Política de segurança da informação

Política do Sistema de Gerenciamento de Segurança da Informação

false

Estabelece o compromisso da Aerovías del Continente Americano S.A. Avianca, Avianca Ecuador S.A., Avianca Costa Rica S.A., Aviateca S.A., Regional Express Américas S.A.S. e Taca International Airlines S.A. com o gerenciamento de segurança da informação, conforme descrito a seguir:

<div style="margin-bottom:16px;"></div>

• A implementação de normas internacionais, exigências organizacionais e legais e controles de segurança da informação para o gerenciamento dos riscos que possam afetar a confidencialidade, a integridade, a disponibilidade e a privacidade das informações e o cumprimento dos objetivos de segurança da informação.

<div style="margin-bottom:16px;"></div>

• Promover a cultura e a melhoria contínua da segurança da informação entre os colaboradores (diretos ou subcontratados) e respectivos terceiros (fornecedores ou contratados).

<div style="margin-bottom:16px;"></div>

Os objetivos do Sistema de Gerenciamento de Segurança da Informação estão detalhados abaixo:

<div style="margin-bottom:16px;"></div>

• Proteção das informações: fortalecer a proteção das informações da organização, considerando os riscos, a segurança, a conformidade e a continuidade dos processos e da tecnologia.
• Gerenciamento de identidade e acesso: otimizar os tempos de gerenciamento de acesso a sistemas críticos.
• Continuidade dos negócios: fortalecer o programa de continuidade dos negócios e o plano de recuperação de desastres da organização.
• Gerenciamento de vulnerabilidades: garantir a conformidade com a política de vulnerabilidade para proteger os sistemas da organização.

Política de Segurança da Informação e Segurança Cibernética

false

1. OBJETIVO E ALCANCE

<div style="margin-bottom:16px;"></div>

1.1 Objetivo

<div style="margin-bottom:16px;"></div>

O objectivo desta política é estabelecer as diretrizes de segurança da informação e segurança cibernética necessárias para a proteção da informação de Investment Vehicle 1 Limited ("a Empresa") e de qualquer uma das suas subsidiárias (a "Organização"), contra situações que possam afetar a Confidencialidade, Integridade e Disponibilidade (como definido abaixo) das informações da Organização e que possam causar impacto financeiro, jurídico, competitivo e/ou reputacional da Organização.

<div style="margin-bottom:16px;"></div>

1.2 Alcance

<div style="margin-bottom:16px;"></div>

O âmbito inclui todas as informações e recursos valiosos (Tecnologias de Informação e Comunicação -TICs-, Instalações e Tecnologias Operacionais -OTs-) associados ou pertencentes à Organização ou administrados por Terceiros (fornecedores e contratados), fazem parte do alcance. o formato, meio, em todas as suas formas (digital, manuscrita, falada, impressa), apresentação e/ou local onde se encontra, incluindo o ciberespaço.

<div style="margin-bottom:16px;"></div>

2. RESPONSABILIDADES

<div style="margin-bottom:16px;"></div>

O Departamento de Riscos e Conformidade com a Informação, é a área responsável por formular a Política, divulgá-la, revisá-la pelo menos uma vez por ano e mantê-la atualizada; monitorizar o cumprimento, de acordo com a missão e visão da Organização, e o cumprimento da regulamentação aplicável a à Organização.

<div style="margin-bottom:16px;"></div>

2.1. Aprovação da política

<div style="margin-bottom:16px;"></div>

O Comitê de Auditoria é responsável por ratificar esta política e suas atualizações, monitorar o perfil de risco da informação, promover a cultura da Informação e Segurança cibernética, promover o cumprimento de suas diretrizes, alocar recursos para compliance, bem como o monitoramento geral do cumprimento desta Política.

<div style="margin-bottom:16px;"></div>

2.2. Departamento de Riscos e Conformidade com a Informação

<div style="margin-bottom:16px;"></div>

• Definir o âmbito do programa de Segurança da Informação e Segurança cibernética para proteger a confidencialidade, integridade e disponibilidade da informação da empresa, garantindo a conformidade regulamentar e implementando boas práticas e metodologias de reconhecido valor técnico aplicáveis à indústria.

<div style="margin-bottom:16px;"></div>

• Promover a gestão eficaz dos riscos cibernéticos e de segurança da informação, através da identificação, análise, avaliação e tratamento dos mesmos.

<div style="margin-bottom:16px;"></div>

• Definir processos para a atualização permanente das novidades dos marcos regulatórios relacionados à Segurança da Informação e Segurança cibernética.

<div style="margin-bottom:16px;"></div>

• • Apoio no atendimento e resposta a alertas e incidentes de segurança da informação e segurança cibernética identificados por funcionários, terceiros relacionados e derivados do monitoramento feito através das plataformas de gestão de segurança da informação que afetam os processos, recursos tecnológicos e sistemas da Organização.

<div style="margin-bottom:16px;"></div>

• Definir um programa de gestão de recuperação tecnológica para garantir a disponibilidade e continuidade das operações definidas pela BIA (Business Impact Analysis) como críticas para o negócio, em caso de possíveis interrupções.

<div style="margin-bottom:16px;"></div>

• Com o apoio do Departamento Geral Jurídico, monitorizar o nível de cumprimento das leis e regulamentos aplicáveis sobre Segurança da Informação e Segurança cibernética.

<div style="margin-bottom:16px;"></div>

• Monitorar o cumprimento do programa de Sistema de Gestão de Segurança da Informação e Segurança cibernética, de acordo com a missão e visão da Organização, e o cumprimento da regulamentação aplicável a cada uma de suas empresas.

<div style="margin-bottom:16px;"></div>

• Através do Departamento Jurídico, estabelecer e manter contatos com as autoridades, grupos especiais ou de interesse relevantes para a segurança da informação e segurança cibernética.

<div style="margin-bottom:16px;"></div>

• Apoiar a Organização nas ações para implementação de medidas ou controles para o cumprimento desta política.

<div style="margin-bottom:16px;"></div>

2.3. A Organização, os seus funcionários, directores, empregados (directos ou subcontratados) e terceiros relacionados (fornecedores e contratantes) que têm acesso às informações da Organização, quer numa base regular ou ocasional, no desempenho das suas funções, são responsáveis por:

• Conhecimento da Política e cumprimento da mesma juntamente com qualquer manual, procedimento ou instrução estabelecidos para a sua aplicação e mencionados no final do documento.
• A implementação da Política juntamente com quaisquer manuais, procedimentos ou instruções estabelecidas para a aplicação da Política.
• Assumir a gestão do risco do tratamento da informação da organização e a implementação das acções relevantes para a sua mitigação.
• Considerar os requisitos de segurança da informação e segurança cibernética em seus processos, iniciativas, projetos e contratos.
• Identificar e comunicar o Departamento de Riscos e Conformidade com a Informação potenciais eventos ou incidentes que ameacem ou possam prejudicar a informação corporativa o cumprimento das políticas e/ou procedimentos de segurança da informação.
• Monitorar o nível de conformidade com as leis e regulamentos aplicáveis sobre segurança da informação e segurança cibernética.
• Usar os recursos tecnológicos ou as de informação da organização com responsabilidade e somente em ambientes ou aplicações aprovados pela CIO (incluindo os relacionados com IA) para fins autorizados.
• Identificar e alertar o Departamento de Riscos e Conformidade para as actuais e emergentes ameaças cibernéticas e riscos cibernéticos que possam afectar a organização.
• Cumprir as práticas da Organização para uso adequado e seguro de informações ou ferramentas secretas de autenticação (senhas, códigos de acesso, MFA, Passwordless).
• Gerenciar as identidades digitais e atribuição de privilégios mínimos para acesso às informações em seus diferentes meios e de acordo com as responsabilidades; bem como solicitar a eliminação oportuna das identidades digitais e acessos quando não forem necessários.
• Os líderes dos processos devem garantir o cumprimento do princípio da segregação de funções, de forma a minimizar o risco de concentração de responsabilidades críticas numa única pessoa.
• Definir planos de contingência operacionais ou tecnológicos necessários para manter a continuidade dos processos ou serviços críticos da empresa. Estes devem ser testados periodicamente para se manterem eficazes.

<div style="margin-bottom:16px;"></div>

3. CONTEÚDO

<div style="margin-bottom:16px;"></div>

Aspectos gerais e específicos da política.

<div style="margin-bottom:16px;"></div>

3.1 A Organização reconhece que a informação é um insumo indispensável para a execução de processos, tomadas de decisão no desenvolvimento de objetivos de negócios e para a concepção e definição de produtos e serviços que constituem o diferencial do que estamos diante de nossos clientes, funcionários e associados. Também reconhece a importância de prevenir riscos de segurança da informação e segurança cibernética ao longo de seu ciclo de vida; essa proteção é emoldurada por 3 propriedades:

• Confidencialidade: As informações não devem ser disponibilizadas ou divulgadas a indivíduos, entidades ou processos não autorizados.
• Integridade: A precisão, confiabilidade e integridade das informações devem ser preservadas.
• Disponibilidade: As informações devem ser acessíveis e utilizáveis quando solicitadas por um indivíduo, área ou processo autorizado e quando necessário.

<div style="margin-bottom:16px;"></div>

3.2 Devem ser identificadas as informações e recursos valiosos associados às informações que a Organização utiliza para o desenvolvimento de seus objetivos de negócios; as informações e outros recursos associados devem ser atribuídos a uma pessoa responsável, que deve tomar as decisões pertinentes à sua proteção, de acordo com os requisitos internos e regulamentos aplicáveis a cada empresa.

<div style="margin-bottom:16px;"></div>

3.3 Todas as informações, independentemente do meio em que são encontradas ou do local de onde são acessadas, devem ser classificadas para estabelecer sua sensibilidade (o nível de confidencialidade que deve ser mantido sobre seu conteúdo) e sua criticidade (o nível de disponibilidade exigido para que as operações comerciais não sejam interrompidas). É responsabilidade de todos os membros da Organização conhecer a classificação das informações que utilizam para o desenvolvimento de suas atividades; e dos responsáveis pelos processos de definição dos controles para proteger a informação de acordo com a classificação tratada por cada empresa que faz parte da organização.

<div style="margin-bottom:16px;"></div>

3.4 Organização identifica as seguintes informações, entre outras, como informações confidenciais ou privilegiadas, uma vez que a definição de informações confidenciais deve ser feita numa base casuística:

<div style="margin-bottom:16px;"></div>

• Ações na bolsa de valores, informações estratégicas e financeiras, informações sobre alianças estratégicas, relatórios sobre projeções, resultados e/ou divulgações financeiras.
• Informações sobre clientes, funcionários, acionistas, terceiros relacionados, empreiteiros, fornecedores, viajantes, usuários, investidores.
• Informações privilegiadas para eventos importantes e confidenciais da empresa.
• Informação material não pública. Exemplos incluem informação sobre fusões, projectos estratégicos, alienações, alterações na política de dividendos, informação sobre parceiros de negócios, informação sobre accionistas, entre outros.
• Informações comerciais que a organização é obrigada a proteger, patentes, invenções, acordos comerciais, contratos, código-fonte de desenvolvimento de software ou outros que tenham potencial para fornecer vantagem competitiva.
• Práticas para otimizar receitas, preços, taxas líquidas.
• Informações sobre a operação e seus processos associados.
• Relatórios de segurança, riscos, conformidade, relatórios de auditoria interna e externa, incidentes operações, incidentes de segurança da informação e segurança cibernética, investigações e questões legais relacionados com qualquer um dos acima referidos.
• Relatórios para ou de entidades reguladoras que incluam informação confidencial.
• Chaves, pinos, senhas ou informações de usuários de rede e/ou aplicativos corporativos.
• Informações sujeitas às leis de proteção de dados pessoais (inclui dados de cartões de pagamento) nas diversas jurisdições em que a Organização está localizada ou opera.

<div style="margin-bottom:16px;"></div>

As informações acima referidas, e quaisquer outras informações que, em virtude da sua classificação, sejam consideradas confidenciais ou privilegiadas, não podem ser utilizadas para benefício pessoal de qualquer director, funcionário ou terceiro que a elas tenha acesso, nem para fins diferentes dos inicialmente previstos para tais informações.

<div style="margin-bottom:16px;"></div>

3.5 É dever de todos os responsáveis pelos processos, líderes de projetos ou iniciativas e administradores de contratos, assegurar que os riscos de informação sejam identificados, analisados, avaliados, tratados e monitorados, de acordo com os procedimentos do Departamento de Riscos e Conformidade com a Informação, assegurando que os riscos correspondentes são mantidos dentro dos níveis de risco aceitáveis para a Organização.

<div style="margin-bottom:16px;"></div>

3.6 Recursos de informação como: equipamentos, aplicativos de negócios, serviços de Internet, Intranet, ferramentas colaborativas (e-mail, chat, armazenamento na nuvem), entre outros; são fornecidos aos funcionários para uso exclusivo do negócio. O acesso e uso destes devem ser autorizados pelo responsável por cada um dos recursos e de acordo com as responsabilidades de sua função. Os recursos de informação devem ser devolvidos imediatamente ao administrador quando não forem mais necessários.

<div style="margin-bottom:16px;"></div>

3.7 A Organização deve assegurar que os seus funcionários, qualquer oficial, gestor ou qualquer pessoa implementem medidas de segurança da informação, tais como e não se limitam a: verificações e investigações sobre referências pessoais, trabalho, experiência de trabalho, testes complementares, estudo de segurança, aptidão e teste de conhecimento, de forma que apoiem políticas de segurança e em conformidade com as regulamentações locais.

<div style="margin-bottom:16px;"></div>

3.8 Todos os funcionários e terceiros relacionados são considerados obrigados a lidar com a confidencialidade das informações da Organização independente, tendo assinado ou não um acordo de confidencialidade no momento em que entram na Organização; e são responsáveis pela reserva de informações mesmo após o término de seu relacionamento com a Organização.

<div style="margin-bottom:16px;"></div>

3.9 A Organização deve ter um programa de cultura permanente em segurança da informação e segurança cibernética que permita manter todo o seu pessoal informado sobre as políticas, responsabilidades de segurança da informação e as ameaças contínuas que colocam em risco as informações que gerencia e/ou processa.

<div style="margin-bottom:16px;"></div>

3.10 Os responsáveis pelos contratos e contratações devem garantir que as responsabilidades de segurança da informação de terceiros e da sua cadeia de abastecimento, que tenham acesso para processar, armazenar ou distribuir informações de valor à organização, estejam documentadas nos contratos ou outros acordos de prestação de serviços e devem monitorar o cumprimento durante todo o ciclo de vida da relação contratual.

<div style="margin-bottom:16px;"></div>

3.11 É dever de toda a Organização e de terceiros relacionado comunicar qualquer suspeita condição anormal ou violação das políticas, responsabilidades e procedimentos de segurança da informação e Segurança cibernética que ameacem a Confidencialidade, Integridade e Disponibilidade das informações da Organização imediatamente através dos canais estabelecidos pela Organização. Caso as situações acima descritas afectem ou tenham a possibilidade de afectar ou ter um impacto económico, material, reputacional, legal ou operacional na Organização, devem ser imediatamente comunicadas ao Departamento de Riscos e Conformidade através dos canais estabelecidos por este último. O Departamento de Riscos e Conformidade com a Informação deve avaliar os relatos de incidentes e verificar se atendem aos critérios de materialidade, devendo, nesse caso, informar o Departamento de Relações com Investidores para que cumpra a Política de Divulgação de Informações Financeiras e Não Financeiras Relevantes para investidores e terceiros interessados.

<div style="margin-bottom:16px;"></div>

3.12 A Organização tem a responsabilidade de implementar medidas técnicas para a proteção da informação que é armazenada, processada ou transmitida; de acordo com sua classificação e considerando, mas não limitado a:

• Gerenciamento de risco da informação
• Identificação e classificação de ativos de informação
• Controles para o armazenamento seguro e transferência de dados.
• Proteção contra ameaças, como software malicioso e/ou possíveis ataques ao computador.
• Gestão de identidades digitais e controle de acesso a informações, aplicativos, infraestrutura e redes.
• Gestão da segurança em dispositivos móveis/portáteis próprios ou pessoais ao serviço da Organização.
• Uso adequado dos recursos atribuídos pela organização (internet, dispositivos tecnológicos corporativos, sites colaborativos: Sharepoint, Onedrive, Teams, e-mail, outros)
• Segurança em redes e telecomunicações
• Segurança na aquisição, desenvolvimento e manutenção de recursos tecnológicos (incluindo sistemas e ambientes de processamento e gestão da obsolescência tecnológica)
• Gerenciamento de mídia de armazenamento removível
• Segurança do pessoal interno e terceros
• Gestão de vulnerabilidades técnicas
• Segurança na nuvem
• Gerenciamento de logs, eventos e incidentes de segurança
• Segurança física e ambiental em centros de processamento de dados ou locais críticos
• Controles para instalação, desenvolvimento e armazenamento de software
• Continuidade do negócio, backup e recuperação de informações de plataformas tecnológicas em caso de desastres.
• Trabalho remoto ou fora das instalações
• Uso ou desenvolvimento responsável de tecnologias de Inteligência Artificial (IA)

<div style="margin-bottom:16px;"></div>

3.13 O Departamento de Risco de Informação poderá realizar atividades de monitoramento e auditoria em qualquer empresa da Organização, exclusivamente, para determinar o grau de cumprimento das diretrizes estabelecidas nesta política. Incluindo terceiros e empresas subcontratadas que prestam serviços de gestão, monitoramento e administração de plataformas tecnológicas da Investment Vehicle 1 Limited technology.

<div style="margin-bottom:16px;"></div>

Regulamento legal vigente aplicável à política.

<div style="margin-bottom:16px;"></div>

3.14 A Organização, o seu Conselho de Administração e o seu grupo executivo devem estar empenhados no cumprimento dos requisitos de segurança da informação estabelecidos em suas políticas internas de segurança, bem como aqueles exigidos pelas leis e regulamentos aplicáveis, tais como e não limitados a: SOX (Sarbanes-Oxley Act), PCI DSS (Payment Card Industry Data Security Standards), leis internacionais de proteção de dados pessoais, regulamentos do setor aeronáutico, acordos industriais ou contratuais, licenciamento, propriedade intelectual e outros relacionados à segurança da informação e segurança cibernética.

<div style="margin-bottom:16px;"></div>

3.15 Em caso de descumprimento da Política e/ou dos procedimentos de segurança estabelecidos ou subsequentes, a Organização avançará com as medidas legais, administrativas e/ou disciplinares cabíveis; de acordo com as disposições do Regulamento Interno de cada uma de suas empresas e/ou leis e regulamentos internacionais e/ou locais aplicáveis de segurança da informação, segurança cibernética e proteção de dados pessoais.