Escolar Documentos
Profissional Documentos
Cultura Documentos
Politica
Segurança da Informação do Grupo
LATAM Airlines
Versão
3.1
Código
PO.03.07.0001-V3.0
Data de criação
Julho/2014
Data de modificação
4/Outubro/2018
Tipo de documento
Política
Índice Objetivo 4
2. Alcance 4
1. 3. Referencias 4
4. Responsabilidades 4
5. Detalhe 5
6. Exceções 8
7. Gestão de Consequência8
8. Definiciones 8
9. Histórico 9
10. Registros 9
11. Anexos 9
12. Vigência 9
13. Ciclo de Aprovação 9
1. Objetivo
O objetivo da política de segurança da informação (a “Política”) é estabelecer as diretrizes para a proteção
da informação da companhia, assegurando o controle efetivo da mesma, através da gestão do risco e da
segurança.
2. Escopo
Este documento aplica a todos os empregados e colaboradores do Grupo LATAM Airlines e filiais no mundo
(doravante, “Grupo LATAM”); bem como pessoas da companhia tais como parceiros externos e/ou
fornecedores que atuam, direta ou indiretamente, habitualmente ou ocasionalmente, usam ou dão
suporte aos sistemas de informação e/ou negócios, infraestrutura ou informação.
3. Referências
● PO.03.07.0006-v1.0 Norma de Gestão de Incidentes de Segurança da Informação do Grupo LATAM
4. Responsabilidades
É responsabilidade dos comitês executivos e da alta administração apoiar esta Política e as normas
internas, assegurando sua implementação e facilitando a estrutura organizacional apropriada para seu
cumprimento e aplicação.
4.4. Gerentes e chefia: Todos os gerentes e chefes têm uma responsabilidade extra, ao operar dentro
dos limites desta Política, incluindo:
● Ter um comportamento exemplar em relação à segurança da informação.
● Garantir, na fase de contratação de pessoas, e no momento de formalizar as relações de
trabalho individuais, a prestação de serviço ou qualquer associação, a responsabilidade
de cumprimento dessa política.
● Monitorar, reportar e responder os incidentes de segurança, desvios de conduta e
ameaças ao negócio.
● Avaliar, analisar e tratar os riscos e respectivas vulnerabilidades da infraestrutura e
processos da companhia.
Quando for necessário, o Comitê receberá o apoio das áreas de Recursos Humanos, Marketing, Auditoria,
entre outras, como também dos membros das filiais/ORs quando tiverem algum pedido específico.
5. Detalhe
O objetivo do Departamento de Segurança da Informação é proteger os ativos da companhia, tais como,
sistemas, tecnologia, informação e serviços contra ameaças internas e/ou externas de ações
internacionais, tais como fraude, que pudessem danificar a confidencialidade, integridade e
disponibilidade da informação proprietária.
O cumprimento dos princípios descritos a seguir, permite o alinhamento com as melhores práticas
internacionais e normas aprovadas para a indústria, como o PCI-DSS Payment Card Industry Data
SecurityStandard, ISSO/IEC 27001 Information Security Management, e GDPR (General Data Protection
Regulation).
Portanto:
A Informação das companhias pode ser entregue e distribuída internamente apenas para fins
apropriados, respeitando sua confidencialidade e protegendo a segurança da mesma, conforme as
medidas, condições e proteções definidas para esse efeito, pelo Departamento de Segurança da
Informação correspondente.
Toda informação deve ser armazenada e acessada a fim de proteger sua integridade e
confidencialidade, especialmente quando tratar-se de informação sensível, dados de clientes,
fornecedores, funcionários e qualquer outra informação reservada ou privilegiada da companhia.
Toda alteração, manipulação ou acesso à informação deve ser realizado de maneira que proteja
sua integridade, confidencialidade, disponibilidade, precisão e exatidão.
A identificação de qualquer usuário deve ser única, pessoal e intransferível, qualificando-o como
responsável pelas ações realizadas.
A menos que seja proibido por lei, os acessos devem ser rastreados para garantir que todas as
ações passiveis de auditoria possam identificar individualmente o usuário para responsabilizá-lo
de suas ações.
A menos que seja proibido por lei (ex., na Alemanha e Chile, entre outros países), o Grupo LATAM
reserva-se o direito de monitorar todos os recursos disponíveis para a execução das atividades
profissionais dos empregados, incluindo, porém não limitando a e-mails, pastas de arquivos,
registros e operações realizadas a partir do acesso à internet da companhia.
Todos os recursos fornecidos para os usuários são propriedade do grupo LATAM e são destinados
principalmente para atividades profissionais e podem ser usados para fins pessoais (exceto
equipamentos sob o escopo do ambiente PCI DSS), sempre que for de forma responsável,
conhecendo as condições definidas no item anterior (monitoramento) e respeitando as políticas
internas do Grupo LATAM, incluindo entre outras, as regras estabelecidas no Código de Conduta
do Grupo LATAM.
Todos os recursos informáticos do Grupo LATAM Airlines devem ter instalada e atualizada, de forma
automática, uma ferramenta de software anti-malware e suas definições (por exemplo: lista de
vírus, e monitores de busca), independente do sistema operacional instalado e sempre que for
possível tecnicamente.
Esta política estabelece as bases conceituais do Governo da Segurança por meio dos princípios listados
abaixo. Os conceitos e princípios devem ser comunicados para todos os empregados e fornecedores de
serviço do Grupo LATAM.
Os princípios descritos abaixo são aplicáveis a todos os sistemas, processos e atividades que utilizam os
recursos de informação de propriedade ou sob a custódia do Grupo LATAM, sob a premissa básica de
compromisso e cumprimento desses princípios por parte de todos que possuem acesso a esses recursos.
● Classificação da Informação: “Toda a informação deve ser classificada de acordo com sua
criticidade, e/ou dependendo de seu tratamento nos processos, sistemas,
armazenamento, divulgação e transporte, para garantir que a informação tenha um nível
adequado para o projeto”.
● Mínimo privilégio: “Um usuário deve possuir os mínimos privilégios necessários para
realizar sua função. Toda a informação é fornecida e distribuída somente se respeita-se
apropriadamente a confidencialidade da mesma e são implementados os controles
suficientes para manter o nível mínimo de acesso necessário para a realização de suas
tarefas.
● Continuidade: “A informação deverá estar disponível quando for requerida. Deve ser
garantido que o ambiente possa ser recuperado dentro dos prazos requeridos, através dos
planos de continuidade para reduzir os impactos das falhas na infraestrutura de tecnologia
(TI) e redução dos riscos de negócio e as respectivas vulnerabilidades”.
● Gestão de Risco TI: “Todos os ativos críticos da companhia devem ser protegidos de acordo
com a criticidade apresentada para o negócio. Devemos implementar os controles
apropriados para minimizar sua exposição”.
Esta Política e a documentação associada, deve estar sujeita a revisão no mínimo anualmente, ou com
maior frequência segundo o que for definido no comitê de Riscos de TI, Legal e Compliance LATAM para
responder qualquer alteração dentro do plano de gestão de riscos ou dos resultados do processo de
avaliação de risco.
O marco normativo deve estar acessível para as pessoas e terceiros envolvidos. Define os seguintes níveis
de documentos:
1. Política de Segurança;
2. Normas;
3. Procedimentos;
4. Padrões;
5. Manuais, guias;
6. Registros de documentos.
7. Gestão de Consequências
O não cumprimento dos controles de Segurança da Informação, exigências e princípios desta Política,
pode significar ações disciplinares ou sanções sob as normas internas e legislação de cada país, conforme
aplicável.
8. Definições
“Informação” significa informação de qualquer forma, seja impressa, escrita em papel ou oral,
independentemente de sua forma de armazenamento ou transmissão, seja física ou eletrônica.
"Logs de auditoria" é um conjunto de eventos cronológicos e registros (logs) utilizados para mostrar o
funcionamento do sistema ou as atividades realizadas por um usuário ou sistema. Podem ser utilizados
para reconstruir eventos passados, rastrear atividades realizadas e possivelmente identificar intrusos.
“Usuário” Inclui qualquer pessoa com autorização para acessar a rede do Grupo LATAM ou os serviços de
sistemas TI.
“Funcionário” do Grupo LATAM será considerado todo funcionário com relação de trabalho com uma das
empresas coligadas ou filiais do Grupo LATAM de qualquer cargo ou ocupação.
“Colaborador” se refere aos alunos estagiários, temporários ou aprendizes do Grupo LATAM, conforme
a lei local que corresponda em cada país.
“Confidencialidade” é o princípio que assegura que as informações serão acessadas apenas por pessoas
previamente autorizadas („need-to-know-basis”).
“Integridade” é o princípio de que a informação deve ser precisa e adequada para sua finalidade e deve
ser protegida contra alterações intencionais, sem autorização ou acidentais, em suas diferentes formas
de processamento.
“Disponibilidade” é o princípio que estabelece que a informação deve ser acessível e utilizável quando
necessário.
“Fornecedor de Serviço” é toda organização ou pessoa que proporciona qualquer tipo de serviço para
uma empresa do Grupo LATAM, portanto, está envolvido direta ou indiretamente com o Grupo LATAM.
“Vulnerabilidade” é uma fragilidade de um ativo ou grupo de ativos, que pode ser explorado por uma ou
mais ameaças.
“Ativo” é formado pelo conjunto de bens e direitos necessários à manutenção das atividades da empresa.
“Incidente de Segurança da Informação” é uma série de eventos indesejados que pode comprometer
enormemente as operações do negócio e ameaçar a segurança da informação (ABNT ISO/IEC 27001:2013).
9. Histórico
Objetivo da
Versão Item Modificado Data
modificação
Revisão de todo o
Todos os itens do
2.0 conteúdo do 08/04/2015
documento
documento.
10. Registros
Me Tempo
Nome do Armazenamen Recuperar Elimin Responsá
Código dio de
registro to acesso ar vel
F/E retenção
Termo de PO.03.07.000 F Arquivado pelo Departame Permane Não RRHH de
Responsabili 1_1 Funcionário e nto de nte Aplicá cada país
dade da Recursos Recursos vel
Segurança da Humanos Humanos
Informação de cada
país
11. Anexos
PO.03.07.0001_1 - Termo de Responsabilidade com a Política de Segurança da Informação LATAM
PO.03.07.0001_2 - Fluxograma de Políticas de Segurança da Informação LATAM
12. Vigência
Este documento tem validade por período indeterminado a partir da data em que for publicado na
Intranet do Grupo LATAM Airlines (“Portal”) e poderá ser modificado em qualquer momento, quando
necessário.