Atuando há mais de 20 anos nas áreas de Tecnologia e Segurança da Informação, posso afirmar que nunca se falou tanto sobre estes assuntos como podemos observar atualmente. Setores da economia como financeiro e saúde são exemplos de segmentos do mercado que já abordam há tempos o uso da Tecnologia da Informação com olhos para conformidade com requisitos de segurança e privacidade, dada a clara percepção do impacto aos seus negócios, na eventual ocorrência de um incidente que possa afetar a confidencialidade, integridade e a disponibilidade das informações. Porém, outros setores, só recentemente começaram a exigir a conformidade de padrões que elevassem os níveis de proteção e prevenção contra ameaças.
A indústria automotiva é atualmente um dos setores mais impactados por ameaças cibernéticas, devido à crescente digitalização de seus processos, expansão de veículos conectados e integração com fornecedores globais. Somado a isso, temos uma série de ataques cibernéticos recentes que causaram interrupções nas linhas de produção e vazamento de dados nos últimos anos, contribuindo de forma decisiva para uma reestruturação do relacionamento com toda a cadeia de suprimentos.
- Atual cenário de ameaças contra a indústria automotiva no mundo e no Brasil
A transformação digital e a conectividade trouxeram benefícios significativos para a indústria automotiva, mas também abriram novas portas para ataques cibernéticos. O setor tem sido alvo frequente de ransomware (vírus que criptografa os dados e exige pagamento de um resgate), roubo de propriedade intelectual, ataques a sistemas de manufatura e fraudes operacionais.
Casos recentes de ataques:
- Visser Precision (2020): fabricante de peças e fornecedora da Tesla sofreu um ataque de ransomware e pelo fato da empresa não ter pago o valor do resgate, diversos documentos de seus clientes (Tesla entre outros) foram divulgados na internet. (UOL, 2020)
- Volkswagen e Audi (2021): fornecedor de marketing vaza de dados de 3,3 milhões de clientes nos Estados Unidos e Canadá, comprometendo informações de cadastro, documentos pessoais e dados financeiros. (CANALTECH, 2021)
- Kojima Industries e Toyota (2022): fornecedora da Toyota sofreu um ataque ransomware que interrompeu a produção de veículos em 14 fábricas da montadora no Japão. (CNN BRASIL, 2022)
- CDK Global (2024): empresa fornecedora de software para gestão de concessionárias de veículos sofreu um ataque de ransomware que paralisou cerca de 15 mil lojas nos EUA, causando perdas bilionárias. (OLHAR DIGITAL, 2024)
- Volkswagen (2024): uma falha do provedor de software Cariad deixou exposto na internet a localização de cerca de 800.000 carros elétricos do grupo Volkswagen na Europa. (ESTADÃO, 2025)
- Brasil: A pesquisa “Maturidade da Indústria em Cibersegurança” realizada pela FIESP em 2024, aponta que aproximadamente 30% das indústrias do país já foram alvos de ataques cibernéticos. (FIESP, 2024)
- O surgimento da norma TISAX e os motivos de sua criação
Para mitigar esses riscos e elevar a Segurança da Informação em toda a cadeia de suprimentos, a norma TISAX (Trusted Information Security Assessment Exchange) tornou-se um requisito essencial para fornecedores que desejam fazer negócios com grandes montadoras. Criada com base na norma ISO/IEC 27001, a TISAX foi estabelecida pela Association of the Automotive Industry (VDA), em parceria com a ENX Association (European Network Exchange) para garantir um nível consistente de segurança entre fornecedores e fabricantes. No Brasil, a adoção da certificação está em crescimento, impulsionada pela necessidade de proteção de dados e pela competitividade no setor.
Diferente de outros padrões de segurança, a TISAX não apenas atesta a conformidade de uma empresa, mas também permite o compartilhamento seguro dessa informação com parceiros de negócios na plataforma da ENX, responsável pela gestão de todo o processo e comunicação entre fornecedores, fabricantes e instituições acreditadoras responsáveis pelas auditorias. Esse modelo reduz a necessidade de auditorias repetitivas e aumenta a eficiência da segurança na cadeia de suprimentos automotiva.
Embora o mercado tenha adotado o termo “Certificação TISAX”, na verdade a comprovação da conformidade com esse padrão ocorre pela divulgação do “Selo TISAX”, conforme descrito no Manual do Participante do Processo de Avaliação TISAX.
Qual o foco dos controles da norma TISAX
Os controles da norma TISAX estão baseados no questionário VDA ISA (Information Security Assessment) em sua atual versão 6.0.3, contemplando ao todo 79 requisitos, distribuídos nos seguintes eixos temáticos:
| EIXO TEMÁTICO | Nº DE CONTROLES |
| Segurança da Informação | 45 |
| Proteção de Protótipos | 22 |
| Proteção de Dados Pessoais | 12 |
Tabela: Controles TISAX
A abrangência da avaliação dependerá do nível de proteção que a empresa solicitante (cliente), também chamada de Participante Passivo exigirá de seus fornecedores, estes identificados na TISAX como Participantes Ativos.
Há três níveis da avaliação, identificados pela sigla “AL”.
- AL 1 – Todo candidato à certificação obrigatoriamente obterá, por meio de um Self Assessment, o AL 1 e consequentemente poderá alcançar o AL 2 ou AL 3.
- AL 2 – Menos abrangente do ponto de vista de escopo. Obtido a partir do Self Assessment (AL 1) e auditoria de uma empresa certificadora (remota, podendo ser presencial).
- AL 3 – Abrange todos os itens de escopo (inclusive AL 2). Obtido a partir do Self Assessment (AL 1) e auditoria de uma empresa certificadora (presencial, podendo ser remota).
A avaliação poderá ser solicitada nos seguintes níveis, de acordo com o objetivo do solicitante:
| OBJETIVO | NÍVEL DE AVALIAÇÃO |
| Informação com proteção elevada | AL 2 |
| Informação com proteção muito elevada | AL 3 |
| Informação confidencial | AL 2 |
| Informação estritamente confidencial | AL 3 |
| Informação com disponibilidade elevada | AL 2 |
| Informação com disponibilidade muito elevada | AL 3 |
| Protótipo de peças | AL 3 |
| Protótipo de veículos | AL 3 |
| Teste de veículos | AL 3 |
| Eventos com protótipos | AL 3 |
| Dados pessoais | AL 2 |
| Dados pessoais especiais ou sensíveis | AL 3 |
Tabela: Objetivos de avaliação TISAX
O que difere o nível de exigência do cliente solicitante é o tipo de informação tratada pelo fornecedor e se ele tem acesso aos protótipos de parte ou do veículo como um todo.
Alguns fabricantes iniciaram o processo de adequação de seus fornecedores aqui no Brasil, como é o caso da Volkswagen e DAF Caminhões, mas certamente outras montadoras seguirão o mesmo caminho, determinando prazos para comprovação da obtenção do Selo TISAX. É muito comum que esse tipo de solicitação entre no fornecedor por intermédio do setor Comercial ou de Qualidade, mas é um assunto que irá envolver a empresa como um todo.
Para empresas que fazem parte da cadeia de suprimentos das montadoras, obter o selo deixou de ser uma opção para se tornar uma necessidade estratégica. A implantação dos controles da TISAX não apenas garante conformidade com padrões rigorosos de Segurança da Informação, mas também posiciona as empresas como líderes confiáveis em um mercado global altamente competitivo. Além disso, ao promover maior eficiência operacional e proteger dados sensíveis contra ameaças emergentes, a TISAX fortalece a resiliência digital das organizações ao longo da cadeia automotiva.
REFERÊNCIAS
CANALTECH. Volkswagen culpa fornecedor por vazamento dos dados de 3,3 milhões de clientes. Canaltech, 11 jun. 2021. Disponível em: https://canaltech.com.br/seguranca/volkswagen-culpa-fornecedor-por-vazamento-dos-dados-de-33-milhoes-de-clientes-187129/. Acesso em: 01 maio 2025.
CNN BRASIL. Ataque cibernético fechou todas as fábricas da Toyota no Japão por um dia. CNN Brasil, 1 mar. 2022. Disponível em: https://www.cnnbrasil.com.br/auto/ataque-cibernetico-fechou-todas-as-fabricas-da-toyota-no-japao-por-um-dia/. Acesso em: 01 maio 2025.
ESTADÃO. VW tem vazamento de dados de donos de 800 mil carros elétricos. Jornal do Carro, 3 jan. 2025. Disponível em: https://www.estadao.com.br/jornal-do-carro/vw-tem-vazamento-de-dados-de-donos-de-800-mil-carros-eletricos/. Acesso em: 02 maio 2025.
ENX ASSOCIATION. Trusted Information Security Assessment Exchange (TISAX). Disponível em: https://enx.com/en-US/TISAX/. Acesso em: 20 novembro 2024.
FIESP. Pesquisa de maturidade da indústria em cibersegurança. São Paulo: Federação das Indústrias do Estado de São Paulo, 2024. Disponível em: https://www.fiesp.com.br/file-20241030123615-pesquisa-de-maturidade-da-industria-em-cibersegura/. Acesso em: 02 maio 2025.
OLHAR DIGITAL. Ataque hacker paralisa operações de 15 mil concessionárias de carros nos EUA. Olhar Digital, 26 jun. 2024. Disponível em: https://olhardigital.com.br/2024/06/26/seguranca/ataque-hacker-paralisa-operacoes-de-15-mil-concessionarias-de-carros-nos-eua/. Acesso em: 02 maio 2025.
UOL. Hackers vazam dados sigilosos das empresas de Elon Musk, Tesla e SpaceX. São Paulo: UOL Tilt, 2 mar. 2020. Disponível em: https://www.uol.com.br/tilt/noticias/redacao/2020/03/02/hackers-vazam-dados-sigilosos-das-gigantes-de-elon-musk-tesla-e-spacex.htm. Acesso em: 02 maio 2025.
