Resumo:
- TISAX (Trusted Information Security Assessment Exchange) é o padrão de segurança da informação da indústria automotiva, criado pela VDA e gerenciado pela ENX Association desde 2017.
- O VDA ISA é o catálogo de requisitos de segurança que serve de base para a avaliação TISAX.
- O TISAX é exigido para fornecedores e prestadores de serviços que precisam trocar informações sensíveis com montadoras e grandes empresas da cadeia automotiva.
- O padrão define três níveis de avaliação: normal (AL1), alto (AL2) e muito alto (AL3), sendo que quanto maior o nível, mais rigorosa a auditoria.
- O pentest não é obrigatório pelo TISAX, mas é altamente recomendado pelo VDA ISA para sistemas com necessidade de proteção alta ou muito alta.
- A certificação TISAX tem validade de 3 anos e o resultado é compartilhado pela plataforma ENX com os parceiros autorizados.
- Fornecedores brasileiros com clientes europeus estão sendo pressionados e cobrados para obter o TISAX, e quem não se adequa fica fora da cadeia de fornecimento.
Sua empresa está negociando um grande contrato com uma montadora europeia. Antes de qualquer confirmação, o parceiro solicita a comprovação de conformidade TISAX. Sem esse documento, o contrato não avança e sua empresa perde o acordo.
Esse cenário já é realidade para um número crescente de fornecedores brasileiros. Com a internacionalização da cadeia automotiva e a presença de montadoras alemãs, francesas e italianas operando no Brasil, como Volkswagen, BMW e Mercedes-Benz, o TISAX deixou de ser uma exigência exclusivamente europeia.
Ele se tornou um requisito de acesso ao mercado e quem não se adequa, pode perder grandes oportunidades.
Neste artigo você irá entender o que é o TISAX, como funciona a avaliação VDA ISA, quem precisa se adequar, quais são os níveis de proteção e por que o pentest é parte essencial desse processo, especialmente para organizações que lidam com dados sensíveis.
O que é TISAX?
TISAX (Trusted Information Security Assessment Exchange) é um padrão de avaliação de segurança da informação desenvolvido especificamente para a indústria automotiva.
Foi criado em 2017 pela VDA (Verband der Automobilindustrie, a Associação Alemã da Indústria Automotiva) e é operado pela ENX Association, uma entidade que reúne fabricantes europeus de veículos, fornecedores e associações automotivas nacionais.
O TISAX surgiu para resolver um problema da cadeia automotiva global: antes de sua criação, cada montadora exigia de seus fornecedores uma auditoria de segurança diferente, com critérios próprios.
Isso gerava um custo operacional enorme para fornecedores que atendiam múltiplos clientes, cada um com seu próprio processo de avaliação.
Com o TISAX, o resultado de uma única avaliação pode ser compartilhado de forma padronizada e controlada com todos os parceiros autorizados pela plataforma ENX.
A empresa avaliada define quem pode ver seus resultados e com qual nível de detalhe. Isso elimina a duplicação de auditorias e cria um padrão unificado de confiança para toda a cadeia de fornecimento automotiva global.
O que é VDA ISA e qual a sua relação com o TISAX?
VDA ISA (Information Security Assessment) é o catálogo de requisitos de segurança da informação publicado pela VDA que serve de base para a avaliação TISAX. Ou seja, o VDA ISA é o checklist, a lista de controles que a organização precisa implementar e demonstrar.
Já o TISAX é o processo pelo qual essa demonstração é avaliada, registrada e compartilhada com parceiros.
O VDA ISA está atualmente na versão 6.0 e é estruturado em quatro blocos de controle:
- Segurança da informação (64 controles).
- Relacionamento com terceiros (4 controles).
- Proteção de protótipos (22 controles).
- Proteção de dados pessoais (4 controles).
Essa norma é derivada da ISO 27001, o que significa que empresas já certificadas nela têm uma vantagem significativa no processo TISAX, embora as duas certificações sejam distintas e não substituíveis.
Um adendo importante: o VDA ISA classifica os requisitos em dois grupos.
Os requisitos base se aplicam a todas as organizações, independentemente do nível de sensibilidade dos dados, enquanto os requisitos adicionais para alta necessidade de proteção, onde o pentest se encaixa diretamente, se aplicam apenas a organizações com dados críticos. Alguns exemplos disso seriam: informações de protótipos, dados de desenvolvimento e segredos industriais.
Quem precisa se adequar ao TISAX?
O TISAX é exigido para qualquer organização que integra a cadeia de fornecimento automotiva e precisa trocar informações sensíveis com montadoras ou fornecedores de nível 1.
A necessidade específica de obter a avaliação depende dos requisitos do cliente: se o cliente não exigir formalmente, a empresa pode aguardar até que isso ocorra. Porém, o mais indicado é que sua organização já esteja certificada quando o momento chegar.
O TISAX é altamente relevante para os seguintes perfis:
- Fornecedores diretos (Tier 1) de peças, sistemas eletrônicos e software embarcado para montadoras.
- Fornecedores indiretos (Tier 2 e Tier 3) que têm acesso a dados de design, engenharia ou produção.
- Empresas de TI, desenvolvimento de software e consultoria que atendem ao setor automotivo.
- Prestadores de serviços das áreas de engenharia, logística e manutenção, com acesso a informações confidenciais de produto.
- Escritórios de design e agências que trabalham com dados de protótipos ou informações de produto ainda não lançado.
No contexto brasileiro, a exigência crescente é impulsionada pela presença de montadoras europeias com operações locais e pela integração de fornecedores nacionais em cadeias globais de valor.
Empresas que atendem a Volkswagen, BMW e Mercedes-Benz, ou seus fornecedores diretos, estão sendo incluídas nesse processo.
Como funciona o processo de avaliação TISAX?
O processo TISAX segue uma estrutura que vai do registro inicial à publicação do resultado na plataforma ENX:
Etapa 1: Registro na plataforma ENX
A organização se registra na plataforma ENX e define o escopo da avaliação: quais tipos de informação serão protegidos e com qual nível de proteção.
Esse escopo é chamado de ‘objetivo da avaliação’ e é o ponto de partida de todo o processo.
Etapa 2: Autoavaliação com base no VDA ISA
A organização realiza uma autoavaliação interna usando o catálogo VDA ISA (disponível gratuitamente no site da ENX) para identificar gaps entre seus controles atuais e os requisitos do padrão.
Essa etapa é obrigatória para todos os níveis de avaliação.
Etapa 3: Avaliação por um auditor credenciado
Dependendo do nível de avaliação exigido pelo parceiro, a autoavaliação pode ser suficiente (AL1), mas em alguns casos ela precisa ser complementada por uma avaliação conduzida por um provedor de auditoria credenciado pela ENX, como DEKRA, TÜV SÜD ou DNV.
Para AL2, a avaliação inclui verificações remotas, enquanto para AL3 uma visita presencial ao ambiente da organização é obrigatória.
Etapa 4: Publicação do resultado e compartilhamento
Após a avaliação, o resultado é publicado na plataforma ENX. A organização controla quem pode visualizá-lo e com qual nível de detalhe: apenas o status (aprovado/reprovado), resumo executivo ou o relatório completo.
A certificação tem validade de 3 anos.
Quais são os níveis de avaliação TISAX?
O TISAX define três níveis de avaliação (Assessment Levels, ou AL), que determinam a rigorosidade do processo com base na sensibilidade das informações a serem protegidas.
O parceiro solicitante geralmente define qual nível é exigido.
| Nível | Necessidade de proteção | Método de avaliação | Exemplos |
| AL1 (Normal) | Impacto limitado em caso de exposição | Autoavaliação interna somente | Dados administrativos e contratos simples. |
| AL2 (Alto) | Dano significativo em caso de exposição | Avaliação remota ou híbrida por um auditor credenciado | Dados de desenvolvimento e especificações técnicas. |
| AL3 (Muito alto) | Dano severo ou irreparável em caso de exposição | Avaliação com visita presencial obrigatória por um auditor credenciado | Dados de protótipos, segredos industriais ou veículos ainda não lançados. |
É importante entender que o nível não é uma escolha da organização avaliada, ele é determinado com base nas informações que o parceiro solicitante compartilha.
Empresas que lidam com dados de protótipos ou informações de modelos ainda não lançados quase sempre exigem AL3, o nível mais exigente.
Por que o pentest é parte essencial da conformidade TISAX?
O pentest não é obrigatório pelo TISAX, mas é altamente recomendado pelo VDA ISA para organizações com necessidade de proteção alta ou muito alta.
E há um motivo para isso: controles implementados sem validação são controles sem comprovação.
Na versão 6.0 do VDA ISA, dois controles fazem referência direta a testes de intrusão como forma de atender aos requisitos para alta necessidade de proteção: o controle 5.2.6, que exige auditorias técnicas de sistemas e serviços de TI críticos, incluindo testes de penetração humanos em intervalos baseados em risco; e o controle 5.3.1, que exige que a segurança de softwares desenvolvidos ou customizados seja testada, incluindo testes de intrusão para sistemas com alta necessidade de proteção.
Perspectiva técnica
Políticas de segurança e controles documentados demonstram que a organização tem a intenção de proteger seus sistemas. Já o pentest demonstra que essa proteção funciona na prática.
Para um auditor TISAX avaliando uma organização em AL2 ou AL3, a existência de resultados recentes de pentest é uma evidência técnica verificável de que os controles foram validados contra tentativas reais de exploração.
Conformidade
Os auditores credenciados para TISAX avaliam a eficácia dos controles, não apenas sua existência.
Isso significa que as organizações que apresentam resultados de pentest com evidências de exploração, classificação de vulnerabilidades e recomendações de correção têm uma posição significativamente mais sólida durante a avaliação, especialmente nos controles 5.2.6 e 5.3.1 do VDA ISA.
Riscos para o negócio
Uma avaliação TISAX reprovada ou suspensa por incidente de segurança pode custar o acesso à cadeia de fornecimento automotiva, um risco operacional com impacto direto na receita.
Por outro lado, o custo de um pentest preventivo é uma fração do custo de uma avaliação reprovada, de um incidente de segurança durante o processo de auditoria ou da perda de um contrato com uma montadora.
O que um pentest TISAX deve cobrir?
Um pentest orientado à conformidade TISAX deve avaliar as principais superfícies de ataque mencionadas pelo VDA ISA, e que correspondem às áreas onde dados sensíveis automotivos são armazenados, processados ou transmitidos, como:
- Segurança de aplicações e APIs que processam informações de desenvolvimento, engenharia ou protótipos.
- Segurança de redes internas e externas, incluindo segmentação de rede e controles de acesso do perímetro.
- Segurança de ambientes em nuvem (AWS, Azure, GCP) onde dados TISAX são armazenados ou processados.
- Controles de acesso e gerenciamento de identidade, incluindo credenciais privilegiadas, autenticação multifator e Active Directory.
- Simulação de phishing e engenharia social, ainda mais considerando que o fator humano é o principal vetor de comprometimento inicial.
O relatório final deve incluir a versão técnica detalhada com evidências de exploração, a versão executiva voltada para a liderança e uma carta de atestado, que pode ser apresentada como evidência em processos de auditoria TISAX conduzidos por provedores credenciados.
A Vantico realiza pentests manuais cobrindo todas essas superfícies, com relatório técnico, executivo e carta de atestado inclusos. Clique aqui para ver exemplos de como fazemos.
Conheça também como trabalhamos com o setor financeiro, uma referência de como abordamos conformidade regulatória em setores com alta exigência técnica.
Como escolher um fornecedor de pentest para conformidade TISAX?
Mesmo com o crescimento da demanda por TISAX no Brasil, a oferta de serviços de pentest com esse foco ainda é limitada. Alguns critérios objetivos para avaliar fornecedores são:
Experiência com conformidade regulatória
Verifique se o fornecedor tem histórico de trabalho com clientes que passaram por auditorias de conformidade, sejam TISAX, PCI DSS, ISO 27001 ou outros frameworks.
A experiência com conformidade é diferente da experiência com pentest genérico: o escopo, o formato do relatório e as evidências necessárias são específicos para cada contexto regulatório.
Carta de atestado inclusa
A carta de atestado é o documento formal que comprova a realização do teste, com data, escopo e metodologia.
É esse documento que um auditor TISAX pode solicitar como evidência técnica do cumprimento dos controles 5.2.6 e 5.3.1 do VDA ISA. Confirme se está inclusa no escopo padrão antes de contratar.
Pentest manual, não apenas scan automatizado
Scans automatizados de vulnerabilidades identificam falhas conhecidas em versões desatualizadas de software, mas não testam lógica de negócio, encadeamento de falhas ou controles de acesso específicos do ambiente.
Para fins de conformidade TISAX, especialmente em AL2 e AL3, o VDA ISA faz referência explícita a testes de intrusão realizados por humanos.
Um fornecedor que entrega apenas scans não produz evidências suficientes para esse contexto.
Suporte durante correção e reteste
Um fornecedor que encerra o trabalho na entrega do relatório deixa a empresa sem orientação durante a fase mais crítica: a correção das vulnerabilidades antes da auditoria.
Verifique se o reteste, a etapa que confirma se as correções foram eficazes, está incluso no escopo.
O que evitar
Fornecedores que não conseguem apresentar amostras de relatórios anteriores, que não têm certificações verificáveis em suas equipes (OSCP, CEH, eWPTX) ou que não incluem reteste e carta de atestado no escopo padrão representam riscos reais para a conformidade TISAX, especialmente em avaliações de nível AL2 e AL3.
O TISAX não é mais opcional, mas um requisito de acesso ao mercado automotivo global.
Para fornecedores brasileiros que trabalham com clientes europeus ou que integram cadeias de valor de montadoras globais, a conformidade TISAX é uma questão de competitividade e continuidade do negócio.
E a conformidade só é sustentável quando os controles implementados são validados por evidências técnicas reais.
O pentest é a forma mais direta de gerar essas evidências, demonstrando para auditores, parceiros e lideranças que a segurança da organização foi testada contra tentativas reais de exploração.
A Vantico realiza pentests manuais orientados à conformidade regulatória, com relatório técnico, relatório executivo e carta de atestado inclusos, além de cobertura completa para aplicações, redes, cloud, identidade e simulação de phishing.
Fale com nossos especialistas antes da sua próxima auditoria TISAX clicando aqui.
FAQ: Perguntas frequentes sobre TISAX
O que é TISAX?
TISAX (Trusted Information Security Assessment Exchange) é o padrão de avaliação de segurança da informação da indústria automotiva, criado em 2017 pela VDA (Associação Alemã da Indústria Automotiva) e operado pela ENX Association.
Ele permite que fornecedores automotivos realizem uma única avaliação de segurança e compartilhem o resultado de forma padronizada com todos os seus parceiros autorizados.
O que é VDA ISA e qual sua relação com TISAX?
VDA ISA (Information Security Assessment) é o catálogo de requisitos de segurança publicado pela VDA que serve de base para a avaliação TISAX.
O VDA ISA é o checklist de controles que a organização precisa implementar, enquanto o TISAX é o processo pelo qual esse checklist é avaliado.
Quem precisa se adequar ao TISAX?
Organizações que integram a cadeia de fornecimento automotiva e precisam trocar informações sensíveis com montadoras ou fornecedores de nível 1.
Isso inclui fornecedores diretos e indiretos de peças e sistemas, empresas de TI, prestadores de serviços e escritórios de design que têm acesso a dados confidenciais de produto ou protótipos.
Qual a diferença entre VDA ISA e ISO 27001?
ISO 27001 é um padrão internacional de segurança da informação aplicável a qualquer setor.
O VDA ISA é derivado da ISO 27001, mas adaptado especificamente para a indústria automotiva, com requisitos adicionais para a proteção de protótipos e dados de desenvolvimento.
As duas certificações são diferentes e não são substituíveis, mas empresas com ISO 27001 têm alguma vantagem no processo TISAX.
O que é um pentest TISAX?
É um teste de intrusão realizado para validar que os controles de segurança de uma organização resistem a tentativas reais de exploração, gerando evidências técnicas verificáveis para os controles 5.2.6 e 5.3.1 do VDA ISA, e é especialmente relevante para organizações com necessidade de proteção alta ou muito alta (AL2 e AL3).
Com que frequência o pentest TISAX deve ser realizado?
O VDA ISA recomenda testes em intervalos com base nos riscos e durante mudanças significativas nos sistemas.
A recomendação geral do setor é que o pentest seja realizado anualmente, especialmente para organizações que passam regularmente por auditorias de conformidade. Isso garante que os controles permaneçam validados entre os ciclos de avaliação TISAX.
Quanto custa um pentest TISAX no Brasil?
O custo varia conforme o escopo, como o número de sistemas testados, tipos de ambiente (aplicações, redes, cloud) e o nível de proteção exigido.
No mercado brasileiro, testes de intrusão profissionais variam entre R$ 15.000 e R$ 100.000 ou mais, dependendo da complexidade. Clique aqui para saber mais sobre o preço de um pentest.
O mais importante é garantir que o serviço inclua o pentest manual, relatório técnico, carta de atestado e reteste, elementos necessários para fins de conformidade.
Fale com a Vantico para entender o escopo adequado para o seu contexto TISAX.
O relatório de pentest pode ser usado como evidência em auditorias TISAX?
Sim. Um relatório de pentest pode ser apresentado a auditores TISAX como evidência do cumprimento dos controles 5.2.6 e 5.3.1 do VDA ISA.
A carta de atestado é especialmente importante para isso, pois formaliza a realização do teste com data e responsável técnico.
Quais empresas oferecem pentest para conformidade TISAX no Brasil?
A Vantico é uma empresa brasileira de segurança ofensiva especializada em pentest manual com foco em conformidade regulatória.
Com equipe certificada (OSCP, CEH, eWPTX, CRTP) e experiência em setores regulados, como financeiro e saúde, a Vantico realiza testes de intrusão com relatório técnico, executivo e carta de atestado, todos os elementos necessários para suportar uma auditoria TISAX.
Entre em contato para discutir o escopo adequado para a sua avaliação.
