O Ministro de Estado da Previdência e Assistência Social, no uso das atribuições, que lhe foram conferidas pelo art. 87, parágrafo único, inciso II, da Constituição Federal e tendo em vista o disposto nos incisos VIII e IX, art. 2º da Lei nº 7.232, de 29 de outubro de 1984, que dispõe sobre a Política Nacional de Informática e no Decreto nº 2.134, de 24 de janeiro de 1997, que regula a classificação, a reprodução e o acesso aos documentos públicos de natureza sigilosa, e;

Considerando a necessidade de garantir a integridade, o caráter confidencial e a disponibilidade de dados e informações previdenciárias;

Considerando a necessidade de estabelecer normas e procedimentos relativos à segurança e ao controle de acesso a dados, informações e sistemas informatizados da Previdência e Assistência Social;

Considerando a Lei nº 9.983, de 14 de julho de 2000, que tipifica como crime a modificação ou alteração, pelo funcionário, do sistema de informações ou programa de informática sem autorização ou solicitação de autoridade competente e;

Considerando a obrigatoriedade de identificar e responsabilizar os usuários que tenham acesso a dados, informações e sistemas informatizados da Previdência e Assistência Social, resolve:

DAS DISPOSIÇÕES PRELIMINARES

Art. 1º Os sistemas informatizados da Previdência e Assistência Social obedecerão às normas de segurança e controle dispostas nesta Portaria.

Art. 2º O Comitê de Tecnologia e Informação do Instituto Nacional do Seguro Social - INSS fará publicar a relação de sistemas informatizados e correspondente relação nominal dos Gestores de Sistema, servidores responsáveis pela definição, especificação, homologação e gerenciamento do sistema, no prazo máximo de 7 dias após a publicação desta portaria.

DA CLASSIFICAÇÃO DAS INFORMAÇÕES CONSTANTES DOS SISTEMAS INFORMATIZADOS

Art. 3º Os sistemas informatizados deverão ser classificados pelos Gestores de Sistema em função do nível de exigência quanto à:

I - proteção de dados e informações contra o uso não-autorizado;

II - classificação de informações para restrição de acesso, obedecendo, em função da confidencialidade, aos critérios de confidencial, privada e pública;

III - preservação de registros das operações realizadas, com prazo de retenção definido, contemplando a identificação do usuário, local, data e horário de acesso.

§ 1º O controle de acesso lógico aos sistemas obedecerá ao nível de exigência de segurança definido neste artigo.

§ 2º Os Gestores de Sistema deverão submeter à aprovação da Diretoria Colegiada do INSS e, no âmbito do Ministério da Previdência e Assistência Social, da Secretaria-Executiva as informações referidas nos incisos II e III no prazo de 20 dias após a publicação desta portaria.

§ 3º A Empresa de Processamento de Dados da Previdência Social - DATAPREV terá o prazo de 60 dias, após a aprovação pela Diretoria Colegiada das informações referentes aos incisos II e III, para efetuar as implementações necessárias.

DO CONTROLE DO ACESSO LÓGICO AOS SISTEMAS INFORMATIZADOS

Art. 4º O acesso aos sistemas informatizados da Previdência e Assistência Social deverá ser controlado, sendo permitido somente a pessoas autorizadas mediante código de acesso e uso privativo de senha pessoal e intransferível.

Parágrafo único. Para fins de padronização, será utilizado o Número de Identificação do Trabalhador - NIT como código de acesso.

Art. 5º A autorização de acesso a informações, classificadas como públicas, constantes dos bancos de dados centrais, será concedida por servidor, com atribuição de Gestor de Código de Usuário, designado pelo chefe da unidade administrativa, a qual está associada o código de usuário.

Parágrafo único. A solicitação para cadastramento do Gestor de Código de Acesso deverá ser encaminhada pelo chefe da unidade administrativa à unidade de atendimento da DATAPREV, que deverá manter arquivo atualizado dessas solicitações.

Art. 6º A autorização de acesso a operações classificadas como de acesso restrito, consultas a informações privadas e confidenciais e alterações de bancos de dados será concedida em função do perfil do usuário, definido a partir da necessidade de utilização dos sistemas, subsistemas e transações, e obedecendo aos critérios de confidencialidade das informações, que condicionará a possibilidade de acesso a consultas ou atualização de dados e informações.

§ 1º A autorização de acesso será efetuada por servidores designados de acordo com a atribuição dos cargos ocupados, com possibilidade de delegação limitada, ficando o outorgante co-responsável pelos atos praticados pelo outorgado.

§ 2º Cada nível de responsabilidade pela autorização de acesso ficará associado a um conjunto de perfis de acesso previamente definidos.

§ 3º A Diretoria Colegiada do INSS e a Secretaria-Executiva farão publicar em ato próprio os níveis de autorização de acesso, os perfis de usuário e a correspondência entre eles.

Art. 7º A permissão de acesso aos sistemas informatizados da Previdência Social será obtida mediante assinatura de Termo de Responsabilidade, conforme modelo anexo desta Portaria.

Parágrafo único. Os Termos de Responsabilidade ficarão sob a guarda do órgão de recursos humanos.

(Revogado pela Portaria Conjunta MPS/INSS/PREVIC Nº 64 DE 19/02/2014):

Art. 8º O acesso de usuários externos à Previdência Social será limitado a consultas a informações classificadas como públicas e será autorizado pelos Gestores de Sistema.

Parágrafo único. Está excetuado o acesso a consultas a informações de caráter privado referentes ao próprio usuário, ao qual será concedida senha pessoal e intransferível.

Art. 9º Os Gestores de Autorização de Acesso serão responsáveis pelo cancelamento imediato da autorização de acesso de usuários, sob sua responsabilidade, que estiverem envolvidos em inquérito penal, em processo administrativo disciplinar decorrente de infrações cometidas no exercício das atribuições do cargo mediante comunicação da:

I - Corregedoria-Geral do INSS;

II - Subsecretaria de Planejamento Orçamento e Administração do MPS; e

III - Diretoria de Pessoas da DATAPREV;

§ 1º A Corregedoria é responsável pela solicitação de cancelamento imediato de senhas de usuários que estiverem envolvidos em processo administrativo decorrente de infrações cometidas no exercício das atribuições do cargo.

§ 2º Para efeito do disposto no § 1º é considerado envolvido em processo administrativo, o usuário que estiver na seguinte situação:

I - afastado temporariamente do cargo ou função pública em razão de ato que se encontra sob apuração;

II - indiciado em processo administrativo disciplinar, por incursão nos incisos IX, XI, XII, XV, XVI e XVII do art. 117 e arts. 130 e 132 da Lei nº 8.112, de 11 de dezembro de 1990, ou cuja proposta pelo colegiado, no relatório final, seja pela aplicação de penalidade a partir de suspensão de trinta dias.

III - submetido à prisão em flagrante, temporária ou preventiva decorrente do cometimento de infração no exercício das atribuições do cargo, enquanto estiverem em apuração de inquérito policial ou pelo Ministério Público Federal.

§ 3º O cancelamento da autorização do uso da senha de que trata o caput deste artigo será efetivado no âmbito do Sistema de Controle de Acesso - SCA da seguinte forma:

I - usuário afastado temporariamente do cargo ou função, enquanto durar o afastamento; e

II - usuário indiciado nos termos do inciso II do § 2º até o efetivo cumprimento da penalidade aplicada.

§ 4º Após o cumprimento da pena, a chefia imediata deverá analisar a necessidade de o servidor ser submetido a treinamento visando à sua reinserção gradual nas atividades.

§ 5º Caso a pena de suspensão seja convertida em multa, a chefia imediata deverá adotar os mesmos procedimentos estabelecidos no parágrafo anterior. (Redação dada ao artigo pela Portaria MPS nº 490, de 20.12.2007, DOU 21.12.2007)

DO SISTEMA DE AUTORIZAÇÃO DE ACESSO

Art. 10. As alterações de bancos de dados centrais e consultas a informações confidenciais deverão ser administradas pelo Sistema de Autorização de Acesso - SAA.

§ 1º A autorização de acesso a operações administradas pelo SAA dependerá do prévio cadastramento do usuário no Banco de Dados do SAA, que conterá informações funcionais, sobre movimentação e ocorrências de inquéritos administrativos.

§ 2º No caso de usuários servidores do INSS e do Ministério da Previdência e Assistência Social, a base de dados é o Sistema Integrado de Administração de Recursos Humanos - SIAPE.

§ 3º Os usuários empregados da DATAPREV e os usuários contratados, não-ocupantes de cargo efetivo ou em comissão, que estejam prestando serviços ao INSS, terão seus dados cadastrais atualizados a partir de arquivo magnético gerado pela DATAPREV ou entidade contratante.

§ 4º A carga inicial do Banco de Dados do SAA será de responsabilidade da Coordenação-Geral de Administração de Recursos Humanos.

§ 5º A Coordenação-Geral de Administração de Recursos Humanos e os Serviços e Seções de Recursos Humanos farão o cadastramento de informações adicionais e atualização de movimentação dos usuários.

§ 6º Cabe à Auditoria-Geral, através da Corregedoria e suas projeções nas Auditorias Regionais, atualizar situação de usuário servidor que estiver envolvido em inquérito administrativo disciplinar.

Art. 11. A administração do SAA ficará a cargo de servidor do INSS, designado pelo Diretor-Presidente, tendo como função o cadastramento de sistemas, transações e ações e a gestão da autorização de acesso.

Parágrafo único. A manutenção do SAA, bem como a integridade e disponibilidade das informações do seu banco de dados, é de responsabilidade da Empresa de Processamento de Dados da Previdência Social - DATAPREV.

DAS RESPONSABILIDADES

Art. 12. A Corregedoria do INSS e as suas projeções nas Auditorias Regionais atuarão como Supervisores de Segurança de Acesso, com as seguintes atribuições no seu âmbito de atuação:

I - orientar a execução das atividades de cadastramento e habilitação, assim como os usuários nos aspectos relativos à segurança de acesso aos sistemas/subsistemas;

II - fiscalizar o cumprimento das normas de utilização dos sistemas pelos gestores e usuários sob sua supervisão; e,

III - apurar irregularidades envolvendo acesso não-autorizado e violação de informação no âmbito da Previdência Social e relatá-las ao Sub-Comitê de Segurança.

Art. 13. Ao Sub-Comitê de Segurança, como instância de assessoramento ao Cômite de Tecnologia e Informação:

I - propor diretrizes para a política de controle de acesso lógico aos sistemas informatizados;

II - coordenar a implantação de mecanismos de proteção contra acesso não-autorizado a dados, informações e sistemas;

III - avaliar, propor e acompanhar a adoção de medidas corretivas nos casos de violação da informação no âmbito da Previdência Social.

IV - promover programas visando à utilização consciente e correta das senhas por parte dos gestores e usuários em geral.

Art. 14. É responsabilidade de todos os usuários de sistemas da Previdência Social, cuidar da integridade, confidencialidade e disponibilidade de dados, informações e sistemas ou subsistemas, devendo comunicar por escrito aos gestores de sistema quaisquer irregularidades, desvios ou falhas identificadas.

§ 1º O acesso a dados e informações não-públicas da Previdência Social obriga os usuários a guardar sigilo, sendo vedado o seu uso para outro fim que não seja aquele estritamente decorrente das necessidades de serviço.

§ 2º É proibido dar acesso a dados, informações ou sistemas a pessoas não-autorizadas ou que, legalmente, não tenham direito ao seu conhecimento.

§ 3º Os usuários e gestores devem manter suas senhas de acesso secretas e intransferíveis, devendo, imediatamente, trocar ou providenciar a troca de sua senha quando houver suspeita, indício ou conhecimento de que a mesma foi violada ou revelada a terceiros.

§ 4º O titular da senha é obrigado a:

I - zelar pelo seu sigilo absoluto;

II - utilizar os sistemas informatizados somente por necessidade de serviço ou por determinação expressa de qualquer superior hierárquico;

III - não revelar fato ou informação de qualquer natureza de que tenha conhecimento por força de suas atribuições, salvo em razão de serviço ou em decorrência de decisão de autoridade competente;

IV - manter a necessária cautela quando da exibição de dados em tela, impressora, na gravação em meios eletrônicos ou em qualquer outra circunstância, a fim de evitar que pessoas não autorizadas deles possam tomar ciência;

V - não abandonar ou afastar-se do microcomputador ou terminal sem que antes tenha encerrado a sessão do sistema em uso, de modo a evitar que terceiros não autorizados a ele tenham acesso.

Art. 15. O não-cumprimento às disposições desta Portaria caracterizará infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil.

DAS DISPOSIÇÕES FINAIS

Art. 16. Caberá à Diretoria Colegiada do INSS e à Secretaria-Executiva do Ministério da Previdência e Assistência Social expedir os atos normativos necessários à aplicação do disposto nesta Portaria.

Parágrafo único. O gerenciamento do processo de implantação e aplicação das normas desta portaria e outras complementares é de responsabilidade do Sub-Comitê de Segurança.

Art. 16-A. Para os sistemas da Secretaria de Previdência Complementar fica autorizado o acesso para consulta, inclusão e alteração de dados por usuários externos autorizados pelo responsável da entidade fechada de previdência complementar, respondendo civil e criminalmente pelas ações realizadas nos sistemas de informação sob seu controle.

§ 1º Os usuários externos de que trata o caput deste artigo terão seus acessos autenticados, identificados e controlados com a utilização do Sistema de Autorização de Acesso - SAA, de responsabilidade da DATAPREV e atuarão somente nas funcionalidades disponibilizadas pelo gestor do sistema, tendo acesso somente aos dados e informações da entidade a qual pertença.

§ 2º O acesso aos sistemas constantes do § 1º deverá ser limitado a necessidade de desenvolvimento dos trabalhos das entidades fechadas de previdência complementar.

§ 3º Fica assegurado ao usuário externo autorizado nos termos deste artigo, o acesso exclusivo as informações referentes a sua própria entidade fechada de previdência complementar.

§ 4º O acesso de que trata o caput será autorizado para os seguintes sistemas:

I - CADSPC - Cadastro de Planos, Entidades, Patrocinadores e Outros

II - CAND - Cadastro de Dirigentes;

III - SICADI - Sistema de Captação de Dados de Investimentos;

IV - SCAI - Sistema de Auto de Infração;

V - CONTÁBIL - Informações cadastrais, estatísticas e benefícios contábeis;

VI - DRAA - Demostrativo de Resultado das Avaliações Atuariais;

VII - SIPC-CAP - Sistema de Previdência Complementar -
Captação por Plano;

VIII - SCAP - Sistema de Controle de Acesso por Plano; e

IX - SIFISC - Sistemas Integrados de Fiscalização.

§ 5º Compete a DATAPREV executar as ações necessárias no Sistema de Autorização de Acesso para garantir a segurança e o controle de acesso dos usuários. (Artigo acrescentado pela Portaria MPS nº 485, de 13.12.2007, DOU 14.12.2007)

Art. 17. Esta portaria entra em vigor na data de sua publicação.

Art. 18. Fica revogada a Portaria nº 4.494, de 15 de junho de 1998, DOU de 17 de junho de 1998, Seção 1, página 54.

ROBERTO BRANT

ANEXO