Introduzione e scopo

Per la protezione e il corretto utilizzo delle informazioni, il Gruppo UAX stabilisce la linea guida che ogni entità del Gruppo UAX implementi un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) basato sullo standard ISO 27001.

L'ISMS fornisce un quadro di riferimento per garantire l'uso appropriato delle informazioni e la gestione sicura dei processi, promuovendo il miglioramento continuo e assicurando la conformità ai requisiti legali, normativi e contrattuali applicabili.

La presente Politica rappresenta la base dell'ISMS e definisce i principi, le regole e le procedure essenziali per la sicurezza delle informazioni all'interno del Gruppo UAX, con l'obiettivo di preservare la riservatezza, l'integrità, la disponibilità e la tracciabilità delle informazioni.

I requisiti stabiliti nella presente Politica rappresentano il minimo richiesto; tuttavia, ogni entità del Gruppo UAX può sviluppare una politica più dettagliata o avanzata, in base alle proprie esigenze e al proprio livello di maturità nella sicurezza delle informazioni.

2. Obiettivo

L'obiettivo della presente Politica è quello di stabilire i principi e le regole di base per la gestione della sicurezza delle informazioni, garantendo:

• Riservatezza: accesso esclusivo ai sistemi e agli asset contenenti informazioni aziendali solo alle persone autorizzate, garantendo adeguati meccanismi di controllo.
• Integrità: accuratezza e affidabilità delle informazioni, evitando alterazioni non autorizzate mediante controlli, nonché registrazioni di audit che consentano di dimostrare e supervisionare la corretta gestione delle informazioni.
• Disponibilità: informazioni accessibili agli utenti autorizzati quando richiesto.
• Conformità legale: allineamento alla legislazione vigente in ogni momento, compresa la protezione dei dati personali.
• Miglioramento continuo: valutazione e aggiornamento periodico delle politiche, delle procedure e dei controlli per adattarsi a nuove minacce, cambiamenti organizzativi, tecnologici o normativi.

La Direzione del Gruppo UAX si assume l'impegno di sostenere l'attuazione delle misure organizzative, tecniche e di controllo necessarie per conformarsi a questa politica.

3. Ambito di applicazione

Questa politica si applica a:

• Tutti i dipendenti, i fornitori e i terzi del Gruppo UAX che trattano informazioni del Gruppo UAX.
• Tutti i sistemi, i dispositivi e le risorse informative, interne o esterne, che elaborano i dati del Gruppo UAX.

Ai fini della Politica, per "Gruppo UAX" si intendono tutte le entità che fanno parte, ai sensi dell'articolo 42 del Codice di Commercio, del gruppo di aziende la cui società madre è Guadarrama Proyectos Educativos, S.L.

4. Principi di sicurezza delle informazioni

• Impegno dell'organizzazione: l'intera comunità del Gruppo UAX deve impegnarsi per la sicurezza delle informazioni.
• Sicurezza integrata: la sicurezza deve essere considerata in tutti i processi, sistemi e attività del Gruppo UAX, compresi i fornitori e i servizi in outsourcing.
• Gestione del rischio: Valutazione continua dei rischi utilizzando metodologie riconosciute (ISO 31000, Magerit o COBIT), applicando controlli adeguati e assicurando la registrazione, il trattamento e il follow-up documentati.
• Proporzionalità: applicazione delle misure di sicurezza in base al rischio degli asset.
• Miglioramento continuo: revisione e aggiornamento periodici delle misure e delle procedure di sicurezza.
• Sicurezza by design e by default: considerazione della sicurezza fin dalla concezione di sistemi e processi.
• Responsabilità condivisa: tutti gli utenti devono garantire la sicurezza delle informazioni, attraverso programmi di sensibilizzazione e segnalazione degli incidenti.

5. Ruoli e responsabilità

• Comitato esecutivo: fornisce supporto e leadership nell'implementazione della sicurezza delle informazioni.
• Chief Information Security Officer (CISO): coordina, verifica e documenta la conformità all'ISMS e agli obblighi legali e normativi.
• Responsabile della protezione dei dati (DPO): garantisce la conformità alle normative sulla protezione dei dati personali.
• Utenti: rispettano la politica e segnalano gli incidenti.
• Fornitori e terze parti: assicurano la conformità ai requisiti di sicurezza e alle normative applicabili attraverso contratti, clausole di riservatezza e accordi specifici, garantendo il rispetto degli standard di sicurezza del Gruppo UAX.
• Comitato per la sicurezza delle informazioni: Guidare, supervisionare e coordinare tutte le attività relative all'ISMS all'interno dell'organizzazione.

Gestione del rischio

L'analisi e la gestione dei rischi sono un asse fondamentale dell'ISMS. Devono essere adottate metodologie di riconosciuto prestigio o ampiamente accettate dal mercato, come ISO 31000, Magerit e COBIT,

Tutti i rischi devono essere registrati, valutati, affrontati e documentati, compresi i criteri di accettazione, le parti responsabili e le prove di follow-up.

La revisione dell'analisi dei rischi deve essere effettuata almeno una volta all'anno o in caso di incidenti gravi o di cambiamenti significativi nei sistemi informativi.

7. Formazione e sensibilizzazione

Il Gruppo UAX implementa un programma di formazione e sensibilizzazione sulla sicurezza delle informazioni per i dipendenti e i terzi che hanno accesso a informazioni critiche.

I registri delle presenze, dei contenuti e delle valutazioni saranno conservati per garantire la conformità e l'efficacia.

8. Manutenzione e revisione della politica

La politica deve essere rivista annualmente dal CISO e ogni volta che si verificano modifiche normative o tecnologiche o incidenti rilevanti.

Tutte le revisioni devono essere documentate, indicando la data, le parti responsabili e le modifiche apportate per mantenere le prove di audit.

9. Conformità e sanzioni

La mancata osservanza di questa politica può comportare sanzioni disciplinari, contrattuali o legali a seconda della gravità della violazione.

Le sanzioni saranno applicate secondo procedure documentate, garantendo la proporzionalità e le prove per gli audit esterni e interni.

10. Approvazione, distribuzione e aggiornamento

La presente Politica è stata approvata dal Consiglio di Amministrazione di Guadarrama Proyectos Educativos nella riunione del 3 marzo 2026 ed entra in vigore dal momento della sua approvazione.

Questa Politica è un documento facilmente accessibile a tutti i membri del Gruppo UAX, disponibile in qualsiasi momento attraverso il portale dei dipendenti, nella sezione documentazione aziendale. Inoltre, sarà inviata via e-mail almeno una volta all'anno e in caso di aggiornamenti.

Il CISO garantirà la corretta applicazione della Politica, monitorandola annualmente ed effettuando le necessarie revisioni e aggiornamenti.