Estandares Seguridad Informacion

FECHA 11/03/2019 POLITICA
CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

GERENCIA DE SEGURIDAD DE LA
VERSION 2 AREA Página 1 de 30
INFORMACIÓN
POL-COR-GSI-02
Estándares de Seguridad de la
Información para implementación de
los embajadores.
CONTROL DE FIRMAS
Francisco Viana Figueroa Fred Aguirre Fonseca Carlos Alberto González López
Especialista de Seguridad de la Gerente de Seguridad de la Director Corporativo de Control,
Información Información Cumplimiento y Administración
REVISÓ
ELABORÓ AUTORIZÓ
(Control Interno)
“USO INTERNO”. PARA USO EXCLUSIVO DE LAS EMPRESAS DEL GRUPO VOLARIS
DERECHOS RESERVADOS. PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL.

INFORMACIÓN
Control de Cambios
VERSIÓN FECHA DESCRIPCION DE LOS CAMBIOS

Se actualiza con relación a los cambios organizacionales que
2 11/03/2019 presenta Volaris; se agrega la sección de Definiciones y
Terminología;
Responsabilidades del documento
Es responsabilidad del dueño del proceso el asegurarse de la administración,

formalización y difusión con las áreas involucradas para su conocimiento y cumplimiento
en lo dispuesto en el documento.
El presente, se conforma de los siguientes involucrados:
Para las empresas Volaris México y Centroamérica
Director responsable: Dirección Corporativa de Control y Cumplimiento
Dueño del Proceso: Gerente de Seguridad de la Información
Involucrados en el Proceso: Todos los Embajadores del Grupo Volaris, así como a otras
personas autorizadas tales como contratistas independientes, personal temporal y/o
visitantes

INFORMACIÓN
1. Propósito
a. Establecer un código de práctica que funcione como guía para la implementación

y cumplimiento de la POL-COR-GSI-01 Política de Seguridad de la Información
enfocado en 3 grupos principales: General, Sistemas de Información (TI) y
Proveedores.
b. Establecer las métricas necesarias para medir el nivel de madurez en el

cumplimiento de las Política de Seguridad de la Información.
c. Promover el cumplimiento de las Política de Seguridad de la Información con los

embajadores de Volaris.
2. Alcance
El presente documento de estándares de Seguridad de la Información está dirigida a

todos los embajadores que laboren y/o presten servicios para Grupo Volaris, su
controladora y demás sociedades que integran el grupo, así como aquellos terceros que
hagan uso de la información, sistemas y comunicaciones del Grupo Volaris, tanto para el
corporativo, así como las bases y aeropuertos nacionales e internacionales.
3. Documentos Asociados
• POL-COR-CIN-01 Lineamientos para la Elaboración o Actualización de Manuales,
Políticas, Procedimientos y Formatos
• POL-COR-CIN-01 Política de Seguridad de la Información
• POL-COR-GSI-03 Clasificación de la Información
4. Definiciones y Terminología
Anomizadores: Servicio que permite al usuario utilizar la red de forma anónima, que
impide obtener información sobre él, como la dirección de correo electrónico, o la
dirección IP desde la que se conectó.
Confidencialidad: Prevenir la divulgación de información a personas o sistemas no

autorizados.
Control de Acceso: Es la autenticación y autorización de un usuario el cual, por medio

de roles o perfiles puede conceder o rechazar la petición.

INFORMACIÓN
Dark web o Deep web: Información que se encuentra en la Web, pero que no se
encuentra indexada por los motores de búsqueda convencionales, es decir que para
acceder es necesario acreditación o bien un software o una configuración determinada.
Datos Personales: Es cualquier dato que identifica o hace identificable a una persona y
que comúnmente esos datos son utilizados para fines comerciales ya sea de un cliente o
de un embajador del Grupo Volaris.
Disponibilidad: La disponibilidad es la característica de la información de encontrarse a

disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
Dispositivos Móviles: Equipo de tamaño compacto con capacidades de procesamiento,

memoria limitada y conexión permanente o intermitente a una red local o servicio de
internet o telefonía celular que ha sido diseñado específicamente para una función (por
ejemplo: Celulares, BAM, SIM, etc.)
Embajadores: Identifica a un individuo que hace uso de los activos de la organización,

considerando a todos los empleados internos o de nómina del Grupo Volaris.
Incidente de Seguridad: Cualquier evento que represente un riesgo para la adecuada

conservación de confidencialidad, integridad o disponibilidad de la información utilizada
en el desempeño de las funciones dentro del Grupo Volaris.
Integridad: Mantener los datos libres de modificaciones no autorizadas.
Seguridad de la Información: Es la implementación de medidas preventivas, correctivas

y detectivas para preservar 3 componentes fundamentales que son: Confidencialidad,
Integridad y Disponibilidad.
Service Desk: Área en donde se solicita ayuda de algún requerimiento de servicio que
tengan los Embajadores donde se gestiona y solucionan las posibles incidencias de
manera integral
Servicio de Streming: es la distribución digital de contenido multimedia (escuchar

música o ver vídeos) a través del internet sin necesidad de descargarlos completos antes
de que los escuches o veas
Servicios de TI: Conjunto de actividades que buscan responder a las necesidades de las
áreas de Negocio por medio de un cambio o administración de los activos del Grupo
Volaris.
Terceros: Se refiere a los servicios o funciones realizados por otra organización que
desarrolla

INFORMACIÓN
Volaris México: Entiéndase para el alcance de esta política por las siguientes empresas:
• Controladora Vuela Compañía de Aviación, S.A.B. de C.V.
• Concesionaria Vuela Compañía de Aviación, S.A.P.I. de C.V.
• Comercializadora Volaris, S.A. de C.V.
• Operaciones Volaris, S.A. de C.V.
• Servicios Administrativos Volaris, S.A. de C.V
• Servicios Corporativos Volaris S.A. de C.V.
• Cualquier otra empresa del Grupo que se llegue a constituir bajo las Leyes
Mexicanas.
Volaris Centroamérica: Entiéndase para el alcance de esta política por las siguientes
empresas junto con su código de SAP:
• Servicios Earhart, S.A. (Guatemala)
• Vuela Aviación, S.A. (Costa Rica)
• Vuela, S.A. (Guatemala)
• Cualquier otra empresa del Grupo que se llegue a constituir en Centroamérica.
Viajes Vuela: Entiéndase para el alcance de esta política por la siguiente empresa:
• Viajes Vuela, S.A. de C.V.

INFORMACIÓN
5. Política de Seguridad de la Información.
Ser un habilitador de los negocios de Volaris a través de preservar la confidencialidad,

integridad y disponibilidad de la información y los servicios de TI, a través de una
adecuada gestión del riesgos para minimizar los impactos a los que está expuesto Grupo
Volaris, estandarizando la forma que en los embajadores, dueños de la información y
terceros que tienen acceso a generar, procesar, almacenar, eliminar adquieran un mismo
nivel de actuación en el tratamiento y protección de la información, además de generar
conciencia y una cultura de Seguridad y de Riesgo para que puedan implementar
tratamientos adecuados en la Seguridad de la Información.
Para lograr la implementación de las políticas, Grupo Volaris ha desarrollado estándares

de Seguridad de la Información para estandarizar el cumplimiento, mismo que los
embajadores y terceros que por sus funciones tienen acceso a la información de Grupo
Volaris deben cumplir, a continuación, se detallan los estándares.
6. Seguridad en los embajadores.

6.1. Responsabilidades de Seguridad de la Información de embajadores
durante el empleo.
6.1.1. Roles y Responsabilidades
Los embajadores y sus proveedores que tienen acceso a información y servicios de TI de
Grupo Volaris son responsables de lo siguiente:
a. Participar de manera obligatoria en los cursos de concientización en temas de

seguridad de la información.
b. Proteger y clasificar adecuadamente su información de acuerdo con la Política y

Guías de clasificación de información vigente.
c. Cumplir las políticas y estándares de seguridad de la información aplicables de

acuerdo con sus funciones.
d. Cumplir, actualizar y mantener registros del seguimiento de sus procedimientos y

políticas de negocio.
e. Hacer uso adecuado de las tecnologías de información que son responsables.
f. No compartir contraseñas en ninguna circunstancia.
g. Solicitar en tiempo y forma las altas, bajas y cambios de los usuarios en los sistemas
de TI donde se genera, procesa, almacena su información.

INFORMACIÓN
h. Reportar de acuerdo con el proceso de administración de incidentes de seguridad

en caso de verificar que existe un evento adverso.
i. No compartir por ningún medio (físico o electrónico) ya sea de forma personal o

profesional, información correspondiente al Grupo Volaris, a menos de que exista
la autorización del dueño de la información o que por sus funciones tenga
autorizado compartirla.
6.1.2. Formación y Capacitación del embajador en Materia de Seguridad

Grupo Volaris lleva a cabo un programa de formación y capacitación al embajador en
materia de Seguridad de la Información, este programa tiene la finalidad que el embajador
genere una cultura en la protección de la información y servicios de TI que tiene en bajo
su responsabilidad, además que el embajador pueda detectar los riesgos de seguridad
inherentes en los activos y pueda generar planes de tratamiento adecuados, los
mecanismos de formación y capacitación se llevan a cabo mediante el uso de distintos
medios y técnicas para capacitar a la totalidad de los embajadores, por lo mismo los
embajadores deben apegarse al siguiente estándar:
a. Asistir de forma obligatoria a las sesiones presenciales de seguridad de la

información si es requerido.
b. Atender de forma obligatoria el e-learning de seguridad de la información en los

tiempos estipulados por la Universidad Volaris.
c. Atender los comunicados de Seguridad de la Información enviados vía correo

electrónico por medio de Comunicación Interna.
d. Los líderes de Volaris deben permitir y ser promotores con sus embajadores para
la atención a la formación y capacitación de los embajadores en materia de
Seguridad de la Información.
e. El programa de capacitación en materia de seguridad de la información es un

programa vivo por lo que los embajadores deben atender las recomendaciones día
a día en el desarrollo de sus funciones y responsabilidades.
f. Es responsabilidad de los embajadores de aplicar la cultura de seguridad de la

información para la protección de su información.
g. Es responsabilidad de los embajadores reportar a cualquier incidente de seguridad

que detecten en su información y los activos de Volaris a infosec@volaris.com .
Cualquier incumplimiento a las políticas y estándares de seguridad en materia de

Seguridad de la Información, podrá incurrir en un proceso disciplinario.

INFORMACIÓN
6.1.3. Proceso disciplinario

En caso de que algún embajador incurra en alguna violación de políticas y/o estándares
de seguridad, con alguna ley o regulación, ponga en riesgo la confidencialidad, integridad
y disponibilidad de la información y/o tecnologías de la información, serán sancionados
de acuerdo con el Reglamento Interior de Trabajo de Volaris.
6.1.4. Al término de la Contratación

6.1.4.1. Terminación de las Responsabilidades y de accesos
En caso de terminación de la relación laboral con Grupo Volaris, el embajador es
responsable de lo siguiente:
a. Realizar una entrega formal de la información bajo su responsabilidad a su líder,

informando ubicación de la información y el estado actual de sus funciones y
responsabilidades.
b. Realizar entrega formal de los activos que le fueron asignados para el desarrollo de
sus responsabilidades al personal de Relaciones de Trabajo de Volaris.
c. No realizar copia de información propiedad de Grupo Volaris ya que podrá incurrir

en procedimientos legales.
d. El embajador, bajo ninguna circunstancia, debe acceder a los sistemas y servicios

de TI de Grupo Volaris, una vez que sea terminada la relación laboral
independientemente que el sistema lo permita o no, el acceso no autorizado a los
sistemas podrá incurrir en procedimientos legales.
7. Administración de Activos
7.1. Responsabilidad de los Activos
7.1.1. Propiedad de los activos de información.
La propiedad de los activos se deberá establecer en base a los siguientes niveles de
responsabilidad:
a. Usuario de la Información. Son los autorizados por el propietario de la Información

para tener acceso a la misma a través de los mecanismos de Seguridad
establecidos para dicho fin.
b. Custodio de la Información. Son los designados por el propietario de la

Información para mantener administrar la funcionalidad y aplicar mecanismos de
Seguridad establecidos para asegurar la integridad, confidencialidad y
disponibilidad de la misma.
c. Propietario de la Información. Son los directores de área donde se crea la

Información, el propietario es responsable que la información generada para Volaris
sea administrada de forma segura.

INFORMACIÓN
Para dar cumplimiento en la protección de datos personales aplicables donde Grupo

Volaris tiene presencia, se definen los siguientes roles:
a. Responsable. Persona física o moral de carácter privado que decide sobre el

tratamiento de datos personales.
b. Encargado. La persona física o jurídica que sola o conjuntamente con otras trate
datos personales por cuenta del responsable.
c. Titular. La persona física o moral, nacional o extranjera, distinta del titular o del
responsable de los datos.
7.1.2. Uso Aceptable de los Activos

7.1.3. Clasificación de la Información
7.1.3.1. Guía de Clasificación de la Información
Los embajadores o terceros de las distintas áreas de negocio que generen, compartan,
procesen y/o almacenen información, son responsables de clasificarla, para ello deben
seguir los lineamientos y guías de clasificación de información disponibles para que sirva
de apoyo para que la información se clasifique correctamente.
Para proteger adecuadamente la Información, el propietario con apoyo de los

embajadores o terceros deben clasificar y etiquetar la Información en una de las
siguientes categorías:
a. Pública. Es información que está disponible para ser publicada a todos los
embajadores y público en general a través de los canales autorizados. No deben
existir restricciones en el derecho de lectura de esta Información.
b. De uso interno. Es información cuyo objetivo es apoyar a los embajadores y

terceros para conducir el negocio y logro de los objetivos del Grupo Volaris. Para
la información que se clasifique en esta categoría se deben establecer controles
de protección para que la información no sea divulgada para fines no autorizados.
c. Confidencial. Información de uso restringido, que, si se viola su privacidad,

reduce las ventajas competitivas o pueda causar un daño considerable a Volaris,
a sus clientes o embajadores. Deben establecerse controles de protección para
evitar que embajadores, terceros no autorizados y público en general puedan
tener acceso a la información o los servicios de TI de Grupo Volaris.
Los Datos Personales tratados por Grupo Volaris en todo momento deben
ser clasificados como información confidencial

INFORMACIÓN
7.1.3.2. Etiquetado de la Información.
Una vez clasificada la información, ésta debe tener una “etiqueta” que la identifique desde
su creación hasta su destrucción. Las aplicaciones que tienen mecanismos de
autenticación y autorización son clasificados como confidencial.
La información que esté almacenada en dispositivos o sitios de almacenamiento

extraíbles la etiqueta podrá ser física o lógica dependiendo del dispositivo de
almacenamiento y en el caso de los documentos debe colocarse en cada hoja del
documento, la leyenda del etiquetado deberá ser de acuerdo con lo siguiente:
a. Información confidencial.
• Opción 1. Footer: “Confidencial”, para uso exclusivo de las empresas del
Grupo Volaris. Derechos Reservados. Prohibida su reproducción total o
parcial.
• Opción 2. Footer y marca de agua: Volaris – Confidencial.
b. Información de uso interno.

• Opción 1. Footer: “Uso Interno”. Para uso exclusivo de las empresas de Grupo
Volaris. Derechos Reservados. Prohibida su reproducción total o parcial.
• Opción 2. Footer y marca de agua: Volaris – Uso Interno
c. Información pública.
• Opción 1. Footer: Para uso exclusivo de las empresas de Grupo Volaris.
Derechos Reservados. Prohibida su reproducción total o parcial.
7.1.4. Uso aceptable de la Información de Grupo Volaris.
a. La información que los embajadores o terceros generen, procesen y/o almacenen,

resultado de sus funciones, responsabilidades y de la relación contractual, es
propiedad de Grupo Volaris.
b. La información de propiedad de Grupo Volaris almacenada en dispositivos

electrónicos e informáticos ya sea propiedad o arrendada por Grupo Volaris, el
embajador o un tercero, sigue siendo propiedad exclusiva de Grupo Volaris. Debe
asegurarse a través de medios legales o técnicos que la información de propiedad
está protegida
c. El embajador o tercero tienen permitido el uso, divulgación, transferencia, difusión

de la información de Grupo Volaris solo en la medida que este autorizado y
necesario para cumplir con sus obligaciones laborales asignadas o debido al
cumplimiento de un servicio derivado de una relación contractual con el Grupo
Volaris.

INFORMACIÓN
d. Es responsabilidad de los embajadores y terceros proteger la información contra

acceso no autorizado, modificación accidental o intensional, copia no autorizada,
borrado no autorizado apoyándose de los controles tecnológicos provistos por la
Dirección de TI.
e. Los embajadores y terceros son responsables limitar el uso de información de uso

personal, solo tienen permitido realizar operaciones financieras, pago de servicios
o pagos gubernamentales siempre y cuando sean de procedencia licita bajo las
leyes locales, nacionales de México o internacionales.
f. No esta permitido compartir información por medio de dispositivos de

almacenamiento externo (USB, Discos Duros, etc.) ni por medio de sitios de
almacenamiento en internet no autorizados (Dropbox, Google Drive, etc.), los
sitios autorizados son los provistos por la Dirección de TI de Grupo Volaris, ni por
correo personal, aunque sea del embajador o proveedor externo.
g. Es responsabilidad de los embajadores o terceros reportar inmediatamente al

director propietario de la información y a infosec@volaris.com, en caso de detectar
el uso no autorizado, robo, divulgación no autorizada de la información de Volaris.
h. Los respaldos de información deben de realizarse por los medios de

almacenamiento provistos por la Dirección de TI como son One Drive corporativo
SFTP, o File Server, no esta permitido realizar respaldos enviando información a
cuentas de correo personales, sitios de almacenamiento personales, discos duros
personales o no autorizados por Grupo Volaris.
7.1.5. Uso aceptable de equipos y/o dispositivos de computo de Grupo

Volaris.
a. Los dispositivos de computo asignados para el desarrollo de las responsabilidades

y funciones de los embajadores son propiedad de Grupo Volaris.
b. El embajador tiene la responsabilidad de hacer uso correcto de los dispositivos y

solo para el desarrollo de sus funciones.
c. No está permitido instalar software, deshabilitar programas y servicios

configurados dentro del equipo o dispositivo de computo.
d. En ninguna circunstancia, un embajador está autorizado para participar en

cualquier actividad que sea ilegal según las leyes locales, estatales, federales o
internacionales mientras utiliza los recursos de Grupo Volaris.
e. No está permitido almacenar en los equipos de cómputo información personal o

de otra índole ajena a la naturaleza del servicio Grupo Volaris.

INFORMACIÓN
f. Es responsabilidad del embajador reportar a infosec@volaris.com en caso de

detectar actividad inusual en su equipo de cómputo, sistema operativo, carpetas,
archivos, aplicaciones.
7.1.6. Uso aceptable de la Administración de Dispositivos Móviles
Todo dispositivo que acceda procese y/o almacene información de Grupo Volaris, será
controlado y protegido por Grupo Volaris sin importar la propiedad de los dispositivos,
para ello se deben establecer lineamientos y procedimientos para llevar a cabo la
protección de los mismos.
Los lineamientos y procedimientos de control y protección de dispositivos móviles deben

cumplir por lo menos con lo siguiente:
a. En caso de que algún embajador requiera acceso a la información o servicio de TI

con su propio dispositivo, éste deberá solicitarlo formalmente a la Dirección de TI.
b. Todo embajador deberá otorgar su consentimiento tácito a los términos y

condiciones de Grupo Volaris en el uso de la información y el acceso a las
tecnologías de información.
c. Los embajadores accederán a su dispositivo a través de un control de acceso

implementado por los menos alguna de las siguientes: huella digital, lectura
biométrica, contraseña o contraseña numérica de por lo menos 6 dígitos.
d. Grupo Volaris instalará un sistema de control y protección del dispositivo por medio
del cual se forzarán el cumplimiento de los lineamientos y procedimientos. Los
controles que se implementarán entre otros son:
• Forzar actualizaciones del Sistema y aplicaciones;
• Forzar mecanismo de control de acceso al dispositivo;
• No permitir la conexión a redes Wifi-inseguras;
• No permitir la instalación de aplicaciones potencialmente inseguras;
• Mecanismos de borrado remoto de acceso a la información de Grupo Volaris;
• Mecanismos de bloqueo remoto por pérdida o robo del dispositivo;
e. En caso de que el dispositivo móvil sea propiedad del embajador, Grupo Volaris
tendrá potestad de restringir el acceso a la información y sus servicios de TI en caso
de que se detecte cualquier situación que representen una potencial amenaza a la
seguridad del dispositivo sin previo aviso.
f. Es responsabilidad del embajador en caso de robo o pérdida reportar el incidente a

la Dirección de TI de Volaris para que se realice un bloqueo y borrado remoto del
dispositivo en cuestión.

INFORMACIÓN
g. El embajador acepta y permitirá el bloqueo a su dispositivo en caso de robo o

extravío del dispositivo.
h. En caso de que la propiedad del dispositivo móvil sea del embajador, y éste deje
de prestar sus servicios en Grupo Volaris, se realizará un borrado remoto de la
información exclusiva de Grupo Volaris y se denegará el acceso a los servicios de
TI de Grupo Volaris.
i. En caso de que el dispositivo móvil sea propiedad del Grupo Volaris y el embajador
deje de prestar sus servicios a Grupo Volaris, debe entregar su dispositivo móvil a
personal de Relaciones de Trabajo.
j. El embajador tendrá un número restringido de dispositivos móviles con acceso a la

información y a los servicios de TI de Grupo Volaris, este número será determinado
por la Dirección de TI, pero no debe superar los 5 dispositivos.
k. En caso de algún incidente de seguridad detectado en dispositivos móviles los

embajadores deben reportar y cooperar entregando a la Dirección de TI el
dispositivo móvil para la revisión del mismo y aceptarán las acciones necesarias
para la contención y mitigación del mismo.
l. Grupo Volaris no realizará actividades de acceso, monitoreo o cualquier otra

práctica que atente contra la privacidad de los embajadores adheridos a esta
política en el uso de los dispositivos móviles ya sean propiedad de Volaris o de
propiedad personal, debe entenderse como privacidad en los dispositivos móviles
como:
• Acceso, copia de los contactos.
• Escuchar grabar o tener acceso a registros de llamadas.
• Activación de Micrófono del dispositivo.
• Acceso o copia de los elementos de la galería de Imágenes incluidos videos
y voz.
• Acceso o copia de la información personal y ajeno a Grupo Volaris.
• Activación, grabación o acceso a la cámara del dispositivo.
• Acceso a la ubicación (GPS) del dispositivo, a menos que sea reportado como
robado o extraviado.
• Acceso o copia a correos electrónicos personales.
• Acceso o copia de contenido de redes sociales.
• Acceso o copia de datos personales.
• Acceso o copia de contraseñas.
• Acceso o copia de datos financieros incluidos transacciones financieras.
• Acceso o copia de chats (como WhatsApp, Messenger, Snapchat, etc.)
• Acceso o monitoreo de aplicaciones móviles que no sean parte de Volaris.

INFORMACIÓN
m. La falta o no cumplimiento de esta política está sujeto a sanciones de acuerdo con

nuestro código de ética o incluso puede ser sujeto a procesos legales.
7.1.7. Uso aceptable de Home Office
Los embajadores que tienen permitido realizar sus funciones en la modalidad de Home
Office debe apegarse al siguiente estándar:
a. El acceso a la información y los servicios de TI deben ser a través de los
dispositivos autorizados por la Dirección de TI.
b. El acceso a la información y los servicios de TI en Home Office debe solicitarse

formalmente a la Dirección de TI.
c. El acceso y actividades que realice en embajador de forma remota será

monitoreado por parte de la dirección de TI.
d. No están permitidas las siguientes actividades:

• Hacer copia de la información de Grupo Volaris en dispositivos no
autorizados.
• Acceder a Servicios de TI de Grupo Volaris desde dispositivos no autorizados
o inseguros, es decir, dispositivos sin por lo menos sistema antimalware o
servicios de firewall activados.
• Hacer uso de redes Wifi-inseguras para acceder a los Servicios de TI de
Grupo Volaris.
• No compartir, transferir o proporcionar información del Grupo Volaris sin la
autorización del dueño de la misma y del área de Seguridad de la Información.
Los embajadores son responsables de reportar a la dirección de TI cualquier incidente de

seguridad en el uso de sus credenciales, información o servicios de TI al correo
electrónico infosec@volaris.com .
7.1.8. Uso aceptable del correo electrónico corporativo provisto por Grupo
Volaris.
7.1.8.1. Privacidad respecto al Servicio
El servicio de correo electrónico que incluye hardware, software y datos o mensajes

creados, enviados, recibidos o almacenados, son y serán en todo momento propiedad de
Grupo Volaris.
Por lo anterior, Volaris se reserva el derecho de obtener y revisar en cualquier momento

los mensajes enviados o recibidos en el sistema, con la finalidad de supervisar su uso
adecuado.

INFORMACIÓN
7.1.8.2. Uso Autorizado y responsabilidades del servicio de correo

electrónico.
a. El servicio de correo electrónico debe ser utilizado para las necesidades propias
del negocio de Grupo Volaris, por lo que el uso sólo será el envío/recepción de
mensajes a embajadores o terceros, para los clientes, proveedores y entidades
externas con las cuales Grupo Volaris tiene relación contractual o una relación
directa o indirecta.
b. Grupo Volaris autoriza el uso del correo electrónico corporativo para el envío
limitado de información personal a cuentas personales de correo electrónico de
los embajadores, el envío se limita a comprobantes financieros, pagos de
servicios, pagos al gobierno, esta actividad solo es permitida si es de procedencia
licita regido bajo las leyes locales, nacionales de México e internacionales.
c. En caso de enviar archivos adjuntos con información confidencial o de datos

personales a través del correo electrónico corporativo, el “asunto” del mensaje
debe contener la leyenda “Confidencial” seguido del asunto y los archivos
adjuntos deben tener mecanismos de protección de los archivos como cifrado o
por medio de una contraseña, misma que deberá enviarse a los destinatarios en
un correo nuevo u cualquier otro medio, el envío de esta información debe ser
solamente la relacionada a su ámbito de responsabilidad o para algún servicio con
terceros que se encuentra amparado bajo una relación contractual.
d. Todos los embajadores tienen la obligación de almacenar electrónicamente todo

mensaje e Información enviada y recibida; necesaria para la documentación de
sus actividades.
e. El acceso se hace por medio de un identificador de usuario y contraseña, la cual

es personal e intransferible, ya que en caso de ser usada con dolo por personal
no autorizado tanto el infractor como la persona cuyo identificador fue usado sin
autorización serán sujetos a las sanciones que sean establecidas por Grupo
Volaris.
f. En caso de que el embajador o tercero haga mal uso del correo electrónico, el
embajador puede hacerse acreedor a una sanción.
g. Grupo Volaris se reserva el derecho a efectuar auditorias sobre el uso adecuado

del correo electrónico. Esta revisión, en ningún momento viola derecho laboral o
personal alguno ya que el propósito fundamental del servicio de correo electrónico
es manejar sólo asuntos relacionados con las actividades requeridas por las
funciones propias del negocio de Grupo Volaris.
h. Es responsabilidad del embajador o tercero que en caso de que detecte cualquier

evento sospechoso, correos no solicitados incluso si son de procedencia interna,

INFORMACIÓN
correos no solicitados con ligas o URL a internet o con archivo adjunto no abrirlo
y reportarlo inmediata al correo infosec@volaris.com .
i. Todo mensaje de correo electrónico del embajador o tercero debe incluir una firma
en el cuerpo del mensaje de correo electrónico que por lo menos indique nombre,
puesto y teléfono de contacto.
7.1.8.3. Aviso de Confidencialidad y privacidad en los correos enviados por

Volaris.
Cada envío de correo debe contener un servicio de confidencialidad mismo que será
provisto en automático por la Dirección de TI. El mensaje de confidencialidad debe ser el
siguiente:
Este correo y sus archivos adjuntos pueden contener información confidencial y/o
privilegiada. Si usted no es el destinatario o ha recibido este e-mail por error, por favor,
notifíqueselo a la persona que figura como remitente y proceda a eliminarlo. Toda copia,
revisión o divulgación no autorizada del material que contiene este e-mail queda
totalmente prohibida.
Protección de datos personales. En Volaris cumplimos con la Ley Federal de Protección

de Datos Personales en Posesión de los Particulares. Le invitamos a consultar nuestro
Aviso de Privacidad en la página www.volaris.com
Notice of Confidentiality This e-mail and its attachments may contain confidential and/or
privileged information. If you are not the intended recipient (or have received this e-mail
by error) please notify the sender immediately and delete this e-mail. Any unauthorized
copying, disclosure or distribution of the material in this e-mail is strictly forbidden.
Personal Data Safeguarding. In Volaris we comply the dispositions of the Federal Law for
the Protection of Personal Data in Possession of Private Individuals. We invite you to
consult our Privacy Policy on our website www.volaris.com
7.1.8.4. Actividades no autorizadas en el uso del servicio de correo

electrónico.
No está permitido para todo embajador o tercero:

a. Leer correos electrónicos dirigidos a otra persona.
b. Enviar mensajes bajo el nombre de otra persona.
c. Enviar información del Grupo Volaris a cuentas de correo destino que no

correspondan con las funciones, responsabilidades o servicios para la que fue
creada.

INFORMACIÓN
d. Enviar información confidencial sin emplear mecanismos de protección de la

información como cifrado, que permitan asegurar que únicamente el destinatario
pueda tener acceso a la misma.
e. Emplear el correo electrónico para el envío de programas que puedan destruir o

dañar la integridad de datos o software en los sistemas de los destinatarios
f. Realizar y enviar copias ilegales de material con derechos autor.
g. Compartir cuentas (usuario y contraseñas) de correo que tienes bajo tu

responsabilidad con nadie fuera de sus funciones ya sea embajador, tercero
incluso personal de soporte de TI, con ningún a los sistemas de Grupo Volaris.
h. Enviar o recibir archivos de imágenes, vídeo o audio que no sean necesarios para
llevar a cabo las funciones y responsabilidades relacionadas a Grupo Volaris.
i. Iniciar o continuar cadenas de correo electrónico, esto es, mensajes invitando al

destinatario a renviar el documento a otras personas distintas a la lista inicial de
destinatarios.
j. Enviar correo electrónico a personas con las que no se tiene contemplado tener
una relación de negocio con Grupo Volaris.
k. Enviar Información anónimamente o bajo un seudónimo.
l. Emplear el correo electrónico para realizar alguna actividad ilegal regulado bajo
leyes locales, nacionales de México o Internacionales.
m. Enviar mensajes que puedan resultar ofensivos al destinatario de acuerdo a su

edad, orientación sexual, creencias políticas o religiosas, raza, nacionalidad y
todos aquellos mensajes cuyo contenido y finalidad no hayan sido explícitamente
autorizados por sus funciones.
n. Abrir correos electrónicos que contengan ligas o URL a internet y/o archivos
anexos que provenga de personas o instituciones que no tengan relación con las
funciones del embajador o incluso con el negocio de Grupo Volaris.
o. Queda prohibido falsear, esconder, suprimir o sustituir la identidad de un usuario

de correo electrónico.
p. Queda prohibido interceptar, revelar o ayudar a terceros a interceptar o revelar los

correos electrónicos.
q. Utilizar servicios de correo electrónico gratuitos vía web, para uso personal en la
red interna de Grupo Volaris;

INFORMACIÓN
r. Enviar o recibir información de Grupo Volaris a o desde cuentas de correo

electrónico gratuitos como son Gmail, Hotmail, Outlook, yahoo u otras cuentas
que no tienen nada que ver con el negocio de Volaris.
s. Hacer uso del correo electrónico corporativo para recibir información de carácter
personal.
t. Transmitir material con derechos reservados o información confidencial

perteneciente al Grupo Volaris sin autorización o que no corresponden con sus
funciones o ámbito de responsabilidad.
u. Transmitir o divulgar de forma pública información confidencial o interna de Grupo

Volaris, datos personales de clientes o embajadores a menos que sea autorizado
por el ámbito de sus funciones y responsabilidades.
v. Participar en diseminar o recibir con consentimiento, información ofensiva,

acosante, fraudulenta, ilegal de acuerdo a las leyes locales y nacionales de
México o Internacional, o con contenido sexual, esto incluye bromas y caricaturas
ofensivas.
7.1.9. Uso aceptable del servicio de internet corporativo provisto por Grupo
Volaris.
7.1.9.1. Actividades permitidas y responsabilidades en el uso de internet.
a. El servicio de internet debe ser utilizado para las necesidades propias del negocio
de Grupo Volaris, por lo que el uso sólo será exclusivo para el desarrollo de las
funciones y responsabilidades de cada embajador o tercero.
b. La infraestructura que provee el servicio de internet es y será en todo momento

propiedad de Grupo Volaris, como tal, tiene el derecho de inspeccionar los
registros de los sitios de internet visitados por los embajadores y terceros, así
como de la Información que se envía u obtiene a través de Internet.
c. Grupo Volaris empleará mecanismos que considere convenientes para evitar el

acceso a sitios de Internet que a su juicio son ajenos al negocio o representan un
riesgo de fuga de información, acceso no autorizado hacia o desde la red interna
o daño potencial a los sistemas.
d. En todas las operaciones de negocio autorizadas a través de Internet debe

emplearse los datos reales de la persona que se encuentre realizando la
operación. Estos datos, incluyen el nombre del usuario, cuenta de correo
electrónico y la empresa. Está prohibida cualquier actividad anónima utilizando el
servicio de internet que Grupo Volaris provee.

INFORMACIÓN
e. Los embajadores y terceros deben hacer uso de los sitios de almacenamiento en

internet e intercambio de información autorizados por Grupo Volaris a través de la
Dirección de TI.
f. Todos los embajadores de Grupo Volaris son responsables de proteger la

integridad y confidencialidad de la Información, asegurándose que ésta no sea
utilizada, alterada y/o publicada a personal no autorizado, sea de forma intencional
o accidental.
g. El embajador en sus búsquedas en internet debe validar el sitio donde se va a

conectar para prevenir la conexión a paginas falsas, la conexión con sitios en
internet debe ser relacionada con la búsqueda, por ejemplo, si busca datos
financieros las fuentes deben ser instituciones financieras, búsqueda de
tecnología debe ser sitios de proveedores de tecnología reconocidos, etc.
h. Grupo Volaris autoriza el uso personal de forma limitada del internet corporativo,
de forma limitada significa que solamente se permite el uso de internet para fines
personales para los siguientes casos: Realizar transacciones financieras, pagos
de servicios, pagos y trámites al gobierno, la actividad personal solo es permitida
si el uso personal es con fines lícitos bajo las leyes locales, nacionales de México
e internacionales aplicables.
i. Grupo Volaris se reserva el derecho a efectuar revisiones sobre el uso adecuado

de internet. Esta revisión, en ningún momento viola derecho laboral o personal
alguno ya que el propósito fundamental del servicio de internet es manejar sólo
asuntos relacionados con las actividades requeridas por las funciones propias del
negocio.
j. Los embajadores que violen los lineamientos del presente documento serán
acreedores a una sanción de acuerdo con lo que estipule Grupo Volaris.
k. Es responsabilidad del usuario reportar cualquier evento sospechoso o adverso

que detecten en el uso de internet y de los servicios expuestos en la infraestructura
de Grupo Volaris a infosec@volaris.com.
7.1.9.2. Actividades no permitidas en el uso del servicio de Internet provisto

por Volaris.
No está permitido a los embajadores y terceros los siguientes puntos en la navegación

web:
a. Abusar del derecho de acceso al servicio de internet por periodos prolongados

que no sean justificados por sus funciones y ámbito de responsabilidad.

INFORMACIÓN
b. Acceder a sitios de internet sospechosos, de mala reputación, reportados como

comprometidos.
c. Ingresar a sitios de públicos de alojamiento gratuito de descarga y reproducción

de distintos tipos de archivos, software, audio, video, así como sitios punto a punto
(peer-to-peer) y descargas BitTorrent.
d. Acceder a sitios de hackers, o que atenten en contra de la seguridad de los

sistemas y de la información.
e. Usar el internet para el envío o recepción de mensajes y/o el uso de servicios para
fines personales, como correo electrónico web, redes sociales a menos que estén
sustentadas por el ámbito de sus responsabilidades y funciones dentro del Grupo
Volaris.
f. Utilizar servicios de almacenamiento externo en la nube no autorizados por Grupo

Volaris a través de su Dirección de TI, para almacenar Información de uso interno
y/o confidencial.
g. Ver, tener acceso o bajar Información de contenido sexual explícito y en general

de cualquier material inapropiado u ofensivo.
h. Obtener información y/o material de sitios de internet no confiables y cuyo

contenido no esté directamente relacionado con el ámbito de sus funciones y
responsabilidades dentro del Grupo Volaris.
i. Alterar sus derechos de acceso a internet, infiltrarse o tener acceso a Información

no autorizada en la red Interna, extranet o en Internet. La habilidad, para leer,
alterar o copiar páginas de sitios en Internet no implica que tenga la autorización
para realizar dichas actividades.
j. Participar en actividades de piratería haciendo uso de los recursos de internet de

Grupo Volaris.
k. Utilizar servicios de streaming a menos que sea justificado por el ámbito de sus
funciones y responsabilidades dentro del Grupo Volaris.
l. Descargar y utilizar anonimizadores para evadir controles de seguridad en el uso

de internet provisto por Grupo Volaris.
m. Participar en sitios de la Dark web o Deep web por medio del servicio de internet
de Grupo Volaris.
n. Realizar conexiones a internet peer to peer no autorizadas por la Dirección de TI

para el intercambio de información de Grupo Volaris.

INFORMACIÓN
o. Realizar cualquier actividad ilícita, que denigre personas, que violente la

privacidad, de reputación cuestionable como sitios de pornografía, entre muchos
otros de acuerdo con las leyes locales, nacionales de México e internacionales, el
embajador o persona externa que realice este tipo de actividades.
8. Administración de Medios.
8.1. Administración de Dispositivos de Almacenamiento externos o
removibles.
a. No está permitido el uso de dispositivos de almacenamiento externo (USB, HD,

etc.) excepto para aquellos embajadores que por sus funciones este
completamente justificado, en dicho caso los embajadores no podrán hacer uso
de dispositivos personales, éstos se deben solicitar a la Dirección de TI, mismo
que proveerá un dispositivo cifrado que será el único autorizado.
b. Los autorizadores para proveer de dispositivos de almacenamiento externo a los

embajadores que por sus funciones lo requieren, son la Gerencia donde pertenece
el embajador, el Gerente de Seguridad de la Información, Control Interno de TI y
el Gerente de Seguridad de TI.
c. El almacenamiento y transferencia de información al interior de Volaris y con

Clientes y proveedores debe realizarse de la siguiente forma:
• Internamente en Volaris. Mediante el uso de OneDrive Corporativo y/o
Sharepoint.
• Externamente: Mediante el SFTP Corporativo, Correo Electrónico Corporativo
o cualquiera designado por la Dirección de TI.
8.2. Respaldos de Información.
a. Toda información clasificada como confidencial en archivos, bases de datos

deberá ser respaldado en los medios de almacenamiento provistos por la
Dirección de TI.
b. Los embajadores o terceros como dueños de la información son responsables de

solicitar a la Dirección de TI las necesidades de respaldo en base a la clasificación
de su información y a las regulaciones a las que Volaris está sujeto, esta debe
incluir rutas especificas donde radica la información confidencial, la frecuencia de
respaldo y el tiempo de almacenamiento requerido
9. Seguridad de Equipos
9.1. Seguridad de equipos y activos fuera de la organización.
El embajador o tercero deben atender los siguientes requerimientos de seguridad para la
protección de los activos fuera de la organización:

INFORMACIÓN
a. No está permitido el uso de los equipos de cómputo en lugares inseguros o de

alto riesgo de delincuencia.
b. Se debe respaldar la información utilizando sitios de almacenamiento externo

autorizados como OneDrive for business y SharePoint además del SFTP y
FileServer y de cualquier otro sitio de almacenamiento de información autorizado
de Grupo Volaris.
c. Los equipos de cómputo y dispositivos móviles que contengan información de

Volaris serán controlados con mecanismos para el bloqueo remoto y borrado
remoto de información.
d. En caso de que el embajador o tercero sufra un robo de los dispositivos y

tecnología en general provistos por Grupo Volaris, debe reportarlo
inmediatamente a la Dirección de TI mediante el Service Desk, además de
levantar el acta correspondiente ante el ministerio público o entidad de gobierno
responsable, mismo que deberá entregar una copia a la Dirección de TI.
e. En caso de que el embajador o tercero pierda o extravíe los dispositivos y

tecnología en general provistos por Grupo Volaris, debe reportarlos
inmediatamente a la Dirección de TI mediante su Service Desk, además debe
reemplazar el dispositivo asignado en los términos que la Dirección de TI designe
en sus cartas responsivas entregadas a cada embajador.
9.2. Escritorio y pantalla limpia.
Cuando los embajadores se alejen de su lugar de trabajo o terminen sus labores del día,
deben asegurarse de resguardar, de forma segura, la información confidencial y/o de
datos personales física o digital realizando las siguientes acciones:
a. Información física.
• Mantener bajo llave la información en papel o dispositivos de almacenamiento
externos.
• Recoger la información confidencial o de datos personales de las impresoras.
• No escribir contraseñas en sus lugares.
• Mantener bajo llave tokens, tarjetas.
b. Información Digital.
• Mantener bloqueada la sesión cuando se levanten de su lugar de trabajo.
• Mantener cerrada la sesión, bloqueada o apagada cuando se termine su
horario laboral.
10. Control de Acceso.

10.1. Política de Control de Acceso

INFORMACIÓN
En el ámbito tecnológico existen muchas formas de autenticarse y por lo tanto tener

acceso a las diferentes aplicaciones, sistemas, redes sociales, etc., deberán considerar
los mecanismos de control de acceso que se componen de los siguientes puntos:
a. Lo que uno sabe. Este mecanismo de control de acceso se basa en lo que uno
sabe y solo está en la mente de cada quién, por ejemplo: la contraseña, si esta
contraseña se escribe o se comparte con alguien más, el mecanismo pierde el
atributo de seguridad.
b. Lo que uno tiene. Este mecanismo de control de acceso se basa en tener

información que solo la persona puede ver en un dispositivo personal, por ejemplo:
tokens, números por SMS, aplicaciones de autenticación como Microsoft o Google
authenticator, números por correo electrónico.
c. Lo que uno es. Este mecanismo se basa en acceso a los sistemas a través de
atributos biométricos de la personal, por ejemplo: iris, huella, voz, facial.
Cuando un sistema utiliza un doble factor de autenticación es cuando el sistema requiere

más de un mecanismo de control de acceso, por ejemplo: lo que uno sabe (contraseña)
más lo que uno sabe (mensajes SMS) esto incrementa los niveles de confidencialidad de
los sistemas.
Grupo Volaris basa la mayoría de sus accesos en mecanismos basados en usuario y

contraseña, sin embargo, también cuenta con sistemas basados en doble factor de
autenticación o en mecanismos de control de acceso basados en biométricos por lo que
los embajadores son responsables de salvaguardar los mecanismos de control de acceso
y utilizar de forma responsable los mecanismos de control de acceso
10.2. Responsabilidad de los usuarios

10.2.1. Uso de las Identidades (ID) y Contraseñas.
Los embajadores y terceras partes que tengan una cuenta de acceso a los sistemas,
bases de datos, redes y/o aplicaciones, deben dar su consentimiento expreso a través de
una carta responsiva que indique los términos y condiciones de uso de la cuenta
otorgada.
Las Identidades asignadas (usuario y contraseña) son mecanismos de control de acceso

a la red, sistema operativo, base de datos, directorio activo, correo electrónico,
aplicaciones de TI con el que los embajadores o terceras partes, soportan sus funciones
y responsabilidades dentro de Grupo Volaris, si el usuario o contraseña es comprometido
el control pierde los niveles de seguridad requeridos, es por ello que los embajadores y
terceros deben apegarse al siguiente estándar de uso de las identidades y contraseñas:
a. Debe recibir un ID de usuario único dentro de los servicios de TI que incluye red,
sistemas operativos, aplicaciones, etc., dentro del Grupo Volaris.

INFORMACIÓN
b. No está permitido que utilices tu cuenta corporativa como el ID de tu correo

electrónico de Volaris, en el uso de servicios personales como redes sociales,
streaming, foros, etc., por ejemplo, en Facebook darse de alta con el usuario
<id>@volaris.com, a menos que sean servicios autorizados de Grupo Volaris.
c. Debe recibir una contraseña temporal misma que debe ser cambiada por el
embajador o el externo al primer acceso.
d. Las cuentas asignadas (ID y contraseñas) son confidenciales por lo tanto no

deben ser divulgadas en ninguna circunstancia, incluso ni al personal interno de
soporte o Service Desk, si personal de soporte requiere acceso a tu perfil por
motivos de soporte o mantenimiento, el embajador o tercero deberá cambiar
obligatoriamente la contraseña divulgada al personal de soporte.
e. No debe escribir su contraseña en ningún papel, software, a menos que contenga

métodos de almacenamiento seguro como un Password Vault.
f. Cambiar inmediatamente su contraseña si detecta algún indicativo de compromiso

de su contraseña y debe reportarla al correo de infosec@volaris.com .
g. Para construir su contraseña debe tener en cuenta los siguientes lineamientos:

• No utilizar contraseñas de default como, por ejemplo: Volaris, fecha de
nacimiento, número telefónico, mes o año en curso, su nombre, su apellido,
el nombre de usuario, nombre de mascotas, números telefónicos.
• Que sea fácil de recordar.
• Utilizar frases cifradas por ejemplo $3gurid4d.
• No utilizar misma contraseña solo modificando números consecutivos.
• La longitud mínima requerida es de 8 dígitos, sin embargo, es deseable que
construya contraseñas de longitud larga (mayor a 12 dígitos) .
• Utilice por lo menos un número, una mayúscula, una minúscula y un carácter
especial (#$%&/()=.,,etc.)
h. No utilizar la misma contraseña de su ámbito personal con el ámbito laboral.
i. No utilizar la misma contraseña para todos los sistemas del Grupo Volaris.
j. No está permitida la asignación directa de la contraseña por parte del

administrador sin permitir que el embajador la cambie al primer acceso, si esto
sucede, el embajador o tercero debe solicitar el cambio de la misma y enviar un
correo a infosec@volaris.com indicando el incidente
10.2.2. Doble factor de autenticación.

INFORMACIÓN
Los embajadores deben atender los siguientes estándares en caso de alta en sistemas,
que requieran doble factor de autenticación basado en tokens:
a. Proveer un número de celular personal o asignado para recibir la información de

acceso basados la autenticación vía mensajes SMS.
b. Instalar en su teléfono inteligente personal o asignado las aplicaciones que el

sistema solicita para poder configurar correctamente la generación de tokens en
dicha aplicación.
c. No está permitida la configuración de estos métodos en números celulares o

dispositivos inteligentes ajenos al embajador o tercero al cual fue asignado el
acceso.
d. La configuración de los números celulares y dispositivos personales para el

acceso a los sistemas de Grupo Volaris en ningún momento atentará contra la
privacidad del contenido del mismos, en cuanto termine la relación laboral y/o
contractual entre Grupo Volaris y el embajador o tercero, Grupo Volaris será
responsable de eliminar dichos accesos, el embajador o tercero solamente deberá
desinstalar la aplicación si así lo considera.
10.2.3. Mecanismos de acceso biométricos.
Grupo Volaris utiliza los datos biométricos de huella, para controlar el acceso físico a sus
instalaciones corporativas y para algunos sistemas, para ello es importante que el
embajador debe saber:
a. Grupo Volaris es responsable de proteger con mecanismos adecuados de
seguridad los datos biométricos de sus embajadores o terceros.
b. Los datos biométricos están en todo momento resguardados bajo el Aviso de

Privacidad de los embajadores y de los terceros, mismos que son entregados
previo a la adquisición de la huella digital; los embajadores y terceros son
responsables de revisar el Aviso de Privacidad y si está de acuerdo autorizar el
uso de los datos personales mediante su firma autógrafa.
c. La única finalidad con el que se utilizarán sus datos biométricos será para
controlar el acceso físico o a la(s) aplicaciones para robustecer la seguridad de
los activos de Grupo Volaris.
d. Grupo Volaris provee mecanismos para que el embajador o tercero ejerza sus
derechos de acceso, rectificación, cancelación u oposición a sus datos recabados.
e. Grupo Volaris cancela el uso sus datos biométricos en caso de término de la

relación laboral o de contrato con sus embajadores y terceros.

INFORMACIÓN
10.2.4. Áreas seguras de Procesamiento de Información
Grupo Volaris utiliza sistemas de CCTV basadas en cámaras de seguridad dentro de sus
instalaciones con la única finalidad de preservar la seguridad de sus activos, su
información, la integridad física de sus embajadores, clientes y terceros.
11. Comunicaciones Seguras.

11.1. Transferencia de Información.
11.1.1. Transferencia de Información y acuerdos de intercambio de
información.
La información que los embajadores y los terceros generen en todo momento es y será
propiedad del Grupo Volaris, es por ello que el uso, con quien se comparte, debe ser
exclusivamente para poder cumplir con las funciones y responsabilidades que le fueron
asignadas, para cumplirlo es importante que los embajadores cumplan con los siguientes
estándares:
a. Los embajadores solo pueden transferir información tanto interna como

externamente a través de los servicios de TI autorizados proporcionados por la
Dirección de TI.
b. La información bajo la custodia de los embajadores y terceros que se transfiere

internamente solamente puede realizarse mediante los servicios de correo
electrónico empresarial, One drive corporativo, SharePoint corporativo y el
servicio de carpetas compartidas por medio del file server.
c. La transferencia de información a externos solamente se puede realizar por correo

electrónico corporativo, transferencia vía SSH, o los medios previamente
acordados en la relación contractual con el tercero.
d. La información transferida con internos y externos debe ser la mínima

indispensable para el desarrollo de las funciones de los internos o dar
cumplimiento a la relación contractual.
e. La información que los embajadores transfiera a terceros solamente se puede

realizar para cumplir con los siguientes supuestos:
• Es parte de un servicio con un tercero que se encuentre bajo el amparo de
una relación contractual o un convenio de confidencialidad.
• Es información para entidades regulatorias, entidades gubernamentales y
para cumplimientos de leyes aplicables a Volaris.
• Para atención a clientes de Grupo Volaris.
• Para inversionistas

INFORMACIÓN
f. Los embajadores no tienen permitido realizar las siguientes actividades:

• Utilizar medios no autorizados para la transferencia de información.
• Transferir información a terceros sin contar con un convenio e
confidencialidad o una relación contractual.
• Transferir datos personales de clientes y embajadores sin que este
autorizado.
• Transferir información sin que se encuentre justificado por sus
responsabilidad y funciones.
• Transferir e intercambiar información clasificada como confidencial por medio
de redes sociales, WhatsApp, o cualquier otro medio no autorizado.
11.1.2. Acuerdos de confidencialidad y privacidad.
En los casos que se requiera conceder acceso a terceros a la Información de “uso interno”
o “confidencial”, debe firmarse un “convenio de confidencialidad” y/o de privacidad con la
persona, tercero, previo a la autorización de acceso o entrega de Información de Volaris.
Dicho convenio deberá ser elaborado o revisado por el área jurídica, antes de enviar
cualquier tipo de información, este acuerdo debe incluir los siguientes requerimientos:
a. Clasificación de la información tratada.
b. Duración del acuerdo que por lo menos debe ser de 5 años.
c. La terminación previa del acuerdo de confidencialidad debe ser autorizado por el

área legal del Grupo Volaris.
d. El dueño de la información es responsable de solicitar el acuerdo de

confidencialidad previo al intercambio de información.
e. Mantener acuerdos de manejo de la información de Volaris y mantener registro

del manejo de la información.
f. Notificación a Grupo Volaris en caso de incidente de seguridad o perdida de

información.
g. Términos para el retorno de información y la eliminación segura de información.
h. Notificaciones de acciones a Grupo Volaris en caso de detectar brechas de

seguridad de la información y/o vulneración de datos personales de clientes y/o
embajadores de Grupo Volaris.
12. Relaciones con Terceros.

12.1. Seguridad de la Información en la relación con proveedores.

INFORMACIÓN
12.2. Políticas de Seguridad de la Información para relación con terceros.
Toda relación con terceros dónde se genere, procese, almacene y destruya información
y las tecnologías de TI asociadas, deben atender los siguientes requerimientos de
seguridad previo a la contratación del servicio:
a. Los embajadores y terceros de las áreas de negocio no están autorizados a

adquirir servicios tecnológicos de forma directa, para ello es responsabilidad del
área de negocio y/o el área de compras involucrar a la Dirección de TI para que
realice el análisis correspondiente de la necesidad de negocio a través de sus
procesos internos y con ello garantizar que la adquisición de un servicio cubra
todas las necesidades del requerimiento del negocio, de seguridad, de
funcionalidad, de capacidad y de mantenimiento del servicio de TI requerido.
b. La adquisición de servicios y/o transferencias de información entre terceros y

Grupo Volaris solo puede ejecutarse si previamente existen acuerdos de
confidencialidad, verificación técnica de la capacidad (DDQ) de seguridad de la
información y protección de datos personales y un contrato de prestación de
servicios (éste último si aplica de acuerdo con las políticas del área legal para el
tema de contratos).
c. Los embajadores y terceros de las áreas de negocio de Grupo Volaris deben

solicitar a la Gerencia de Seguridad de la Información previo a la contratación, que
realice un análisis de viabilidad del servicio de acuerdo con los niveles y prácticas
de Seguridad y de protección de datos personales.
d. Si las áreas de negocio incumplen las políticas de seguridad para la relación con
terceros, el servicio no puede ser contratado ni pagado por Grupo Volaris al
tercero, adicionalmente los responsables de la adquisición de las áreas de
negocio serán sancionadas de acuerdo al reglamento interior de trabajo de Grupo
Volaris.
13. Gestión de incidentes de seguridad.

13.1. Administración de Incidentes de Seguridad y Mejoras.
13.1.1. Procedimientos y Responsabilidades.
a. Los embajadores y terceros de Grupo Volaris son responsables de reportar

cualquier tipo de incidente de seguridad que detecten dentro de su ámbito de
trabajo, para garantizar una respuesta efectiva ante un evento adverso, para esto,
se debe generar cultura para que los embajadores estén conscientes y puedan
reaccionar adecuadamente para la atención de incidentes de seguridad.
13.1.2. Reporte de eventos de Seguridad de la Información.

INFORMACIÓN
Los incidentes de seguridad deberán ser reportados oportunamente a través de los

canales autorizados por la organización como Service Desk y la cuenta de correo
infosec@volaris.com .
Por lo menos, los siguientes eventos de Seguridad de la Información deberán ser

reportados como un incidente de seguridad o vulneración de datos personales:
a. Control de Seguridad ineficaz.
b. Brechas o robo de la Información.
c. Daño a la información accidental o intencional.
d. No cumplimiento a políticas de seguridad de la información o regulaciones.
e. Brechas de Seguridad Física.
f. Malfuncionamiento de software o hardware de los sistemas que tiene bajo su

responsabilidad el embajador o tercero.
g. Correos maliciosos o sospechosos.
h. Accesos no autorizados por embajadores o terceros.
i. Vulneración de Datos Personales (Fuga, mal uso, daño, divulgación no

autorizada)
14. Cumplimiento.
14.1. Cumplimiento en los requerimientos legales y contractuales.
14.1.1. Derechos de propiedad intelectual
Todo aquello que desarrollen, inventen, creen, descubran, mejoren y/o modifiquen
durante la prestación de sus servicios en Volaris o de cualquier empresa que forme parte
del grupo empresarial de esta, será propiedad de Volaris.
Por lo que, Grupo Volaris será la propietaria y autora material de cualquier derecho en
materia de Propiedad Intelectual, entendiendo este como cualquier derecho conferido en
la Ley del Derecho de Autor y la Ley de Propiedad Industrial, por lo que Grupo Volaris,
podrá en cualquier momento accesar, modificar, implementar, encender, aplicar,
enajenar, arrendar, licenciar, destruir, limitar el uso, acceso, implementación y aplicación
del mismo, así como velar por la conservación y bienestar del invento, creación,
modificación, alteración, mejora o eliminación.

INFORMACIÓN
La reproducción, envío o publicación en cualquier forma de información, gráfica u otro

material obtenido de Internet u otro medio debe ser con el permiso del autor de dicha
información.
Cuando se emplee información obtenida de Internet en documentos internos o sea

empleada para otros propósitos, se deberá consultar al área jurídica si se requiere
especificar si la información tiene “derechos reservados” o en su caso la fuente de donde
se obtuvo y si es posible la fecha en que fue publicada dicha información, previo a la
publicación respectiva.
Grupo Volaris tiene la facultad de supervisar toda aquella información, documentación,

proyectos, desarrollos, creaciones, alteraciones, arreglos, actualizaciones, mejoras, así
como, acceder en cualquier momento a cualquier mensaje de datos, archivo, sistema,
correo electrónico, conversación, chat, noticia, documento, que haya sido transmitida por
la red de Grupo Volaris, considerándose dicha información en todo momento propiedad
de ésta última
14.1.2. Privacidad y protección Información de Datos Personales.
Se debe establecer un Sistema de Gestión para la protección de datos personales de

Volaris
Se deberá contar con un Manual de Políticas de Protección de Datos Personales que

contemple las políticas necesarias para la protección de los datos personales en Volaris.
En caso de que se requiera generar y firmar un aviso de privacidad con el externo,

el dueño del área de negocio será responsable de la gestión y custodia de dicha
información.
Los avisos de privacidad deberán tener el visto bueno del área Jurídica del Grupo
Volaris y deberá estar apegadas a las leyes y regulaciones del país que lo
determine.
15. Vigencia y Actualización

Este documento será válido a partir de su fecha de emisión hasta que exista una
actualización al presente.
La actualización de este documento se realizará conforme lo menciona la política POL-

COR-CIN-01 Lineamientos para la Elaboración o Actualización de Manuales, Políticas,
Procedimientos y Formatos

Estandares Seguridad Informacion

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Estandares Seguridad Informacion

Cargado por

Copyright:

Formatos disponibles

FECHA 11/03/2019 POLITICA

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

VERSIÓN FECHA DESCRIPCION DE LOS CAMBIOS

Responsabilidades del documento

Es responsabilidad del dueño del proceso el asegurarse de la administración,

El presente, se conforma de los siguientes involucrados:

Para las empresas Volaris México y Centroamérica

Director responsable: Dirección Corporativa de Control y Cumplimiento

Dueño del Proceso: Gerente de Seguridad de la Información

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

a. Establecer un código de práctica que funcione como guía para la implementación

b. Establecer las métricas necesarias para medir el nivel de madurez en el

c. Promover el cumplimiento de las Política de Seguridad de la Información con los

El presente documento de estándares de Seguridad de la Información está dirigida a

Confidencialidad: Prevenir la divulgación de información a personas o sistemas no

Control de Acceso: Es la autenticación y autorización de un usuario el cual, por medio

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

Disponibilidad: La disponibilidad es la característica de la información de encontrarse a

Dispositivos Móviles: Equipo de tamaño compacto con capacidades de procesamiento,

Embajadores: Identifica a un individuo que hace uso de los activos de la organización,

Incidente de Seguridad: Cualquier evento que represente un riesgo para la adecuada

Integridad: Mantener los datos libres de modificaciones no autorizadas.

Seguridad de la Información: Es la implementación de medidas preventivas, correctivas

Servicio de Streming: es la distribución digital de contenido multimedia (escuchar

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

5. Política de Seguridad de la Información.

Ser un habilitador de los negocios de Volaris a través de preservar la confidencialidad,

Para lograr la implementación de las políticas, Grupo Volaris ha desarrollado estándares

6. Seguridad en los embajadores.

a. Participar de manera obligatoria en los cursos de concientización en temas de

b. Proteger y clasificar adecuadamente su información de acuerdo con la Política y

c. Cumplir las políticas y estándares de seguridad de la información aplicables de

d. Cumplir, actualizar y mantener registros del seguimiento de sus procedimientos y

e. Hacer uso adecuado de las tecnologías de información que son responsables.

f. No compartir contraseñas en ninguna circunstancia.

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

h. Reportar de acuerdo con el proceso de administración de incidentes de seguridad

i. No compartir por ningún medio (físico o electrónico) ya sea de forma personal o

6.1.2. Formación y Capacitación del embajador en Materia de Seguridad

a. Asistir de forma obligatoria a las sesiones presenciales de seguridad de la

b. Atender de forma obligatoria el e-learning de seguridad de la información en los

c. Atender los comunicados de Seguridad de la Información enviados vía correo

e. El programa de capacitación en materia de seguridad de la información es un

f. Es responsabilidad de los embajadores de aplicar la cultura de seguridad de la

g. Es responsabilidad de los embajadores reportar a cualquier incidente de seguridad

Cualquier incumplimiento a las políticas y estándares de seguridad en materia de

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

6.1.3. Proceso disciplinario

6.1.4. Al término de la Contratación

a. Realizar una entrega formal de la información bajo su responsabilidad a su líder,

c. No realizar copia de información propiedad de Grupo Volaris ya que podrá incurrir

d. El embajador, bajo ninguna circunstancia, debe acceder a los sistemas y servicios

a. Usuario de la Información. Son los autorizados por el propietario de la Información

b. Custodio de la Información. Son los designados por el propietario de la

c. Propietario de la Información. Son los directores de área donde se crea la

CODIGO POL-COR-GSI-02 Estándares de Seguridad de la Información

Para dar cumplimiento en la protección de datos personales aplicables donde Grupo

a. Responsable. Persona física o moral de carácter privado que decide sobre el

7.1.2. Uso Aceptable de los Activos

Para proteger adecuadamente la Información, el propietario con apoyo de los

b. De uso interno. Es información cuyo objetivo es apoyar a los embajadores y