Informazioni istituzionaliCorporate information
SicurezzaSecurity
Panoramica enterprise delle misure e delle responsabilità di sicurezza relative al sito pubblico e all’area riservata SGSI Portal, con attenzione a dati, documenti, allegati e accessi.Enterprise overview of security measures and responsibilities relating to the SGSI Portal public website and reserved area, focusing on data, documents, attachments and access.
Ultimo aggiornamento: 10 maggio 2026Last updated: 10 May 2026
Approccio di sicurezzaSecurity approach
SGSI Portal è un ambiente digitale dedicato alla gestione di informazioni organizzative, documentali e operative relative al Sistema di Gestione della Sicurezza delle Informazioni. Il sito pubblico e l’area riservata sono progettati con una separazione funzionale: la root pubblica informa, mentre /portal gestisce processi applicativi e dati autenticati.SGSI Portal is a digital environment dedicated to managing organisational, documentary and operational information related to the Information Security Management System. The public website and reserved area are designed with functional separation: the public root informs, while /portal manages application processes and authenticated data.
L’approccio è ispirato a principi di difesa in profondità, minimizzazione della superficie esposta, controllo degli accessi, logging, gestione degli allegati e protezione dei dati in transito.The approach is inspired by defence-in-depth, minimisation of exposed surface, access control, logging, attachment management and protection of data in transit.
Riferimenti e contesto normativoReferences and regulatory context
La pagina tiene conto di principi coerenti con ISO/IEC 27001, GDPR, Direttiva (UE) 2022/2555 (NIS 2), buone pratiche OWASP e criteri generali di sicurezza applicativa per servizi web. Non costituisce una dichiarazione di certificazione, ma una descrizione delle linee di presidio del servizio.This page takes into account principles consistent with ISO/IEC 27001, GDPR, Directive (EU) 2022/2555 (NIS 2), OWASP best practices and general application security criteria for web services. It is not a certification statement, but a description of the service’s security lines.
Le misure specifiche possono variare in base al piano, alla configurazione, all’ambiente tecnico e agli accordi applicabili.Specific measures may vary depending on the plan, configuration, technical environment and applicable agreements.
Autenticazione e controllo accessiAuthentication and access control
L’area riservata richiede autenticazione. Dove previsto, sono disponibili misure aggiuntive come autenticazione a due fattori, gestione ruoli, separazione tra utenti ordinari, admin e superadmin e controlli di autorizzazione collegati all’organizzazione.The reserved area requires authentication. Where provided, additional measures are available such as two-factor authentication, role management, separation between standard users, admins and superadmins, and authorisation controls linked to the organisation.
Gli utenti sono responsabili della custodia delle credenziali, dell’uso di password robuste, della protezione dei dispositivi e della segnalazione tempestiva di accessi sospetti.Users are responsible for safeguarding credentials, using strong passwords, protecting devices and promptly reporting suspicious access.
Protezione documenti e allegatiProtection of documents and attachments
Documenti, allegati e informazioni aziendali devono essere gestiti in aree protette, accessibili solo tramite percorsi autenticati e controlli di autorizzazione. L’organizzazione deve evitare di caricare dati non pertinenti, eccessivi o non autorizzati.Documents, attachments and company information must be managed in protected areas, accessible only through authenticated paths and authorisation controls. The organisation should avoid uploading irrelevant, excessive or unauthorised data.
Le funzioni di cartelle, descrizioni e classificazione allegati supportano ordine, reperibilità e accountability documentale, ma non sostituiscono policy interne, classificazione delle informazioni e procedure di conservazione dell’organizzazione.Folder, description and attachment classification features support order, retrievability and documentary accountability, but do not replace internal policies, information classification and organisational retention procedures.
Log, eventi sospetti e monitoraggioLogs, suspicious events and monitoring
Per finalità di sicurezza possono essere registrati log tecnici e applicativi relativi ad accessi, errori, tentativi falliti, operazioni amministrative, eventi anomali, indirizzi IP, user agent, data e ora. Tali dati sono usati per prevenire abusi, investigare incidenti e migliorare l’affidabilità.For security purposes, technical and application logs may be recorded regarding access, errors, failed attempts, administrative operations, anomalous events, IP addresses, user agents, date and time. Such data is used to prevent abuse, investigate incidents and improve reliability.
Le attività di monitoraggio devono essere proporzionate e coerenti con finalità di sicurezza, obblighi legali e protezione dei diritti degli utenti.Monitoring activities must be proportionate and consistent with security purposes, legal obligations and protection of users’ rights.
Backup, restore e continuitàBackup, restore and continuity
La gestione di backup e restore è parte essenziale della resilienza. Le procedure devono prevedere separazione dei ruoli, autorizzazioni, conferme multiple per operazioni critiche, conservazione sicura dei backup e test periodici di ripristino.Backup and restore management is an essential part of resilience. Procedures should include role separation, authorisations, multiple confirmations for critical operations, secure backup retention and periodic restore tests.
Il ripristino di database o dati deve essere eseguito solo da personale autorizzato e dopo valutazione dell’impatto su integrità, disponibilità, audit trail e dati caricati dagli utenti.Database or data restore must be performed only by authorised personnel and after assessing the impact on integrity, availability, audit trail and user-uploaded data.
Responsabilità condivisaShared responsibility
La sicurezza di SGSI Portal dipende anche dai comportamenti dell’organizzazione cliente: gestione utenti, revoca tempestiva degli account non più autorizzati, correttezza dei ruoli, protezione endpoint, uso di MFA, classificazione degli allegati e formazione interna.Security of SGSI Portal also depends on customer organisation behaviour: user management, timely revocation of no-longer-authorised accounts, role accuracy, endpoint protection, MFA use, attachment classification and internal training.
UESE fornisce l’ambiente e le misure di protezione applicabili; l’organizzazione mantiene responsabilità sui dati caricati, sull’uso degli account e sulla governance interna.UESE provides the environment and applicable protection measures; the organisation remains responsible for uploaded data, account use and internal governance.
Incidenti, vulnerabilità e contatti urgentiIncidents, vulnerabilities and urgent contacts
In caso di sospetta compromissione, accesso non autorizzato, perdita di credenziali, allegato errato o evento anomalo, l’utente deve contattare UESE con priorità, indicando “Critico” se l’evento riguarda sicurezza, data breach, ransomware, phishing o servizi bloccati.In case of suspected compromise, unauthorised access, credential loss, incorrect attachment or anomalous event, the user should contact UESE as a priority, indicating “Critical” if the event involves security, data breach, ransomware, phishing or blocked services.
Segnalazioni responsabili di vulnerabilità possono essere inviate a info@uese.eu con descrizione tecnica, impatto potenziale, passaggi di riproduzione e recapito del segnalante.Responsible vulnerability reports may be sent to info@uese.eu with technical description, potential impact, reproduction steps and reporter contact details.