Pular para o conteúdo

Engedigital apresenta: Checklist de Conformidade – Provimento nº 213/2026 (CNJ)

26 de fevereiro de 2026 por
Engedigital apresenta: Checklist de Conformidade – Provimento nº 213/2026 (CNJ)
Paulo Barbassa

O Provimento nº 213/2026, do Conselho Nacional de Justiça, estabelece um novo patamar de governança, segurança da informação, continuidade operacional e proteção do acervo digital para os cartórios brasileiros.

Sabemos que a adequação às exigências normativas não é um evento pontual — é um processo estruturado, técnico e progressivo.

Com o objetivo de apoiar nossos clientes nesse caminho, a Engedigital elaborou um Checklist Completo de Conformidade, organizado exatamente conforme as 5 Etapas previstas no Anexo IV do Provimento.

Este material foi desenvolvido para servir como:

  • 📌 Instrumento de autoavaliação técnica

  • 📌 Guia prático de organização interna

  • 📌 Ferramenta de acompanhamento da evolução da conformidade

  • 📌 Base para construção do Dossiê Técnico

Nossa iniciativa

Com mais de três décadas atuando exclusivamente com tecnologia para serventias extrajudiciais, entendemos que a conformidade regulatória precisa ser tratada com:

  • Método

  • Documentação formal

  • Evidências técnicas

  • Planejamento estruturado

  • Governança contínua

Este checklist consolida os principais pontos de verificação exigidos nas Etapas 1 a 5, facilitando a visualização do que já está implementado e do que ainda precisa ser estruturado.

Ele foi construído para ajudar a transformar uma norma extensa e técnica em um plano de ação organizado.

⚠️ Atenção Importante

Este checklist não substitui a leitura integral e criteriosa do Provimento nº 213/2026.

Recomendamos fortemente que:

  • O texto normativo seja lido na íntegra;

  • O Anexo IV seja analisado com atenção;

  • As exigências sejam interpretadas dentro da realidade específica da classe da serventia (C1, C2 ou C3);

  • Havendo dúvidas jurídicas, o cartório consulte sua assessoria especializada.

A norma traz obrigações que envolvem aspectos técnicos, administrativos, físicos e organizacionais que vão além de qualquer lista resumida.

O checklist é uma ferramenta de apoio — não um parecer jurídico e nem uma certificação automática de conformidade.

Conformidade é processo, não declaração

A adequação ao Provimento 213/2026 exige:

  • Planejamento progressivo

  • Evidências documentais

  • Testes práticos (restauração, simulação de desastre, reversibilidade)

  • Registro formal no Sistema Justiça Aberta

  • Governança contínua

Mais do que cumprir exigências, trata-se de elevar o padrão de segurança, resiliência e independência estrutural da serventia.

Estamos à disposição

A Engedigital permanece à disposição para:

  • Avaliação técnica personalizada da serventia

  • Apoio na elaboração de políticas e documentação

  • Estruturação de planos de continuidade (PCN/PRD)

  • Implementação de rotinas de backup com imutabilidade

  • Adequação de infraestrutura

  • Revisão de contratos tecnológicos

  • Estruturação do Dossiê Técnico

Nosso compromisso é atuar como parceiro estratégico na jornada de conformidade, com segurança jurídica, técnica e operacional.


Checklist:


Abaixo apresentamos um checklist completo, organizado exatamente pelas etapas normativas, para você verificar se a serventia atende a todas as exigências:

Etapa 1: Governança, Estruturação e Conformidade Legal

Objetivo: Base normativa, organizacional e adequação à LGPD.
[ ] Nomeações Formais: Foram designados o responsável técnico interno, o controlador de dados (titular) e o Encarregado de Proteção de Dados (DPO), se aplicável.
[ ] Política de Segurança da Informação (PSI): Foi elaborada, aprovada e divulgada uma PSI contendo regras de acesso, proteção física, gestão de incidentes, senhas, criptografia e integração prévia com planos de continuidade.
[ ] Autenticação: Todos os acessos são individualizados, sendo proibido o uso de credenciais compartilhadas. Foi ativada a Autenticação Multifator (MFA) obrigatória para acessos administrativos e críticos.
[ ] Adequação à LGPD: O cartório possui o registro estruturado das operações de tratamento de dados pessoais.
[ ] Comunicação de Incidentes: Existe um processo definido para comunicar incidentes críticos à Corregedoria em até 72 horas (recomendado 24h).
[ ] Inventário de Ativos: Há um inventário completo e atualizado de hardware, softwares, bancos de dados, integrações, certificados digitais e contratos.
[ ] Revisão de Contratos e Licenças: Todos os softwares estão devidamente licenciados e os contratos com fornecedores foram revisados para incluir cláusulas de confidencialidade, reversibilidade, portabilidade de dados em formato aberto, gestão de incidentes e adequação à LGPD.
[ ] Declaração: A declaração de conclusão da Etapa 1 foi assinada pelo titular e registrada no Sistema Justiça Aberta.

Etapa 2: Infraestrutura e Continuidade Operacional

Objetivo: Base material, disponibilidade e planejamento de contingência.
[ ] Energia: Há fonte de energia estável, aterramento técnico e No-Break (SAI/UPS) com autonomia recomendada de pelo menos 30 minutos para desligamento seguro.
[ ] Ambiente Físico: O local dos equipamentos críticos (CPD) possui controle restrito de acesso (ex: porta com chave) e proteção contra incêndio, inundações e variações térmicas.
[ ] Conectividade: O link de internet atende à referência da classe (C1: 2 Mbps, C2: 10 Mbps, C3: 50 Mbps) e suporta realizar o backup dentro do tempo limite. A rede possui roteador e switch.
[ ] Planos de Continuidade: O Plano de Continuidade de Negócios (PCN) e o Plano de Recuperação de Desastres (PRD) foram formalizados, contendo análise de riscos, medidas de mitigação e a definição exata de RTO (Tempo de Recuperação) e RPO (Ponto de Perda de Dados) da serventia.
[ ] Proteção de Endpoint (Básica): Há antivírus/antimalware instalado em todas as estações de trabalho e servidores.
[ ] Topologia Documentada: Foi criado um documento técnico detalhando a arquitetura de rede, fluxos de dados, local dos backups e integrações externas.
[ ] Declaração: A conclusão da Etapa 2 foi registrada no Sistema Justiça Aberta.
[ ] Todos os sistemas operacionais, bancos de dados e aplicações críticas estão com suporte oficial ativo (não EOL).
[ ] Existe evidência documental da vigência do suporte técnico.

Etapa 3: Proteção do Acervo Digital e Resiliência

Objetivo: Criptografia, backups automatizados e defesa de rede.
[ ] Criptografia e Chaves: Dados críticos em repouso (mínimo AES-256) e em trânsito (mínimo TLS 1.2) estão criptografados. Há gestão formal e segura das chaves criptográficas (sob controle do cartório).
[ ] Rotinas de Backup: O backup completo é feito dentro do prazo da classe (C1: até 72h, C2: até 48h, C3: até 24h) e os incrementais garantem a meta do RPO.
[ ] Redundância e Imutabilidade do Backup: Os backups são mantidos em pelo menos dois ambientes independentes (ex: nuvem e off-site). Pelo menos um ambiente tem proteção de imutabilidade (ex: WORM/retention lock) contra exclusão indevida ou ransomware.
[ ] Monitoramento: As rotinas de backup disparam alertas automáticos em caso de falhas e geram registro formal do incidente.
[ ] Proteção de Rede (Perímetro): A serventia implementou Firewall com inspeção de pacotes (stateful) com IPS/IDS e segmentação lógica da rede administrativa.
[ ] Banco de Dados e Alta Disponibilidade: O banco de dados possui integridade transacional e a infraestrutura tem tolerância a falhas ou alta disponibilidade compatível com a classe.
[ ] Trilhas de Auditoria (Logs): Os logs dos sistemas são gerados com data, hora sincronizada, identificação do usuário e são imutáveis.
[ ] Declaração: A conclusão da Etapa 3 foi registrada no Sistema Justiça Aberta.

Etapa 4: Monitoramento, Auditoria e Validação

Objetivo: Testes empíricos dos controles e gestão de vulnerabilidades.
[ ] Auditoria de Logs: Foi emitido um relatório atestando a integridade, imutabilidade e retenção mínima (5 anos) das trilhas de auditoria.
[ ] Gestão de Vulnerabilidades: Existe rotina documentada para atualização de sistemas. Falhas críticas são corrigidas em até 30 dias (ou preferencialmente 72 horas, se houver exploração ativa na internet).
[ ] Testes de Restauração: Foram realizados testes práticos e documentados de restauração de backup (semestral para Classe 3; anual para Classes 1 e 2) para provar o cumprimento do RTO e RPO.
[ ] Simulação de Desastre: É realizada uma simulação anual validando os procedimentos do PCN e PRD.
[ ] Análise de Incidentes: Todos os incidentes geram análise de causa raiz e documentação de lições aprendidas.
[ ] Pentest (Apenas Classe 3): O cartório realizou teste de intrusão formal ou validou os testes coletivos do seu fornecedor (exigido a cada 2 anos).
[ ] Declaração: A conclusão da Etapa 4 foi registrada no Sistema Justiça Aberta.
[ ] Existe procedimento formal de avaliação e monitoramento de fornecedores de TI.

Etapa 5: Interoperabilidade, Consolidação e Governança Contínua

Objetivo: Manutenção a longo prazo e independência estrutural.
[ ] Interoperabilidade: O sistema do cartório consegue se integrar com plataformas do Judiciário/Corregedoria usando padrões abertos (XML, PDF/A).
[ ] Capacitação: Há registros formais de treinamentos periódicos oferecidos aos colaboradores sobre operação segura e segurança da informação.
[ ] Retenção de Evidências: Todos os relatórios, logs vitais e atas de teste estão arquivados de forma segura pelo prazo mínimo de 5 anos.
[ ] Teste de Reversibilidade (Extração): Foi feita uma simulação documentada de extração integral do acervo digital em formato não proprietário, para garantir que o cartório pode migrar de fornecedor se precisar (Bienal para C3, a cada 30 meses para C2 e a cada 36 meses para C1).
[ ] Declaração Final: A declaração de conclusão da Etapa 5 foi assinada pelo titular e registrada no Sistema Justiça Aberta.
[ ] Atenção Documental: Todas as evidências (atas de testes, prints de configuração, relatórios) são guardadas em um Dossiê Técnico. Para cartórios de Classe 2 e 3, esse dossiê deve ser protegido com assinaturas digitais e hashes de integridade. Para a Classe 1, é permitido o uso de um relatório simplificado.


Engedigital apresenta: Checklist de Conformidade – Provimento nº 213/2026 (CNJ)
Paulo Barbassa 26 de fevereiro de 2026
Compartilhar esta publicação
Marcadores
Nossos blogs
Arquivar
Provimento 213/2026: Por que Backup Não é Suficiente, e Como a Engedigital Atua na Conformidade Integral
O novo Provimento 213/2026 elevou significativamente o nível de exigência tecnológica das serventias extrajudiciais brasileiras.