Portaria MPAS nº 4.494 de 15/06/1998

Norma Federal - Publicado no DO em 17 jun 1998

Dispõe sobre o controle de acesso a dados, informações e sistemas informatizados da Previdência e Assistência Social.

Notas:

1) Revogada pela Portaria MPAS nº 862, de 23.03.2001, DOU 26.03.2001.

2) Assim dispunha a Portaria revogada:

"O Ministro de Estado da Previdência e Assistência Social, no uso das atribuições, que lhe foram conferidas pelo artigo 87, parágrafo único, inciso II, da Constituição Federal e em conformidade com o disposto nos incisos VIII e IX, artigo 2º da Lei nº 7.232, de 29 de outubro de 1984, que dispõe sobre a Política Nacional de Informática e no Decreto nº 2.134, de 24 de janeiro de 1997, que regula a classificação, a reprodução e o acesso aos documentos públicos de natureza sigilosa;

Considerando a necessidade de garantir a integridade, o caráter confidencial e a disponibilidade de dados e informações previdenciárias;

Considerando a necessidade de estabelecer normas e procedimentos relativos à segurança e ao controle de acesso a dados, informações e sistemas informatizados da Previdência e Assistência Social;

Considerando a obrigatoriedade de identificar e responsabilizar administrativa, civil e criminalmente usuários que cometam irregularidades em razão do acesso a dados, informações e sistemas informatizados da Previdência e Assistência Social, resolve:

Art. 1º. Os sistemas informatizados da Previdência e Assistência Social obedecerão às normas de segurança e controle dispostas nesta Portaria.

Art. 2º. O Instituto Nacional do Seguro Social - INSS fará publicar a relação de sistemas informatizados e correspondente relação nominal dos Gestores de Sistema, servidores responsáveis pela definição, especificação, homologação e gerenciamento do sistema.

Art. 3º. Os sistemas informatizados deverão ser classificados pelos Gestores de Sistema em função do nível de exigência quanto à:

I - proteção de dados e informações contra o uso não autorizado;

II - classificação de informações para restrição de acesso, obedecendo, em função da confidencialidade, aos critérios de confidencial, privada e pública;

III - preservação de registros das operações realizadas, com prazo de retenção definido, contemplando a identificação do usuário, local, data e horário de acesso.

Parágrafo único. O controle de acesso lógico aos sistemas obedecerá ao nível de exigência de segurança definido neste artigo.

Art. 4º. O acesso aos sistemas informatizados da Previdência e Assistência Social deverá ser controlado e estar disponível somente a pessoas autorizadas mediante o código de acesso e o uso privativo de senha pessoal e intransferível.

§ 1º. A autorização de acesso deverá ser solicitada pelo chefe da unidade administrativa, na qual o servidor encontra-se em exercício, mediante a utilização de formulário constante do Anexo I.

§ 2º. O acesso de usuários não-servidores da Previdência Social deverá ser autorizado pela Direção Geral do INSS, responsável pelo sistema.

§ 3º. A permissão de acesso será obtida mediante assinatura de Termo de Responsabilidade pelo usuário.

Art. 5º. As operações relativas aos sistemas informatizados classificados como de acesso restrito, consultas a informações confidenciais e alterações de bancos de dados centrais, deverão ser administradas pelo Sistema de Controle de Acesso - SCA, obedecendo às seguintes funções:

I - Administrador do SCA, servidor do INSS, designado pelo Presidente, com a função de cadastramento de sistemas, transações e ações e pela habilitação e desabilitação do Gestor Master1 no SCA;

II - Gestor Master1, servidor do INSS, designado pelo Diretor Geral, com a função específica de habilitar e desabilitar o Gestor Master 2 e o Gestor de Unidade da Federação - Gestor UF1 no SCA;

III - Gestor Master2, servidor do INSS, designado pelo Diretor Geral, com a função específica de operar transações e ações nos sistemas/subsistemas, especialmente aquelas, definidas em ato próprio, de competência exclusiva da Direção Geral, em razão do valor e outros;

IV - Gestor UF1, servidor do INSS, com abrangência estadual, designado pelo Superintendente, com a atribuição específica, no âmbito do seu Estado, de habilitar e desabilitar o Gestor UF2 e o Gestor de Unidade Orgânica - Gestor UO;

V - Gestor UF2, servidor do INSS, com abrangência estadual, designado pelo Superintendente, com a atribuição específica, no âmbito do seu Estado, de operar transações e ações nos sistemas/subsistemas, especialmente aquelas, definidas em ato próprio, de competência exclusiva da Superintendência, em razão do valor e outros;

VI - Gestor UO1, servidor do INSS, designado pelo Gerente Regional, tendo abrangência associada a uma determinada área para exercer a função de habilitar e desabilitar o Gestor UO2 e usuários nos sistemas/subsistemas, transações e ações;

VII - Gestor UO2, servidor do INSS, designado pelo Gerente Regional, com a função específica de operar transações e ações nos sistemas/subsistemas, especialmente aquelas, definidas em ato próprio, de competência exclusiva da Gerência Regional, em razão do valor e outros.

Parágrafo único. O Administrador e os Gestores do SCA devem manter atualizado, para efeito de auditoria, arquivo contendo as solicitações de habilitação.

Art. 6º. Cabe aos Gestores de Sistema, considerando a natureza das transações e ações, determinar que, em casos de impedimento, as habilitações, referentes ao sistema e subsistemas sob sua responsabilidade, sejam efetuadas pelo nível de gestão superior.

Art. 7º. É responsabilidade da Empresa de Processamento de Dados da Previdência Social - DATAPREV a manutenção do SCA, bem como a integridade e disponibilidade do seu banco de dados.

Art. 8º. A habilitação de gestores e usuários para as operações administradas pelo SCA deverá ser efetuada mediante a utilização de formulários, constantes dos Anexos IIA e IIB, devidamente assinados pela autoridade competente.

Parágrafo único. A habilitação acima somente será concedida com a assinatura de Termo de Responsabilidade pelo usuário ou Gestor.

Art. 9º. Os Termos de Responsabilidade ficarão sob a guarda do órgão de recursos humanos.

Art. 10. Os usuários que possuem autorização de acesso aos sistemas informatizados de Previdência e Assistência Social deverão ser recadastrados no prazo de 30 dias, a partir da publicação desta Portaria.

Parágrafo único. Serão imediatamente canceladas as senhas daqueles que não forem recadastrados na forma e no prazo do caput.

Art. 11. O chefe da unidade administrativa será responsável pelo cancelamento imediato da autorização de acesso de usuários, sob sua responsabilidade, que estiverem em processo de exoneração, demissão, transferência ou afastamento em geral.

Parágrafo único. A Auditoria-Geral e o órgão de recursos humanos são co-responsáveis pelo cancelamento imediato de senhas de usuários que estiverem envolvidos em processo administrativo decorrente de infrações cometidas no exercício das atribuições do cargo.

Art. 12. O Presidente do INSS designará um servidor, em cada Unidade da Federação, que atuará como Supervisor de Segurança, com as seguintes atribuições no âmbito do seu respectivo estado:

I - orientar a execução das atividades de cadastramento e habilitação, assim como os usuários nos aspectos relativos à segurança de acesso aos sistemas/subsistemas;

II - fiscalizar o cumprimento das normas de utilização dos sistemas pelos gestores e usuários sob sua supervisão;

III - promover programas visando à utilização consciente e correta das senhas por parte dos gestores e usuários sob sua supervisão;

IV - relatar as irregularidades detectadas.

Art. 13. É responsabilidade de todos os usuários e Gestores cuidar da integridade, confidencialidade e disponibilidade de dados, informações e sistemas ou subsistemas da Previdência e Assistência Social, devendo comunicar por escrito ao Gestor de Sistema quaisquer irregularidades, desvios ou falhas identificadas.

§ 1º. O acesso a dados, informações e sistemas obriga ao sigilo em razão do ofício, sendo vedado o uso para outro fim que não seja o estritamente em razão do serviço.

§ 2º. É proibido dar acesso a dados, informações ou sistemas a pessoas não autorizadas ou que, legalmente, não tenham direito ao seu conhecimento.

§ 3º. Os usuários e gestores devem manter suas senhas de acesso secretas, intransferíveis e temporárias, devendo, imediatamente, trocar ou providenciar a troca de sua senha quando houver suspeita, indício ou conhecimento de que a mesma foi violada ou revelada a terceiros.

§ 4º. O titular da senha é obrigado a:

I - zelar pelo seu sigilo absoluto;

II - utilizar os sistemas informatizados somente por necessidade de serviço ou por determinação expressa de qualquer superior hierárquico;

III - não revelar fato ou informação de qualquer natureza de que tenha conhecimento por força de suas atribuições, salvo em razão de serviço ou em decorrência de decisão de autoridade competente;

IV - manter a necessária cautela quando da exibição de dados em tela, impressora, na gravação em meios eletrônicos, ou em qualquer outra circunstância, a fim de evitar que pessoas não autorizadas deles possam tomar ciência;

V - não abandonar ou afastar-se do microcomputador ou terminal sem que antes tenha encerrado a sessão do sistema em uso, de modo a evitar que terceiros não autorizados a ele tenham acesso.

Art. 14. O não-cumprimento às disposições desta Portaria caracterizará infração funcional, a ser apurada em processo administrativo disciplinar, sem prejuízo da responsabilidade penal e civil.

Art. 15. Caberá ao Comitê de Segurança, responsável pela gestão e aprimoramento da Política de Segurança do Ambiente de Tecnologia da Informação da Previdência e Assistência Social, expedir os atos normativos necessários à aplicação do disposto nesta Portaria.

Art. 16. Esta Portaria entra em vigor na data de sua publicação.

Art. 17. Fica revogada a Portaria nº 4.455, de 12 de maio de 1998.

Waldeck Ornélas"