Qué es TISAX y de dónde viene
TISAX significa Trusted Information Security Assessment Exchange. Es un estándar de seguridad de información diseñado específicamente para la industria automotriz, creado por la VDA (Verband der Automobilindustrie — la asociación alemana de fabricantes de autos) y administrado por ENX Association.
Nació porque OEMs como BMW, Audi, Mercedes-Benz y Volkswagen necesitaban una forma de verificar que sus proveedores manejan con seguridad la información confidencial que comparten con ellos: diseños de partes, especificaciones técnicas, datos de producción, prototipos. Antes de TISAX, cada OEM hacía sus propias auditorías — lo cual era costoso e ineficiente para todos. Con TISAX, un proveedor hace una evaluación y los resultados se comparten con todos los OEMs que los soliciten a través de la plataforma ENX.
¿Quién necesita certificarse?
TISAX aplica a cualquier empresa que:
- Maneja información confidencial de un OEM — diseños, planos, prototipos, datos de producción.
- Desarrolla o procesa software embebido o sistemas de control para vehículos.
- Accede a datos de clientes finales relacionados con vehículos conectados.
- Está en la cadena de suministro de un OEM que ya exige TISAX a sus proveedores directos.
En México, la presión viene principalmente de los parques industriales del Bajío — Querétaro, Guanajuato, San Luis Potosí — donde hay alta concentración de Tier 1 que trabajan directamente para OEMs europeos. Si eres Tier 2 que surte a un Tier 1 que tiene contrato con Audi o BMW, es cuestión de tiempo antes de que te lo pidan también.
Ojo: TISAX no es lo mismo que ISO 27001, aunque se basan en los mismos principios. TISAX es específico para automotriz y usa la plataforma ENX para el intercambio de resultados. Tener ISO 27001 ayuda, pero no reemplaza una evaluación TISAX.
Los 3 niveles de evaluación
TISAX define tres niveles según la sensibilidad de la información que maneja la empresa:
| Nivel | Tipo de información | Cómo se evalúa |
|---|---|---|
| AL 1 | Información interna normal. Contratos, comunicaciones de negocio. | Autoevaluación — la empresa se evalúa a sí misma con el cuestionario VDA ISA. |
| AL 2 | Información confidencial. Especificaciones técnicas, datos de producción, diseños. | Evaluación por auditor externo acreditado por ENX. El más común en Tier 1 y Tier 2. |
| AL 3 | Información estrictamente confidencial. Prototipos de vehículos, datos de I+D avanzado. | Evaluación más rigurosa, con visita in-situ y controles físicos estrictos. Generalmente solo Tier 1 directo con OEM. |
La mayoría de los proveedores Tier 2 en Querétaro entran en AL 2. Si manejas planos de partes o recibes especificaciones técnicas del cliente, es el nivel que te corresponde.
Cómo funciona el proceso
El proceso tiene 4 etapas principales:
- Registro en ENX Portal — la empresa se registra en la plataforma ENX y define el alcance de la evaluación (qué ubicaciones, qué información).
- Autoevaluación con VDA ISA — se responde el cuestionario de Information Security Assessment de la VDA. Son ~400 preguntas organizadas en controles de seguridad. Esto es la base del trabajo.
- Evaluación por auditor externo (AL 2 y AL 3) — un auditor acreditado por ENX revisa la autoevaluación, hace entrevistas y en AL 3 visita las instalaciones. Puede haber hallazgos que requieren plan de acción.
- Publicación del resultado en ENX — el resultado queda en la plataforma y los OEMs que tú autorices pueden consultarlo. Tiene vigencia de 3 años.
Tiempo realista: desde que decides prepararte hasta tener el resultado publicado, cuenta entre 3 y 9 meses dependiendo de qué tan ordenada esté tu operación. Las empresas que ya tienen procesos documentados y sistemas con trazabilidad lo hacen más rápido.
Qué necesitas tener en orden
Estos son los controles donde más empresas tienen hallazgos en la primera evaluación:
Cada usuario debe tener su propia cuenta — no cuentas compartidas. Los accesos deben estar documentados y revisarse periódicamente. Las contraseñas deben cumplir políticas mínimas.
SistemaInventario de qué información confidencial tienes, dónde está almacenada (servidores, PCs, USB, correo), quién tiene acceso y cómo está protegida.
ProcesoNo basta con hacer backup — hay que demostrar que los respaldos se hacen, con qué frecuencia, dónde se guardan y que se han probado. Logs de respaldo son evidencia válida.
SistemaTodos los equipos deben tener actualizaciones de seguridad al día. Windows desactualizado es un hallazgo inmediato. En planta esto incluye los equipos de producción que tengan Windows.
SistemaPolítica de uso aceptable, política de contraseñas, política de manejo de información confidencial. Deben existir por escrito y los empleados deben haberlas leído y firmado.
ProcesoLas áreas donde se procesa información confidencial deben tener acceso controlado — bitácora, llave o tarjeta. No puede entrar cualquiera al cuarto de servidores o al área de diseño.
FísicoQué hacer si hay una brecha de seguridad, robo de información o pérdida de dispositivo. No necesita ser complejo, pero debe existir y el personal debe conocerlo.
ProcesoSi subcontratas servicios que implican acceso a información del cliente (desarrollo, mantenimiento, limpieza de áreas con datos), debes tener NDA firmado con esos proveedores.
ProcesoEl lado de TI: qué sistemas importan en la evaluación
Esta es la parte donde más puedo ayudarte directamente. TISAX no pide que tengas sistemas caros o complejos — pide que lo que tengas sea trazable, controlado y documentado. Aquí los puntos que más impactan:
Trazabilidad en producción
Si manejas órdenes de producción, el auditor va a preguntar cómo registras quién accedió a qué información en qué momento. Un sistema con login por usuario y registro de actividad es mucho más fácil de defender que "lo anotamos en Excel".
Gestión de accesos en Windows Server
Active Directory bien configurado — usuarios individuales, grupos por rol, log de accesos habilitado — es la base. Si tu servidor Windows no tiene logs de auditoría activados, ese es el primer paso.
Etiquetas y trazabilidad de partes
Las etiquetas ZPL que imprime tu Zebra deben tener datos que permitan rastrear la parte hasta su orden y lote de producción. Si una parte llega al cliente con datos incorrectos, TISAX pregunta cómo lo detectas y corriges.
Cifrado de información confidencial
Los archivos con planos o especificaciones del cliente no deberían estar en una carpeta compartida sin contraseña. BitLocker en laptops, permisos en carpetas de red, y cifrado en correo son medidas básicas que el auditor espera ver.
Lo que más ayuda: tener sistemas web internos con autenticación individual, logs de actividad y roles por usuario. Es exactamente lo que construyo — y lo que hace la diferencia entre pasar o tener hallazgos en la evaluación.
TISAX en el contexto de Querétaro
Querétaro tiene una de las concentraciones más altas de proveedores automotrices Tier 1 y Tier 2 en México. Empresas en parques como Finsa, Querétaro Aerospace Park o las zonas industriales de El Marqués trabajan directamente con OEMs europeos o con Tier 1 globales que ya tienen TISAX y lo exigen hacia abajo en su cadena.
La tendencia es clara: lo que hoy es un requisito de algunos contratos, en 3–5 años va a ser la norma para cualquier proveedor que quiera trabajar con la industria automotriz premium. Prepararse ahora, antes de que sea urgente, es la diferencia entre hacerlo bien y hacerlo corriendo.
El trabajo de TI en esta preparación no es glamoroso — es documentar, ordenar, configurar y dejar evidencia. Pero es exactamente el tipo de trabajo que hago en planta, y lo que me ha permitido ver de cerca qué busca un auditor y qué no.
¿Tu empresa está en proceso de prepararse para TISAX?
Puedo ayudarte con el lado de TI: sistemas con trazabilidad, gestión de accesos, logs de auditoría, respaldos documentados y etiquetas ZPL integradas. Todo lo que el auditor va a revisar en tu operación.