PROVIMENTO
N. 213, DE 20 DE FEVEREIRO DE 2026.
Dispõe
sobre os padrões mínimos de tecnologia da informação e comunicação para
garantir a segurança, a integridade, a disponibilidade, a autenticidade e a
rastreabilidade, assegurando a continuidade das atividades dos serviços
notariais e de registro do Brasil; revoga o Provimento n. 74, de 31 de julho de
2018; e dá outras providências.
O
CORREGEDOR NACIONAL DE JUSTIÇA, no uso de suas atribuições constitucionais,
legais e regimentais e CONSIDERANDO o poder de fiscalização e o poder normativo
do Poder Judiciário sobre os atos praticados por seus órgãos (art. 103-B, §4º,
I, II e III, da Constituição Federal);
CONSIDERANDO
a competência do Poder Judiciário para fiscalizar os serviços notariais e de
registro (artigos 103-B, §4º, I e III, e 236, §1º, da Constituição Federal);
CONSIDERANDO a competência do Corregedor Nacional de Justiça para expedir
provimentos e outros atos normativos destinados ao aperfeiçoamento das
atividades dos serviços notariais e de registro (art. 8º, X, do Regimento
Interno do Conselho Nacional de Justiça); CONSIDERANDO a obrigação dos notários
e registradores de cumprir as normas técnicas estabelecidas pelo Poder
Judiciário (artigos 37 e 38 da Lei n. 8.935/1994); CONSIDERANDO que os serviços
notariais e de registro constituem atividade de organização técnica e
administrativa destinada a assegurar a publicidade, a autenticidade, a segurança
e a eficácia dos atos jurídicos, impondo-se que os meios operacionais
empregados sejam compatíveis com tais finalidades institucionais; CONSIDERANDO
o contínuo avanço tecnológico, a crescente informatização das rotinas
extrajudiciais e a implementação de sistemas eletrônicos, inclusive plataformas
de registro eletrônico compartilhado, que viabilizam a prática de atos
notariais e registrais mediante o emprego de tecnologias da informação e
comunicação, com impacto direto sobre a forma de organização, armazenamento e
circulação de dados; CONSIDERANDO a necessidade de uniformizar critérios para a
manutenção, guarda e conservação de livros, documentos, arquivos eletrônicos e
mídias digitais de segurança que integram o acervo das serventias
extrajudiciais, de modo a assegurar padronização procedimental, integridade
informacional e eficiência administrativa; CONSIDERANDO a imperiosa necessidade
de adequação contínua do serviço notarial e de registro no Brasil, composto por
mais de 12.000 (doze mil) serventias extrajudiciais marcadas por expressivas
assimetrias estruturais, econômicas e tecnológicas, aos padrões contemporâneos
de segurança da informação, bem como a urgência na adoção de mecanismos
estruturados de defesa cibernética aptos a resguardar as bases de dados e os
sistemas informatizados, garantindo a confidencialidade, a integridade, a
disponibilidade e a rastreabilidade do acervo digital; CONSIDERANDO que a
implementação de padrões modernos de tecnologia da informação e de planos de
continuidade de negócios deve observar diretriz de progressividade e
proporcionalidade regulatória, com vistas a compatibilizar o incremento dos
níveis de maturidade tecnológica com a diversidade de capacidades operacionais
e econômicas das serventias extrajudiciais; CONSIDERANDO as críticas,
contribuições técnicas e sugestões apresentadas nos autos do Processo nº
09274/2024, em trâmite no Conselho Nacional de Justiça, as quais evidenciam a
necessidade de aperfeiçoamento normativo e de consolidação de parâmetros
objetivos de conformidade, RESOLVE: Art. 1º Este Provimento estabelece os
padrões mínimos de tecnologia da informação e comunicação (TIC) a serem
observados no exercício das atividades notariais e de registro no Brasil, com
vistas a assegurar o adequado planejamento, a segurança, a integridade, a
disponibilidade e a continuidade dos serviços. Art. 2º Para os fins deste
Provimento, consideram-se: I - alta disponibilidade: arquitetura tecnológica
destinada a assegurar continuidade operacional mediante redundância de componentes,
mecanismos automáticos de failover e redução significativa de indisponibilidade
não planejada; II - arquitetura compartilhada: arranjo sistêmico de
infraestrutura tecnológica utilizado por duas ou mais serventias, mediante
compartilhamento de recursos de hardware, rede, serviços ou governança, seja
sob forma cooperativa entre unidades, seja mediante utilização de
infraestrutura comum mantida por entidade representativa e/ou por Operador
Nacional, podendo dar suporte a uma ou mais soluções tecnológicas; III - classe
da serventia: categoria de enquadramento econômico definida com base na
arrecadação bruta semestral, utilizada como critério de proporcionalidade
regulatória para gradação de prazos, exigências técnicas e níveis mínimos de
controle; IV - contratação individual de soluções tecnológicas: modelo
bilateral de aquisição, licenciamento ou prestação de serviços tecnológicos
destinados exclusivamente à serventia contratante, sem compartilhamento
estrutural com outras unidades; V - dados críticos: informações cuja perda,
alteração, indisponibilidade ou divulgação indevida possa comprometer a
validade jurídica dos atos, a continuidade do serviço ou a proteção de dados
pessoais, compreendendo, no mínimo, livros e atos eletrônicos, bases
registrais, trilhas de auditoria, backups, integrações sistêmicas e dados
sensíveis; VI - dossiê técnico: conjunto organizado, íntegro e verificável de
evidências documentais, técnicas e operacionais destinadas a demonstrar o
cumprimento de etapa ou requisito específico, apto à fiscalização pela
Corregedoria competente; VII - incidente crítico: evento de segurança da
informação que comprometa ou possa comprometer de forma relevante a
disponibilidade, a integridade, a autenticidade, a confidencialidade ou a
rastreabilidade do acervo, dos sistemas ou da continuidade do serviço, exigindo
comunicação imediata à Corregedoria competente; VIII - interoperabilidade:
capacidade técnica de sistemas distintos de trocar, interpretar e utilizar
informações de forma segura, padronizada e funcionalmente integrada, assegurada
a preservação da integridade e da rastreabilidade dos dados; IX - modelos de
fornecimento como serviço (as a service): regime contratual em que a
infraestrutura, a plataforma ou a aplicação tecnológica é disponibilizada por
fornecedor externo sob forma de serviço continuado, incluindo, entre outros
modelos, Software as a Service (SaaS), Platform as a Service (PaaS) e
Infrastructure as a Service (IaaS); X - Plano de Continuidade de Negócios
(PCN): conjunto estruturado de procedimentos destinados a assegurar a
continuidade da prestação do serviço em situações de indisponibilidade; XI -
Plano de Recuperação de Desastres (PRD): conjunto de medidas técnicas e
operacionais voltadas à restauração de sistemas e dados após incidente grave; XII
- portabilidade de dados: possibilidade de extração, transferência e
reutilização estruturada dos dados da serventia, em formato interoperável e
tecnicamente acessível, sem perda de integridade, rastreabilidade ou
autenticidade; XIII - reversibilidade: garantia contratual e técnica de
restituição integral e utilizável dos dados, configurações e registros da
serventia ao seu titular, em caso de encerramento contratual, substituição de
fornecedor ou transição de gestão; XIV - RPO (Recovery Point Objective): ponto
máximo de perda de dados aceitável em caso de incidente; XV - RTO (Recovery
Time Objective): tempo máximo admissível para restabelecimento das operações;
XVI - solução compartilhada: modelo de uso de software ou plataforma em que
duas ou mais serventias operam em ambiente computacional unificado, sob
segregação lógica de dados e controles; XVII - solução coletiva: modelo de
contratação ou de governança conjunta por duas ou mais serventias para
implementação ou utilização de solução tecnológica comum, com compartilhamento
de decisões estratégicas, de custos ou de gestão contratual, independentemente
da arquitetura técnica adotada; XVIII - solução contratada: modelo
caracterizado pela dependência estrutural da serventia em relação a terceiros
para a manutenção, atualização, evolução ou hospedagem de sistemas,
independentemente do modelo de negócio (licenciamento, prestação continuada ou
as a service), configurada sempre que o delegatário não detiver controle
técnico pleno ou autonomia sobre: a) a manutenção corretiva e as atualizações
vitais à operação; b) a infraestrutura crítica de processamento ou
armazenamento (hospedagem); c) os mecanismos de segurança e a custódia de
chaves criptográficas; ou d) a extração integral, autônoma e documentada do
acervo em formato interoperável, sem necessidade de anuência ou intervenção do
fornecedor; XIX - solução própria: modelo em que a serventia detém autonomia
estrutural quanto à organização, custódia, administração e operação de sua
infraestrutura tecnológica e de seus ativos críticos, mantendo sob sua gestão
integral os controles de segurança, a governança técnica e a capacidade de
manutenção e evolução do sistema, ainda que conte com apoio técnico
terceirizado; XX - autonomia estrutural: quando a serventia detenha controle
técnico suficiente sobre a continuidade operacional, os mecanismos essenciais
de segurança e a extração integral e migrável do acervo, inexistindo
dependência estrutural de fornecedor para a continuidade, atualização ou
administração essencial da solução; XXI - tolerância a falhas: capacidade
técnica de sistemas ou infraestruturas de continuar operando, ainda que com
desempenho reduzido, diante da ocorrência de falha parcial de componentes; XXII
- vulnerabilidade crítica: falha técnica ou fragilidade de configuração cuja
exploração efetiva ou potencial apresente risco relevante de comprometimento da
integridade, da disponibilidade, da autenticidade, da confidencialidade ou da
rastreabilidade do acervo, dos sistemas ou da continuidade do serviço; XXIII -
Corregedoria competente: Corregedoria do Tribunal de Justiça do Estado ou do
Distrito Federal que detenha competência de fiscalização e controle sobre o
foro extrajudicial. §1º Para os fins deste Provimento, distingue-se tolerância
a falhas, caracterizada pela continuidade operacional diante de falha parcial
de componente, de alta disponibilidade, entendida como arquitetura estruturada
com redundância e mecanismos automáticos de failover destinados à minimização
de indisponibilidade não planejada, admitindo-se a adoção de qualquer das
soluções, isolada ou combinadamente, desde que atendidos os parâmetros de RTO e
RPO aplicáveis à respectiva classe. §2º Sempre que este Provimento fizer
referência à manutenção ou ampliação dos níveis de proteção, considerar-se-ão
compreendidos os requisitos de segurança, integridade, disponibilidade,
autenticidade, rastreabilidade e continuidade do serviço, bem como o objetivo
de assegurar a autenticidade, segurança e eficácia dos atos jurídicos,
observada a legislação pertinente à proteção de dados pessoais, no que tange à
publicidade. Art. 3º Magistrados, delegatários, interinos e interventores
deverão adotar e manter políticas de gestão, fiscalização e controle que
assegurem, no tratamento de dados e informações, confidencialidade (quando
aplicável, nos termos da legislação), integridade, disponibilidade,
autenticidade e rastreabilidade dos atos praticados. §1º Os serviços notariais
e de registro deverão instituir, desde a entrada em vigor deste Provimento, diretrizes
formais de continuidade operacional e preservação de dados, incorporadas à
Política Interna de Segurança da Informação, devendo a formalização técnica
completa do Plano de Continuidade de Negócios (PCN) e do Plano de Recuperação
de Desastres (PRD) observar a implementação progressiva prevista no Anexo IV.
§2º Os planos referidos no §1º deverão contemplar a identificação e a avaliação
de riscos, as medidas de mitigação correspondentes e as providências de curto
prazo (até 30 dias), e de médio prazo (até 90 dias), destinadas ao tratamento
de incidentes e à restauração da normalidade operacional. Art. 4º Os serviços
notariais e de registro deverão observar os padrões mínimos de tecnologia da
informação e comunicação estabelecidos nos Anexos deste Provimento, de acordo
com as classes nele definidas. §1º Os Anexos deste Provimento integram-no para
todos os fins, possuindo natureza normativa e caráter vinculante, devendo ser
observados integralmente, sem prejuízo das disposições constantes do corpo
principal deste ato. §2º Todos os softwares utilizados pelas serventias deverão
possuir licenciamento regular para uso comercial, admitindo-se aqueles de
código aberto ou de livre distribuição, desde que compatíveis com as normas de
segurança da informação e demais disposições deste Provimento. §3º Não será
admitida, para fins de cumprimento dos requisitos deste Provimento, a
utilização de sistemas operacionais, sistemas gerenciadores de banco de dados,
aplicações críticas ou quaisquer componentes tecnológicos cujo ciclo de suporte
oficial pelo fabricante tenha sido encerrado (End of Life - EOL), devendo a
serventia manter evidência documental atualizada da vigência do suporte técnico
e das atualizações de segurança. §4º Os requisitos
técnicos detalhados nos Anexos constituem desdobramento operacional das normas
gerais estabelecidas no corpo principal deste Provimento e deverão ser
interpretados de forma integrada e proporcional à classe da serventia,
prevalecendo, em caso de aparente sobreposição dentro da mesma classe
normativa, a disposição que estabelecer o padrão funcionalmente mais protetivo.
§5º A implementação dos requisitos previstos neste Provimento e em seus Anexos
observará, além da proporcionalidade por classe, a matriz necessidade/utilidade
e a matriz custo/benefício, reputando-se atendido o dever de conformidade
quando a serventia demonstrar, em dossiê técnico ou relatório simplificado,
firmado por profissional qualificado e produzido sob responsabilidade do
delegatário, interino ou interventor, que adotou solução tecnicamente
equivalente ou superior ao requisito funcional estabelecido. §6º Para as
serventias enquadradas na Classe 1, o relatório simplificado de implementação
previsto no Anexo IV será considerado forma adequada e suficiente de
comprovação, dispensada a estrutura ampliada de dossiê técnico, sem prejuízo da
responsabilidade do delegatário quanto à veracidade e à manutenção das
evidências. Art. 5º Os responsáveis pelas serventias extrajudiciais e seus
colaboradores, inclusive prepostos e fornecedores, deverão utilizar mecanismos
de autenticação individualizados e compatíveis com seus perfis de acesso, com
as funções efetivamente exercidas e com o grau de risco associado às atividades
desempenhadas, de modo a assegurar a identificação do usuário, a
rastreabilidade das ações praticadas e a responsabilização individual por ações
ou por omissões. §1º As obrigações previstas neste artigo são cumpridas sob a
responsabilidade pessoal do titular da delegação, ainda que executadas por
colaboradores, prepostos, terceiros ou fornecedores contratados. §2º Ressalvado
o previsto em normas específicas, para o atendimento do disposto no caput,
deverão ser empregados mecanismos seguros de autenticação, observando-se, como
regra, a autenticação multifator nos acessos a sistemas, bases de dados ou
funcionalidades críticas, admitida a autenticação por fator único apenas para
perfis de menor risco, desde que tecnicamente justificada, vedado, em qualquer
hipótese, o uso de credenciais compartilhadas, genéricas ou que impeçam a
responsabilização individual. §3º Admitir-se-á a utilização de contas técnicas
automatizadas destinadas exclusivamente à integração entre sistemas ou à
execução de rotinas sistêmicas, desde que haja segregação de privilégios,
registro auditável de todas as operações, identificação inequívoca daquelas
contas, do sistema responsável e vedação de sua utilização para prática direta
de atos notariais e/ou de registro. Art. 6º Os responsáveis pelas serventias
extrajudiciais deverão adotar, formalizar e manter políticas de gestão que: I -
estejam alinhadas à Lei Geral de Proteção de Dados Pessoais (Lei nº
13.709/2018) e à legislação correlata; II - assegurem a legitimidade, a
autenticidade e a regularidade dos atos notariais e de registro, em
conformidade com a Lei nº 6.015/1973 (artigos 23 a 26) e com a Lei nº
8.935/1994 (art. 46); III - garantam a transferência organizada dos acervos da
serventia aos eventuais sucessores, incluindo, no mínimo, bancos de dados,
softwares, manuais, políticas internas, controle de acessos, inventário de
ativos tecnológicos e histórico de atualizações; IV - promovam a continuidade
da prestação do serviço de forma adequada, ininterrupta, segura, eficaz e
eficiente, em conformidade com planos de contingência e de continuidade de
negócios, periodicamente revisados. Parágrafo único. As políticas de gestão
previstas neste artigo deverão ser implementadas e aperfeiçoadas de forma
progressiva, em conformidade com as etapas estruturadas no Anexo IV, observada
a ordem sequencial ali estabelecida, sem prejuízo da responsabilidade do
delegatário, interino ou interventor quanto à adoção das medidas mínimas de
conformidade e mitigação de riscos desde a entrada em vigor deste Provimento.
Art. 7º O delegatário, interino ou interventor, na qualidade de responsável
pelo tratamento de dados pessoais no âmbito da serventia extrajudicial, deverá
assegurar conformidade com a Lei nº 13.709/2018, adotando medidas técnicas e
organizacionais adequadas à proteção de dados. §1º A serventia deverá manter
registro das operações de tratamento de dados, conforme exigido pela legislação
vigente. §2º Quando aplicável, deverá ser designado encarregado pelo tratamento
de dados pessoais, com atribuições compatíveis com a legislação e com os riscos
inerentes às atividades desempenhadas. §3º Incidentes de segurança que possam
acarretar risco ou dano relevante aos titulares deverão ser comunicados à
Autoridade Nacional de Proteção de Dados e à Corregedoria competente. Art. 8º
As soluções tecnológicas utilizadas pelos serviços notariais e de registro
deverão: I - basear-se em princípios e normas técnicas reconhecidas na área de
Tecnologia da Informação e Comunicação, compatíveis com os valores previstos
neste Provimento e com o estímulo à inovação; II - possibilitar integração com
diferentes plataformas, assegurando a interoperabilidade; III - evitar, sempre
que possível, a dependência de fornecedores exclusivos; IV - ser compostas por
componentes devidamente licenciados, admitindo-se o uso de software livre ou de
código aberto, desde que observadas as normas de segurança da informação e de
conformidade aplicáveis; V - assegurar, sempre que envolverem infraestrutura
física ou virtual compartilhada entre múltiplas serventias ou entre a serventia
e outros clientes do fornecedor, a segregação lógica inequívoca de dados, bases,
trilhas de auditoria, backups e controles de acesso, mediante mecanismos
técnicos aptos a impedir acesso, visualização, alteração ou extração indevida
por terceiros, preservada a autonomia jurídica e operacional da unidade; VI -
assegurar flexibilidade arquitetural e redundância compatível com a classe da
serventia, independentemente de a solução operar em ambiente local, em nuvem ou
em arquitetura híbrida, desde que observados os padrões de segurança da
informação e de proteção de dados pessoais; VII - assegurar segmentação lógica
de redes internas, com separação funcional entre, no mínimo, ambientes
administrativos ou de servidores e ambientes destinados a atendimento ao
público ou a dispositivos externos, observada a proporcionalidade segundo a classe
da serventia, nos seguintes termos: a) para as Classes 2 e 3, mediante
implementação obrigatória de mecanismos formais de segmentação, tais como VLANs
ou soluções tecnicamente equivalentes ou superiores; b) para a Classe 1,
mediante adoção de medida técnica idônea que impeça a comunicação irrestrita
entre dispositivos administrativos e dispositivos de uso público, admitida
solução simplificada equivalente ou superior, no mínimo, compatível com a
infraestrutura. §1º A caracterização da solução tecnológica adotada pela
serventia (própria, contratada, compartilhada ou coletiva) deverá observar
critérios materiais de governança técnica, controle efetivo dos dados,
autonomia de continuidade operacional e inexistência de dependência estrutural
não mitigada, prevalecendo a realidade técnica e contratual sobre a
nomenclatura atribuída pelas partes. §2º A adoção das soluções tecnológicas
referidas neste artigo poderá ocorrer por meio de arquiteturas, metodologias ou
combinações técnicas diversas, inclusive inovadoras, desde que assegurem, de
forma objetivamente demonstrável e documentada, grau equivalente ou superior de
conformidade com os padrões mínimos de segurança, integridade, disponibilidade,
autenticidade, rastreabilidade e continuidade estabelecidos neste ato
normativo. §3º Todas as serventias deverão adotar mecanismos de proteção
perimetral aptos a controlar o tráfego de entrada e saída de dados, impedir
acessos não autorizados e registrar eventos relevantes de segurança,
compatíveis com sua classe e com a criticidade de suas operações. §4º Para as
serventias enquadradas nas Classes 2 e 3, os mecanismos referidos no §3º
deverão contemplar, cumulativamente: I - inspeção ativa de tráfego em nível de
rede; II - geração e retenção de registros auditáveis de eventos de segurança;
III - capacidade de detecção e bloqueio de ameaças avançadas, inclusive por
análise comportamental ou por inteligência de ameaças, admitida a adoção de
soluções integradas ou dedicadas, desde que tecnicamente demonstrada a
equivalência funcional. §5º Para as serventias enquadradas na Classe 1, os
mecanismos de proteção perimetral deverão, no mínimo: I - realizar filtragem de
conexões externas; II - registrar eventos críticos de acesso e bloqueio; e III
- manter configuração formalmente documentada, passível de verificação pela
Corregedoria competente. Art. 9º Os dados sensíveis, informações pessoais,
registros eletrônicos e demais informações armazenadas ou transmitidas no
âmbito das serventias deverão ser protegidos por mecanismos de criptografia
adequados ao estado da técnica, observadas as boas práticas reconhecidas e os
padrões mínimos definidos neste Provimento. §1º A criptografia deverá ser
aplicada: I - aos dados em trânsito, mediante protocolos seguros atualizados;
II - aos dados em repouso, especialmente quando armazenados em servidores,
estações de trabalho, dispositivos móveis ou ambientes em nuvem; III - às
rotinas de backup, quando envolverem armazenamento externo ou em infraestrutura
de terceiros. §2º Os algoritmos e protocolos utilizados deverão possuir
reconhecimento público, atualização ativa e suporte vigente, vedada a
utilização de padrões considerados obsoletos ou vulneráveis. §3º A gestão de
chaves criptográficas deverá observar controles de acesso restritos, segregação
de funções e registro de utilização, conforme definido em política interna
formalizada. Art. 10. As serventias deverão manter trilhas de auditoria (logs)
que permitam a rastreabilidade das operações realizadas nos sistemas utilizados
para prática de atos notariais e registrais, assegurando a identificação de
usuários, data, hora, minuto e segundo das operações, natureza da ação
executada e resultado obtido. §1º Os registros de log deverão ser protegidos,
no mínimo, contra alteração, exclusão não autorizada e perda acidental, devendo
ser armazenados por prazo mínimo definido neste Provimento. §2º O nível de
detalhamento das trilhas de auditoria observará a classe da serventia, o volume
anual de atos praticados e a criticidade da atividade desempenhada, devendo
atender, no mínimo, aos níveis técnico-operacionais definidos no §3º deste
artigo. §3º Para fins deste Provimento, as trilhas de auditoria classificam-se
nos seguintes níveis: I - Nível Essencial: registro de autenticação de
usuários, operações principais e eventos de erro relevantes; II - Nível
Intermediário: registro adicional de alterações cadastrais, exportações de
dados e tentativas de acesso não autorizado; III - Nível Ampliado: registro
detalhado de operações administrativas, alterações de configuração e
integrações sistêmicas; IV - Nível Avançado: registro granular de eventos de
sistema, correlação automatizada e monitoramento contínuo. §4º As serventias
classificadas nas Classes 1 e 2 deverão observar, no mínimo, o Nível Essencial,
facultada a adoção de níveis superiores conforme avaliação de risco e
disponibilidade de recursos. §5º As serventias de Classe 3 deverão observar, no
mínimo, o Nível Intermediário, podendo ser exigido nível superior mediante
justificativa técnica fundada na criticidade das operações realizadas. §6º O
prazo mínimo de retenção das trilhas de auditoria será definido no Anexo II,
observado o princípio da proporcionalidade por classe, sem prejuízo de prazo
superior exigido por norma específica ou por determinação correcional fundamentada.
Art. 11. As serventias extrajudiciais deverão manter procedimentos documentados
para gestão de incidentes de segurança da informação, contemplando, no mínimo,
identificação, classificação por gravidade, medidas de contenção, erradicação,
recuperação e registro das ocorrências. §1º Incidentes classificados como
críticos deverão ser comunicados à Corregedoria competente no prazo máximo
definido no Anexo II, sem prejuízo das comunicações exigidas pela legislação
específica. §2º Todos os incidentes deverão ser objeto de análise de causa raiz
e de registro formal das medidas corretivas adotadas. §3º A gestão de
vulnerabilidades observará os requisitos técnicos, prazos de tratamento,
critérios de priorização e deveres de registro estabelecidos no Anexo II,
devendo as diretrizes estratégicas correspondentes constar da Política Interna
de Segurança da Informação prevista no Anexo III. Os prazos máximos e os
critérios técnicos de tratamento constam exclusivamente do Anexo II, vedada
interpretação autônoma de dispositivos da Política Interna que implique redução
do padrão mínimo ali estabelecido. §4º As medidas adotadas no âmbito da gestão
de vulnerabilidades deverão ser registradas formalmente no dossiê técnico da
serventia, com indicação da data de identificação, classificação de risco,
providências implementadas e data de encerramento. Art. 12. Os atos e livros
eletrônicos deverão ser produzidos, armazenados, preservados e geridos de modo
a assegurar, de forma permanente, a autenticidade, a integridade material e
lógica, a imutabilidade do conteúdo jurídico originalmente praticado, a
rastreabilidade das operações e, quando exigido por lei, a confidencialidade,
observadas as normas de segurança da informação e de proteção de dados
pessoais, inclusive quando utilizados ambientes tecnológicos externos ou em
nuvem. §1º A integridade e a imutabilidade referidas no caput deverão ser
garantidas por mecanismos técnicos que: I - preservem histórico verificável de
versões; II - mantenham registro comprovável de integridade; III - impeçam
modificação, substituição ou sobrescrita sem geração automática de trilha de
auditoria imutável e identificável; IV - permitam auditoria técnica
independente, quando necessária. §2º A serventia deverá manter política formal
de cópias de segurança (backup), automatizada e monitorada, apta a assegurar a
continuidade operacional e a recuperação íntegra do acervo eletrônico. §3º As
cópias de segurança deverão compreender: I - cópias completas realizadas em
periodicidade compatível com a classe da serventia; e II - mecanismos
adicionais de preservação contínua ou incremental de dados, aptos a assegurar a
recuperação dos atos até o limite do objetivo de ponto de recuperação (RPO)
aplicável. §4º O atendimento ao RPO poderá ocorrer por meio de cópias
incrementais, replicação contínua, recuperação em ponto específico no tempo
(point-in-time recovery) ou tecnologia equivalente, não se confundindo com a
periodicidade das cópias completas. §5º Os parâmetros objetivos de RPO por
classe, as periodicidades mínimas de backup e as arquiteturas técnicas aptas ao
seu atendimento constam nos Anexos I e II deste Provimento. §6º As cópias de
segurança deverão ser mantidas em ambiente tecnicamente independente daquele
utilizado para o processamento primário dos dados, assegurada segregação física
ou lógica apta a prevenir comprometimento simultâneo, admitidas soluções em
nuvem ou arquiteturas híbridas que demonstrem equivalência ou superioridade de
segurança, integridade, disponibilidade e resiliência. §7º A arquitetura de
armazenamento deverá dispor de mecanismos de tolerância a falhas ou de alta
disponibilidade compatíveis com a classe da serventia e com a criticidade do
acervo. §8º A infraestrutura elétrica que suporte ativos críticos de tecnologia
da informação deverá possuir aterramento funcional e tecnicamente aferido,
mantido laudo atualizado subscrito por profissional habilitado, com anotação de
responsabilidade técnica. §9º As rotinas de backup deverão ser submetidas a
testes formais e documentados de restauração, em periodicidade compatível com a
classe da serventia, nos termos definidos nos Anexos, devendo os resultados
integrar o dossiê técnico. §10. As rotinas de backup devem ser continuamente
monitoradas quanto à sua execução bem-sucedida e à integridade dos dados
restauráveis. Qualquer falha detectada deverá gerar, de forma imediata: I –
alerta técnico automático ao responsável; II – registro formal do incidente,
com abertura de chamado para análise e correção. §11. A política de retenção de
backups não exime o cumprimento da obrigatoriedade de guarda das trilhas de
auditoria previstas no art. 10 e no Anexo II desta norma, nem autoriza a
eliminação de registros cuja conservação seja exigida por legislação específica
ou por determinação de autoridade competente. §12. Constitui meta técnica de
excelência, para ambientes de maior criticidade, a capacidade de recuperação de
dados com defasagem inferior a 30 (trinta) minutos, quando tecnicamente viável
e economicamente proporcional, nos termos definidos nos Anexos. Art. 13. O
cumprimento dos requisitos técnicos previstos neste Provimento poderá ocorrer
por meio de: I - solução própria; II - solução contratada, inclusive sob
modelos de fornecimento como serviço (SaaS, PaaS, IaaS ou equivalentes); III -
solução compartilhada; IV - solução coletiva. §1º Os modelos previstos neste
artigo poderão ser adotados de forma isolada ou combinada, desde que,
considerados em conjunto, assegurem o atendimento integral dos requisitos
estabelecidos neste Provimento e em seus Anexos. §2º A contratação de terceiros
poderá ser realizada de forma individual ou coletiva, inclusive por intermédio
de Operador Nacional e/ou de entidade representativa de notários e/ou
registradores regularmente constituída e gerida por delegatários. §3º A
responsabilidade pelo cumprimento integral dos requisitos normativos permanece
pessoal e indelegável do delegatário, interino ou interventor responsável pela
serventia, ainda que haja contratação de terceiros ou participação em solução
coletiva e/ou compartilhada. §4º Quando o cumprimento dos requisitos técnicos
previstos neste Provimento ocorrer por meio de plataforma nacional estruturada,
solução coletiva ou ambiente tecnológico mantido por entidade representativa de
notários e/ou registradores e/ou por operador nacional regularmente instituído,
admitir-se-á a centralização material da implementação dos controles técnicos,
desde que: I - a entidade mantenedora demonstre, por meio de documentação
técnica formal e auditável, a conformidade integral ou equivalente com os
requisitos estabelecidos neste Provimento e em seus Anexos; II - a serventia
mantenha, em seu dossiê técnico, evidência atualizada da adesão à plataforma,
da abrangência dos controles implementados centralmente e da compatibilidade
destes com sua classe; III - permaneça assegurada a responsabilidade pessoal e
funcional do delegatário quanto à governança local, ao controle de acessos
internos, à gestão de incidentes, à integração com seus planos de continuidade
e à observância da legislação de proteção de dados pessoais. §5º A
implementação centralizada referida no §4º não implica dispensa normativa das
serventias quanto ao dever de conformidade, mas autoriza que a comprovação de
requisitos estruturais seja realizada por meio de certificação ou documentação
coletiva emitida pela entidade mantenedora, sem prejuízo da fiscalização
correicional individual. §6º As contratações deverão conter, no mínimo,
cláusulas que assegurem confidencialidade, reversibilidade, portabilidade de
dados, gestão de incidentes e observância integral da Lei nº 13.709/2018. §7º
Quando a solução tecnológica estrutural for mantida por entidade representativa
de notários e/ou de registradores, Operador Nacional ou por outro fornecedor
que atenda a múltiplas serventias, a validação técnica estrutural realizada uma
única vez, mediante relatório técnico abrangente e auditável, produzirá efeito
para todas as serventias usuárias quanto aos requisitos estruturais, cabendo à
fiscalização individual restringir-se aos controles locais de governança,
gestão de acessos e integração operacional. Art. 14. A adoção de solução
própria, contratada, compartilhada ou coletiva não afasta nem mitiga a
autonomia jurídica da serventia extrajudicial, permanecendo íntegra a
responsabilidade pessoal do delegatário, interino ou interventor quanto aos
atos praticados e ao cumprimento das obrigações legais, regulamentares e
correicionais. Parágrafo único. A centralização material de controles técnicos,
quando admitida nos termos deste Provimento, não implica transferência de
responsabilidade funcional nem exoneração do dever de governança local,
fiscalização interna e conformidade normativa. Art. 15. Considera-se mitigada a
dependência estrutural em relação a fornecedor ou entidade mantenedora quando
houver, cumulativamente: I – cláusula contratual expressa que assegure
reversibilidade integral e portabilidade de dados em formato interoperável,
estruturado e não proprietário; II – comprovação documental de realização de
teste de extração integral do acervo, nos termos do Anexo IV; III –
inexistência de restrição técnica ou contratual que impeça a migração do acervo
para outra solução sem necessidade de anuência discricionária do fornecedor.
§1º A mitigação da dependência estrutural não afasta o dever de supervisão
contínua da solução tecnológica adotada nem dispensa a manutenção de evidências
atualizadas no dossiê técnico ou relatório simplificado, conforme a classe da
serventia. §2º A caracterização da mitigação será aferida à luz da realidade
técnica e contratual efetivamente existente, prevalecendo o conteúdo material
da relação sobre a nomenclatura adotada pelas partes. Art. 16. Para os fins
deste Provimento e dos demais atos normativos correlatos, as serventias
extrajudiciais serão enquadradas conforme a arrecadação bruta semestral,
apurada na forma das diretrizes expedidas pela Corregedoria Nacional de
Justiça, adotando-se como referência o valor máximo fixado para cada classe e
as escalas internas a ele associadas: I - A Classe 1 abrange as unidades cuja receita
semestral não ultrapasse R$ 100.000,00 (cem mil reais), organizando-se em três
faixas equivalentes, calculadas sobre esse montante: Subclasse A, até um terço
do teto; Subclasse B, acima de um terço e até dois terços; Subclasse C, acima
de dois terços e até o valor integral estabelecido para a classe; II - A Classe
2 compreende as unidades cuja receita supere o marco da Classe 1 e não exceda
R$ 500.000,00 (quinhentos mil reais), distribuindo-se igualmente em três
segmentos proporcionais ao respectivo teto: Subclasse D, até um terço do limite
da classe; Subclasse E, acima de um terço e até dois terços; Subclasse F, acima
de dois terços e até o valor integral estabelecido para a classe; III - A
Classe 3 alcança as unidades cuja receita ultrapasse o limite da Classe 2,
sendo suas subdivisões definidas por múltiplos daquele valor: Subclasse G, até
três vezes esse valor; Subclasse H, acima de três e até seis vezes; Subclasse
I, acima de seis e até doze vezes esse valor; e Subclasse J, acima de doze
vezes o mesmo referencial. §1º O enquadramento da serventia deverá ser
reavaliado anualmente, com base na arrecadação do semestre imediatamente
anterior, produzindo efeitos para o período subsequente, observados os prazos
de adaptação previstos neste Provimento. §2º Os limites de arrecadação
definidos neste artigo serão automaticamente atualizados a cada ano de vigência
deste Provimento, pelo IPCA ou por outro índice oficial que venha a
substituí-lo. §3º A migração de classe ou subclasse não produzirá efeitos imediatos
quando a variação da arrecadação não ultrapassar dez por cento do limite
superior da faixa anterior, hipótese em que será exigida consolidação por dois
ciclos consecutivos. Art. 17. Em campo próprio do banco de dados público
nominado Sistema Justiça Aberta, os responsáveis pelas serventias
extrajudiciais (exercentes de função dotada de fé pública) deverão declarar o
cumprimento das diversas fases previstas para as sucessivas etapas,
consideradas necessárias à integral execução deste ato normativo, prestando os
esclarecimentos que venham a ser requisitados pelas Corregedorias, bem como
apresentando a documentação pertinente. §1º A declaração referida no caput
deverá ser renovada anualmente e acompanhada de síntese do dossiê técnico,
contendo evidências mínimas de conformidade com os requisitos estruturais e
operacionais previstos neste Provimento e em seus Anexos. §2º A declaração
falsa, objetivamente verificada em inspeções ou em correições, sujeitará o
responsável às penalidades previstas em lei. Art. 18. Os atos normativos da
Corregedoria Nacional de Justiça que disponham sobre tecnologia da informação e
segurança da informação deverão ser interpretados de forma sistemática,
integrada e orientada à máxima efetividade da proteção do acervo, da continuidade
do serviço, da autenticidade, da segurança e da eficácia dos atos jurídicos.
Parágrafo único. É vedada interpretação isolada de dispositivos que conduza à
exclusão de deveres técnicos, à redução dos níveis mínimos de proteção
normativa ou à fragmentação dos regimes de segurança, auditoria e continuidade
dos serviços extrajudiciais. Art. 19. As soluções tecnológicas adotadas pelas
serventias extrajudiciais deverão ser tecnicamente aptas à integração com
plataformas eletrônicas de fiscalização e controle, observados padrões mínimos
nacionais de interoperabilidade que assegurem, cumulativamente: I - a
capacidade de intercâmbio estruturado de dados em formato aberto ou
tecnicamente equivalente, apto à leitura automatizada e à preservação da
integridade e da consistência das informações; II - a identificação inequívoca
da serventia emissora e do sistema solicitante, com mecanismos idôneos de
verificação de autenticidade e integridade das informações transmitidas; III -
a utilização de canal seguro de comunicação, compatível com o estado da
técnica, apto a resguardar a confidencialidade, a integridade e a
rastreabilidade das operações realizadas; IV - a manutenção de registros
auditáveis das integrações efetuadas. §1º A integração referida no caput poderá
ocorrer por meio de interfaces técnicas, serviços eletrônicos ou mecanismos
estruturados de disponibilização, envio ou acesso autenticado a dados,
inclusive em ambientes tecnológicos compartilhados ou em nuvem, desde que
preservados a segregação lógica por serventia, os limites legais de sigilo e a
finalidade fiscalizatória. §2º A implementação observará critérios de
proporcionalidade conforme a classe da serventia e respeitará as normas de
proteção de dados pessoais, vedada a imposição de solução tecnológica específica
quando demonstrada equivalência funcional aos padrões estabelecidos neste
artigo. Art. 20. A implementação inicial obrigatória dos requisitos previstos
neste Provimento, correspondente à conclusão das Etapas 1 e 2 do Anexo IV,
relativas à governança, à conformidade legal, à infraestrutura e à continuidade
operacional, deverá ocorrer nos seguintes prazos, contados da data de entrada
em vigor deste Provimento: I – 90 (noventa) dias, para as serventias
enquadradas na Classe 3; II – 150 (cento e cinquenta) dias, para as serventias
enquadradas na Classe 2; III – 210 (duzentos e dez) dias, para as serventias
enquadradas na Classe 1. §1º A exigibilidade plena dos requisitos técnicos e
organizacionais previstos neste Provimento deverá ser interpretada de forma
sistemática e integrada com o Anexo IV. §2º Os prazos estabelecidos no caput
não autorizam: I – a declaração formal de conclusão de etapa posterior sem o
cumprimento integral e comprovado dos requisitos da etapa imediatamente
anterior, não se vedando, contudo, a implementação técnica voluntária e
antecipada de controles mais avançados, desde que preservada a ordem sequencial
para fins de certificação formal; II – a postergação dos requisitos estruturais
mínimos das Etapas 1 e 2; III – o afastamento das medidas mínimas de mitigação
de risco expressamente previstas neste ato normativo. Art. 21. As Corregedorias
dos Tribunais de Justiça poderão, de forma excepcional e mediante decisão
fundamentada, prorrogar, uma única vez, os prazos previstos no art. 20 por até
90 (noventa) dias, quando demonstrada inviabilidade temporária de adequação de
natureza técnica ou financeira, desde que a serventia: I – apresente plano
formal de adequação com cronograma definido e indicação de responsáveis; e II –
implemente imediatamente medidas compensatórias mínimas de redução de risco,
conforme orientação técnica da Corregedoria competente. §1º Para as serventias
da Classe 1, o requerimento de prorrogação será submetido a análise
simplificada pela Corregedoria competente. §2º As serventias das Classes 2 e 3
deverão apresentar requerimento formal à respectiva Corregedoria, indicando de
forma objetiva as razões do pedido, os elementos probatórios pertinentes,
inclusive orçamentos, e as providências que serão adotadas ao longo da prorrogação
para a ultimação do cumprimento das normas técnicas eventualmente inadimplidas,
inclusive aquelas pertinentes ao Provimento nº 74/2018, bem como das normas
integrantes deste Provimento. Art. 22. As serventias poderão implementar os
requisitos técnicos previstos nas Etapas 3 a 5 do Anexo IV em regime
progressivo de maturidade, observada a proporcionalidade por classe e os prazos
máximos estabelecidos no art. 23. §1º As serventias enquadradas na Classe 3
poderão apresentar plano estruturado de evolução de maturidade em segurança da
informação, com horizonte máximo de 24 (vinte e quatro) meses, observado o
prazo global previsto no art. 23, desde que: I – cumpram integralmente, desde o
primeiro ciclo, os requisitos mínimos relativos à criptografia, à autenticação
multifator para acessos administrativos, à gestão de incidentes e à
conformidade com a Lei nº 13.709/2018; II – apresentem cronograma formal de
aprimoramento progressivo dos controles avançados de monitoramento, gestão de
vulnerabilidades e automação de auditoria; III – submetam-se à primeira
avaliação técnica no prazo máximo de 12 (doze) meses. §2º As serventias das
Classes 1 e 2 poderão implementar os requisitos de monitoramento avançado e
automação de auditoria em regime progressivo de maturidade, desde que observem
imediatamente os requisitos mínimos relativos à criptografia, à gestão de
incidentes, à conformidade com a Lei nº 13.709/2018 e à proteção de backups. §3º
As Etapas 3 a 5 do Anexo IV permanecem submetidas aos regimes de
progressividade, maturidade e proporcionalidade estabelecidos neste artigo e
nos Anexos. Art. 23. A implementação cumulativa e integral de todas as etapas
previstas no Anexo IV deverá estar concluída nos seguintes prazos máximos,
contados da data de entrada em vigor deste Provimento, observada a
implementação inicial obrigatória prevista no art. 20 como fase integrante e
indissociável do cronograma global: I - até 24 (vinte e quatro) meses, para as
serventias enquadradas na Classe 3; II - até 30 (trinta) meses, para as
serventias enquadradas na Classe 2; III - até 36 (trinta e seis) meses, para as
serventias enquadradas na Classe 1. Parágrafo único. Os prazos máximos
estabelecidos neste artigo englobam os prazos de implementação inicial
previstos no art. 20, os quais constituem fase obrigatória e preliminar do
cronograma global de adequação, devendo a execução das etapas subsequentes
observar a ordem sequencial e cumulativa definida no Anexo IV. Art. 24. O
descumprimento injustificado dos requisitos técnicos e organizacionais
previstos neste Provimento, quando caracterizada negligência, imprudência ou
omissão relevante do titular da delegação, poderá ensejar a instauração de
procedimento administrativo disciplinar, sem prejuízo das responsabilidades
civis e penais cabíveis. Art. 25. O acompanhamento e a fiscalização do
cumprimento deste ato normativo observará metodologia orientada por risco, com
priorização de serventias cuja situação revele maior probabilidade ou maior
potencial de impacto decorrente de eventual não conformidade. §1º Para os fins
deste artigo, consideram-se, entre outros elementos indicativos de risco: I –
indícios objetivamente verificáveis de não conformidade, compreendidos como
inconsistências entre informações declaradas e dados disponíveis, evidências
externas de falhas não reportadas, ausência de documentação mínima exigida ou
padrões reiterados de comportamento incompatíveis com as obrigações previstas
neste ato; II – informações desatualizadas ou ausência de atualização periódica
dos dados e documentos exigidos; III – inconsistências detectadas por
cruzamento de bases ou por análise técnica de coerência entre dados econômicos,
operacionais e estruturais; IV – reincidência de falhas não sanadas ou fatores
de criticidade operacional que elevem o potencial impacto sistêmico de eventual
interrupção, indisponibilidade ou comprometimento da integridade do serviço.
§2º Consideram-se fatores de criticidade operacional, para os fins do inciso IV
do §1º, elementos relacionados ao volume de atos praticados, à posição
estratégica na rede de prestação de serviço extrajudicial, ao grau de
interconexão tecnológica, à dependência de infraestrutura compartilhada ou a
outras circunstâncias que ampliem o alcance social, econômico ou jurídico de
eventual falha. Art. 26. Fica revogado o Provimento nº 74, de 31 de julho de
2018.
Ministro
MAURO CAMPBELL MARQUES
