Celle-ci définit l'engagement d'Aerovías del Continente Americano S.A. Avianca, Avianca Ecuador S.A., Avianca Costa Rica S.A., Aviateca S.A., Regional Express Américas S.A.S. et Taca International Airlines S.A. envers la gestion de la sécurité de l’information, au moyen de :

• L'application de normes internationales, d'exigences juridiques et organisationnelles et de contrôles de sécurité de l'information permettant de gérer les risques pouvant affecter la confidentialité, l'intégrité, la disponibilité et la vie privée des informations, ainsi que le respect des objectifs de sécurité de l'information.
• Promouvoir la culture et l'amélioration continue de la sécurité de l'information auprès des collaborateurs (directs ou sous-traités) et des tiers liés (fournisseurs ou entrepreneurs).

Les objectifs du système de gestion de la sécurité de l’information sont détaillés ci-dessous :

• Protection de l'information : renforcer la protection de l'information de l'organisation en tenant compte des risques, de la sécurité, de la conformité et de la continuité des processus et de la technologie.
• Gestion des identités et des accès : optimiser les temps de gestion des accès aux systèmes critiques.
• Continuité des activités : renforcer le programme de continuité des activités et le plan de reprise après sinistre de l'organisation.
• Gestion des vulnérabilités : assurer la conformité avec la politique de vulnérabilité pour sécuriser les systèmes de l'organisation.

1. Objectif et portée

1.1 Objectif

Cette politique vise à établir des lignes directrices en matière de sécurité de l'information et de cybersécurité requises pour la protection des informations d'Investment Vehicle 1 Limited (« l'Entreprise ») et de chacune de ses filiales (l'« Organisation »), dans le cas de situations pouvant affecter la Confidentialité, l'Intégrité, et la Disponibilité (telle que définie ci-dessous) des informations de l'Organisation et qui peuvent avoir un impact financier, juridique, concurrentiel et/ou sur la réputation de l'Organisation.

1.2 Portée

Le champ d'application comprend toutes les informations et ressources de valeur (Technologies de l'information et des communications -TIC-, installations et technologies opérationnelles -OT-) associées ou appartenant à l'Organisation ou gérées par des tiers (fournisseurs et entrepreneurs), indépendamment du format, du support, sous toutes ses formes (numérique, manuscrite, orale, imprimée), de présentation et/ou du lieu où elle se trouve, y compris le cyberespace.

2. Responsabilités

La Direction des Risques et de la Conformité de l'Information est le service chargé de formuler la Politique, de la diffuser, de la réviser au moins une fois par an et de la tenir à jour ; de veiller à son bon respect, conformément à la mission et à la vision de l'Organisation, ainsi qu'au respect des réglementations applicables à l'Organisation.

2.1.  Approbation de la politique

Le Comité d'audit est chargé de ratifier la présente politique et ses mises à jour, de surveiller le profil de risque lié aux informations, de promouvoir la culture de sécurité de l'information et la cybersécurité, de promouvoir le respect de ses lignes directrices et d'allouer des ressources à la conformité, ainsi que de veiller au respect général de cette politique.

2.2. Fonctions de la Direction des risques et de la conformité de l'information

• Définir la portée du programme de sécurité de l'information et de cybersécurité pour protéger la confidentialité, l'intégrité et la disponibilité des informations de l'entreprise, en assurant la conformité réglementaire et en mettant en œuvre de bonnes pratiques et méthodologies de valeur technique reconnue applicables à l'industrie.
• Promouvoir la gestion efficace des risques liés à la cybersécurité et à la sécurité de l’information, à travers leur identification, leur analyse, leur évaluation et leur traitement.
• Définir des processus pour la mise à jour continue suivant les nouveautés apportées aux cadres réglementaires, liés à la sécurité de l'information et à la cybersécurité.
• Soutenir, par le service et la réponse aux incidents de sécurité de l'information et la cybersécurité identifiés par les collaborateurs, les tiers liés et dérivés de la surveillance effectuée à travers des plateformes de gestion de la sécurité de l'information qui affectent les processus, les ressources technologiques et les systèmes de l'Organisation.
• Définir un programme de gestion de la reprise technologique afin de garantir la disponibilité et la continuité des fonctions critiques de l'entreprise, en cas d'interruption.
• Avec le soutien du service juridique, surveiller le niveau de conformité aux lois et réglementations applicables en matière de sécurité de l'information et de cybersécurité.
• Surveiller le respect du programme de sécurité de l’information et de cybersécurité, conformément à la mission et à la vision de l’Organisation, et le respect de la réglementation applicable à chacune de ses entreprises.
• Par l'intermédiaire de la direction juridique, établir et entretenir des contacts avec les autorités, les groupes spéciaux ou d'intérêt concernés par la sécurité de l'information de sécurité et la cybersécurité.
• Soutenir l'Organisation dans les actions visant à mettre en œuvre des mesures ou des contrôles pour le respect de cette politique.

2.3. L'Organisation, ses dirigeants, administrateurs, employés (directs ou sous-traitants) et tiers liés (fournisseurs et entrepreneurs) qui ont accès aux informations de l'organisation, que ce soit régulièrement ou occasionnellement, dans le développement de leurs fonctions, sont responsables de :

• La connaissance et le respect de la Politique.
• La mise en œuvre de la Politique ainsi que de tout manuel, procédure ou instructions établis pour son application.
• Assumer la gestion du risque de la gestion de l’information de l’Organisation et de la mise en œuvre des actions pertinentes pour leur atténuation.
• Tenir compte des exigences en matière de sécurité de l’information et de la cybersécurité dans leurs processus, initiatives, projets et contrats.
• Identifier et signaler au service des risques et de la conformité de l'information les événements ou incidents potentiels qui menacent ou peuvent mettre en péril la conformité aux politiques et/ou procédures de sécurité de l'information.
• Surveiller le niveau de conformité aux lois et réglementations applicables en matière de sécurité de l'information et de cybersécurité.
• Utiliser les ressources d'information de l'organisation de façon responsable et uniquement aux fins autorisées.
• Identifier et alerter la Direction des risques et de la conformité de l'information des cybermenaces et des cyberrisques courants et futurs qui pourraient toucher l'organisation.
• Respecter les pratiques de l'Organisation en matière d'utilisation des informations d'authentification secrètes (mots de passe, code d'accès, MFA) et d'attribution des privilèges de bases pour l'accès à l'information sur les différents supports.
• Les responsables de processus doivent veiller à respecter le principe de séparation des tâches, afin de minimiser le risque de concentrer des responsabilités critiques sur une seule personne.

3. Aspects généraux et spécifiques de la politique.

3.1. L'Organisation reconnaît que l'information est un apport essentiel pour l'exécution des processus, la prise de décision dans l'élaboration des objectifs d'affaires et pour la conception et la définition de produits et services qui constituent le facteur différenciateur de ce que nous sommes devant nos clients, collaborateurs. et associés. Elle reconnaît également l’importance d'atténuer les risques liés à la sécurité de l’information et à la cybersécurité tout au long de leur cycle de vie ; une telle protection est encadrée selon 3 caractéristiques :

• Confidentialité : les informations ne doivent pas être mises à disposition ou divulguées à des personnes, entités ou processus non autorisés.
• Intégrité : l'exactitude, la fiabilité et l'exhaustivité des informations doivent être préservées.
• Disponibilité : les informations doivent être accessibles et utilisables à la demande d'un individu, d'un département ou d'un processus autorisé, et au moment requis.

3.2. Les informations et les ressources de valeur associées aux informations que l'Organisation utilise pour atteindre ses objectifs commerciaux doivent être identifiées ; les informations et autres ressources associées doivent avoir un responsable désigné, qui doit prendre les décisions pertinentes pour leur protection, conformément aux exigences et réglementations internes applicables dans chaque entreprise.

3.3. Toute information, quel que soit le support sur lequel elle se trouve ou le lieu à partir duquel elle est accessible, doit être classifiée afin de définir sa sensibilité (le niveau de confidentialité qui doit être exercé sur son contenu) et sa criticité (le niveau de disponibilité requis pour que les opérations de l'entreprise ne soient pas interrompues). Il est de la responsabilité de tous les membres de l'Organisation de connaître la classification des informations qu'ils utilisent pour mener à bien leurs activités ; et les responsables des processus de définition des contrôles pour protéger les informations conformément à la classification gérée par chaque entreprise faisant partie de l'organisation.

3.4. L’Organisation identifie comme informations confidentielles ou privilégiées les informations suivantes, entre autres, la définition des informations confidentielles devant être faite au cas par cas : 

• Actions en bourse, informations stratégiques et financières, informations sur les alliances stratégiques, rapports sur les projections, les résultats et/ou les révélations financières.
• Informations relatives aux clients, collaborateurs, actionnaires, tiers liés, entrepreneurs, fournisseurs, voyageurs, utilisateurs, investisseurs.
• Informations privilégiées en raison d'événements importants et confidentiels de l'entreprise.
• Informations importantes non publiques. En voici quelques exemples : informations sur les fusions, projets stratégiques, cession, changement de politique de dividendes, informations sur les partenaires commerciaux, informations sur les actionnaires, entre autres.
• Informations commerciales que l'Organisation est tenue de protéger, brevets, inventions, accords commerciaux, contrats, codes sources de développement de logiciels ou autres, susceptibles d'offrir un avantage concurrentiel.
• Pratiques pour optimiser les revenus, les prix, les tarifs nets.
• Informations de l'opération et ses processus associés.
• Rapports de sécurité, risques, conformité, audit interne et externe, incidents opérationnels, incidents de sécurité de l'information et de cybersécurité, enquêtes et questions juridiques liées à l'un de ces éléments.
• Rapports rédigés par ou à l'attention d'organismes de réglementation contenant des informations confidentielles.
• Clés ou mots de passe.
• Informations soumises aux lois de protection des données personnelles (comprend des données de cartes de paiement) dans les différentes juridictions dans lesquelles est située l'Organisation ou le développement de son activité.

Les informations précédemment mentionnées, et toute autre qui, pour leur catégorisation seraient considérées comme étant des informations confidentielles ou privilégiées ne pourront être utilisées comme un avantage personnel par aucun administrateur, collaborateur ou tiers ayant accès à celles-ci, ni à d'autres fins que celles initialement prévues pour lesdites informations.

3.5. Il est du devoir de tous les responsables des processus, porteurs de projets ou d'initiatives et administrateurs de contrats, de veiller à ce que les risques liés aux informations soient identifiés, analysés, évalués, traités et suivis, conformément aux procédures de la Direction des risques et de la conformité de l'information, garantissant que les risques correspondants sont maintenus dans les niveaux de risque acceptables pour l'Organisation.

3.6. Les ressources d'information comme :  des équipements, applications métiers, services Internet, Intranet, outils collaboratifs (e-mail, chat, stockage cloud), entre autres ; sont fournis à tous les employés de l’Organisation et pour l’usage exclusif de l’Organisation. L'accès et l'utilisation de celles-ci doivent être autorisés par la personne responsable de chacune des ressources et conformément aux responsabilités de sa fonction.

3.7. L'Organisation doit s'assurer que ses employés, tout fonctionnaire, gestionnaire ou toute personne, appliquent des mesures de sécurité de l'information, notamment, sans s'y limiter : Vérifications et enquêtes sur les références personnelles et professionnelles, l'expérience professionnelle, les tests complémentaires, l'étude de sécurité, l'examen d'aptitude et de connaissances, de manière à soutenir les politiques de sécurité et dans le respect des réglementations locales.

3.8. Tous les employés et tiers liés sont tenus de gérer la confidentialité des informations de l'Organisation indépendante, qu'ils aient ou non signé un accord de confidentialité au moment de leur entrée dans l'Organisation ; et sont responsables de la confidentialité des informations même après la fin de leur relation avec l'Organisation.

3.9. L'Organisation devra disposer d'un programme culturel permanent destiné à la Sécurité de l'information et la cybersécurité, qui lui permettra de tenir l'ensemble de son personnel informé des politiques, des responsabilités en matière de sécurité de l'information et des menaces continues qui mettent en danger les informations qu'elle gère et/ou traite.

3.10. Les responsables des contrats et de l'embauche doivent garantir que les responsabilités en matière de sécurité de l'information des tiers qui ont accès, traitent, stockent ou distribuent des informations ayant de la valeur pour l'Organisation, sont documentées dans les contrats ou d'autres accords pour la fourniture de services et doivent superviser leur respect tout au long de la relation contractuelle.

3.11. Il est du devoir de l'ensemble de l'Organisation et des tiers liés de signaler immédiatement tout soupçon, condition anormale ou violation des politiques, responsabilités et procédures de sécurité de l'information et de cybersécurité qui menacent la confidentialité, l'intégrité et la disponibilité des informations de l'Organisation, par les canaux établis. par l'Organisation.

Dans le cas où les situations décrites ci-dessus affectent ou sont susceptibles d'affecter ou d'avoir un impact économique, matériel, sur la réputation, juridique ou opérationnel pour l'Organisation, elles devront être immédiatement signalées à la Direction des risques et de la conformité de l'information par les canaux créées par celle-ci.

La Direction des Risques Informationnels et de la Conformité doit évaluer les déclarations d'incidents et déterminer si elles répondent au critère de matérialité, auquel cas elle doit informer la Direction des Relations avec les Investisseurs pour se conformer à la Politique de Divulgation des Informations Financières et Non Financières Pertinentes pour les Actionnaires, le Marché, Parties prenantes et tiers intéressés.

3.12. L'Organisation a la responsabilité de mettre en œuvre des mesures techniques pour protéger les informations stockées, traitées ou transmises ; selon leur classification et en tenant compte, mais sans s'y limiter :

• Gestion des risques de l'information.
• Identification et classification des actifs informationnels.
• Contrôles pour le stockage et le transfert sécurisés des données.
• Protection contre les menaces, telles que les logiciels malveillants et/ou d'éventuelles attaques informatiques.
• Contrôle de l'accès à l'information, aux applications, aux infrastructures et aux réseaux.
• Gestion de la sécurité sur des appareils mobiles/ordinateurs portables propres ou personnels au service de l'Organisation.
• Utilisation appropriée des ressources attribuées par l'organisation (Internet, ordinateurs).
• Sécurité dans les réseaux et télécommunications.
• Sécurité dans l’acquisition, le développement et la maintenance des ressources technologiques (incluant les systèmes et environnements de traitement).
• Gestion des supports de stockage amovibles.
• Sécurité du personnel interne et de tiers.
• Gestion des vulnérabilités techniques.
• Sécurité du cloud.
• Gestion des logs, événements et incidents de sécurité.
• Sécurité physique et environnementale dans les centres de traitement de données.
• Contrôles pour l'installation de logiciels.
• Sauvegarde des informations et restauration des plateformes technologiques en cas de sinistre.

 3.13. Le Département des risques et de la conformité de l'information peut effectuer des activités de surveillance dans n'importe quelle entreprise de l'Organisation, exclusivement, pour déterminer le niveau de conformité aux lignes directrices établies dans la présente politique.

Réglementation légale en vigueur applicable à la politique.

3.14. L'Organisation, son Conseil d'administration et sa direction doivent s'engager à respecter les exigences en matière de sécurité de l'information établies dans ses politiques de sécurité interne, ainsi que celles exigées par les lois et réglementations applicables, telles que, sans s'y limiter : SOX (Sarbanes-Oxley Act), PCI DSS (Payment Card Industry Data Security Standards), lois internationales sur la protection des données personnelles, réglementations du secteur aéronautique, accords industriels ou contractuels, licences, propriété intellectuelle et autres références à la Sécurité de l'information et la Cybersécurité.

3.15. En cas de non-respect de la Politique et/ou des procédures de sécurité établies ou ultérieures, l'Organisation prendra les mesures juridiques, administratives et/ou disciplinaires appropriées ; conformément aux dispositions du règlement intérieur de chacune de ses sociétés et/ou aux lois et réglementations internationales et/ou locales applicables en matière de sécurité de l’information, de cybersécurité et de protection des données personnelles.