Estabelece o compromisso da Aerovías del Continente Americano S.A. Avianca, Avianca Ecuador S.A., Avianca Costa Rica S.A., Aviateca S.A., Regional Express Américas S.A.S. e Taca International Airlines S.A. com o gerenciamento de segurança da informação, conforme descrito a seguir:

• A implementação de normas internacionais, exigências organizacionais e legais e controles de segurança da informação para o gerenciamento dos riscos que possam afetar a confidencialidade, a integridade, a disponibilidade e a privacidade das informações e o cumprimento dos objetivos de segurança da informação.
• Promover a cultura e a melhoria contínua da segurança da informação entre os colaboradores (diretos ou subcontratados) e respectivos terceiros (fornecedores ou contratados).

Os objetivos do Sistema de Gerenciamento de Segurança da Informação estão detalhados abaixo:

• Proteção das informações: fortalecer a proteção das informações da organização, considerando os riscos, a segurança, a conformidade e a continuidade dos processos e da tecnologia.
• Gerenciamento de identidade e acesso: otimizar os tempos de gerenciamento de acesso a sistemas críticos.
• Continuidade dos negócios: fortalecer o programa de continuidade dos negócios e o plano de recuperação de desastres da organização.
• Gerenciamento de vulnerabilidades: garantir a conformidade com a política de vulnerabilidade para proteger os sistemas da organização.

1. OBJETIVO E ALCANCE

1.1 Objetivo

O objectivo desta política é estabelecer as diretrizes de segurança da informação e segurança cibernética necessárias para a proteção da informação de Investment Vehicle 1 Limited ("a Empresa") e de qualquer uma das suas subsidiárias (a "Organização"), contra situações que possam afetar a Confidencialidade, Integridade e Disponibilidade (como definido abaixo) das informações da Organização e que possam causar impacto financeiro, jurídico, competitivo e/ou reputacional da Organização.

1.2 Alcance

O âmbito inclui todas as informações e recursos valiosos (Tecnologias de Informação e Comunicação -TICs-, Instalações e Tecnologias Operacionais -OTs-) associados ou pertencentes à Organização ou administrados por Terceiros (fornecedores e contratados), fazem parte do alcance. o formato, meio, em todas as suas formas (digital, manuscrita, falada, impressa), apresentação e/ou local onde se encontra, incluindo o ciberespaço.

2. RESPONSABILIDADES

O Departamento de Riscos e Conformidade com a Informação, é a área responsável por formular a Política, divulgá-la, revisá-la pelo menos uma vez por ano e mantê-la atualizada; monitorizar o cumprimento, de acordo com a missão e visão da Organização, e o cumprimento da regulamentação aplicável a à Organização, reportando ao Comitê de Auditoria da Empresa (o "Comité de Auditoria") os assuntos relevantes sobre Segurança da Informação e Segurança cibernética. Diferentes instâncias participam da governança de Segurança da Informação e Segurança cibernética em todas as empresas descritas no alcance, que possuem as responsabilidades a seguir:

2.1. Aprovação da política

O Comitê de Auditoria é responsável por ratificar esta política e suas atualizações, monitorar o perfil de risco da informação, promover a cultura da Informação e Segurança cibernética, promover o cumprimento de suas diretrizes, alocar recursos para compliance, bem como o monitoramento geral do cumprimento desta Política. O Departamento de Riscos e Conformidade com a Informação, tem autoridade para gerenciar a revisão da Política e a sua apresentação ao Comité de Auditoria para ratificação.

2.2. Departamento de Riscos e Conformidade com a Informação

• Definir o âmbito do programa de Segurança da Informação e Segurança cibernética para proteger a confidencialidade, integridade e disponibilidade da informação da empresa, garantindo a conformidade regulamentar e implementando boas práticas e metodologias de reconhecido valor técnico aplicáveis à indústria.
• Promover a gestão eficaz dos riscos cibernéticos e de segurança da informação, através da identificação, análise, avaliação e tratamento dos mesmos.
• Definir processos para a atualização permanente das novidades dos marcos regulatórios relacionados à Segurança da Informação e Segurança cibernética.
• Apoio no atendimento e resposta a incidentes de segurança da informação e segurança cibernética identificados por funcionários, terceiros relacionados e derivados do monitoramento feito através das plataformas de gestão de segurança da informação que afetam os processos, recursos tecnológicos e sistemas da Organização.
• Definir um programa de gestão de recuperação tecnológica para garantir a disponibilidade e continuidade das funções críticas do negócio, em caso de possíveis interrupções.
• Com o apoio do Departamento Geral Jurídico, monitorizar o nível de cumprimento das leis e regulamentos aplicáveis sobre Segurança da Informação e Segurança cibernética.
• Monitorar o cumprimento do programa de Segurança da Informação e Segurança cibernética, de acordo com a missão e visão da Organização, e o cumprimento da regulamentação aplicável a cada uma de suas empresas.
• Através do Departamento Jurídico, estabelecer e manter contatos com as autoridades, grupos especiais ou de interesse relevantes para a segurança da informação e segurança cibernética.
• Apoiar a Organização nas ações para implementação de medidas ou controles para o cumprimento desta política.

2.3. A Organização, os seus funcionários, directores, empregados (directos ou subcontratados) e terceiros relacionados (fornecedores e contratantes) que têm acesso às informações da Organização, quer numa base regular ou ocasional, no desempenho das suas funções, são responsáveis por:

• O conhecimento da Política e cumprimento da mesma.
• A implementação da Política juntamente com quaisquer manuais, procedimentos ou instruções estabelecidas para a aplicação da Política.
• Assumir a gestão do risco do tratamento da informação da organização e a implementação das acções relevantes para a sua mitigação.
• Considerar os requisitos de segurança da informação e segurança cibernética em seus processos, iniciativas, projetos e contratos.
• Identificar e comunicar o Departamento de Riscos e Conformidade com a Informação potenciais eventos ou incidentes que ameacem ou possam prejudicar o cumprimento das políticas e/ou procedimentos de segurança da informação.
• Monitorar o nível de conformidade com as leis e regulamentos aplicáveis sobre segurança da informação e segurança cibernética.
• Usar os recursos de informação da organização com responsabilidade e somente para fins autorizados.
• Identificar e alertar o Departamento de Riscos e Conformidade para as actuais e emergentes ameaças cibernéticas e riscos cibernéticos que possam afectar a organização.
• Cumprir as práticas da Organização para uso de informações secretas de autenticação (senhas, códigos de acesso, MFA) e atribuição de privilégios mínimos para acesso às informações em seus diferentes meios.
• Os líderes dos processos devem garantir o cumprimento do princípio da segregação de funções, de forma a minimizar o risco de concentração de responsabilidades críticas numa única pessoa.

3. CONTEÚDO

Aspectos gerais e específicos da política.

3.1 A Organização reconhece que a informação é um insumo indispensável para a execução de processos, tomadas de decisão no desenvolvimento de objetivos de negócios e para a concepção e definição de produtos e serviços que constituem o diferencial do que estamos diante de nossos clientes, colaboradores e associados. Também reconhece a importância de prevenir riscos de segurança da informação e segurança cibernética ao longo de seu ciclo de vida; essa proteção é emoldurada por 3 propriedades:

• Confidencialidade: As informações não devem ser disponibilizadas ou divulgadas a indivíduos, entidades ou processos não autorizados.
• Integridade: A precisão, confiabilidade e integridade das informações devem ser preservadas.
• Disponibilidade: As informações devem ser acessíveis e utilizáveis quando solicitadas por um indivíduo, área ou processo autorizado e quando necessário.

3.2 Devem ser identificadas as informações e recursos valiosos associados às informações que a Organização utiliza para o desenvolvimento de seus objetivos de negócios; as informações e outros recursos associados devem ser atribuídos a uma pessoa responsável, que deve tomar as decisões pertinentes à sua proteção, de acordo com os requisitos internos e regulamentos aplicáveis a cada empresa.

3.3 Todas as informações, independentemente do meio em que são encontradas ou do local de onde são acessadas, devem ser classificadas para estabelecer sua sensibilidade (o nível de confidencialidade que deve ser mantido sobre seu conteúdo) e sua criticidade (o nível de disponibilidade exigido para que as operações comerciais não sejam interrompidas). É responsabilidade de todos os membros da Organização conhecer a classificação das informações que utilizam para o desenvolvimento de suas atividades; e dos responsáveis pelos processos de definição dos controles para proteger a informação de acordo com a classificação tratada por cada empresa que faz parte da organização.

3.4 Organização identifica as seguintes informações, entre outras, como informações confidenciais ou privilegiadas, uma vez que a definição de informações confidenciais deve ser feita numa base casuística:

• Ações na bolsa de valores, informações estratégicas e financeiras, informações sobre alianças estratégicas, relatórios sobre projeções, resultados e/ou divulgações financeiras.
• Informações sobre clientes, colaboradores, acionistas, terceiros relacionados, empreiteiros, fornecedores, viajantes, usuários, investidores.
• Informações privilegiadas para eventos importantes e confidenciais da empresa.
• Informação material não pública. Exemplos incluem informação sobre fusões, projectos estratégicos, alienações, alterações na política de dividendos, informação sobre parceiros de negócios, informação sobre accionistas, entre outros.
• Informações comerciais que a organização é obrigada a proteger, patentes, invenções, acordos comerciais, contratos, código-fonte de desenvolvimento de software ou outros que tenham potencial para fornecer vantagem competitiva.
• Práticas para otimizar receitas, preços, taxas líquidas.
• Informações sobre a operação e seus processos associados.
• Relatórios de segurança, riscos, conformidade, relatórios de auditoria interna e externa, incidentes operações, incidentes de segurança da informação e segurança cibernética, investigações e questões legais relacionados com qualquer um dos acima referidos.
• Relatórios para ou de entidades reguladoras que incluam informação confidencial.
• Chaves ou senhas.
• Informações sujeitas às leis de proteção de dados pessoais (inclui dados de cartões de pagamento) nas diversas jurisdições em que a Organização está localizada ou opera.

As informações acima referidas, e quaisquer outras informações que, em virtude da sua classificação, sejam consideradas confidenciais ou privilegiadas, não podem ser utilizadas para benefício pessoal de qualquer director, funcionário ou terceiro que a elas tenha acesso, nem para fins diferentes dos inicialmente previstos para tais informações.

3.5 É dever de todos os responsáveis pelos processos, líderes de projetos ou iniciativas e administradores de contratos, assegurar que os riscos de informação sejam identificados, analisados, avaliados, tratados e monitorados, de acordo com os procedimentos do Departamento de Riscos e Conformidade com a Informação, assegurando que os riscos correspondentes são mantidos dentro dos níveis de risco aceitáveis para a Organização de acordo com as disposições do MA_AVSG04_054 INFORMAÇÕES MANUAL DE GESTÃO DE RISCO.

3.6 Recursos de informação como: equipamentos, aplicativos de negócios, serviços de Internet, Intranet, ferramentas colaborativas (e-mail, chat, armazenamento na nuvem), entre outros; são fornecidos aos funcionários para uso exclusivo do negócio. O acesso e uso destes devem ser autorizados pelo responsável por cada um dos recursos e de acordo com as responsabilidades de sua função.

3.7 A Organização deve assegurar que os seus funcionários, qualquer oficial, gestor ou qualquer pessoa implementem medidas de segurança da informação, tais como e não se limitam a: verificações e investigações sobre referências pessoais, trabalho, experiência de trabalho, testes complementares, estudo de segurança, aptidão e teste de conhecimento, de forma que apoiem políticas de segurança e em conformidade com as regulamentações locais.

3.8 Todos os funcionários e terceiros relacionados são considerados obrigados a lidar com a confidencialidade das informações da Organização independente, tendo assinado ou não um acordo de confidencialidade no momento em que entram na Organização; e são responsáveis pela reserva de informações mesmo após o término de seu relacionamento com a Organização.

3.9 A Organização deve ter um programa de cultura permanente em segurança da informação e segurança cibernética que permita manter todo o seu pessoal informado sobre as políticas, responsabilidades de segurança da informação e as ameaças contínuas que colocam em risco as informações que gerencia e/ou processa.

3.10 Os responsáveis pelos contratos e contratações devem garantir que as responsabilidades de segurança da informação de terceiros que tenham acesso para processar, armazenar ou distribuir informações de valor à organização, estejam documentadas nos contratos ou outros acordos de prestação de serviços e devem monitorar o cumprimento durante todo o ciclo de vida da relação contratual.

3.11 É dever de toda a Organização e de terceiros relacionado comunicar qualquer suspeita condição anormal ou violação das políticas, responsabilidades e procedimentos de segurança da informação e Segurança cibernética que ameacem a Confidencialidade, Integridade e Disponibilidade das informações da Organização imediatamente através dos canais estabelecidos pela Organização. Caso as situações acima descritas afectem ou tenham a possibilidade de afectar ou ter um impacto económico, material, reputacional, legal ou operacional na Organização, devem ser imediatamente comunicadas ao Departamento de Riscos e Conformidade através dos canais estabelecidos por este último. O Departamento de Riscos e Conformidade com a Informação deve avaliar os relatos de incidentes e verificar se atendem aos critérios de materialidade, devendo, nesse caso, informar o Departamento de Relações com Investidores para que cumpra a Política de Divulgação de Informações Financeiras e Não Financeiras Relevantes para investidores e terceiros interessados.

3.12 A Organização tem a responsabilidade de implementar medidas técnicas para a proteção da informação que é armazenada, processada ou transmitida; de acordo com sua classificação e considerando, mas não limitado a:

• Gerenciamento de risco da informação
• Identificação e classificação de ativos de informação
• Controles para o armazenamento seguro e transferência de dados.
• Proteção contra ameaças, como software malicioso e/ou possíveis ataques ao computador.
• Controle de acesso a informações, aplicativos, infraestrutura e redes.
• Gestão da segurança em dispositivos móveis/portáteis próprios ou pessoais ao serviço da Organização.
• Uso adequado dos recursos atribuídos pela organização (internet, computadores)
• Segurança em redes e telecomunicações
• Segurança na aquisição, desenvolvimento e manutenção de recursos tecnológicos (incluindo sistemas e ambientes de processamento)
• Gerenciamento de mídia de armazenamento removível
• Segurança do pessoal interno e terceiros
• Gestão de vulnerabilidades técnicas
• Segurança na nuvem
• Gerenciamento de logs, eventos e incidentes de segurança
• Segurança física e ambiental em centros de processamento de dados
• Controles para instalação de software
• Backup e recuperação de informações de plataformas tecnológicas em caso de desastres.

3.13 O Departamento de Risco de Informação poderá realizar atividades de monitoramento em qualquer empresa da Organização, exclusivamente, para determinar o grau de cumprimento das diretrizes estabelecidas nesta política.

Regulamento legal vigente aplicável à política.

3.14 A Organização, o seu Conselho de Administração e o seu grupo executivo devem estar empenhados no cumprimento dos requisitos de segurança da informação estabelecidos em suas políticas internas de segurança, bem como aqueles exigidos pelas leis e regulamentos aplicáveis, tais como e não limitados a: SOX (Sarbanes-Oxley Act), PCI DSS (Payment Card Industry Data Security Standards), leis internacionais de proteção de dados pessoais, regulamentos do setor aeronáutico, acordos industriais ou contratuais, licenciamento, propriedade intelectual e outros relacionados à segurança da informação e segurança cibernética.

3.15 Em caso de descumprimento da Política e/ou dos procedimentos de segurança estabelecidos ou subsequentes, a Organização avançará com as medidas legais, administrativas e/ou disciplinares cabíveis; de acordo com as disposições do Regulamento Interno de cada uma de suas empresas e/ou leis e regulamentos internacionais e/ou locais aplicáveis de segurança da informação, segurança cibernética e proteção de dados pessoais.

Data de vigência da política.

3.16 Esta política é eficaz a partir do momento da sua publicação e permanecerá em vigor indefinidamente, a menos que seja alterada para a actualizar de acordo com as mudanças no ambiente organizacional, circunstâncias comerciais e/ou condições legais. Em relação a terceiros, a política entrará em vigor quando as autorizações correspondentes (assinaturas de contrato) tiverem sido obtidas.

Precedência.

3.17 Em caso de conflito entre os Protocolos do Conselho de Administração, o Acordo de Investidor e esta Política, a ordem de precedência dos documentos será a seguinte (i) o Acordo de Investidor, (ii) os Protocolos do Conselho de Administração, (iii) esta Política.