Resolução INSS nº 171 de 21/12/2011
Norma Federal - Publicado no DO em 22 dez 2011
Regulamenta o acesso aos sistemas corporativos por estagiários, usuários externos e terceirizados.
(Revogado pela Resolução INSS Nº 413 DE 20/05/2014):
FUNDAMENTAÇÃO LEGAL:
Decreto nº 7.556, de 24 de agosto de 2011 ;
Resolução CSTIC-PS nº 4, de 6 de maio de 2011;
Norma Complementar nº 07/IN01/DSIC/GSIPR, de 6 de maio de 2010; e
Lei nº 11.788, de 25 de setembro de 2008 .
O Presidente do Instituto Nacional do Seguro Social - INSS, no uso de suas atribuições que lhe confere o Decreto nº 7.556, de 24 de agosto de 2011 , e
Considerando a necessidade de atender à solicitação da Auditoria-Geral e da Corregedoria do INSS com vistas ao estabelecimento de requisitos básicos de Segurança da Informação e Comunicação da Previdência Social,
Resolve:
Art. 1º Fica regulamentada a concessão de acesso aos sistemas corporativos do INSS para estagiários, terceirizados e usuários externos.
Art. 2º Para os efeitos desta Resolução ficam estabelecidos os seguintes conceitos:
I - Gestor da Informação: usuário que gerou a informação, responde pelo seu conteúdo ou que foi formalmente designado para definir, alterar a sua classificação nos graus de sigilo e perfil de acesso dos demais usuários e processos;
II - necessidade de conhecer: condição pessoal inerente ao efetivo exercício de cargo, função, emprego ou atividades, indispensável para que uma pessoa possuidora de credencial de segurança tenha acesso a informações sigilosas;
III - sistemas corporativos: sistemas de operação, ou finalísticos, que se coadunam com os fins da Previdência Social. Assim, entende-se que este conceito comporta o conjunto de sistemas e subsistemas que garantem a operação dos Regimes Gerais e Próprios de Previdência Social, inclusive de Previdência Complementar;
IV - usuário: pessoa física formalmente autorizada a acessar o ambiente informatizado;
V - credencial de acesso: identificador de usuário, associado a uma senha de autenticação, que possibilita o acesso aos sistemas de informação;
VI - identificador de usuário: número ou sequência de caracteres associados a um usuário, utilizado pelo controle de acesso para sua identificação de forma unívoca;
VII - senha de autenticação: informação sigilosa de conhecimento pessoal do usuário utilizada para autenticar o identificador de usuário;
VIII - estágio supervisionado: ato educativo escolar supervisionado, desenvolvido no ambiente de trabalho, que visa à preparação para o trabalho produtivo de educandos; e
IX - estagiário: educando que esteja frequentando o ensino regular em instituições de educação superior, de educação profissional, de ensino médio, de educação especial ou dos anos finais do ensino fundamental, na modalidade profissional da educação de jovens e adultos, que desenvolva as atividades relacionadas a sua área de formação profissional junto às pessoas jurídicas de direito privado, aos órgãos da administração pública e às instituições de ensino que tenham condições de proporcionar experiência prática na sua linha de formação.
Art. 3º São classificadas como reservadas as informações relativas a dados pessoais e demais informações previdenciárias, em especial as seguintes:
I - informações cadastrais dos segurados da Previdência Social;
II - as informações de benefícios, vínculos, remunerações e demais informações referentes aos segurados da Previdência Social;
III - dados e informações que disponham sobre os Regimes Próprios de Previdência Social, incluindo dados cadastrais das unidades gestoras e entes federativos, no que se referem a benefícios, informações funcionais, financeiras de servidores ativos, inativos, dependentes, pensionistas e instituidores de pensão; e
IV - dados e informações que disponham sobre os planos de Previdência Complementar incluindo informações das Entidades Fechadas de Previdência Complementar, seus dirigentes e beneficiários e patrocinadores dos planos.
Art. 4º O acesso aos sistemas corporativos do INSS deve ser restrito aos servidores do quadro de lotação do Instituto, no uso de suas atribuições legais.
Parágrafo único. Equiparam-se a usuários do INSS, para todos os efeitos, os advogados públicos vinculados à Advocacia-Geral da União - AGU que atuarem na consultoria e no assessoramento jurídico, e na representação judicial e extrajudicial do INSS. (Parágrafo acrescentado pela Resolução INSS Nº 376 DE 08/01/2014).
Art. 5º É vedado o acesso a informações classificadas como reservadas por estagiários.
Art. 6º É vedado o cadastro e consequentemente a emissão de credenciais de acesso aos sistemas corporativos do INSS para estagiários.
Parágrafo único. Nos casos em que o acesso aos sistemas corporativos seja essencial para o desempenho das atividades relacionadas à área de formação profissional do estagiário, a emissão de credencial de acesso dar-se-á tendo como requisito as seguintes condições:
I - a empresa que atuar como agente de integração do estágio supervisionado deve manter Contrato direto com o INSS;
II - o contrato de estágio supervisionado deverá conter cláusula de confidencialidade e sigilo de informações preestabelecido com a administração pública;
III - o acesso será concedido mediante solicitação expressa de servidor do quadro do INSS responsável pela supervisão do estágio, definindo quais informações serão disponibilizadas e eventuais restrições referentes aos dias e horários para a realização do acesso; e
IV - os acessos deverão ser realizados única e exclusivamente por necessidade do serviço.
Art. 7º É vedado o acesso a informações classificadas como reservadas por usuários terceirizados.
Art. 8º É vedado o cadastro e a emissão de credenciais de acesso direto aos Sistemas Corporativos do INSS para usuários terceirizados.
(Redação do artigo dada pela Resolução INSS Nº 376 DE 08/01/2014):
Art. 9º Nos casos referentes à prestadores de serviço vinculados à central de atendimento 135 e Ouvidoria-Geral da Previdência Social - OUGPS, o acesso à terceirizados se dará observando-se as seguintes condições:
I - a empresa prestadora de serviço vinculada à Central de Atendimento 135 deve manter contrato direto com o INSS;
II - a empresa prestadora de serviço vinculada à OUGPSMPS deve manter contrato direto com a Ouvidoria-Geral da Previdência Social;
III - o Contrato de Prestação de Serviços deverá conter cláusula de confidencialidade e sigilo de informações pré-estabelecido com a Administração Pública;
IV - a empresa contratada deverá manter com seus funcionários Termos de Confidencialidade;
V - o acesso será concedido mediante solicitação expressa do gestor do contrato, do INSS ou da OUGPS, determinando quais informações serão disponibilizadas e eventuais restrições a dias e horários para a realização do acesso;
VI - os acessos devem ser realizados única e exclusivamente por necessidade de serviço; e
VII - o INSS pode disponibilizar, de forma restrita, às centrais 135 e à OUGPS uma versão do sistema corporativo utilizado por seus atendentes contendo apenas as informações necessárias para o correto desempenho de suas funções.
Parágrafo único. Deverão ser tratadas no próprio Contrato ou instrumento equivalente, os demais casos onde o acesso aos Sistemas Corporativos do INSS seja imprescindível ao desempenho do serviço.
Art. 9º Nos casos referentes a prestadores de serviços vinculados à Central de Atendimento 135, o acesso a terceirizados dar-se-á observando-se as seguintes condições:
I - A empresa deve manter Contrato direto com o INSS;
II - O Contrato de Prestação de Serviços deverá conter cláusula de confidencialidade e sigilo de informações preestabelecidas com a administração pública;
III - A empresa contratada deverá manter com seus funcionários Termos de Confidencialidade;
IV - O acesso será concedido mediante solicitação expressa do Gestor do contrato, por parte do INSS, definindo quais informações serão disponibilizadas e eventuais restrições a dias e horários para a realização do acesso; e
V - Os acessos deverão ser realizados única e exclusivamente por necessidade de serviço.
Parágrafo único. O INSS poderá disponibilizar, de forma restrita, às centrais 135 uma versão do sistema corporativo utilizado por seus atendentes contendo apenas informações necessárias para correto desempenho de suas funções.
Art. 10. É vedado o acesso a informações classificadas como reservadas por usuários externos.
Art. 11. É vedado o cadastro e a emissão de credenciais de acesso direto aos sistemas corporativos do INSS para usuários externos.
Art. 12. O acesso a informações sigilosas da Previdência Social será concedido aos órgãos da administração pública ou organizações públicas que tenham a necessidade de conhecer, amparados por força de legislação específica ou estabelecida em Convênio, Termo de Cooperação ou instrumento congênere conforme estabelecido na Resolução CSTIC-PS nº 4, de 6 de maio de 2011.
Parágrafo único. A concessão de credenciais de acesso aos sistemas corporativos do INSS por auditores vinculados aos órgãos de controle interno da Controladoria-Geral da União - CGU - será embasada por documentos comprobatórios de constituição de equipe de auditoria ou por solicitação de acesso específico a determinado sistema.
Art. 13. Esta Resolução entra em vigor na data de sua publicação.
MAURO LUCIANO HAUSCHILD