(Revogado pela Resolução INSS Nº 413 DE 20/05/2014):

FUNDAMENTAÇÃO LEGAL:

Decreto nº 7.556, de 24 de agosto de 2011 ;

Resolução CSTIC-PS nº 4, de 6 de maio de 2011;

Norma Complementar nº 07/IN01/DSIC/GSIPR, de 6 de maio de 2010; e

Lei nº 11.788, de 25 de setembro de 2008 .

O Presidente do Instituto Nacional do Seguro Social - INSS, no uso de suas atribuições que lhe confere o Decreto nº 7.556, de 24 de agosto de 2011 , e

Considerando a necessidade de atender à solicitação da Auditoria-Geral e da Corregedoria do INSS com vistas ao estabelecimento de requisitos básicos de Segurança da Informação e Comunicação da Previdência Social,

Resolve:

Art. 1º Fica regulamentada a concessão de acesso aos sistemas corporativos do INSS para estagiários, terceirizados e usuários externos.

Art. 2º Para os efeitos desta Resolução ficam estabelecidos os seguintes conceitos:

I - Gestor da Informação: usuário que gerou a informação, responde pelo seu conteúdo ou que foi formalmente designado para definir, alterar a sua classificação nos graus de sigilo e perfil de acesso dos demais usuários e processos;

II - necessidade de conhecer: condição pessoal inerente ao efetivo exercício de cargo, função, emprego ou atividades, indispensável para que uma pessoa possuidora de credencial de segurança tenha acesso a informações sigilosas;

III - sistemas corporativos: sistemas de operação, ou finalísticos, que se coadunam com os fins da Previdência Social. Assim, entende-se que este conceito comporta o conjunto de sistemas e subsistemas que garantem a operação dos Regimes Gerais e Próprios de Previdência Social, inclusive de Previdência Complementar;

IV - usuário: pessoa física formalmente autorizada a acessar o ambiente informatizado;

V - credencial de acesso: identificador de usuário, associado a uma senha de autenticação, que possibilita o acesso aos sistemas de informação;

VI - identificador de usuário: número ou sequência de caracteres associados a um usuário, utilizado pelo controle de acesso para sua identificação de forma unívoca;

VII - senha de autenticação: informação sigilosa de conhecimento pessoal do usuário utilizada para autenticar o identificador de usuário;

VIII - estágio supervisionado: ato educativo escolar supervisionado, desenvolvido no ambiente de trabalho, que visa à preparação para o trabalho produtivo de educandos; e

IX - estagiário: educando que esteja frequentando o ensino regular em instituições de educação superior, de educação profissional, de ensino médio, de educação especial ou dos anos finais do ensino fundamental, na modalidade profissional da educação de jovens e adultos, que desenvolva as atividades relacionadas a sua área de formação profissional junto às pessoas jurídicas de direito privado, aos órgãos da administração pública e às instituições de ensino que tenham condições de proporcionar experiência prática na sua linha de formação.

Art. 3º São classificadas como reservadas as informações relativas a dados pessoais e demais informações previdenciárias, em especial as seguintes:

I - informações cadastrais dos segurados da Previdência Social;

II - as informações de benefícios, vínculos, remunerações e demais informações referentes aos segurados da Previdência Social;

III - dados e informações que disponham sobre os Regimes Próprios de Previdência Social, incluindo dados cadastrais das unidades gestoras e entes federativos, no que se referem a benefícios, informações funcionais, financeiras de servidores ativos, inativos, dependentes, pensionistas e instituidores de pensão; e

IV - dados e informações que disponham sobre os planos de Previdência Complementar incluindo informações das Entidades Fechadas de Previdência Complementar, seus dirigentes e beneficiários e patrocinadores dos planos.

Art. 4º O acesso aos sistemas corporativos do INSS deve ser restrito aos servidores do quadro de lotação do Instituto, no uso de suas atribuições legais.

Parágrafo único. Equiparam-se a usuários do INSS, para todos os efeitos, os advogados públicos vinculados à Advocacia-Geral da União - AGU que atuarem na consultoria e no assessoramento jurídico, e na representação judicial e extrajudicial do INSS. (Parágrafo acrescentado pela Resolução INSS Nº 376 DE 08/01/2014).

Art. 5º É vedado o acesso a informações classificadas como reservadas por estagiários.

Art. 6º É vedado o cadastro e consequentemente a emissão de credenciais de acesso aos sistemas corporativos do INSS para estagiários.

Parágrafo único. Nos casos em que o acesso aos sistemas corporativos seja essencial para o desempenho das atividades relacionadas à área de formação profissional do estagiário, a emissão de credencial de acesso dar-se-á tendo como requisito as seguintes condições:

I - a empresa que atuar como agente de integração do estágio supervisionado deve manter Contrato direto com o INSS;

II - o contrato de estágio supervisionado deverá conter cláusula de confidencialidade e sigilo de informações preestabelecido com a administração pública;

III - o acesso será concedido mediante solicitação expressa de servidor do quadro do INSS responsável pela supervisão do estágio, definindo quais informações serão disponibilizadas e eventuais restrições referentes aos dias e horários para a realização do acesso; e

IV - os acessos deverão ser realizados única e exclusivamente por necessidade do serviço.

Art. 7º É vedado o acesso a informações classificadas como reservadas por usuários terceirizados.

Art. 8º É vedado o cadastro e a emissão de credenciais de acesso direto aos Sistemas Corporativos do INSS para usuários terceirizados.

(Redação do artigo dada pela Resolução INSS Nº 376 DE 08/01/2014):

Art. 9º Nos casos referentes à prestadores de serviço vinculados à central de atendimento 135 e Ouvidoria-Geral da Previdência Social - OUGPS, o acesso à terceirizados se dará observando-se as seguintes condições:

I - a empresa prestadora de serviço vinculada à Central de Atendimento 135 deve manter contrato direto com o INSS;

II - a empresa prestadora de serviço vinculada à OUGPSMPS deve manter contrato direto com a Ouvidoria-Geral da Previdência Social;

III - o Contrato de Prestação de Serviços deverá conter cláusula de confidencialidade e sigilo de informações pré-estabelecido com a Administração Pública;

IV - a empresa contratada deverá manter com seus funcionários Termos de Confidencialidade;

V - o acesso será concedido mediante solicitação expressa do gestor do contrato, do INSS ou da OUGPS, determinando quais informações serão disponibilizadas e eventuais restrições a dias e horários para a realização do acesso;

VI - os acessos devem ser realizados única e exclusivamente por necessidade de serviço; e

VII - o INSS pode disponibilizar, de forma restrita, às centrais 135 e à OUGPS uma versão do sistema corporativo utilizado por seus atendentes contendo apenas as informações necessárias para o correto desempenho de suas funções.

Parágrafo único. Deverão ser tratadas no próprio Contrato ou instrumento equivalente, os demais casos onde o acesso aos Sistemas Corporativos do INSS seja imprescindível ao desempenho do serviço.

Art. 10. É vedado o acesso a informações classificadas como reservadas por usuários externos.

Art. 11. É vedado o cadastro e a emissão de credenciais de acesso direto aos sistemas corporativos do INSS para usuários externos.

Art. 12. O acesso a informações sigilosas da Previdência Social será concedido aos órgãos da administração pública ou organizações públicas que tenham a necessidade de conhecer, amparados por força de legislação específica ou estabelecida em Convênio, Termo de Cooperação ou instrumento congênere conforme estabelecido na Resolução CSTIC-PS nº 4, de 6 de maio de 2011.

Parágrafo único. A concessão de credenciais de acesso aos sistemas corporativos do INSS por auditores vinculados aos órgãos de controle interno da Controladoria-Geral da União - CGU - será embasada por documentos comprobatórios de constituição de equipe de auditoria ou por solicitação de acesso específico a determinado sistema.

Art. 13. Esta Resolução entra em vigor na data de sua publicação.

MAURO LUCIANO HAUSCHILD