+49 155 609 62044contact@vamisec.com
Reservar cita
IT Security · Product Security

Product Security según ISO/SAE 21434.

Cybersecurity by Design para la movilidad del mañana.

La ISO/SAE 21434 es el estándar internacional de ciberseguridad para el sector automotriz. Define requisitos y procesos para proteger vehículos, unidades de control (ECU) y componentes conectados frente a ciberamenazas a lo largo de todo el ciclo de vida del producto.

Con la creciente conectividad de los vehículos, las actualizaciones Over-the-Air y las funciones de conducción autónoma, aumenta el riesgo de ciberataques dirigidos. La Product Security según ISO/SAE 21434 garantiza que la seguridad se integra al desarrollo desde el principio.

Comprobar readiness CSMSNuestros servicios
  • CSMS
  • SUMS
  • TARA
  • Secure Boot
  • HSM
  • OTA
  • V-SOC
  • Supply Chain
ISO 21434
Estándar para ciberseguridad automotriz
UNECE R155
Homologación con obligación CSMS
CRA
Cyber Resilience Act para productos conectados
15a+
Seguridad del ciclo de vida por plataforma vehicular
Nuestros servicios

Seis módulos — del CSMS a la cadena de suministro.

Modulares y cercanos al desarrollo. Cada bloque puede integrarse individualmente o configurarse como un programa completo de ciberseguridad.

Estándares y regulación

21434 sostiene — pero no solo.

La Product Security en el contexto automotriz combina ISO/SAE 21434 con regulaciones UNECE, CRA, TISAX y gobierno transversal ISO 27001.

ISO/SAE 21434
Automotive Cybersecurity Engineering
UNECE R155
Homologación CSMS a nivel mundial
UNECE R156
Software Update Management (SUMS)
TISAX®
Information Security in Automotive
CRA
Cyber Resilience Act para productos conectados
IEC 62443-4
Secure Product Development Lifecycle
NIS2
Ciberseguridad para entidades importantes
ISO/IEC 27001
ISMS como marco organizativo
Procedimiento

Del check de madurez a la homologación.

Seis pasos — alineados con las fases de desarrollo, las fechas de auditoría y los plazos R155.

  1. 01

    Análisis de gaps y madurez

    Estado actual frente a ISO/SAE 21434, R155, R156 y CRA. Identificación de las brechas críticas en procesos CSMS, engineering y cadena de suministro.

  2. 02

    Construcción del CSMS

    Establecimiento de gobierno, roles, gestión de riesgos y vulnerabilidades — diseñado para la homologación.

  3. 03

    TARA y Cybersecurity Goals

    Análisis sistemático de amenazas por arquitectura vehicular y componente. Derivación de objetivos de protección y requisitos de seguridad.

  4. 04

    Secure Development

    Integración de prácticas de desarrollo seguras: Threat Modeling, análisis de código, pentest, conceptos HSM, Secure Boot, seguridad OTA.

  5. 05

    Gestión de proveedores

    Anclar contractualmente los requisitos de ciberseguridad, evaluaciones Tier-1/Tier-2, flujos de evidencia a lo largo de la cadena de suministro.

  6. 06

    Auditoría y operación

    Preparación de auditoría, acompañamiento de la homologación, construcción del Vehicle SOC y mejora continua a lo largo del ciclo de vida.

FAQ

Preguntas frecuentes sobre Product Security.

¿Cuál es la diferencia entre ISO/SAE 21434 y UNECE R155?

UNECE R155 es un reglamento de homologación vinculante — sin evidencia CSMS no obtiene homologación para las categorías de vehículo M, N y O a partir de julio de 2024. ISO/SAE 21434 es la norma metodológica que describe CÓMO debe construirse un CSMS. Por tanto R155 presupone lo que 21434 especifica. En la práctica 21434 es el plano concreto y R155 la obligación.

¿Los proveedores Tier-1 y Tier-2 están directamente afectados por R155?

No directamente — el OEM es el obligado frente a UNECE R155. Pero: el OEM transfiere los requisitos de ISO/SAE 21434 contractualmente a sus proveedores. Tier-1 y Tier-2 deben por tanto entregar de forma conforme con CSMS, TARA y SDLC, de lo contrario quedan descalificados como proveedores. Ayudamos a los proveedores a hacer sus procesos aptos para OEM.

¿Cuánto tarda la construcción de un CSMS?

Realísticamente 12–24 meses para un CSMS completo hasta la readiness de auditoría — según madurez y portafolio de producto. De ellos, típicamente 3–6 meses para análisis de gaps y roadmap, 6–12 meses para construcción y pilotaje, y 3–6 meses para roll-out, formación y preparación de auditoría.

¿Cómo se relaciona ISO/SAE 21434 con el CRA?

Ambos estándares abordan la ciberseguridad de productos conectados, pero difieren por sector. ISO/SAE 21434 es específico de automotive (con obligación R155), CRA es horizontal y aplica a todos los productos conectados con elementos digitales. En vehículos: 21434 cubre gran parte de los requisitos CRA, pero no todos. Mapeamos ambos conjuntos de requisitos en un marco de evidencia integrado.

¿Ofrecen también pentest sobre ECU vehiculares?

Sí — como parte del SDLC o por separado. Probamos hardware ECU, firmware, comunicación de bus (CAN, LIN, FlexRay, Automotive Ethernet), interfaces inalámbricas (Bluetooth, WiFi, V2X) y conexiones backend (OTA, telemática). Metodológicamente trabajamos según OWASP IoT, ISO/SAE 21434 Anexo G y nuestra propia metodología de automotive-pentest.

Construimos productos industriales, no coches — ¿nos aplica?

ISO/SAE 21434 es específico automotive, pero la metodología es ampliamente transferible. Para productos industriales, IEC 62443-4 (desarrollo de producto seguro), ISO/IEC 27034 o los requisitos del CRA son más relevantes. También atendemos a fabricantes de maquinaria, dispositivos médicos y productores IoT — las prácticas de engineering (TARA, Secure Boot, Threat Modeling, SDLC) son transversales al sector.

¡Proteja su empresa ahora!

Contáctenos para una asesoría individual y una solución de seguridad ajustada a sus necesidades.

Valeri Milke, CEO de VamiSecCONTACTAR AHORA

Valeri Milke, CEO de VamiSec

«Solo cuando todos los instrumentos están bien afinados entre sí, su organización es realmente segura y conforme.»