CUSTOMER AREA

Corporate Policies and ESGs

Corporate Policies and ESGs

Governance, compliance and integrity guidelines

Conduct, decisions and controls

COMPANY POLICIES

Grupo Flipper Policies establish governance guidelines that direct conduct, decisions, and controls to ensure legal compliance, integrity, operational continuity, and excellence in service delivery. They apply to all Employees, Directors, interns, third parties, partners, and suppliers when acting on behalf of Grupo Flipper, on company premises or in its digital environments.

These Policies are complementary to the Business Principles – Code of Ethics, Conduct and Relationship with Third Parties, and are broken down into Standards (NOR), Procedures (PRO), Work Instructions (INS), Flows (FLU) and Documents/Templates (DOC). Any exception must be formally justified, recorded and approved by the responsible Directorate, with the knowledge of the Compliance Cell.

Governance Architecture (QSMS-RS+): Quality, Safety, Environment, Health and Social Responsibility, plus Ethics and Conduct, Anti-Corruption, Compliance and Information Security, aligned with the Group's governance model and best market practices (including applicable certification requirements and the AEO Program).

Revisão e melhoria contínua: As Políticas devem ser revisadas, no mínimo, anualmente ou sempre que houver mudança regulatória relevante, incidente material, alteração de processo/sistema, não conformidade recorrente ou risco emergente.

 

Quality policy

Diretriz: Desenvolver soluções logísticas e aduaneiras inovadoras, criativas e aderentes às necessidades do cliente, com foco em previsibilidade, rastreabilidade, agilidade e melhoria contínua.

Evidence: GF Learning Program / Major's Library (training and learning culture) and GF Quality Program (document regularity, indicators, internal audits and process/technology improvements).

 

Environmental Policy

Diretriz: Defender o uso consciente de recursos naturais, incentivar preservação ambiental e sustentabilidade e conduzir operações com clientes e parceiros, promovendo práticas que evitem agressões ao meio ambiente.

Evidence: GF Sustainability Program (awareness, reduction of printing and waste, digitization of processes, recycling, rational use of water and other internal initiatives).

 

Health, Safety and Well-being Policy

Guideline: Promote a safe, healthy, respectful, productive and preventive work environment, in compliance with legal requirements, internal standards and best practices in occupational health, safety and well-being. Maintain programs, controls and actions aimed at preventing occupational risks, promoting physical, mental and emotional health, well-being, quality of life and the continuous improvement of working conditions. Encourage the communication, recording and proper handling of risks, incidents, unsafe conditions, illness situations, emergencies and other occurrences that may affect people’s health, safety or integrity.

Evidence: Integrate health, safety and well-being initiatives into the GF Health and GF Safe & Secure programs, when applicable, ensuring the monitoring of actions, the maintenance of evidence and the continuous pursuit of process and result improvement.

 

Net-Zero Policy

Guideline: Establish environmental management based on transparency and responsibility, periodically monitoring, recording and disclosing emissions, actions taken, progress toward goals and applicable environmental results. Prioritize elimination, reduction and operational efficiency at the source before adopting environmental offset mechanisms. Promote the engagement of employees, suppliers, partners, customers and other stakeholders in the adoption of low‑carbon practices. Encourage innovation, the use of clean technologies, digitalization, reduced travel, process optimization and the conscious use of resources. Ensure traceability through the maintenance of records and evidence that support inventories, indicators, actions, offsets, reports and environmental decisions.

Evidence: Support initiatives aligned with the principles of climate justice, sustainable development, environmental preservation and the generation of collective benefits.

 

Physical and Asset Security Policy

Guideline: Control access to facilities, restricted areas, documents, equipment and asset resources according to each person’s need, role and authorization. Maintain prevention, monitoring and incident response practices related to physical and asset security. Preserve the integrity of employees, visitors, third parties, customers, documents and corporate assets.

Evidence: Integrate physical security with compliance, AEO, risk management, occupational health and safety controls, as well as with business continuity processes.

 

Non-Retaliation and Whistleblower Protection Policy

Guideline: Prohibit any form of retaliation against individuals who make good-faith reports or cooperate with investigation processes. Ensure confidentiality, impartiality, traceability and the protection of personal data related to records and investigations. Treat acts of retaliation as serious violations, subject to the application of disciplinary, contractual or legal measures.

Evidence: Foster a safe and trustworthy environment for reporting risks, deviations, irregularities, harassment, discrimination, corruption or any violation of rights.

 

Operational and Supply Chain Security Policy

Guideline: Protect operations, documents, data, cargo, information, suppliers and other interfaces in the supply chain against security risks, fraud, diversion, contamination, violation or misuse. Maintain controls compatible with operational, customs, physical, documentary, technological and third‑party‑related risks. Comply with applicable requirements of AEO, compliance, physical security, information security, risk management and contractual obligations.

Evidence: Record and maintain critical operational evidence that allows proof of the integrity, traceability, proper execution and compliance of processes.

 

Social Responsibility Policy

Diretriz: Promover desenvolvimento sustentável, respeito à diversidade e redução de desigualdades por meio de ações não discriminatórias, informação consciente, capacitação, voluntariado e doações monitoradas.

Evidence: GF People Program and GF Sustainability Fund (monitored fundraising and donations), in addition to social projects supported by the Grupo Flipper.

 

Compliance Policy

Diretriz: Orientar e assegurar práticas de ética, conformidade e integridade no relacionamento interno e com terceiros, prevenindo, detectando e corrigindo desvios, com registros e rastreabilidade.

Evidence: Business principles, training, periodic communications, and supporting documentation for routines (standards, procedures, and records).

 

Anti-Corruption Policy

Diretriz: Manter tolerância zero a suborno, corrupção e qualquer vantagem indevida, em âmbito público ou privado, nacional ou internacional, incluindo oferta, solicitação, promessa, autorização ou recebimento.

Evidências: Cláusulas anticorrupção em contratos, termo de compromisso com terceiros, treinamentos e investigações internas quando aplicável, com medidas disciplinares proporcionais.

 

Physical Access Control Policy

Diretriz: Manter regras claras de acesso e circulação nas dependências da empresa para colaboradores e terceiros, priorizando segurança, integridade patrimonial e proteção de informações.

Evidências: Controle biométrico/senhas conforme áreas, recepção com atendimento assistido, e monitoramento contínuo por CFTV (Circuito Fechado de Televisão) com guarda de imagens em prazo definido em norma interna.

 

Data Control and Access Policy

Diretriz: Assegurar que acesso a dados e sistemas seja concedido pelo princípio do menor privilégio, em conformidade com Fichas de Pré-Requisitos (FPR), funções exercidas e necessidade de negócio.

Controles mínimos: Verticalização de acessos por setor/subdiretório; criação e revogação de acessos no processo de admissão/rescisão; logs e rastreabilidade em sistemas; regras de uso de e-mail corporativo; e adequação à LGPD e compromissos de Segurança, Ética, Conformidade e Prevenção à Corrupção.

 

Governance, Risk Management and Internal Controls (ERM) Policy

Diretriz: Identificar, avaliar, tratar e monitorar riscos (estratégicos, operacionais, financeiros, compliance, segurança e TI) com tolerância ao risco definida, segregação de funções, controles-chave e reporte periódico ao Conselho Administrativo.

Evidence: OEA Committee/Risk Management, risk map, critical indicators (KRIs/KPIs), internal audits, and action plan with assigned responsibilities and deadlines.

 

Business Continuity, Disaster Recovery and Crisis Management (BCP/DRP) Policy

Diretriz: Assegurar resiliência do atendimento ao cliente e preservação de operações críticas diante de incidentes (falhas de sistema, indisponibilidade de instalações, eventos climáticos, incidentes cibernéticos, crises reputacionais).

Evidências: Plano BCP/DRP (Business Continuity Plan and Disaster Recovery Plan) with RTO/POR (Recovery Time Objective and Recovery Point Objective), periodic testing, a communication chain, and a crisis roadmap with spokespeople and approvals.

 

Document Management, Retention and Confidentiality Policy

Diretriz: Definir classificação, prazos de guarda, confidencialidade, descarte seguro e rastreabilidade de documentos físicos e digitais, incluindo registros de operações e evidências de conformidade.

Evidências: Matriz de retenção, padrão de nomenclatura, trilha de auditoria e controles de acesso, alinhados às exigências legais e a requisitos de clientes/órgãos anuentes quando aplicável.

 

Information Security Policy (ISP) and Privacy

Diretriz: Proteger confidencialidade, integridade e disponibilidade das informações do Grupo Flipper e de seus clientes/terceiros, prevenindo vazamentos, indisponibilidades e usos indevidos.

Minimum scope: Identity and Access Management (IAM), passwords and MFA (Multi-Factor Authentication), information classification, devices and media, backups, logs and incident response, in addition to privacy guidelines (LGPD).

 

Identity and Access Management (IAM) Policy

Diretriz: Padronizar criação, alteração, revisão periódica e revogação de acessos; adotar privilégio mínimo; segregar perfis críticos; e assegurar desligamento lógico imediato no offboarding.

Evidências: Revisões trimestrais/semestrais de acessos, aprovação por gestor, e trilha de auditoria mantida pela Célula TI.

 

Password and Authentication Policy (MFA)

Diretriz: Estabelecer regras objetivas para senhas e autenticação forte (MFA) em sistemas, e-mail e acessos remotos; proibir compartilhamento de credenciais; e adotar bloqueios e tentativas limitadas.

Evidências: Padrão técnico definido pela TI, campanhas de conscientização e auditoria de conformidade.

 

Information Classification and Acceptable Use Policy

Diretriz: Classificar informações (Pública, Interna, Confidencial, Restrita), definir manuseio/compartilhamento e regras de uso aceitável de e-mail, internet, mensageria e dispositivos (incluindo BYOD – Bring Your Own Device – quando e se autorizado).

Evidências: Termo de responsabilidade, treinamentos periódicos e revisão de acessos/compartilhamentos.

 

Backup Policy, Logs, Monitoring and Incident Response

Diretriz: Definir periodicidade e escopo de backups, retenção de logs, monitoramento, tratamento de vulnerabilidades e resposta a incidentes (contensão, erradicação, recuperação, lições aprendidas).

Evidências: Testes de restauração, relatórios de incidentes e pós-incidente, e SLAs internos para atendimento.

 

Sustainable Procurement Policy and Third-Party Management (Due Diligence)

Diretriz: Contratar e manter fornecedores/parceiros com critérios objetivos de qualidade, sustentabilidade, segurança, conformidade e continuidade; priorizar parceiros OEA quando aplicável; e documentar homologação e reavaliações.

Evidências: Matriz de homologação e qualificação de terceiros, cláusulas contratuais (LGPD, anticorrupção, segurança) e avaliações periódicas de desempenho/SLA.

Contract Management Policy and SLA with Third Parties

Diretriz: Padronizar elaboração, revisão, aprovação, guarda e gestão de contratos; definir SLAs (Service Level Agreement | Acordo de Nível de Serviço) e responsabilidades; e tratar não conformidades e penalidades com rastreabilidade.

Evidências: Repositório contratual controlado, workflow de aprovações e registro de aditivos e renovações.

 

People Policy: Human Rights, Diversity, Harassment and Training

Diretriz: Assegurar ambiente de trabalho digno, seguro, inclusivo e de alta performance, com tolerância zero a assédio, discriminação e retaliação; e garantir capacitação para funções críticas (incluindo OEA, segurança da informação e compliance).

Evidências: Códigos e normas internas, canal de reporte, processos de apuração, e trilhas obrigatórias de treinamento com registros.