Política de seguridad de la información

Reconocemos la importancia de la seguridad, privacidad y confidencialidad de tu información personal.

<p> </p>
<div class="cms-button block" data-block-name="cms-button" data-block-status="loaded">
  <div class="cms-button-content">
    <div class="cms-button-container w-full">
<style>
  .cms-button .cms-rich-text-external-icon {
    display: none !important;
  }
</style>
      <a href="/es/sobre-nosotros/contactanos" target="_blank" data-button="true" data-external="false" class="group relative z-2 cursor-pointer inline-flex justify-center align-center items-center transition-all rounded-[32px] border border-[2px] px-6 gap-2 h-12 bg-background-brand-primary-default border-transparent outline-none focus:outline-none focus-visible:outline-none focus-visible:ring-0 focus-visible:ring-offset-0 focus-visible:shadow-none active:outline-none active:ring-0 active:shadow-none hover:bg-background-brand-primary-hover hover:border-transparent active:bg-background-brand-primary-active active:border-transparent group/cms-button" title="Contáctanos" style="text-decoration: none; --button-border-active: transparent; --button-border-focus: transparent;">
        <div class="absolute transition-all max-w-full max-h-full w-full h-full outline rounded-[32px] outline-offset-[-4px] z-1 outline-2 group-focus-visible:outline-border-stroke-focus group-focus-visible:outline-offset-[4px] hidden group-focus-visible:block"></div>
        <span class="text-center flex justify-start align-center text-xl font-bold text-text-brand-primary group-hover:text-text-brand-primary">
          <div class="flex items-center justify-center gap-[12px]">Contáctanos</div>
        </span>
      </a>
    </div>
  </div>
</div>

mujer sentada mirando computador

Aviso general

Estamos comprometidos con la confidencialidad, integridad y disponibilidad de la información en todas las actividades que llevamos a cabo para asegurar la información de nuestros clientes, viajeros, usuarios, talento humano, proveedores y accionistas, a través de la Política del Sistema de Gestión de Seguridad de la Información y la Política Corporativa de Seguridad de la Información

Política del Sistema de Gestión de Seguridad de la Información
false
<p style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5; margin-bottom: 16px;">
  Establece el compromiso de Aerovías del Continente Americano SA. Avianca, Avianca Ecuador S.A., Avianca Costa Rica S.A., Aviateca S.A., Regional Express Américas S.A.S. y Taca International Airlines S.A., con la gestión de la seguridad de la información, a través de:
</p>

<ul style="padding-left: 24px; margin: 16px 0;">
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    La implementación de estándares internacionales, requisitos legales y de la organización, y controles de seguridad de la información que permiten gestionar los riesgos que puedan afectar la confidencialidad, integridad, disponibilidad y privacidad de la información, y el cumplimiento de los objetivos de seguridad de la información.
  </li>

  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    Promover en los colaboradores (directos o subcontratados) y terceros vinculados (proveedores o contratistas) la cultura y mejora continua de la seguridad de la información.
  </li>
</ul>

<p style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5; margin-bottom: 16px;">
  A continuación, se detallan los objetivos del Sistema de Gestión de Seguridad de la Información:
</p>

<ul style="padding-left: 24px; margin: 16px 0;">
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    <strong>Protección de la información:</strong> Fortalecer la protección de la información de la compañía considerando los riesgos, seguridad, cumplimiento y continuidad sobre los procesos y tecnología.
  </li>

  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    <strong>Gestión de identidades y accesos:</strong> Optimizar los tiempos de gestión de los accesos a los sistemas críticos.
  </li>

  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    <strong>Continuidad del negocio:</strong> Fortalecer el programa de continuidad del negocio y el plan de recuperación de desastres en la compañía.
  </li>

  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    <strong>Gestión de vulnerabilidades:</strong> Asegurar el cumplimiento de la política de vulnerabilidades para asegurar los sistemas de la organización.
  </li>
</ul>
Política de Seguridad de la Información y Ciberseguridad
false
<p>
  <strong>1. Objetivo y alcance</strong>
</p>
<br>

<p>
  <strong>1.1 Objetivo</strong>
</p>
<p>
  Esta política tiene como objetivo establecer los lineamientos de seguridad de la información y ciberseguridad requeridos para la protección de la información de Investment Vehicle 1 Limited (“la Compañía”) y de cualquiera de sus subsidiarias (la “Organización”), frente a situaciones que puedan afectar la Confidencialidad, Integridad y Disponibilidad (como se definen a continuación) de la información de la Organización y que puedan causar impacto financiero, legal, competitivo y/o reputacional en la Organización.
</p>
<br>

<p>
  <strong>1.2 Alcance</strong>
</p>
<p>
  El alcance incluye toda la información y recursos de valor (Tecnologías de información y de las comunicaciones -TICs-, Instalaciones, y Tecnologías operacionales -OTs-) asociados o que pertenezcan a la Organización o que sean gestionados por Terceros vinculados (proveedores y contratistas), independiente del formato, medio, en todas sus formas (digital, manuscrita, hablada, impresa), presentación y/o lugar en el que ésta se encuentre ubicada, incluido el ciberespacio.
</p>
<br>

<p>
  <strong>2. Responsabilidades</strong>
</p>
<p>
  La Dirección de Riesgos y Cumplimiento de la Información, es el área responsable de formular la Política, divulgarla, revisarla mínimo una vez al año y de mantenerla actualizada; monitorear que se cumpla, en concordancia con la misión y visión de la Organización, y el cumplimiento de las regulaciones aplicables a la Organización, reportando al Comité de Auditoría de la Compañía (el “Comité de Auditoría”) los asuntos relevantes sobre Seguridad de la Información y Ciberseguridad.
</p>
<p>
  En el gobierno de Seguridad de la Información y Ciberseguridad participan distintas instancias en todas las compañías descritas en el alcance, las cuales tiene las siguientes responsabilidades:
</p>
<br>

<p>
  <strong>2.1. Aprobación de política</strong>
</p>
<p>
  El Comité de Auditoría es el responsable de ratificar la presente política y sus actualizaciones, hacer seguimiento al perfil de riesgos de la información, promover la cultura de seguridad de la Información y Ciberseguridad, fomentar el cumplimiento de sus lineamientos, asignar los recursos para el cumplimiento, así como hacer seguimiento general al cumplimiento de la presente Política.
</p>
<p>
  La Dirección de Riesgos y Cumplimiento de la Información tiene autoridad para gestionar la revisión de la Política y su presentación al Comité de Auditoría para su ratificación.
</p>
<br>

<p>
  <strong>2.2. Funciones de la Dirección de Riesgos y Cumplimiento de la Información</strong>
</p>
<br>

<ul>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Definir el alcance del programa de Seguridad de la Información y Ciberseguridad para proteger la confidencialidad, integridad y disponibilidad de la información de la compañía, asegurando el cumplimiento normativo e implementando buenas prácticas y metodologías de reconocido valor técnico aplicables a la industria.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Propender por la gestión efectiva de los riesgos cibernéticos y de seguridad de la Información, a través de la identificación, análisis, evaluación y tratamiento de estos.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Definir procesos para la actualización permanente de las novedades de los marcos normativos relacionados con la Seguridad de la Información y Ciberseguridad.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Soportar en la atención y respuesta de las alertas e incidentes de seguridad de la información y ciberseguridad identificados por los empleados, terceros vinculados y derivado del monitoreo hecho a través de las plataformas de gestión de seguridad de la información que afecten los procesos, recursos tecnológicos y sistemas de la Organización.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Definir un programa de gestión de la recuperación tecnológica con el fin de garantizar la disponibilidad y continuidad de las operaciones definidas a través del BIA (Business Impact Analysis) como críticas del negocio, ante eventuales interrupciones.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Con el apoyo de la Dirección Jurídica hacer seguimiento al nivel de cumplimiento de las leyes y normatividad aplicable sobre la Seguridad de la Información y Ciberseguridad.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Monitorear que se cumpla el programa y Sistema de Gestión de Seguridad de la Información y Ciberseguridad, en concordancia con la misión y visión de la Organización, y el cumplimiento de las regulaciones aplicables a cada una de sus compañías.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">A través de la Dirección Jurídica, establecer y mantener contactos con las autoridades, grupos especiales o de interés pertinentes a la seguridad de la información de seguridad y ciberseguridad.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Soportar a la Organización en las acciones para la implementación de medidas o controles para el cumplimiento de la presente política.</li>
</ul>
<br>

<p>
  <strong>2.3. La Organización, sus funcionarios, directores, empleados (directos o subcontratados) y terceros vinculados (proveedores y contratistas) que tengan acceso a la información de la organización, ya sea de manera habitual u ocasional, en el desarrollo de sus funciones, son responsables de:</strong>
</p>
<br>

<ul>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Conocer y cumplir la presente Política, junto con cualquier manual, procedimiento o instructivo establecidos para la aplicación de esta y mencionados al final del documento.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">La implementación de la Política junto con cualquier manual, procedimiento o instructivo establecidos para la aplicación de esta.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Asumir la gestión del riesgo del manejo de la información de la Organización y la implementación de las acciones pertinentes para su mitigación.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Considerar los requisitos de Seguridad de la Información y Ciberseguridad en sus procesos, iniciativas, proyectos y contrataciones.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Identificar y reportar a la Dirección de Riesgos y Cumplimiento de la Información los eventos potenciales o incidentes que amenacen o puedan poner en riesgo la información corporativa o el cumplimiento de las políticas y/o procedimientos de seguridad de la información.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Hacer seguimiento al nivel de cumplimiento de las leyes y normatividad aplicable sobre la Seguridad de la información y Ciberseguridad.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Usar los recursos tecnológicos o la información de la organización, de forma responsable, en ambientes o aplicaciones aprobadas por la CIO (incluye las relacionadas con la IA) y únicamente para propósitos autorizados.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Identificar y alertar a la Dirección de Riesgos y Cumplimiento de la Información las ciber amenazas y ciber riesgos actuales y emergentes que puedan afectar a la organización.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Cumplir con las prácticas de la Organización para el uso adecuado y seguro de información o herramientas para la autenticación (contraseñas, código de accesos, MFA, Passwordless).</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Gestionar las identidades digitales y asignar los mínimos privilegios para el acceso a la información en sus diferentes medios y de acuerdo con las responsabilidades; así como solicitar la eliminación de manera oportuna de las identidades digitales y accesos cuando no son necesarios.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Los líderes de los procesos deben garantizar que estos cumplan con el principio de segregación de funciones, con el fin de minimizar el riesgo de concentrar las responsabilidades críticas en una sola persona.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Definir planes de contingencia operativa o tecnológica necesarios para mantener la continuidad de los procesos o servicios críticos de la compañía. Estos deben ser probados periódicamente para mantenerlos efectivos.</li>
</ul>
<br>

<p>
  <strong>3. Contenido</strong>
</p>
<br>

<p>
  <strong>Aspectos generales y específicos de la política.</strong>
</p>
<br>

<p>
  <strong>3.1</strong> La Organización, reconoce que la información es un insumo indispensable para la ejecución de los procesos, la toma de decisiones en el desarrollo de los objetivos del negocio y para el diseño y definición de los productos y servicios que constituyen el factor diferenciador de lo que somos frente a nuestros clientes, empleados y asociados. Reconoce también la importancia de prevenir los riesgos de seguridad de la información y ciberseguridad durante todo su ciclo de vida; tal protección está enmarcada por 3 propiedades:
</p>

<ul style="padding-left: 24px; margin: 16px 0;">
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    <strong>Confidencialidad:</strong> La información no debe ponerse a disposición o ser revelada a individuos, entidades o en procesos no autorizados.
  </li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    <strong>Integridad:</strong> Se debe preservar la exactitud, confiabilidad y completitud de la información.
  </li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem) !important; line-height: 1.5;">
    <strong>Disponibilidad:</strong> La información debe ser accesible y utilizable cuando sea solicitada por un individuo, área o proceso autorizado y en el momento que se requiera.
  </li>
</ul>
<br>

<p>
  <strong>3.2</strong> Se debe identificar la información y los recursos de valor asociados a la información que la Organización utilice para el desarrollo de sus objetivos de negocio; la información y demás recursos asociados deben tener asignado un responsable, quien debe tomar las decisiones que son pertinentes para su protección, de acuerdo con los requerimientos internos y regulaciones aplicables a cada compañía.
</p>
<br>

<p>
  <strong>3.3</strong> Toda la información, independientemente del medio en el que se encuentre o ubicación de donde se acceda, debe estar clasificada para establecer su sensibilidad (el nivel de reserva que se debe mantener sobre su contenido) y su criticidad (el nivel de disponibilidad requerido para que no se interrumpan las operaciones del negocio). Es responsabilidad de todos los miembros de la Organización conocer la clasificación de la información que utilizan para el desarrollo de sus actividades; y de los responsables de los procesos de definir los controles para proteger la información de acuerdo con la clasificación que maneje cada Compañía que hace parte de la Organización.
</p>
<br>

<p>
  <strong>3.4</strong> La Organización identifica como información confidencial o privilegiada, la siguiente información, entre otras, dado que la definición de información confidencial debe hacerse caso por caso:
</p>
<br>

<ul>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Acciones en la bolsa de valores, información estratégica y financiera, información sobre alianzas estratégicas, reportes sobre proyecciones, resultados y/o revelaciones financieras.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Información relativa a clientes, empleados, accionistas, terceros vinculados, contratistas, proveedores, viajeros, usuarios, inversionistas.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Información privilegiada por acontecimientos importantes y confidenciales de la empresa.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Información no pública material. Estos son algunos ejemplos, Información de fusión, proyectos estratégicos, enajenación, cambio en política de dividendos, información de socios comerciales, información sobre accionistas, entre otros.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Información de negocios que la Organización está obligada a proteger, patentes, invenciones, acuerdos comerciales, contratos, código fuente de desarrollo de software u otra que tenga el potencial para proporcionar ventaja competitiva.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Las prácticas para optimizar los ingresos, precios, tarifas netas.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Información de la operación y sus procesos asociados.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Informes de seguridad, riesgos, cumplimiento, auditoría interna y externa, incidentes operacionales, incidentes de seguridad de la información y ciberseguridad, investigaciones y asuntos legales relacionados con cualquiera de los anteriores.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Informes de o para organismos reguladores que incluya información confidencial.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Claves, pines, contraseñas o información de usuarios de red y/o aplicaciones corporativas.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Información sujeta a leyes de protección de datos personales (incluye dato de tarjetas de pago) en las distintas jurisdicciones en las que la Organización está ubicada o desarrolla su actividad.</li>
</ul>
<br>

<p>
  La información mencionada anteriormente, y cualquier otra que por su clasificación sea considerada como información confidencial o privilegiada no podrá ser utilizada en beneficio personal de ningún administrador, empleado o tercero vinculado que tenga acceso a la misma, ni para fines distintos de los inicialmente previstos para dicha información.
</p>
<br>

<p>
  <strong>3.5</strong> Es deber de todos los responsables de los procesos, líderes de proyectos o iniciativas y administradores de contratos, asegurar que los riesgos de la información sean identificados, analizados, evaluados, tratados y monitoreados, de acuerdo con los procedimientos de la Dirección de Riesgos y Cumplimiento de la Información, asegurando que los correspondientes riesgos se mantengan dentro de los niveles de riesgo aceptable por la Organización conforme a lo estipulado en el siguiente documento: https://avianca.sharepoint.com/sites/GestionDocumental/interno/Documentos%20Vigentes/Pasajeros/Sistemas%20de%20Gesti%C3%B3n%20y%20Cumplimiento/Gesti%C3%B3n%20Integral%20de%20Seguridad,%20Riesgos%20y%20Cumplimiento/Manual%20Riesgos%20de%20la%20informaci%C3%B3n.pdf?CT=1634245006399&OR=Outlook-Body&CID=C780E677-063B-4DA9-9E6B-BECE0994DA58MA_AVSG04_054 MANUAL DE GESTIÓN DE RIESGOS DE LA INFORMACIÓN</a>.
</p>
<br>

<p>
  <strong>3.6</strong> Los recursos de información como: equipos, aplicaciones de negocio, servicios de Internet, Intranet, herramientas colaborativas (correo electrónico, chat, almacenamiento en la nube), entre otros; son provistos a todos los empleados de la Organización para uso exclusivo de la Organización. El acceso y uso de estos, debe ser autorizado por el responsable de cada uno de los recursos y de acuerdo con las responsabilidades de su función. Los recursos de información deben devolverse de inmediato al administrador cuando ya no se necesiten.
</p>
<br>

<p>
  <strong>3.7</strong> La Organización debe garantizar que sus empleados, cualquier funcionario, gerente o cualquier persona apliquen medidas de seguridad de la información tales como, y sin limitarse a: verificaciones e investigaciones sobre referencias personales, laborales, experiencia laboral, pruebas complementarias, estudio de seguridad, examen de aptitud y conocimientos, de tal manera que apoyen las políticas de seguridad y en cumplimiento de las regulaciones locales.
</p>
<br>

<p>
  <strong>3.8</strong> Todos los empleados y terceros vinculados se entienden obligados al manejo de la confidencialidad de la información de la Organización independiente que tengan o no firmado un acuerdo de confidencialidad en el momento en que ingresan a la Organización; y son responsables de la reserva de la información inclusive después de finalizada su relación con la Organización.
</p>
<br>

<p>
  <strong>3.9</strong> La Organización deberá contar con un programa de cultura permanente en Seguridad de la Información y ciberseguridad que permita mantener a todo su personal informado acerca de las políticas, las responsabilidades de seguridad de la información y las continuas amenazas que ponen en riesgo la información que administra y/o procesa.
</p>
<br>

<p>
  <strong>3.10</strong> Los responsables de los contratos y de la contratación, deben garantizar que las responsabilidades de seguridad de la información de los terceros y su cadena de suministro, que tengan acceso, procesen, almacenen o distribuyan información de valor para la Organización, se encuentren documentadas en los contratos u otros acuerdos de prestación de servicios y deben supervisar su cumplimiento durante toda la vigencia de la relación contractual.
</p>
<br>

<p>
  <strong>3.11</strong> Es deber de toda La Organización y terceros vinculados reportar cualquier sospecha, condición anormal o violación a las políticas, responsabilidades y procedimientos de Seguridad de la Información y Ciberseguridad que atenten contra la Confidencialidad, Integridad y Disponibilidad de la información de La Organización de manera inmediata a través de los canales establecidos por la Organización.
</p>
<br>

<p>
  En el caso de que las situaciones descritas anteriormente, afecten o tengan la posibilidad de afectar o tener algún impacto económico, material, de reputación, legal u operacional para la Organización, deberán ser reportados inmediatamente a la Dirección de Riesgos y Cumplimiento de la Información a través de los canales establecidos por ésta.
</p>
<br>

<p>
  La Dirección de Riesgos y Cumplimiento de la Información deberá evaluar los reportes de incidentes y determinar si los mismos cumplen con el criterio de materialidad, caso en el cual deberá informar a la Dirección de Relaciones con el Inversionista para que dé cumplimiento a la Política de Revelación de Información Relevante Financiera y No Financiera para los Accionistas, Mercado, Grupos de Interés y Terceros Interesados.
</p>
<br>

<p>
  <strong>3.12</strong> La Organización tiene la responsabilidad de implementar lineamientos y medidas técnicas para la protección de la información que se almacena, procesa o transmite; de acuerdo con su clasificación y considerando, pero sin limitarse a:
</p>
<br>

<ul>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Gestión de Riesgos de la Información.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Identificación y clasificación de activos de información.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Controles para el almacenamiento y transferencia segura de datos.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Protección contra amenazas, como software malicioso y/o posibles ataques informáticos.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Gestión de identidades digitales y control de acceso a la información, las aplicaciones, infraestructura y redes.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Gestión de seguridad en dispositivos móviles/portátiles propios o personales al servicio de la Organización.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Uso adecuado de los recursos asignados por la organización (internet, dispositivos tecnológicos corporativos, sitios colaborativos: Sharepoint, Onedrive, Teams, correo, otros).</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Seguridad en redes y telecomunicaciones.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Seguridad en la adquisición, desarrollo y mantenimiento de recursos tecnológicos (incluyendo sistemas y ambientes de procesamiento, y gestión de la obsolescencia tecnológica).</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Gestión de medios de almacenamiento removible.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Seguridad en el personal interno y terceros vinculados.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Gestión de vulnerabilidades técnicas.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Seguridad en la nube.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Gestión de logs, eventos e incidentes de seguridad.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Seguridad física y ambiental en centros de procesamiento de datos o sitios críticos.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Controles para la instalación, desarrollo y almacenamiento de software.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Continuidad del negocio, respaldo de información y recuperación de las plataformas tecnológicas en caso de desastres.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Trabajo remoto o fuera de las instalaciones.</li>
  <li style="font-size: clamp(0.875rem, 0.36vw + 0.765rem, 1rem); line-height: 1.5;">Uso o desarrollo responsable de las tecnologías de Inteligencia artificial (IA).</li>
</ul>
<br>

<p>
  <strong>3.13</strong> La Dirección de Riesgos y Cumplimiento de la Información, podrá realizar actividades de monitoreo y auditoría en cualquier compañía de la Organización, de manera exclusiva, para determinar el nivel de cumplimiento de los lineamientos establecidos en esta política. Incluyendo terceros y compañías subcontratadas que brinden servicios de gestión, monitoreo, administración de plataformas tecnológicas de Investment Vehicle 1 Limited technology.
</p>
<br>

<p>
  <strong>Regulación legal vigente aplicable a la política.</strong>
</p>
<br>

<p>
  <strong>3.14</strong> La Organización, su Junta Directiva y su grupo ejecutivo deben comprometerse con el cumplimiento de los requisitos de seguridad de la información establecidos en sus políticas internas de seguridad, así como los solicitados por las leyes y regulaciones aplicables, tales como y sin limitarse a: SOX (Sarbanes-Oxley Act), PCI DSS (Payment Card Industry Data Security Standards), leyes internacionales de protección de datos personales, regulaciones del sector aeronáutico, acuerdos de industria o contractuales, licenciamiento, propiedad intelectual y demás referentes a la Seguridad de la Información y Ciberseguridad.
</p>
<br>

<p>
  <strong>3.15</strong> En caso de incumplimiento a la Política y/o procedimientos de seguridad establecidos o subsecuentes, la Organización adelantará las acciones legales, administrativas y/o disciplinarias que sean procedentes; de acuerdo con lo previsto en el Reglamento interno de cada una de sus compañías y/o las leyes y regulaciones de seguridad de la información, ciberseguridad y protección de datos personales internacionales y/o locales aplicables.
</p>
<br>

<p>
  <strong>Fecha de efectividad de la política.</strong>
</p>
<br>

<p>
  <strong>3.16</strong> Esta política entra en vigor a partir del momento de su publicación y se entiende vigente de manera indefinida a menos que se modifique para actualizarla de acuerdo con los cambios en el entorno organizacional, las circunstancias del negocio y/o las condiciones legales. En lo que respecta a terceros vinculados la política entrará a regir cuando se obtengan las autorizaciones correspondientes (firmas de contratos).
</p>
<br>

<p>
  <strong>Prevalencia.</strong>
</p>
<br>

<p>
  <strong>3.17</strong> En caso de conflicto entre los protocolos de la Junta Directiva, el acuerdo de los Inversionistas y la presente Política, el orden de precedencia de los documentos será el siguiente (i) el acuerdo de los inversionistas, (ii) los protocolos de la Junta Directiva, (iii) la presente Política.
</p>
<br>

<p>
  <strong>Glosario.</strong>
</p>
<br>

<p>
  <strong>Acuerdo de inversionistas:</strong> Acuerdo de los accionistas de la compañía.
</p>
<br>

<p>
  <strong>Cadena de suministro:</strong> En el entorno de la seguridad de la información es el conjunto de procesos, organizaciones, personas, actividades, tecnologías y terceros vinculados (proveedores, socios y contratistas) involucrados en el ciclo de vida de productos, servicios o información, cuyo adecuado funcionamiento, confianza y protección es esencial para garantizar la confidencialidad, integridad y disponibilidad de la información de la organización.
</p>
<br>

<p>
  <strong>Centro de Procesamiento de Datos (Data Center):</strong> Sitio físico o en la nube (virtual) para mantener la infraestructura tecnológica y electrónica, donde se procesa la información necesaria para la ejecución de los procesos de la Organización.
</p>
<br>

<p>
  <strong>Ciber espacio:</strong> Entorno resultante de la interacción de personas, software y servicios en Internet a través de dispositivos tecnológicos conectados a dicha red, el cual no existe en ninguna forma física. (Superintendencia Financiera Circular externa 007, 2018)
</p>
<br>

<p>
  <strong>Ciber seguridad:</strong> Es el desarrollo de capacidades empresariales para defender y anticipar las amenazas cibernéticas con el fin de proteger y asegurar los datos, sistemas y aplicaciones en el ciberespacio que son esenciales para la operación de la entidad. (Superintendencia Financiera Circular externa 007, 2018)
</p>
<br>

<p>
  <strong>IA:</strong> Inteligencia Artificial.
</p>
<br>

<p>
  <strong>Identidad:</strong> Se refiere a la identificación de personas en las aplicaciones de la organización. Para empleados, la identidad está registrada en SAP SSFF (SuccessFactors) y se reconoce por el número de empleado. En el caso de terceros vinculados, las identidades se registran en el Máster terceros de la herramienta de Gestión de Identidades y se reconocen por el número de identificación; en países donde la legislación de datos personales lo requiera, se empleará otro dato, como licencias de conducción, número tributario u otro identificador permitido. Para crear un usuario en una aplicación, es imprescindible que la identidad esté registrada y activa.
</p>
<br>

<p>
  <strong>Identidad Digital:</strong> Conjunto de información sobre una persona que existe en el entorno digital y que permite identificarla de forma única.
</p>
<br>

<p>
  <strong>Incidente de ciber seguridad:</strong> Ocurrencia de una situación que afecta la protección o el aseguramiento de los datos, sistemas y aplicaciones de la entidad que son esenciales para el negocio. (Superintendencia Financiera Circular externa 007, 2018)
</p>
<br>

<p>
  <strong>Programa de seguridad de la información y ciberseguridad:</strong> Conjunto de políticas, estrategias, metodologías, recursos, soluciones tecnológicas, prácticas y competencias para proteger, asegurar y preservar la confidencialidad, integridad y disponibilidad de la información que se almacena, reproduce o procesa en los sistemas informáticos u otros medios de la entidad. (Superintendencia Financiera Circular externa 007, 2018)
</p>
<br>

<p>
  <strong>Protocolo Junta Directiva:</strong> Protocolos de la Junta Directiva de la compañía.
</p>
<br>

<p>
  <strong>Riesgo (NTC-ISO31000):</strong> Efecto de la incertidumbre sobre los objetivos.
</p>
<p>
  NOTA 1: Un efecto es una desviación respecto a lo previsto. Puede ser positivo, negativo o ambos, y puede abordar, crear o resultar en oportunidades y amenazas.
</p>
<p>
  NOTA 2: Los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferentes niveles.
</p>
<p>
  NOTA 3: Con frecuencia, el riesgo se expresa en términos de fuentes de riesgo, eventos potenciales, sus consecuencias y sus probabilidades.
</p>
<br>

<p>
  <strong>Riesgo de Información (NTC-ISO/IEC 27005):</strong> Potencial de que una amenaza determinada explote las vulnerabilidades de los activos o grupos de activos causando así daño a la organización. Se mide en términos de una combinación de la probabilidad de que suceda un evento y sus consecuencias.
</p>
<br>

<p>
  <strong>Riesgo de Ciberseguridad (NISTIR 8286 basado en ISO Guide 73 y NIST SP 800-60 Vol. 1 Rev. 1):</strong> Un efecto de la incertidumbre en o dentro de un contexto digital. Los riesgos de ciberseguridad se relacionan con la pérdida de confidencialidad, integridad o disponibilidad de información, datos o sistemas de información (o control) y reflejan los posibles impactos adversos en las operaciones de la organización (es decir, misión, funciones, imagen o reputación) y activos, individuos, otras organizaciones y la Nación.
</p>
<br>

<p>
  <strong>Seguridad de la Información:</strong> Conjunto de políticas, estrategias, metodologías, recursos, soluciones informáticas, prácticas y competencias para proteger, asegurar y preservar la confidencialidad, integridad y disponibilidad de la información que se almacene, reproduzca o procese en los sistemas informáticos de la entidad u otro medio. (Superintendencia Financiera Circular externa 007, 2018)
</p>
<br>

<p>
  <strong>Segregación de funciones:</strong> Medida que separa las responsabilidades de las distintas actividades involucradas en los procesos críticos de la Compañía.
</p>

Tips de ciberseguridad

Tu información tiene valor, prepárate para afrontar cualquier situación de riesgo que ponga en peligro tus datos. Aprende cómo navegar de forma segura:

horizontal
lazy
Reconoce cualquier amenaza
Reconoce cualquier amenaza
Procura utilizar computadores de uso personal y ser muy cauteloso a la hora de navegar. Si tienes alguna duda, no ingreses ni proporciones tus datos.
none
Aprende a proteger tus datos
Aprende a proteger tus datos
La doble verificación, creación de contraseñas seguras y evitar el uso de redes WI-FI públicas son claves para blindar tu información de cualquier amenaza cibernética.
none

Ataques de phishing

Ciberataque para obtener información confidencial engañando a usuarios a través de plataformas digitales falsas o suplantando identidades

vertical
lazy
¿Qué es el phishing?
¿Qué es el phishing?
Es una forma de ciberataque que busca obtener información confidencial de las personas, como contraseñas, números de tarjeta de crédito u otra información personal.
none
¿Cómo reconocerlo?
¿Cómo reconocerlo?
Si recibes alguna notificación solicitando tus datos de pago o contraseñas para hacer una actualización, reclamar un reembolso o verificar un pago, ¡duda de inmediato! podrías estar ante un phishing.
none
vertical
lazy
¿Cómo protegerse?
¿Cómo protegerse?
Antes de hacer clic a cualquier enlace, verifica que el remitente de correo sea real, que el sitio web tenga una conexión segura identificando el candado y que su dirección comience con https://
none
¿Cómo evitarlo?
¿Cómo evitarlo?
No entregues información personal o financiera por canales digitales no oficiales o sin verificar. Confirma la notificación llamando a las líneas de atención y asegúrate de su veracidad.
none

Estafas en redes sociales

Este ciberataque utiliza estrategias para que realices transferencias o entregues datos de tarjeta de crédito y contraseñas en nombre de avianca

horizontal
lazy
Sitios web que se asemejan a los de avianca
Sitios web que se asemejan a los de avianca
Sitios web que se asemejan a los de avianca (Facebook, Instagram o X) y envían enlaces a través de publicaciones o chats ofreciendo promociones y sorteos falsos para que entregues información confidencial.
none
Ofertas laborales falsas
Ofertas laborales falsas
Ofertas laborales falsas a nombre de avianca con el objetivo de solicitar transferencias de dinero no autorizadas. Recuerda que nuestros empleos son publicados en canales oficiales y en el sitio web en la sección “Trabaja con nosotros”.
none

¡Ten precaución!

Duda de todos los mensajes o publicaciones en páginas a nombre de avianca que te soliciten información confidencial

vertical
lazy
¿Cómo reconocerlo?
¿Cómo reconocerlo?
Si recibes algún mensaje directo en redes o ves una publicación sospechosa o poco creíble que te solicite una transferencia rápida o tus datos de pago ¡es una estafa!
none
¿Cómo protegerse?
¿Cómo protegerse?
No hagas clic a la publicación y no respondas los mensajes directos sin antes identificar que pertenece a las cuentas de redes sociales oficiales y verificadas de avianca.
none
¿Cómo evitarlo?
¿Cómo evitarlo?
No entregues ningún dato o hagas alguna transferencia bancaria sin verificar la información en nuestros canales oficiales de redes sociales o en nuestra página web.
none
<div><div style="font-size: 20px;">¿Has sido víctima o sospechas de un ciberataque?</div></div>
Contáctanos
primary
internal
/es/sobre-nosotros/contactanos/
_blank
¿Tienes dudas? Contáctanos a través de Vianca Chat
#fff1f7
#1b1b1b
#ff3093
self
#f8f7f4
top
scroll
cover
true