DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO

ELABORADO POR: REVISADO POR: APROVADO POR:

Pedro Mota Rogério A. Teles Celso Ferrer

Analistas de Segurança da Informação Coordenador de Governança de TI Presidente/ Presidência

Felipe de Lara Lucas Correia

Analistas de Segurança da Informação Gerente de Segurança Cibernética

Danitiele Ensinas Marcelo M. de Oliveira

Analista Governança de TI Gerente de Governança e Projetos

Luiz Borrego
Diretor de TI
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

......................................................................................................... 3
.......................................................................................................... 3
.............................................................................. 3
.................................................................. 5
................................................................................................... 5
.................................................................... 6
........................................................................................................ 6
.................................... 7
............................................................. 7
.................................................................................................... 8
.................................................................................... 9
..................................................................................................... 10
....................................................................................................... 32
............................................................................................ 33
..................................................................................... 33
..................................................................................................... 33
................................................................................... 33
......................................................................................................... 34

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Esta Política de Segurança da Informação tem como objetivo estabelecer as

diretrizes, normas e procedimentos que assegurem a segurança das informações,
ao tempo que não impeçam e/ou dificultem os processos de negócios da
organização, mas que garantem:

✓ A confiabilidade das informações através da preservação da

confidencialidade, integridade e disponibilidade dos dados da empresa;
✓ O compromisso da companhia com a proteção das informações da GOL,
de seus clientes, de seus colaboradores ou sob sua tutela;
✓ A participação e colaboração de todos os colaboradores com o sistema de
gestão de Segurança da Informação;
✓ O efetivo conhecimento e cumprimento das diretrizes, normas e
procedimentos de Segurança da Informação por colaboradores,
fornecedores e terceiros;

Todas as unidades de negócios da GOL Linhas Aéreas S.A, fornecedores e prestadores de

serviços que possuem acesso às informações da GOL.

é uma implementação de serviço de diretório no protocolo LDAP que

armazena informações sobre objetos em rede de computadores e disponibiliza essas
informações a usuários e administradores desta rede.

plataforma unificada de comunicação e colaboração que

combina bate-papo, videoconferências, armazenamento de arquivos e integração de
aplicativos no local de trabalho.

: considerado patrimônio da empresa, composto por dados e

informações geradas e manipuladas durante a interação com os sistemas, processos e
pessoas.

: cópias de segurança de um ou mais arquivos em diferentes dispositivos de

armazenamento.

: é o princípio que somente indivíduos, processos ou sistemas

autorizados devem ter acesso à informação, com base no conhecimento necessário para
execução das atividades.

: garantir que somente pessoas autorizadas tenham acesso à

informação, reduzindo a exposição de dados sensíveis.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

: é o grupo responsável por coordenar a gestão dos incidentes relacionados à

Segurança da Informação.

informação relacionada a pessoa natural identificada ou identificável.

: é o princípio que a informação deve estar acessível para pessoas

autorizadas, quando necessário.

Processo abrangente de gestão que

identifica ameaças potenciais para uma organização e os possíveis impactos nas operações
de negócio caso estas ameaças se concretizem. Este processo fornece uma estrutura para
que se desenvolva uma resiliência organizacional que seja capaz de responder eficazmente
e salvaguardar os interesses das partes interessadas, a reputação e a marca da organização
e suas atividades de valor agregado.

é um processo de mapeamento das ameaças, mitigação dos riscos e execução

das atividades corretivas, com foco na infraestrutura e objetivo principal de torná-la
preparada para enfrentar tentativas de ataque.

: um ou vários eventos indesejados ou inesperados

que tenham uma grande probabilidade de comprometer as operações de negócio e
ameaçar a Segurança da Informação.

: qualquer dado produzido por colaboradores no exercício de suas funções ou

atividades junto à GOL e empresas do seu grupo econômico, ou validamente adquiridas ou
licenciadas à GOL, incluindo qualquer empresa do seu grupo econômico e fixado em
qualquer mídia física ou digital.

: é o princípio de que a informação deve ser protegida de mudanças

intencionais, não autorizadas ou acidentais, em suas diferentes formas de processamento.

A Lei 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) dispõe sobre
o tratamento de dados pessoais, inclusive por meios digitais, por pessoa natural ou por
pessoa jurídica. É uma legislação que estabelece direitos aos titulares de dados pessoais e
obrigações aos agentes de tratamento com o objetivo de proteger direitos fundamentais
de liberdade e de privacidade.

tipo de memória que pode ser removida do seu aparelho de leitura e

garante portabilidade para os dados que carrega. Ex: CD, DVD, pen drive etc.

trata-se de um recurso que exige que o usuário, além da

utilização da senha correta, valide seu acesso por meio de um segundo código verificador
temporário, normalmente enviado por SMS ou produzido por um dispositivo eletrônico
paralelo (como um smartphone ou token).
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

é uma agência governamental não regulatória da administração de tecnologia do

Departamento de Comércio dos Estados Unidos.

é uma comunidade online que cria e disponibiliza de forma gratuita artigos,

metodologias, documentação, ferramentas e tecnologias no campo da segurança de
aplicações web.

Atualizações de softwares lançados pelos fabricantes com o objetivo de corrigir

falhas de segurança e vulnerabilidades, bem como melhorar a utilização e desempenho
desses.

Técnica utilizada por criminosos virtuais, o qual é utilizada páginas falsas e/ou
e-mails para enganar o usuário a realizar uma ação, podendo ser, clicar em um link
malicioso, realizar algum download e/ou compartilhar informações com o criminoso.

: conjunto de diretrizes, normas e procedimentos

destinado a definir a proteção adequada dos ativos das unidades de negócios GOL, além
de definir as devidas responsabilidades no contexto de Segurança da Informação.

consiste nos sistemas, equipamentos de telecomunicações utilizados na

aquisição, armazenamento, manipulação, processamento, gestão, movimentação,
eliminação, controle, exibição, troca, intercâmbio, transmissão, transferência ou
recebimento de voz, dados, vídeo e/ou informações, incluindo, mas não se limitando,
qualquer dispositivo ou serviço interconectado, pertencente à GOL, tais como
computadores (notebooks, Ipads e desktops), telefones e dispositivos móveis (por exemplo,
Iphone, BlackBerry, dispositivos USB, MP3 players), sistemas de correio de voz e websites.

: é a proteção da informação de vários tipos de ameaças para

garantir a continuidade de negócio, minimizar os riscos, maximizar o retorno sobre os
investimentos e as oportunidades de negócio.

: todos os colaboradores, visitantes e prestadores de serviços que utilizam os

recursos da GOL.

: Usuários que acessam a rede da GOL através do wireless para visitantes ou

empresas fornecedoras.

✓ Apoiar esta Política e as normas internas, garantindo e facilitando a sua

implementação e cumprimento.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

✓ Assegurar que a Política de Segurança da Informação e seus objetivos sejam

estabelecidos e compatíveis com a Direção Estratégica da GOL.

✓ Desenvolver, implementar e revisar as Políticas, Procedimentos de Segurança da

Informação que forneçam proteção adequada às informações e sistemas GOL.

✓ Planejar, elaborar, delegar e acompanhar os planos de ação para aderência das

diretrizes desta Política.

✓ Acompanhar a evolução do plano de ação para tratamento das vulnerabilidades e

ameaças digitais, sob responsabilidades das demais áreas.

✓ Quando acionado, atuar nos casos de incidentes de Segurança da Informação.

✓ Viabilizar e nortear o colaborador nas boas práticas de Segurança da Informação

através e não se limitando à promoção de campanhas de conscientização, bem como
estabelecer e atualizar o treinamento obrigatório de Segurança da Informação para
os novos colaboradores e treinamentos contínuos referente ao tema.

✓ Estabelecer, gerenciar e divulgar para as áreas relevantes, indicadores de Segurança

da Informação.

✓ Definir, adquirir, homologar, instalar e manter os controles tecnológicos de Segurança

da Informação, observando os procedimentos contidos ou referenciados nesta
Política.

✓ Assegurar que as práticas de Segurança da Informação definidas são observadas e

seguidas por suas equipes, bem como difundir e manter a cultura de Segurança da
Informação.

✓ Formalizar nos contratos individuais de trabalho de prestação de serviços ou de

parceria a ciência e responsabilidade quanto ao cumprimento da Política de Segurança
da Informação da GOL e Regras de Tratamento de Informações Confidenciais.

✓ Assegurar que todos os terceiros, fornecedores e/ou parceiros que possuem contas
GOL, tenham seus acessos revisados e/ou revogados no desligamento/ encerramento
de contrato.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

✓ Assegurar que todos seus colaboradores e prestadores de serviço tenham ciência e

cumpram esta política.

✓ Apoiar na revisão/ atualização dessa Política;

✓ Coletar e divulgar evidências de controles e indicadores referentes aos processos

que apoiam essa Política;

✓ Assegurar que os controles que são de responsabilidade de Governança de TI,

visando a segurança das informações, são executados conforme suas respectivas
periodicidades e processos.

✓ Conhecer e cumprir a Política de Segurança da Informação, formalizando através da

assinatura do Termo de Responsabilidade pela Segurança e Confidencialidade das
Informações e demais políticas correlatas.

✓ Para Prestadores de Serviços as cláusulas de confidencialidade e proteção de dados

pessoais estão previstas no Contrato de prestação de serviços, sem prejuízo da prévia
assinatura de Acordo de Confidencialidade para os casos em que, antes ou durante
as negociações do respectivo Contrato de prestação de serviço, existir a possibilidade
de se revelar informações confidenciais.

✓ Todos os Visitantes devem ter ciência do manual de conduta dos visitantes para
adentrar nas plantas da GOL.

✓ Em caso de qualquer descumprimento, incidente ou violação desta Política, deverá

comunicar imediatamente ao Canal de Segurança da Informação
(csirt@voegol.com.br).

✓ Participar de eventos e treinamentos providos pela GOL relacionados à Segurança da

Informação.

✓ O CSIRT é multidisciplinar e conforme o tipo de incidente as áreas são acionadas,

como por exemplo: Se o incidente estiver relacionado à tecnologia, a equipe técnica
de TI deverá ser acionada.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

✓ Receber as denúncias através do e-mail (csirt@voegol.com.br), apurar o incidente e

adotar as medidas cabíveis de acordo com as suas atribuições.

• ABNT NBR ISO/IEC 27001:2013 – Sistemas de Gestão de Segurança da Informação –

Requisitos.

• ABNT NBR ISO/IEC 27002:2013 – Código de Prática para Gestão da Segurança da

Informação.

• Lei Geral de Proteção de Dados (Lei 13.709/ 2018).

• Manual de Conduta GOL.

• Código de Ética GOL.

• Código Civil Brasileiro.

• Política de Privacidade GOL.

• Documento DR-WS7910-001 - Utilização de Senhas de Sistemas

• Documento DR-XX4900-004 – Norma de Acesso à Internet

• Documento PR-XU6910-021 - DS5.4-B Gestão de Contas de Usuário

• Documento PR–XU7980-007 – DS5.9. A – Gestão de Antivírus

: aquele que, por ação ou omissão

voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que
exclusivamente moral, comete ato ilícito.

: também comete ato ilícito o

titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo
seu fim econômico ou social, pela boa-fé ou pelos bons costumes.

: aquele que, por ato ilícito (arts.

186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos

casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor
do dano implicar, por sua natureza, risco para os direitos de outrem.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

✓ A responsabilidade pela Segurança da Informação é de todos os colaboradores da

organização;

✓ A preocupação com a Segurança da Informação deve estar presente em todas as

atividades da companhia, em especial nas tomadas de decisão.

✓ A organização deve estabelecer e manter um sistema de gestão da Segurança da

Informação em conformidade com as melhores práticas de mercado;

✓ Manter a conformidade com lei, normas e regulamentos aplicáveis;

✓ Utilização e manuseio dos ativos de informação da organização devem

ser realizados de maneira ética e profissional por todos, portanto, passíveis de
monitoramento quando necessário;

✓ Os ativos da informação devem estar íntegros e disponíveis nos momentos

necessários;

✓ O descumprimento desta política e de outras políticas, normas, guias e

procedimentos que a suportam constituem Incidente de Segurança da Informação.

✓ Todo e qualquer Incidente de Segurança da Informação deve ser reportado e tratado,

podendo implicar em medidas administrativas previstas no regulamento interno, na
aplicação de sanções previstas em contrato ou na legislação vigente.

✓ Os ativos devem ser protegidos de acordo com sua sensibilidade, valor e criticidade.
Todas as medidas viáveis de Segurança da Informação devem ser aplicadas
independentemente dos meios em que a informação seja armazenada, processada ou
transmitida. Toda informação colocada à disposição dos colaboradores deve
classificada e deve ser utilizada apenas para as finalidades de trabalho para a Gol.

✓ Os colaboradores devem fazer a proteção adequada da informação, realizar

periodicamente avaliações de riscos das informações que manuseiam, atuar
prontamente para reduzir a exposição de seus ativos na ocorrência de incidentes
de segurança, monitorar a violação da política de Segurança da Informação e a
confidencialidade, integridade e disponibilidade das informações para nossos
clientes, colaboradores e demais partes relacionadas.

✓ Os colaboradores devem ser conscientizados e ter disponível material

de referência que possibilite identificar qual a proteção apropriada para os ativos
da informação sob sua responsabilidade.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Assegurar a proteção das informações e recursos corporativos da GOL, minimizando os

impactos causados por riscos de fraudes, vazamento de informações estratégicas de
negócio e dados pessoais, preservando a integridade e privacidade dos dados.

O uso do crachá de identificação é obrigatório, pessoal e intransferível e deve ser usado

por todos em local visível.

Cuide do seu crachá e nunca o deixe exposto em locais públicos. Em caso de esquecimento,
perda ou extravio, comunique imediatamente a Segurança Patrimonial.

Além disso, deve ser instituído de modo obrigatório o uso de identificação visual para
visitantes, clientes, fornecedores e prestadores de serviço.

O controle de entrada física para colaboradores e visitantes deve ser realizado por meio de
monitoramento de câmeras, equipamentos de controle de acesso e portões de entrada com
sistema de catracas onde possível.

A solicitação para liberação de acesso de visitantes só pode ser realizada pela diretoria,
gerência ou responsáveis pelos departamentos.

Quando existente, a Recepção é responsável por realizar o cadastramento de visitantes,

clientes, fornecedores e prestadores de serviço.

O visitante, cliente ou fornecedor deverá estar sempre acompanhado de um colaborador

GOL, sendo responsável este pela circulação deles nas dependências da empresa. Para os
prestadores de serviço é solicitada a presença de um técnico de segurança do trabalho
quando existente ou funcionário direcionado durante a execução do trabalho ou prestação
do serviço.

A entrada de visitantes, clientes, fornecedores e prestadores de serviço podem ser

previamente autorizadas quando solicitadas por e-mail.

Senhas são um meio comum de validação da identidade do usuário para obtenção de

acesso a um sistema de informação ou serviço. A senha é de responsabilidade do usuário,
de uso pessoal e intransferível, não sendo permitido o seu compartilhamento. A mesma
poderá ser alterada a qualquer momento ou caso seja identificada uma falha de segurança.
É responsabilidade do colaborador qualquer ação executada com o seu usuário.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

O colaborador deverá zelar pelas suas credenciais e acessos, trocando a senha de acordo
com o documento regulatório e
quando houver a suspeita que a senha possa ter sido comprometida.

Caso o usuário necessite de auxílio para alterar a senha, a equipe de TI deve ser acionada
por meio da ferramenta ITSM. Não é permitido o uso e cadastro de usuário genérico ou
padrão para acesso à internet, a rede e a sistemas.

As senhas são efetivas apenas quando usadas corretamente e sua escolha e uso requerem
alguns cuidados como:

✓ Não utilizar palavras que estão no dicionário (nacionais ou estrangeiras);

✓ Não utilizar informações pessoais fáceis de serem obtidas, como o número de
telefone, nome da rua, nome do bairro, cidade, data de nascimento etc.;
✓ Utilizar senha com pelo menos, oito caracteres quando disponível pelo sistema;
✓ Combinar números, letras maiúsculas e minúsculas e caracteres especiais;
✓ Utilizar um método próprio para lembrar da senha, de modo que ela não precise ser
escrita em nenhum local, em hipótese alguma;
✓ Não anotar a senha em papel ou em outros meios de registro de fácil acesso;
✓ Não utilizar o nome do usuário;
✓ Não fornecer senha para ninguém, por razão alguma;
✓ Realizar a troca de senha sempre que possível, seguindo um período entre 45 e 60
dias. Em caso de solicitação de exceções, consulte o time de Segurança Cibernética
e Governança de TI.

Nenhuma informação relacionada ao negócio Gol deve ser acessada, divulgada ou

disponibilizada, sob qualquer pretexto, sem a devida autorização. É proibida a transmissão
de informações a terceiros, por qualquer meio, bem como sua divulgação, reprodução,
cópia, utilização ou exploração de conhecimentos, dados e informações de propriedade da
companhia, utilizáveis nas atividades da mesma, sem a prévia e expressa autorização da
Diretoria responsável, e das quais os funcionários venham a tomar conhecimento durante
a relação empregatícia, estendendo-se tal vedação ao período após o término do contrato
de trabalho, sem prejuízo das ações de natureza penal aplicáveis ao assunto.

Conforme previsto no , apenas as áreas responsáveis pela

relação com públicos específicos estão autorizadas a disponibilizar informações da
Companhia.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

A internet deve ser utilizada pelos seus respectivos usuários para fins corporativos,
enriquecimento intelectual ou como ferramenta de busca de informações, tudo que possa
vir a contribuir para o desenvolvimento de atividades relacionadas à empresa. Todas as
ações ou transações efetuadas na Internet são de inteira responsabilidade do detentor do
acesso.

O acesso à Internet é concedido aos usuários de acordo com as funções exercidas na

empresa. Sites que não contenham informações que agreguem conhecimento profissional
e/ ou para o negócio não devem ser acessados.

O uso da Internet é monitorado pela área de Segurança Cibernética.

Não é permitido o acesso a sites que contenham atividades ilícitas, antiéticas,

preconceituosas, pornografia, pedofilia, que incitem violência de forma implícita ou
explícita.

O e-mail corporativo e os aplicativos de colaboração (Teams, Sharepoint, Workplace, Skype)

são destinados única e exclusivamente para os fins profissionais, atividades relacionadas
e inerentes às atribuições do colaborador, sendo expressamente vedado o seu uso para
fins pessoais.

A cada colaborador será destinado um endereço de e-mail, cujo acesso é feito por
identificação e autenticação de senha de usuário e em alguns casos outro método adicional
como por exemplo múltiplo fator de autenticação. Este endereço de e-mail é pessoal e
intransferível, sendo o titular da conta responsável por toda mensagem enviada pelo seu
endereço de e-mail eletrônico.

Todos os conteúdos enviados, recebidos ou mantidos pelos colaboradores pelo e-mail

corporativo e aplicativos de colaboração e mensagens poderão ser monitorados e
acessados pela GOL, conforme previsto no item 6.3 abaixo.

O time de Segurança Cibernética se reserva ao direito de apagar mensagens na caixa de

correio de contas corporativas, quando ela se tratar de mensagens maliciosas (como por
exemplo tentativas de phishing) sem o pronto aviso ao usuário, como forma de proteger o
ambiente tecnológico da companhia.

As mensagens de correio eletrônico devem ser escritas em linguagem profissional que não
comprometa a imagem da GOL e que não vá de encontro à legislação vigente e nem aos
princípios éticos da organização.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Todos os colaboradores devem configurar sua assinatura no e-mail corporativo, conforme

o padrão mais atual da empresa. Todas as mensagens de e-mail devem ser classificadas
como Pública, Uso interno, Restrito ou Confidencial, seguindo o item 6.1.39 Classificação
da Informação.

O usuário pode enviar mensagens relativas ao negócio da GOL para destinatários internos
ou para pessoas/organização em endereços externos, desde que tenha permissão para tal
ação.

É vetado o encaminhamento de imagens ou mensagens que:

• Contenham declarações difamatórias ou linguagem ofensiva de qualquer natureza;

• Menosprezem, depreciem ou incitem ao preconceito a determinadas classes, como
sexo, raça, orientação sexual, idade, religião, nacionalidade, regionalismos ou
deficiência física;
• Possua informação pornográfica, obscena ou imprópria para um ambiente
profissional;
• Possam trazer prejuízo a outras pessoas;
• Sejam hostis ou inúteis;
• Que defendam, promovam ou possibilitem a realização de atividades ilegais;
• Sejam, ou sugestione a formação ou divulgação de correntes de mensagens;
• Possam prejudicar a imagem da GOL ou de seus serviços e
• Possam prejudicar a imagem de outras companhias

As mensagens eletrônicas recebidas por engano devem ser apagadas e seu

conteúdo ignorado.

O envio de mensagens eletrônicas para um destinatário, com cópias para vários, deve ser
avaliado criteriosamente sobre o prisma da necessidade de todos receberem a referida
mensagem. Isso vale para quando se responde a uma mensagem, pois cópias
desnecessárias sobrecarregam os recursos do ambiente computacional.

O usuário deve ter absoluta certeza de que o nome indicado como destinatário é aquele a
quem deseja enviar a mensagem. Quando for enviar para vários usuários com certa
frequência, deve utilizar a opção de grupo de endereços, evitando erros de endereçamento.

Os colaboradores não devem executar ou abrir arquivos anexos ao e-mail enviado por
remetente desconhecido ou suspeito que possa expor a rede da GOL a risco de segurança
ou ocasionar perda de dados. Caso recebam e-mails desse tipo ou não tenham certeza
sobre a procedência de uma mensagem, os colaboradores devem consultar previamente o
Departamento de Segurança Cibernética da GOL através do e-mail csirt@voegol.com.br ou
gr-segurancadainformacao@voegol.com.br.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Para aplicativos de colaboração (Teams, Sharepoint, Workplace, Skype), algumas ações

devem ser levadas em consideração na utilização deles:

✓ Não armazenar e compartilhar informações sem as devidas permissões dos

proprietários da informação;
✓ As informações apenas devem ser utilizadas para a finalidade previamente
autorizada;
✓ Utilizar os aplicativos apenas para interesse corporativo da companhia;
✓ Seguir as diretrizes de comunicação conforme uso de e-mail;
✓ É vetado realizar download de arquivos .exe sem a prévia autorização do time de
Segurança Cibernética;
✓ O relacionamento com o público interno e externo deve estar baseado nos valores
da ética, transparência e respeito, a fim de contribuir positivamente para o
desenvolvimento pessoal e profissional e para o alcance dos objetivos e metas da
instituição. A comunicação interna deve estimular a circulação de informações
qualificadas, incentivar o comprometimento dos públicos com os objetivos
institucionais, consolidar a cultura organizacional e favorecer a criação de um clima
organizacional saudável e produtivo.

O uso das redes sociais por meio dos Recursos de TI para fins pessoais é expressamente
proibido. Assim, somente nos casos:

a. autorizados pelo gestor do colaborador;

b. em que o uso das redes sociais seja para fins estritamente profissionais; e
c. autorizado pela gestão de Segurança Cibernética,

o acesso às redes sociais poderá ser autorizado.

Os colaboradores que participarem de redes sociais devem sempre agir com

responsabilidade, de modo a não misturar assuntos profissionais com pessoais.

Os colaboradores não devem publicar em redes sociais imagens internas da GOL, qualquer
marca nominativa, mista ou qualquer signo distintivo da GOL, quaisquer informações ou
qualquer outro assunto que seja do interesse da GOL, cuja divulgação possa causar
prejuízos ou colocar em risco sua imagem ou reputação.

Fica proibido aos colaboradores, terceiros/ prestadores de serviços e/ ou visitantes de

fazerem filmes e/ ou publicar vídeos e imagens de outros colaboradores da GOL, feitos
dentro das dependências da GOL, sem o respectivo consentimento.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

O uso do telefone disponibilizado pela GOL deve ter uso para fins profissionais.

Os colaboradores devem tomar os cuidados necessários ao usar o telefone para evitar a

divulgação não intencional de informações. O uso de telefone localizado fora das
dependências da GOL para discussão de assuntos confidenciais internos pode ser
necessário, principalmente em situações de contingência, porém pode gerar exposição de
segurança, portanto, deve-se sempre priorizar fazer ligações dentro da companhia, ou
pelos meios eletrônicos de telefonia e comunicação disponibilizados pela empresa via
computador e/ou aplicativos aprovados pela Diretoria de TI. Caso não seja possível, deve-
se certificar que não existem terceiros ouvindo a ligação;

Os colaboradores devem confirmar a identidade dos participantes de conferência telefônica

antes de compartilhar informações de caráter confidencial.

As ligações telefônicas poderão ser monitoradas e acessadas pela GOL, conforme previsto
no item 6.3 abaixo.

É expressamente proibido conectar computadores, tablets e celulares pessoais na rede da

GOL. Assim, somente nos casos analisados e posteriormente autorizados pelo Time de
Segurança Cibernética poderá ser utilizado um equipamento de uso pessoal.

Teletrabalho é a modalidade de trabalho realizada em casa ou domicílio, em local

adequado, com a privacidade e a segurança exigidas pelo serviço, mediante a utilização de
tecnologias de informação e de comunicação, e que se equipara ao cumprimento da
jornada diária, na sede da empresa.

Colaboradores de áreas específicas que trabalham remotamente por meio de dispositivos

móveis, como notebooks, tablets, celulares corporativos devem assegurar que as
informações se mantenham em segurança.

A liberação de acesso remoto à rede GOL será concedida mediante autorização do Gestor
imediato do colaborador e observando as diretivas de acesso definidas pela área de
Segurança Cibernética.

O acesso é realizado através de recursos de segurança que garantam confidencialidade no

tráfego dos dados.

Os colaboradores devem assegurar que:

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

✓ Os equipamentos utilizados fora das dependências da GOL não sejam deixados

sozinhos em locais públicos. Ao utilizar equipamentos em locais públicos, o
equipamento deve ser protegido de forma a garantir que pessoas não autorizadas
tenham acesso às informações que estão sendo manipuladas.

✓ As informações não sejam armazenadas em equipamentos particulares e/ ou

fornecido por terceiros, exceto quando há uma autorização emitida pelo gestor da
área.

✓ As informações não sejam enviadas para contas de e-mail pessoais do colaborador ou

de terceiros, seja através de encaminhamento ou redirecionamento.

✓ As informações não sejam vistas ou acessadas por outras pessoas, incluindo

familiares e amigos.

✓ Todas as configurações e parametrizações relacionadas a segurança do dispositivo

só devem ser alteradas mediante a autorização pelo time de Segurança Cibernética.

✓ Ao se ausentar do seu equipamento, o colaborador deve realizar o bloqueio de tela

de seu equipamento.

Todas as informações (arquivos, documentos) da Gol devem ser armazenadas em

repositórios, seja em compartilhamentos de rede corporativa ou em ambientes de
armazenamento em nuvem, autorizado pelo time de Tecnologia da Informação e Segurança
Cibernética.

As informações armazenadas em desktops e notebooks da Gol não serão contempladas no

processo de cópia de segurança de TI.

As informações da GOL só podem ser transferidas por canais oficiais de comunicação e

utilizando contas corporativas. Os canais oficiais disponíveis são: E-mail, Teams,
Sharepoint, Workplace, Skype e repositórios de armazenamentos nos servidores.

É vedado armazenar e transferir informações ou dados para dispositivos e ou meios de

armazenamento externos exceto para casos autorizados pela gestão imediata e com o
conhecimento da área de Segurança Cibernética, incluindo, mas não se limitando a:
Unidades USB (Pendrive, Flashdrive etc.), HDs Externos, chats (WhatsApp, Telegram etc.) e
ambientes de armazenamento em nuvem (Dropbox, OneDrive, iCloud, Google Drive etc.).

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Os canais de comunicação WhatsApp, Trello, Google Drive, ITransfer, Telegram, Facebook

Messenger, WeChat entre outros, tem seu uso não recomendado para os colaboradores da
GOL em vista de motivos como:

✓ Os colaboradores que utilizam a conta pessoal para o uso corporativo, estão

violando os termos de serviço da plataforma;

✓ A Companhia não possui controles das informações que trafegam na plataforma,

estando o colaborador sujeito as penalidades previstas;

✓ A Companhia não possui controle de acesso aos grupos criados na plataforma,

podendo adentrar qualquer pessoa fora da Companhia e que consiga visualizar
informações, assim ferindo a confidencialidade da informação;

Estes aplicativos são serviços ao consumidor que não possuem recursos integrados
necessários para trabalhar com segurança. Para atingir este objetivo a GOL reforça a
utilização da ferramenta Microsoft Teams e Work Chat (Workplace), que integra todas as
pessoas, conteúdo e ferramentas para que nossas equipes possam ter maior envolvimento,
segurança e eficácia.

Os departamentos da GOL são responsáveis em garantir que as informações críticas e

sensíveis ao negócio da companhia não são trafegadas utilizando estes meios.

Com o objetivo de garantir a confidencialidade das informações, todas as impressoras da

Companhia possuem um sistema que exige a identificação do colaborador no momento da
retirada da impressão.

Os colaboradores também devem ter cuidado ao imprimir e manusear documentos físicos

que contenham dados e informações da GOL, de modo a garantir que a conservação e
descarte desses arquivos sejam feitos adequadamente.

Os colaboradores devem assegurar que:

✓ Os recursos de impressão são utilizados de forma segura e adequada;

✓ Materiais impressos devem ser prontamente retirados da impressora pelo responsável

da respectiva impressão.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

✓ Documentos impressos que contenham qualquer informação sejam armazenados em

locais seguros e não devem ser deixados em mesas, impressoras e fotocopiadoras,
assim como não sejam levados à residência dos colaboradores ou outros locais não
expressamente autorizados pela GOL;

✓ Os documentos impressos relacionados com os negócios da GOL sejam descartados

em locais apropriados.

São autorizadas somente impressões de documentos relacionados à atividade profissional

exercida pelos respectivos colaboradores. Todas as impressões realizadas e seu conteúdo
são controlados por usuário e é obrigatório o uso da senha para impressão de documentos,
horário e local da impressão, através do sistema de impressão segura. Caso o colaborador
encontre algum problema, deve acionar imediatamente o time de suporte local.

A diretriz de mesa e tela limpas visa evitar a exposição desnecessária de informações da

empresa.

Os colaboradores devem assegurar que:

✓ Os usuários têm obrigação de bloquear as estações de trabalho quando se afastarem

das mesmas para impedir acesso não autorizado.

✓ Os documentos em papéis e mídias eletrônicas (quando autorizado seu uso) não

devem permanecer sobre a mesa desnecessariamente, devem ser armazenados em
armários ou gavetas trancadas, quando não estiverem em uso, especialmente fora
do horário do expediente.

✓ Informações sensíveis ou críticas para o negócio da GOL devem ser trancadas em

local separado e seguro (um armário ou cofre à prova de fogo).

✓ Anotações, recados e lembretes não devem ser deixados à mostra sobre a mesa ou
colados em paredes, divisórias, murais ou monitor do computador.

✓ Não anotar informações sensíveis em quadros brancos.

✓ Não guardar pastas com documentos sensíveis em locais de fácil acesso.

✓ Destruir os documentos impressos antes de jogá-los fora. Sempre que possível,

utilizar máquinas desfragmentadoras.

✓ Não imprimir documentos apenas para lê-los. Leia-os nas telas dos ativos de
informações, preferencialmente.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

✓ Informações sensíveis ou confidenciais, quando impressas em local coletivo, devem

ser retiradas da impressora imediatamente.

✓ Devolver todos os documentos obtidos por empréstimos de outros departamentos,

quando eles não forem mais necessários.

✓ Guardar agendas e cadernos de anotações, assim como objetos pessoais, em

gavetas ou armários trancados.

✓ Nunca anotar as senhas em papeis ou ativos de informação. As mesmas devem ser

memorizadas.

✓ Preferencialmente, mesas e móveis deverão ser posicionados de forma que dados

sensíveis não sejam visíveis de janelas ou corredores.

✓ Ao final do expediente, ou em caso de ausência prolongada do local de trabalho, a

mesa de trabalho deve permanecer limpa, documentos guardados, gavetas e
armários trancados e computador desligado.

✓ Não deixar o local de trabalho aberto sem que haja um colaborador que trabalhe no
local presente.

Os colaboradores devem assegurar que:

✓ A ferramenta oficial utilizada para a reuniões virtuais deve ser a Microsoft Teams.

✓ O ambiente físico no qual é realizado a reunião oferece

confidencialidade adequada;

✓ Utilize os mecanismos das ferramentas que impeçam que um

convidado externo, adentre na reunião virtual apenas com autorização prévia, via
senha ou qualquer outro método;

✓ A lista de convidados da reunião tenha a identidade validada antes do início dela.

✓ A gravação da reunião só é permitida com o aviso prévio e autorização de todos os

participantes.

✓ O compartilhamento de tela deverá ser aplicado ao aplicativo/ programa necessário

para a reunião. Atentar-se para notificações de e-mail e aplicativos de mensagens,
uma vez que eles possam exibir algum tipo de informação confidencial.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Todos os colaboradores devem receber capacitação periódica em Segurança da Informação

por meio de:

✓ Treinamento Anual por meio de plataforma Portal do Conhecimento GOL.

✓ Posts de Conscientização por meio de plataforma corporativa Workplace.

✓ Leitura desta Política de Segurança da Informação por meio da plataforma GOLDOCS

e Workplace.

Os colaboradores devem ter conhecimento desta Política e participar de todas as iniciativas

de conscientização em relação às boas práticas de Segurança da Informação.

A comprovação da participação do colaborador se dá por meio de certificado emitido na

conclusão do treinamento no Portal do Conhecimento GOL.

Todos os colaboradores que necessitam de um acesso à rede interna da GOL, possuem

uma conta com determinado nível de acesso vinculado a área no qual estão inseridos. Esta
conta é utilizada para acessar os compartilhamentos e softwares relacionados com a sua
rotina de trabalho.

Todos os colaboradores que possuem contas, recebem acesso a um e-mail corporativo que
será utilizado para comunicação interna e externa a serviço da GOL.

Toda conta de usuário dentro ambiente da GOL está inclusa em uma unidade
organizacional (Organizational Unit) que possui regras de acesso e direitos departamentais
aos volumes compartilhados na rede, que por sua vez estão dentro das regras de acesso e
direitos gerais do domínio da empresa.

A Diretoria de Tecnologia da Informação é responsável por:

✓ Gestão de acessos de colaboradores e terceiros.

✓ Gestão de Acessos a usuários de bancos de dados e sistemas.

Conforme processo de Governança, a gestão de acesso se dá por meio do processo

documentado no

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Para a criação de acesso a terceiros, é necessário a abertura de um chamado na ferramenta

de ITSM, onde essa passa pelo o processo de aprovação parametrizado na ferramenta.

A equipe da Governança de TI deve analisar a relação de logins de acesso vinculados aos

Prestadores de Serviço e certificar que a data de expiração não ultrapassa o período de
90 dias.

O gestor do contrato de terceiros, é responsável por sinalizar o desligamento/

encerramento do respectivo terceiro assim que esse ocorrer, através de registro de
chamado na ferramenta ITSM - que pode ser feito pelo gestor ou colaborador da área
indicado.
Caso identificada alguma fraude ou incidente evidenciada por login de terceiro após o
encerramento de suas atividades, fica o gestor passível de medidas disciplinares
conforme descrito .

Adicionalmente, a equipe da Governança de TI deve enviar ao final do trimestre, ao owner

responsável por cada aplicação, a relação de Prestadores de serviço ativos nos sistemas
e solicitar a revisão destes acessos. O owner é responsável por sinalizar quais acessos
devem ser "Mantidos" ou "Revogados", bem como, a justificativa em caso de revogação.
As exceções identificadas devem ser avaliadas e uma análise de impacto e risco destes
acessos deve ser efetuada pelo owner do sistema.

A Diretoria de Tecnologia da Informação tem como responsabilidade manter o ambiente

tecnológico protegido e monitorado.

A topologia de redes deve estar sempre atualizada e disponível para a área de Segurança
Cibernética. A documentação da rede, especificamente no que se refere à segurança, é
importante para um gerenciamento de rede eficiente e bem-sucedido. Além disso, o
processo de documentação regular da rede garante que a equipe de TI da GOL tenha um
sólido entendimento da arquitetura da rede a qualquer momento.

No mínimo, a documentação da rede deve incluir:

• Diagrama (s) de rede

• Configurações do sistema
• Endereços IP

A documentação da rede deve ser atualizada anualmente.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Todos os sistemas devem ser submetidos a testes de segurança antes de sua implantação,
quando houver alterações significativas ou por demanda.

Estes testes de segurança devem englobar varredura de vulnerabilidades, tentativas de

intrusão, análise de código e outras técnicas. Caso seja encontrada algum tipo de
vulnerabilidade durante os testes de segurança, o time de Segurança Cibernética se reserva
ao direito de impedir que a aplicação seja colocada em produção e disponibilizada aos
clientes em prol de garantir a confiabilidade e segurança para os clientes, fornecedores e
colaboradores.

A Diretoria de Tecnologia da Informação da GOL instalará apenas software aprovado. Todos

os softwares instalados serão mantidos em tempo hábil nos níveis suportados, com
patches e atualizações apropriados, a fim de abordar vulnerabilidades e reduzir ou prevenir
qualquer impacto negativo nas operações da companhia.
Este procedimento de atualização periódica, deve ser realizado mensalmente e sempre que
se encontrar vulnerabilidades críticas nos servidores, estações de trabalho e
infraestrutura.

Todas as mudanças na rede deverão ser aprovadas, registradas, monitoradas e verificadas.

Os colaboradores deverão cumprir os padrões e procedimentos aprovados para acessar,

usar e gerenciar os recursos de TI. Em casos em que houver a percepção por parte do
colaborador de vulnerabilidades encontradas, a mesma deve ser informada a área de
Segurança Cibernética.

A imagem do sistema operacional dos equipamentos destinados ao uso dos colaboradores

é padronizada, homologada por TI, atualizada periodicamente, mantendo sempre
as atualizações de segurança mais recentes.

Não devem ser utilizadas outras fontes de imagem padrão exceto a aprovada pela A
Diretoria de Tecnologia da Informação.

Deve haver um processo de hardening para servidores, estações de trabalho e demais

equipamentos de infraestrutura.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

O ambiente tecnológico da Gol é monitorado a fim de salvaguardar seus colaboradores e

a própria empresa.

A Gol se reserva ao direito de monitorar e interceptar o tráfego de redes comum e

criptografado, oriundos de quaisquer conexões pertencentes à empresa.

Os colaboradores devem proteger as informações da GOL sendo ela de

forma verbal, impressa, vídeo, eletrônica contra vazamento e possíveis sanções da Lei
Geral de Proteção de Dados.

Todos os servidores, estações de trabalho e gateways de e-mail devem possuir antivírus e

outros mecanismos de segurança, sempre ativos e atualizados.

O gerenciamento é realizado por meio de processo documentado no PR–XU7980-007 –

DS5.9. A – Gestão de Antivírus.

A Diretoria de Tecnologia da Informação é responsável por gerenciar os certificados

digitais, chaves e algoritmos criptográficos, criptografias de disco e de conexão.
Os controles criptográficos serão usados para assegurar a confidencialidade, a integridade
e a autenticidade de informações críticas que se encontrem armazenadas, sob processo de
transporte físico ou de transmissão eletrônica.

As estações de trabalho, incluindo equipamentos portáteis, e informações devem ser

protegidos contra danos ou perdas, bem como o acesso, uso ou exposição indevidos.

A Diretoria de Tecnologia da Informação é responsável por garantir a aplicação do processo

de criptografia de disco em todos os notebooks e dispositivos móveis, para proteger a
confidencialidade e integridade das informações da Gol em todos os sistemas que
armazenem informações.

As estações de trabalho possuem códigos internos, os quais permitem que seja

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

identificada na rede. Desta forma, tudo que for executado na estação de trabalho é de
responsabilidade do funcionário.

É proibido o uso/instalação de softwares GOL em máquinas de terceiros/prestadores de

serviço. Em casos de necessidade, deve-se comunicar a área de Segurança Cibernética
juntamente com autorização da diretoria da área.

Colaboradores devem garantir a aplicação dos seguintes itens:

✓ O acesso a estação de trabalho deverá ser encerrado no final do expediente,

desligando o equipamento.

✓ Quando se ausentar da mesa, deverá bloquear a estação de trabalho com senha.

Esta ação aplica-se a todos os funcionários com estações de trabalho, incluindo
equipamentos portáteis.

✓ Informações sigilosas, corporativas ou cuja divulgação possa causar prejuízo às

entidades da GOL, só devem ser utilizadas em equipamentos com controles de
segurança adequados.

✓ Os usuários devem utilizar apenas softwares licenciados pela Diretoria de

Tecnologia da Informação nos equipamentos da empresa.

É responsabilidade da Diretoria de Tecnologia da Informação manter o processo de

descartes de ativos de informação e mídias. Deve ser utilizado para destruir definitivamente
as informações dos equipamentos e mídias após ele deixar de ser utilizado, alteração de
uso e responsáveis ou antes do mesmo ser descartado.

O processo de eliminação da informação é tão ou mais importante que a sua geração ou

armazenamento. Por isso, o descarte de mídias ou eliminação de conteúdos de informação
sensível ou sigilosa deve atender aos seguintes procedimentos para o descarte seguro:

✓ Dispositivos de armazenamento (usados apenas com a autorização de gestor) CDs,

DVDs, discos rígidos, memórias "flash" e outros meios de armazenamento devem
ser descartados através da destruição física ou sobrescritos de forma segura;
✓ Documentos impressos que contenham informações pessoais, financeiras ou outros
dados importantes para a empresa devem ser destruídos e não podem ser
reutilizados.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

As informações confidenciais armazenadas em servidores Gol e todos os dados trafegados

nas redes da empresa devem ser criptografados, bem como todas as conexões Internet de
parceiros e fornecedores.

Cada área/usuário tem acesso a pelo menos uma pasta no servidor e/ou serviço de nuvem
de arquivos (Sharepoint). Todos os documentos relacionados ao negócio devem ser
armazenados nestas pastas. Além disso, cada usuário tem uma pasta individualizada para
uso profissional no servidor e/ou serviço de nuvem de arquivos.

Qualquer arquivo armazenado em pastas locais nos computadores não é passível de

backup, e por isso o armazenamento nesses locais é de total responsabilidade do usuário.

O procedimento documentado de Gestão de Cópias de Segurança se dá por meio do

documento PR-DH6970-010–DS11 – Gestão de Cópias de Segurança e comtempla os
seguintes itens:

✓ Periodicidade dos Backups.

✓ Período de retenção.

✓ Testes aleatórios de recuperação dos Backups.

✓ Guarda em local externo.

✓ Tipo de backup: completo, incremental etc.

Todo sistema deve possuir Controle de Acesso de modo a assegurar o uso apenas
por usuário autorizado, e os sistemas críticos devem permitir o registro de trilhas de
auditoria, que possibilite o rastreamento e monitoramento das atividades executadas, com
ressalvas para os sistemas legados onde deve ser aplicado um plano de mitigação, a fim
de garantir o controle sistêmico.

Os sistemas devem possuir autenticação, autorização e gestão de acessos integrados com

o AD – Active Directory, com ressalvas para os sistemas legados onde deve ser aplicado
plano de mitigação a fim de garantir o controle sistêmico bem como seguir as
melhores práticas de mercado, como exemplo a NBR27001 e NBR27002.

O desenvolvimento de sistema seguro visa proteger a empresa de utilizar sistemas

com códigos passiveis a exploração de vulnerabilidades e códigos maliciosos, podendo
gerar riscos adicionais para a operação da Gol.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

O desenvolvimento de sistemas e aplicativos para a Gol devem seguir as

melhores práticas de desenvolvimento seguro, como exemplo OWASP e NIST.

Os ambientes de homologação de produção são segregados. Os dados

de produção utilizados para testes devem ser descaracterizados de forma
que não identifique a informação original.

Toda informação identificada no monitoramento é confidencial e só́ podem

ser utilizadas pelas pessoas autorizadas com o objetivo de tratamento de incidentes e
erros, análise de desempenho e demais funcionalidades inerentes de TI, sendo vedado o
uso para outras finalidades.

A identificação de informações pessoais de colaboradores no monitoramento não deve ser

utilizada, exceto por solicitação das áreas de Segurança Cibernética, Auditoria Interna
ou Compliance.

A violação deste item é passível de sanções administrativas e legais, conforme previsto

no código de conduta e legislação vigente.

A Diretoria de Tecnologia da Informação é responsável em documentar e inventariar todos

os hardwares e softwares de tecnologia da informação.

A Diretoria de Frota e Suprimentos é responsável pelo Inventário Patrimonial dos Ativos

Não Aeronáuticos, onde pode ser consultado pelo e-mail gr-patrimonio@voegol.com.br.

Para softwares, a área de Tecnologia da Informação utiliza ferramentas que fazem o

mapeamento de softwares em todos os equipamentos conectados na rede.

Para Gestão Corporativa de Crises, seus desdobramentos e impactos para a Companhia,

clientes e demais stakeholders, deve ser acionada a Gerência de Continuidade do Negócio,
que é responsável por elaborar, capacitar, testar e executar os respectivos planos, sempre
alinhado as necessidades do negócio.

A Diretoria de Tecnologia da Informação é responsável por manter inventariado todos os

ativos públicos de tecnologia, que contempla domínios e endereçamentos de servidores.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

É expressamente proibido utilizar softwares ilegais e/ou não homologados pela Diretoria
de Tecnologia da Informação, em nenhuma hipótese deve-se instalar este tipo de
software nos equipamentos da GOL. Todos os softwares homologados e licenciados
devem ser instalados pela Diretoria de Tecnologia da Informação com a possibilidade de
remoção do mesmo a instalação do mesmo não tenha ocorrido pela Diretoria.

É expressamente proibido desenvolver vírus ou códigos maliciosos utilizando os

recursos de tecnologia da GOL.

Deve haver segregação dos ambientes de testes e produção com o objetivo de reduzir os
riscos de acesso ou mudanças não autorizadas.

Para novos sistemas e/ou atualizações de versões devem ser estabelecidos procedimentos
de testes antes da implantação em produção.

Deve haver a segregação de funções para reduzir oportunidades não autorizadas ou não
intencionais de mudanças ou má utilização dos ativos da GOL.

Por meio da da companhia, os seguintes itens devem ser avaliados:

✓ Na seleção de fornecedores, deve-se considerar os aspectos relacionados à

Segurança da Informação, em especial, na aquisição de produtos e serviços que
terão acesso às informações de alto valor para a organização.

✓ Aquisições de produtos e serviços que irão armazenar ou processar informações

sensíveis devem ser analisados pela equipe de governança e Segurança Cibernética
antes de qualquer compromisso firmado

✓ O proprietário do ativo deve monitorar e analisar criticamente a qualidade de

produtos e serviços essenciais para o negócio, a fim de identificar a necessidades
de mudanças.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

A Lei Geral de Proteção de Dados Pessoais (LGPD), dispõe sobre o tratamento de dados
pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito
público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de
privacidade e o livre desenvolvimento da personalidade da pessoa natural.

A GOL por meio de sua diretoria, entende a importância do tema para a empresa e investe
no aprimoramento contínuo dos critérios estabelecidos em Segurança da Informação,
visando garantir a confidencialidade, integridade e disponibilidade das informações.

A empresa possui uma equipe interna dedicada na gestão e melhoria dos controles
estabelecidos em Segurança da Informação e conta com consultorias para garantir a
conformidade com as boas práticas de mercado e auxiliarem em diagnósticos, cenários de
melhorias e/ou correções.

Para maiores diretrizes sobre a proteção dos dados e como a Companhia utiliza os dados
pessoais, pode ser encontrada na política de privacidade GOL, disponível no website da
companhia.

As informações geradas pelos colaboradores e/ ou recebidas externamente devem

ser classificadas conforme seu nível de confidencialidade.

Os documentos devem ser classificados de acordo com os critérios descritos na tabela

abaixo:

Informação pública é
considerada todo material
que possa ser divulgado
As informações poderão
ao público externo, não
ser disponibilizadas
prejudicando a
para o público após
Público Público organização.
aprovação da área
responsável pela
Tornar a informação
informação.
pública não pode
prejudicar a organização
de qualquer forma.
É considerada informação
de uso interno toda
As informações são
informação, cujo
disponibilizadas a todos
conhecimento e uso são
Uso interno Uso interno os colaboradores GOL
de uso exclusivo ao
e/ ou pessoas
ambiente interno e que
interessadas.
atenda aos propósitos da
GOL.
Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

O acesso não autorizado

às informações pode
causar danos pequenos
e/ou inconveniências à
organização.
É considerada informação
restrita todo material que
possua informações que
devam ser de
conhecimento de
As informações são
determinada área ou
disponibilizadas
grupo, tendo o seu
somente a um grupo
conteúdo limitado a esses
específico
pela natureza de sua
Restrito Restrito de colaboradores GOL,
função para exercício
terceiros e/ ou clientes
profissional.
autorizados conforme
definido pelo gestor da
O acesso não autorizado
área.
às informações pode
causar danos
consideráveis aos
negócios e/ou à reputação
da organização.
É considerada informação
confidencial todo material
sigiloso e que se
extraviado possa trazer
As informações são
prejuízo à GOL.
disponibilizadas
Confidencial Confidencial somente
O acesso não autorizado
para colaboradores da
às informações pode
GOL.
causar danos catastróficos
(irreparáveis) aos negócios
e/ ou à reputação da
organização.

Os proprietários de ativos devem analisar o nível de confidencialidade de seus ativos de

informações de, no mínimo, 02 anos e avaliar se o nível de confidencialidade pode ser
alterado. Se possível, o nível de confidencialidade deve ser restringido.

Os níveis de confidencialidade devem ser rotulados da seguinte forma:

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

• Caso seja gerado dentro da organização deve

apresentar o nível de confidencialidade no
rodapé de todas as páginas.
Documentos impressos
• Caso venha de fora deve ser classificado de
forma manual (carimbo ou escrito).

• Deve apresentar o nível de segurança no

Documentos eletrônicos rodapé do documento.

• Todo e-mail enviado para qualquer destinatário

E-mails deve ter a classificação indicada abaixo da
assinatura.

• Não aplicável, visto que somente determinada

Aplicações/ Sistemas equipe e/ou área tem autorização de acesso a
essas informações, conforme gestão de acesso.

• Todo backup é feito e mantido em meio

Backup eletrônico e considerado como informação
confidencial.

As informações classificadas e rotuladas deverão seguir as seguintes recomendações em

relação ao uso e tratamento:

Poderá ser Poderá ser

acessada acessada
Poderá ser Poderá ser acessada
mediante mediante
acessada por por qualquer
avaliação e avaliação e
qualquer colaborador/
autorização do autorização do
colaborador. prestador de serviço.
gestor da gestor da
informação de informação.
uma determinada
Poderá ser Poderá ser acessada
equipe ou área.
acessada por mediante autorização
Autorizado
qualquer do gestor da
mediante
pessoa. informação.
Autorizado avaliação e
mediante aprovação do

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

avaliação e gestor da
aprovação do informação.
gestor da equipe
ou área gestora
da informação.
Poderá ser
Poderá ser copiada para fins
copiada para fins de conhecimento
Poderá ser Poderá ser copiada
de conhecimento interno mediante
copiada sem para fins de
interno de uma avaliação e
restrições conhecimento interno.
determinada aprovação do
equipe ou área. gestor da
informação.

a) Enviar a a) Enviar a
informação em informação em
um arquivo um arquivo anexo,
a) Enviar a informação
anexo, protegido protegido com
em um arquivo anexo,
com senha e, senha e, sempre
protegido com senha
sempre que que possível
e, sempre que possível
possível zipado. zipado.
zipado.
b) Enviar a senha b) Enviar a senha
Sem Restrições b) Enviar a senha em
em seguida por em seguida por
seguida por outro
outro meio de outro meio de
meio de comunicação
comunicação. comunicação.
c) Utilizar c) Utilizar
certificação certificação
digital, quando digital, quando
aplicável. aplicável.
a) Sem restrições.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

a) Sem restrições. a) Sem restrições.

Deve ser mantida Deve ser mantida

Sem
Não necessita ser protegida quando protegida quando
procedimento
mantida em local não estiver sendo não estiver sendo
específico.
seguro quando não utilizada. utilizada.
estiver sendo utilizada.

Destruir de Destruir de acordo

Destruir de acordo acordo com os com os
Sem com os procedimentos procedimentos procedimentos
procedimento internos, de modo a internos, de internos, de modo
específico. assegurar a eliminação modo a assegurar a assegurar a
completa da a eliminação eliminação
informação. completa da completa da
informação. informação.

Para garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço
cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade
e a autenticidade dos dados armazenados, processados ou transmitidos, requer-se que
toda aquisição de sistema/ aplicação tenha o envolvimento da área de Segurança
Cibernética. Isto deverá assegurar que requisitos de segurança foram abordados em todo
o ciclo de vida do sistema/ aplicação.

Esta Política tem validade de 02 anos a partir da data de publicação ou sempre que for
necessário para:

✓ Manter o alinhamento com a estratégia da empresa.

✓ Estar em conformidade com requisitos contratuais, normativos ou legais.

✓ Atender a demanda da Alta Direção.

✓ Implementar oportunidades de melhoria.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Sujeito às leis aplicáveis e de acordo com a presente Política, todas as informações, e-mails,
acessos realizados na internet, telefonemas, documentos e quaisquer outras informações
e/ou dados enviados, recebidos ou mantidos pelos colaboradores por meio dos recursos
de TI da GOL poderão ser monitorados e acessados pela GOL a qualquer momento.

A GOL reserva-se no direito de não conceder qualquer tipo de privacidade na utilização dos
Recursos de TI da GOL, seja tal uso para fins profissionais ou pessoais.

O material obtido por meio do monitoramento pode ser divulgado ao pessoal interno da
GOL, prestadores de serviço da GOL e/ou entidades governamentais, para fins de prova em
processos judiciais e/ou administrativos ou de outra forma conforme exigido por lei, ou
seja, de interesse da GOL.

Nos casos em que houver violação desta Política, sanções e penalidades administrativas
e/ou legais serão aplicadas.

Política de Por título,

PO-XU7980- Tornar
Segurança da MS Word Workplace Workplace código ou 2 anos
001 Obsoleto
Informação PDF palavra-chave
Termo de
Ciência da Workplace – Por título,
PO- XU7980- MS Word Tornar
Política de Biblioteca do Workplace código ou 2 anos
001-01 PDF Obsoleto
Segurança da Conhecimento palavra-chave
Informação

00 19/01/2006 Todas Emissão inicial.

Revisão e atualização de todo o conteúdo
01 22/06/2015 Todas
desta Política, conforme PR-DZ1900-001.

Uso interno
DocuSign Envelope ID: 4D686D22-1735-450B-976F-73CFE2A1F738

Inclusão do Bloqueio de mídias e Norma de

02 15/03/2017 4e8
acesso à internet.
Alteração da logomarca;
Inclusão das referências dos processos
03 05/09/2019 Todas COBIT;
Alteração no texto no item 6 Considerações
Gerais.
Inclusão nas definições e abreviaturas;
Alteração no item 4.2 Gerencia de Segurança
Cibernética;
Alteração no item 4.6 Canal de Segurança da
04 10/02/2021 Todas
Informação GOL;
Alteração no texto no item 6 Considerações
gerais;
Tópicos adicionados no item 6.1 diretrizes
Revisão de todo texto.
Alteração item 6.1.39 Classificação da
05 06/07/2021 Todas Informação.
Alteração item 6.1.39.2 Rótulos das
informações.
Revisão e atualização de todo o conteúdo
desta política;
06 21/06/2022 Todas Alteração código UGB de “XX4900” para
“XU7980”;
Inclusão do revisor Marcelo Moreira ( Smiles).

PO-XU7980-001-01 - Termo de Ciência da Política de Segurança da Informação.

Uso interno