de Fuga de Dados
Se ocorrer um evento de segurança relacionado com a fuga de dados sensíveis, precisa de ser informado do incidente imediatamente para poder reagir e minimizar qualquer impacto, ou, melhor ainda, evitar por completo que a informação saia.
Se ocorrer um incidente real ou tentativa de incidente de segurança de dados, o sistema de alertas por e-mail em tempo real da Safetica notifica o pessoal apropriado. Comunica prontamente o incidente e fornece detalhes suficientes para que a gestão possa avaliar o impacto da situação e tomar ações de seguimento.
A Safetica fornece também registos exaustivos de auditoria sobre as operações realizadas com dados sensíveis. Isto ajuda a identificar a profundidade da violação, os documentos sensíveis envolvidos e as pessoas afetadas.
Através da integração via API, todos os registos podem ser enviados para SIEM ou ferramentas de análise de dados, por exemplo, Power BI ou Tableau.