ACESSO AOS SISTEMAS CORPORATIVOS
REGULAMENTAÇÃO
RESOLUÇÃO INSS/PRES Nº 171, de 21.12.2011
(DOU de 22.12.2011)
Regulamenta o acesso aos sistemas corporativos por estagiários, usuários externos e terceirizados.
FUNDAMENTAÇÃO LEGAL:
Decreto 7.556, de 24 de agosto de 2011;
Resolução CSTIC-PS nº 04, de 06 de maio de 2011;
Norma Complementar nº 07/IN01/DSIC/GSIPR, de 06 de maio de 2010; e
Lei nº 11.788, de 25 de setembro de 2008.
O PRESIDENTE DO INSTITUTO NACIONAL DO SEGURO SOCIAL - INSS, no uso de suas atribuições que lhe confere o Decreto nº 7.556, de 24 de agosto de 2011, e considerando a necessidade de atender à solicitação da Auditoria-Geral e da Corregedoria do INSS com vistas ao estabelecimento de requisitos básicos de Segurança da Informação e Comunicação da Previdência Social,
RESOLVE:
Art. 1º - Fica regulamentada a concessão de acesso aos sistemas corporativos do INSS para estagiários, terceirizados e usuários externos.
Art. 2º - Para os efeitos desta Resolução ficam estabelecidos os seguintes conceitos:
I - Gestor da Informação: usuário que gerou a informação, responde pelo seu conteúdo ou que foi formalmente designado para definir, alterar a sua classificação nos graus de sigilo e perfil de acesso dos demais usuários e processos;
II - necessidade de conhecer: condição pessoal inerente ao efetivo exercício de cargo, função, emprego ou atividades, indispensável para que uma pessoa possuidora de credencial de segurança tenha acesso a informações sigilosas;
III - sistemas corporativos: sistemas de operação, ou finalísticos, que se coadunam com os fins da Previdência Social. Assim, entende-se que este conceito comporta o conjunto de sistemas e subsistemas que garantem a operação dos Regimes Gerais e Próprios de Previdência Social, inclusive de Previdência Complementar; Ministério da Previdência Social .
IV - usuário: pessoa física formalmente autorizada a acessar o ambiente informatizado;
V - credencial de acesso: identificador de usuário, associado a uma senha de autenticação, que possibilita o acesso aos sistemas de informação;
VI - identificador de usuário: número ou sequência de caracteres associados a um usuário, utilizado pelo controle de acesso para sua identificação de forma unívoca;
VII - senha de autenticação: informação sigilosa de conhecimento pessoal do usuário utilizada para autenticar o identificador de usuário;
VIII - estágio supervisionado: ato educativo escolar supervisionado, desenvolvido no ambiente de trabalho, que visa à preparação para o trabalho produtivo de educandos; e
IX - estagiário: educando que esteja frequentando o ensino regular em instituições de educação superior, de educação profissional, de ensino médio, de educação especial ou dos anos finais do ensino fundamental, na modalidade profissional da educação de jovens e adultos, que desenvolva as atividades relacionadas a sua área de formação profissional junto às pessoas jurídicas de direito privado, aos órgãos da administração pública e às instituições de ensino que tenham condições de proporcionar experiência prática na sua linha de formação.
Art. 3º - São classificadas como reservadas as informações relativas a dados pessoais e demais informações previdenciárias, em especial as seguintes:
I - informações cadastrais dos segurados da Previdência Social;
II - as informações de benefícios, vínculos, remunerações e demais informações referentes aos segurados da Previdência Social;
III - dados e informações que disponham sobre os Regimes Próprios de Previdência Social, incluindo dados cadastrais das unidades gestoras e entes federativos, no que se referem a benefícios, informações funcionais, financeiras de servidores ativos, inativos, dependentes, pensionistas e instituidores de pensão; e
IV - dados e informações que disponham sobre os planos de Previdência Complementar incluindo informações das Entidades Fechadas de Previdência Complementar, seus dirigentes e beneficiários e patrocinadores dos planos.
Art. 4º - O acesso aos sistemas corporativos do INSS deve ser restrito aos servidores do quadro de lotação do Instituto, no uso de suas atribuições legais.
Art. 5º - É vedado o acesso a informações classificadas como reservadas por estagiários.
Art. 6º - É vedado o cadastro e consequentemente a emissão de credenciais de acesso aos sistemas corporativos do INSS para estagiários.
Parágrafo único - Nos casos em que o acesso aos sistemas corporativos seja essencial para o desempenho das atividades relacionadas à área de formação profissional do estagiário, a emissão de credencial de acesso dar-se-á tendo como requisito as seguintes condições:
I - a empresa que atuar como agente de integração do estágio supervisionado deve manter Contrato direto com o INSS;
II - o contrato de estágio supervisionado deverá conter cláusula de confidencialidade e sigilo de informações preestabelecido com a administração pública;
III - o acesso será concedido mediante solicitação expressa de servidor do quadro do INSS responsável pela supervisão do estágio, definindo quais informações serão disponibilizadas e eventuais restrições referentes aos dias e horários para a realização do acesso; e
IV - os acessos deverão ser realizados única e exclusivamente por necessidade do serviço.
Art. 7º - É vedado o acesso a informações classificadas como reservadas por usuários terceirizados.
Art. 8º - É vedado o cadastro e a emissão de credenciais de acesso direto aos Sistemas Corporativos do INSS para usuários terceirizados.
Art. 9º - Nos casos referentes a prestadores de serviços vinculados à Central de Atendimento 135, o acesso a terceirizados darse-á observando-se as seguintes condições:
I - A empresa deve manter Contrato direto com o INSS;
II - O Contrato de Prestação de Serviços deverá conter cláusula de confidencialidade e sigilo de informações preestabelecidas com a administração pública;
III - A empresa contratada deverá manter com seus funcionários Termos de Confidencialidade;
IV - O acesso será concedido mediante solicitação expressa do Gestor do contrato, por parte do INSS, definindo quais informações serão disponibilizadas e eventuais restrições a dias e horários para a realização do acesso; e
V - Os acessos deverão ser realizados única e exclusivamente por necessidade de serviço.
Parágrafo único - O INSS poderá disponibilizar, de forma restrita, às centrais 135 uma versão do sistema corporativo utilizado por seus atendentes contendo apenas informações necessárias para correto desempenho de suas funções.
Art. 10 - É vedado o acesso a informações classificadas como reservadas por usuários externos.
Art. 11 - É vedado o cadastro e a emissão de credenciais de acesso direto aos sistemas corporativos do INSS para usuários externos.
Art. 12 - O acesso a informações sigilosas da Previdência Social será concedido aos órgãos da administração pública ou organizações públicas que tenham a necessidade de conhecer, amparados por força de legislação específica ou estabelecida em Convênio, Termo de Cooperação ou instrumento congênere conforme estabelecido na Resolução CSTIC-PS Nº 04, de 06 de maio de 2011.
Parágrafo único - A concessão de credenciais de acesso aos sistemas corporativos do INSS por auditores vinculados aos órgãos de controle interno da Controladoria-Geral da União - CGU - será embasada por documentos comprobatórios de constituição de equipe de auditoria ou por solicitação de acesso específico a determinado sistema.
Art. 13 - Esta Resolução entra em vigor na data de sua publicação.
Mauro Luciano Hauschild