📄 Adequação ao Provimento 213/2026 (CNJ)

Comunicado Oficial: Adequação ao Provimento 213/2026 (CNJ)

Prezado(a) Titular,

O novo Provimento 213/2026 do CNJ estabelece padrões rigorosos de Tecnologia da Informação e Segurança para os serviços notariais e de registro. Gostaríamos de ressaltar que a conformidade exigida pelo CNJ é ampla e não depende exclusivamente do sistema de gestão fornecido pela Engedigital® (Engegraph®), abrangendo também a infraestrutura física, as políticas internas e a rede do seu cartório.

Como parceiros de tecnologia da sua serventia, detalhamos abaixo o status das nossas soluções, o que estamos aprimorando e quais são as frentes que demandam atuação exclusiva da sua equipe técnica.

✅ 1. O que JÁ TEMOS (Soluções Engedigital® em Conformidade)

Nossos sistemas e serviços já atendem a uma parte significativa dos requisitos tecnológicos normativos:

  • Controle de Acesso, Autenticação e MFA: Nossos sistemas possuem autenticação individualizada por biometria, certificado digital e/ou credenciais próprias, com rigorosa separação de perfis entre administradores e usuários. Também já disponibilizamos recursos de Autenticação Multifator (MFA), incluindo autenticação em dois fatores, conforme aplicável à arquitetura contratada e às políticas de acesso definidas pela serventia.
  • Trilhas de Auditoria (Logs): Possuímos auditoria detalhada que registra de forma rastreável os atos e acessos realizados no sistema.
  • Bancos de Dados Modernos e Suportados: Diferente de sistemas obsoletos que violam o provimento, utilizamos SGBDs modernos (SQLServer e Postgres) com suporte ativo do fabricante.
  • Proteção de Endpoints e Nuvem (Enge Protect): Através do nosso pacote opcional, fornecemos antivírus e tecnologia antissequestro (anti-ransomware) para proteger as estações de trabalho.
  • Backups e Continuidade (RTO e RPO) com o Enge Protect: O pacote Enge Protect viabiliza a replicação automatizada de backups locais e em nuvem, ferramentas essenciais para que o seu cartório cumpra os parâmetros de tempo de recuperação (RTO) e limite de perda de dados (RPO).
  • Custódia de Chaves de Criptografia: No pacote Enge Protect a chave de descriptografia dos backups ficam sob custódia exclusiva do cartório.
  • Gestão de Atendimento — EngeCentral: Também disponibilizamos ao clientes a solução EngeCentral, que permite ao cartório organizar, controlar e auditar os seus atendimentos ao público, realizados por WhatsApp e demais canais digitais de comunicação. Com ela, é possível centralizar conversas, definir usuários responsáveis, acompanhar históricos de atendimento, controlar acessos da equipe e manter maior rastreabilidade sobre a comunicação com usuários, partes, advogados e demais interessados. Essa solução auxilia o cartório a profissionalizar o atendimento digital, reduzir riscos decorrentes do uso descontrolado de celulares ou contas individuais de WhatsApp e fortalecer a governança sobre os canais oficiais de comunicação da serventia. (Contratado separadamente, conforme a necessidade de cada cartório).
  • E-mail Corporativo Individualizado: Como solução complementar, fornecemos serviço de e-mail profissional com contas individualizadas por usuário, contribuindo para a segregação de acessos, rastreabilidade e responsabilização individual. A conformidade plena do uso do e-mail também depende da adoção de configurações seguras, políticas de senha, autenticação multifator quando aplicável, proteção contra phishing, uso de protocolos seguros de comunicação e gestão adequada das contas pela serventia. (Contratado separadamente, conforme a necessidade de cada cartório).
  • Criptografia de Dados em Trânsito: Nossas soluções utilizam canais seguros de comunicação, com protocolos criptográficos atualizados, como TLS 1.2 ou superior, para proteger os dados trafegados entre usuários, sistemas, servidores, integrações e ambientes em nuvem, sempre que aplicável à arquitetura contratada
  • Adequação Contratual e Portabilidade: A Engedigital® também já disponibiliza instrumentos, cláusulas e mecanismos voltados à adequação contratual, confidencialidade, LGPD, reversibilidade e portabilidade dos dados. Nossas soluções contemplam recursos e procedimentos que permitem a extração e disponibilização de dados em formatos interoperáveis e não proprietários, apoiando a serventia na comprovação de autonomia sobre o acervo digital e na mitigação de riscos de dependência exclusiva de fornecedor.

🔄 2. O que ESTAMOS PROVIDENCIANDO (Evolução Contínua Engedigital®)

Para garantir que a nossa camada de software e os serviços contratados estejam alinhados aos requisitos aplicáveis à nossa responsabilidade técnica:

  • Imutabilidade e Sincronização de Logs: Aprimoramento das trilhas de auditoria para garantir sincronização de tempo por fonte confiável (NTP) e mecanismos avançados de imutabilidade.
  • SLA de Vulnerabilidades: Ajuste dos nossos processos internos para garantir a correção de vulnerabilidades críticas em até 30 dias (ou 72h em caso de risco iminente), conforme os prazos normativos.
  • Migração de ambientes que ainda utilizam Firebird 2.5: Estamos realizando a transição ativa dos clientes que ainda utilizam o Firebird 2.5 para bancos de dados mais modernos. Essa ação garante a conformidade com a norma, que proíbe o uso de sistemas gerenciadores de banco de dados com suporte oficial encerrado (End of Life - EOL)

❌ 3. O que depende de providências locais da serventia (Responsabilidade Exclusiva do Cartório)

A conformidade exigida pelo CNJ exige um esforço contínuo da serventia. Para que o cartório atenda integralmente ao normativo, o Titular e seu Gestor de TI local deverão providenciar e gerenciar obrigatoriamente as seguintes frentes:

A. Infraestrutura Física e Rede Local

  • Segurança Perimetral e de Rede: Aquisição e configuração de Firewall stateful com IPS/IDS e segmentação lógica da rede (VLANs), isolando os computadores administrativos dos ambientes de acesso ao público.
  • Estabilidade Energética e Ambiente: Instalação de Nobreaks (SAI/UPS) com autonomia para salvamento e encerramento seguro (recomendável 30 minutos), além de controle de acesso físico rigoroso à sala dos servidores (CPD), com proteção contra incêndios e inundações.
  • Laudo de Aterramento Elétrico: A infraestrutura elétrica que suporta os ativos críticos não deve ter apenas Nobreaks, mas possuir aterramento funcional com laudo técnico atualizado, subscrito por profissional habilitado com anotação de responsabilidade técnica (ART).
  • Conectividade e Hardwares: Manutenção de links de internet com velocidade compatível com a classe da serventia, gerenciamento de rede via roteadores e switches próprios, e disponibilidade de equipamentos adequados (como digitalizadores).
  • Configuração Segura dos Canais Locais: O cartório deverá garantir que sua rede, firewall, roteadores, certificados digitais, VPNs, acessos remotos, e-mails, sites, integrações locais e demais canais de comunicação utilizem protocolos seguros e atualizados, vedando conexões inseguras, protocolos obsoletos ou configurações que exponham dados em trânsito.

B. Governança, Políticas e Conformidade com a LGPD

  • Elaboração de Documentos Oficiais: Redação, aprovação e publicização da Política de Segurança da Informação (PSI), do Plano de Continuidade de Negócios (PCN) e do Plano de Recuperação de Desastres (PRD).
  • Designações Formais: Nomeação oficial de um responsável técnico interno de TI e de um Encarregado de Dados (DPO).
  • Inventário e RoPA: Elaboração do inventário completo de todos os ativos tecnológicos do cartório e manutenção do Registro das Operações de Tratamento de Dados Pessoais (RoPA) exigido pela LGPD.
  • Capacitação da Equipe: Realizar treinamento periódico e documentado de todos os colaboradores sobre a operação segura dos sistemas, prevenção a golpes e rotinas de segurança.
  • Gestão de Fornecedores e Contratos: Embora a Engedigital® já disponibilize instrumentos e mecanismos de adequação contratual, reversibilidade e portabilidade no âmbito das suas soluções, o cartório deverá revisar e manter atualizados todos os seus contratos de TI, incluindo internet, suporte local, hospedagem, telefonia, equipamentos, segurança, terceiros e demais fornecedores, garantindo cláusulas de confidencialidade, adequação à LGPD, continuidade, reversibilidade e monitoramento contínuo desses prestadores.
  • Gestão de Certificados e Chaves: Manter um inventário atualizado de chaves criptográficas e garantir a renovação tempestiva dos certificados digitais utilizados pelos funcionários.

C. Gestão Contínua de Segurança e Incidentes

  • Fim do Compartilhamento de Contas: Eliminar rigorosamente o uso de usuários genéricos ou o compartilhamento de ferramentas que impeçam a rastreabilidade (como o uso coletivo de senhas ou de um único WhatsApp Web entre vários funcionários).
  • Gestão e Comunicação de Incidentes: Manter procedimento documentado para notificar a Corregedoria competente em caso de incidentes críticos em até 72 horas (sendo uma meta ideal o aviso em até 24 horas).
  • Gestão de Vulnerabilidades Locais: Garantir a atualização periódica dos sistemas operacionais (Windows, etc.) dos computadores locais, corrigindo vulnerabilidades críticas em no máximo 30 dias.

D. Auditoria, Testes e Validação (Onde entra o Pentest)

  • Testes de Restauração e Simulações: Executar testes periódicos e documentados de restauração de backup (gerando a "Ata de Registro"), além de realizar uma simulação anual de cenário de desastre para testar o PCN e o PRD.
  • Teste de Intrusão (Pentest) - Obrigatório para Classe 3: Cartórios de Classe 3 devem realizar teste de intrusão, no mínimo, a cada 2 anos ou sempre que houver alteração relevante na infraestrutura. (Nota: Caso o cartório utilize nossas soluções em nuvem de forma integral e sem servidores locais expostos, o cartório precisará solicitar nossos relatórios técnicos de segurança e assinar uma declaração local de conformidade complementar, conforme autoriza a norma).
  • Dossiê Técnico e Justiça Aberta: Compilar todas as evidências (contratos, políticas, logs, laudo de aterramento) em um Dossiê Técnico. Para serventias de Classe 2 e 3, garantir a integridade dos arquivos por meio de geração de hashes e assinaturas digitais, realizando as declarações obrigatórias no sistema Justiça Aberta do CNJ a cada etapa concluída.
  • Simulação de Portabilidade (Extração de Dados): A Engedigital® já disponibiliza mecanismos de portabilidade e extração de dados em formatos interoperáveis e não proprietários. Compete ao cartório, com apoio do seu gestor de TI e mediante solicitação à Engedigital® quando necessário, executar e documentar periodicamente a simulação de extração integral do acervo digital, conforme a periodicidade aplicável à sua classe, preservando as evidências no dossiê técnico da serventia.

A adequação ao Provimento 213/2026 é um desafio estrutural para todo o ecossistema extrajudicial brasileiro, mas você não está sozinho nessa jornada. As equipes da Engedigital® (Engegraph®) estão à disposição para fornecer as documentações, parâmetros, evidências e relatórios técnicos dos nossos sistemas que o seu gestor de TI precisará para estruturar o dossiê probatório da sua serventia com segurança, clareza e respaldo técnico.

Há 35 anos no mercado, a Engedigital® (Engegraph®), fundada por Diógenes Drummond, se orgulha de ser pioneira e sinônimo de inovação tecnológica no segmento notarial e registral. Nossa vasta experiência foi construída em uma parceria sólida, contínua e de estrita confiança com centenas de cartórios clientes espalhados por todos os estados do Brasil.

Ao longo dessa trajetória, investimos anos moldando, aperfeiçoando e incorporando as melhores práticas do setor às nossas soluções. Por isso, podemos afirmar com segurança que as soluções Engedigital® (Engegraph®) estão entre as mais completas, robustas e personalizáveis do mercado, preparadas para atender às diferentes realidades operacionais, técnicas e normativas das serventias brasileiras.

Mais do que desenvolver softwares de ponta, nosso propósito é ser o seu parceiro tecnológico estratégico definitivo. Compreendemos profundamente a realidade dos cartórios, os desafios da conformidade, da segurança da informação, da continuidade operacional e da preservação do acervo. Por isso, reafirmamos nosso compromisso inabalável de caminhar lado a lado com a sua serventia, entregando tecnologia, suporte especializado, evolução contínua e a confiança necessária para proteger o seu acervo, fortalecer sua governança e garantir excelência no atendimento à sociedade.



Perguntas Frequentes:

Uma FAQ (Perguntas Frequentes) sobre como implementar e adequar o seu cartório e os sistemas de gestão aos requisitos do Provimento 213/2026 do CNJ.

Aspectos Gerais, Prazos e Classificação

1. O que é o Provimento 213/2026 e o que aconteceu com o antigo Provimento 74? O Provimento 213/2026 estabelece os novos padrões mínimos de tecnologia da informação e comunicação (TIC) para os serviços notariais e de registro no Brasil, com o objetivo de garantir a segurança, integridade, disponibilidade e rastreabilidade do acervo digital. Com a sua entrada em vigor, o antigo Provimento 74/2018 foi expressamente revogado.

2. Como sei em qual classe o meu cartório se enquadra? O enquadramento é reavaliado anualmente com base na arrecadação bruta semestral da serventia:

  • Classe 1: Arrecadação de até R$ 100.000,00/semestre.
  • Classe 2: Arrecadação entre R$ 100.000,00 e R$ 500.000,00/semestre.
  • Classe 3: Arrecadação superior a R$ 500.000,00/semestre.

3. Quais são os prazos obrigatórios para se adequar ao novo normativo? As Etapas 1 e 2 (Governança, Infraestrutura e Continuidade) compõem a "implementação inicial obrigatória" e devem ser concluídas nos seguintes prazos, contados da vigência do provimento: 90 dias (Classe 3), 150 dias (Classe 2) e 210 dias (Classe 1). A adequação cumulativa total de todas as etapas (até a Etapa 5) deve ocorrer em até 24 meses (Classe 3), 30 meses (Classe 2) e 36 meses (Classe 1).

Governança, Contas e Responsabilidades

4. O titular do cartório pode delegar a responsabilidade pelo cumprimento do provimento ao setor de TI ou à empresa de software? Não. A responsabilidade pelo cumprimento integral dos requisitos normativos, proteção de dados e governança é pessoal e indelegável do delegatário, interino ou interventor, mesmo que haja contratação de terceiros, soluções em nuvem ou Operador Nacional. Contudo, o cartório deve designar formalmente um responsável técnico interno para a execução tecnológica.

5. O cartório pode continuar usando uma conta de WhatsApp Web compartilhada entre vários funcionários no balcão? Não. É expressamente vedado o uso de credenciais compartilhadas, contas genéricas ou qualquer prática que impeça a responsabilização individual. Todos os funcionários e prepostos devem utilizar mecanismos de autenticação individualizados para garantir a rastreabilidade exata de quem realizou determinada ação.

6. É necessário nomear um DPO (Encarregado de Dados)? Sim, a nomeação de um encarregado de proteção de dados (DPO) deve ser feita formalmente na Etapa 1, quando exigido pela legislação (LGPD), além do cartório precisar manter o registro estruturado das operações de tratamento de dados pessoais (RoPA).

Infraestrutura Física e Rede Local

7. Como deve ser feita a segregação (divisão) da rede do cartório? É obrigatória a separação funcional lógica entre os computadores administrativos (funcionários e servidores) e os ambientes destinados ao público ou dispositivos externos (como Wi-Fi de visitantes ou totens de atendimento). Para as Classes 2 e 3, é obrigatório o uso formal de VLANs ou soluções superiores. Para a Classe 1, admite-se medida técnica simplificada que impeça a comunicação irrestrita.

8. O que é exigido em relação à energia elétrica e sala de servidores (CPD)? O cartório precisa de energia estável com aterramento técnico aferido (com laudo) e uso de Nobreaks (SAI/UPS) com autonomia de pelo menos 30 minutos para o desligamento seguro dos sistemas. Além disso, o ambiente físico dos equipamentos críticos deve ter controle de acesso restrito e proteção contra incêndios e inundações.

Sistemas, Bancos de Dados e Fornecedores

9. O sistema do meu cartório (como o da Engegraph) usa um banco de dados antigo, como o Firebird 2.5. Isso ainda é permitido? Absolutamente não. O provimento proíbe o uso de sistemas operacionais, gerenciadores de banco de dados e aplicações críticas cujo ciclo de suporte oficial pelo fabricante original tenha sido encerrado (End of Life - EOL). Ambientes antigos precisam ser migrados compulsoriamente para sistemas atualizados (como SQLServer ou Postgres) com suporte ativo.

10. O que muda nos contratos com empresas de software de gestão cartorária? Os contratos devem prever cláusulas de confidencialidade, adequação à LGPD, reversibilidade e portabilidade integral dos dados em formato não proprietário, reduzindo riscos de dependência exclusiva de fornecedor. No caso das soluções Engedigital®/Engegraph®, esses instrumentos e mecanismos já estão disponíveis para apoiar a serventia na comprovação da conformidade, sem prejuízo da responsabilidade do cartório de revisar também os demais contratos de TI, como internet, suporte local, hospedagem, segurança, equipamentos e outros fornecedores.

11. É necessário implementar Autenticação Multifator (MFA)? Sim. A autenticação multifator (MFA) é exigida para acessos administrativos, de gestão de sistemas, banco de dados e funcionalidades críticas, conforme aplicável. As soluções Engedigital®/Engegraph® já disponibilizam recursos de autenticação multifator, incluindo autenticação em dois fatores, cabendo à serventia definir suas políticas internas de uso, perfis, usuários autorizados e rotinas de controle.

12. Como devem ser as Trilhas de Auditoria (Logs) do sistema? O sistema deve gerar logs técnicos imutáveis protegidos contra alteração ou exclusão não autorizada. É necessário identificar inequivocamente o usuário, o tipo de operação, e ter o tempo sincronizado por uma fonte confiável (NTP). Estes logs precisam ser arquivados pelo prazo mínimo de 5 anos.

Segurança da Informação, Backups e Nuvem

13. A chave de criptografia do backup em nuvem pode ficar com a empresa que fornece o software ou o backup? Não. Nos casos em que o cartório utiliza serviços de nuvem comercial, os dados devem ser protegidos com criptografia forte na origem (antes do envio), e a chave de descriptografia deve ficar sob custódia exclusiva do cartório, não do provedor de armazenamento.

14. O que são RPO e RTO e quais os limites exigidos? Eles são parâmetros métricos de continuidade de negócios:

  • RPO (Recovery Point Objective): É a perda máxima de dados aceitável. O limite é de 24 horas para a Classe 1, 12 horas para a Classe 2, e 4 horas para a Classe 3.
  • RTO (Recovery Time Objective): É o tempo máximo admissível para restabelecer as operações. O limite é de 24 horas para as Classes 1 e 2, e de 8 horas para a Classe 3.

15. Como devo proteger o sistema contra ataques de Ransomware (sequestro de dados)? Além da proteção de endpoint (antivírus/EDR), o backup deve ter armazenamento off-site (em dois ambientes independentes). Pelo menos um dos ambientes de backup deve garantir imutabilidade (tecnologia WORM ou bloqueio de retenção) e estar logicamente isolado para impedir que um ransomware criptografe o servidor e o backup simultaneamente.

Auditoria, Testes e Comprovação (Justiça Aberta)

16. O cartório precisa realizar o Pentest (Teste de Intrusão)? O Pentest é obrigatório apenas para a Classe 3, devendo ser realizado no mínimo a cada 2 anos ou sempre que houver alteração relevante na infraestrutura. Caso a Classe 3 use sistemas em nuvem 100% gerenciados, pode aproveitar o relatório do fornecedor mediante declaração. As Classes 1 e 2 não são obrigadas a fazer o Pentest completo, mas devem promover avaliações periódicas de segurança.

17. O que preciso fazer para atestar a continuidade dos negócios? A serventia deve realizar testes documentados de restauração de backups (simulando a volta dos dados) semestralmente (Classe 3) ou anualmente (Classes 1 e 2). O teste precisa aferir o RTO e o RPO e ser documentado em uma Ata para Registro do Teste de Restauração, que deve ser guardada por 5 anos. Anualmente, o cartório também precisa executar uma simulação completa de desastre.

18. O que acontece se o cartório sofrer um ataque ou incidente de segurança crítico? A Corregedoria competente deve ser comunicada formalmente no prazo máximo de até 72 horas. Como meta de diligência e boa governança, a notificação deve ser feita preferencialmente em até 24 horas da ciência do fato. Vulnerabilidades críticas nos computadores devem ser corrigidas em, no máximo, 30 dias.

19. Como informo ao CNJ que cumpri o Provimento 213/2026? A conformidade deve ser declarada anualmente dentro do sistema Justiça Aberta a cada etapa concluída.

  • Para a Classe 1: Basta emitir um relatório simplificado de implementação e declarar no Justiça Aberta.
  • Para as Classes 2 e 3: É obrigatório estruturar um Dossiê Técnico robusto, onde todas as evidências (atas, laudos, logs) recebem um selo de integridade (geração de hashes dos arquivos), que deverá ser assinado digitalmente pelo responsável.

Com certeza! O Provimento 213/2026 é denso e cheio de particularidades. Abaixo, trago uma expansão robusta da nossa FAQ, adicionando novas perguntas e respostas focadas em exceções, terceirizações, prazos alternativos, nuvem e auditorias detalhadas, todas devidamente fundamentadas no texto da norma.

Prazos, Prorrogações e Enquadramento

20. Posso pedir prorrogação dos prazos iniciais de adequação (Etapas 1 e 2)? Sim. As Corregedorias dos Tribunais de Justiça podem prorrogar os prazos previstos para as Etapas 1 e 2 de forma excepcional e uma única vez, por até 90 dias. Para isso, o cartório precisa demonstrar inviabilidade técnica ou financeira temporária, apresentar um plano formal de adequação com cronograma e implementar medidas compensatórias provisórias. Para as Classes 2 e 3, o pedido deve incluir orçamentos e provas documentais.

21. O que acontece se a arrecadação do meu cartório variar e eu for enquadrado em uma nova classe? O enquadramento é reavaliado anualmente com base na arrecadação do semestre anterior. Porém, a mudança para uma classe mais alta (ou mais baixa) não produz efeitos imediatos se a variação for inferior a 10% do limite superior da faixa anterior. Nesses casos, exige-se que a nova faixa de arrecadação se consolide por dois ciclos (semestres) consecutivos para que a mudança de classe passe a valer.

22. Quais são as penalidades se o cartório não cumprir as exigências do Provimento? O descumprimento injustificado dos requisitos técnicos e organizacionais, quando caracterizada negligência, imprudência ou omissão relevante do titular (delegatário), pode resultar na instauração de Processo Administrativo Disciplinar (PAD), sem prejuízo das responsabilidades civis e penais cabíveis.

Uso de Nuvem (Cloud) e Terceirização de Sistemas

23. O cartório pode usar infraestrutura 100% em nuvem, sem ter servidores físicos locais? Sim, o Provimento permite o uso exclusivo de soluções em nuvem ou modelos Software as a Service (SaaS). Contudo, o fornecedor da nuvem deve garantir redundância geográfica automática em regiões distintas e política de retenção imutável contra exclusões. Além disso, a chave de descriptografia dos dados deve ficar sempre sob custódia exclusiva do cartório, e não da empresa que fornece a nuvem.

24. Meu cartório utiliza um sistema centralizado de um Operador Nacional (ou Associação). Como comprovo os requisitos de infraestrutura do sistema? A norma autoriza a centralização de controles tecnológicos. Nesses casos, a entidade mantenedora (Operador Nacional ou Associação) elabora um relatório técnico abrangente e coletivo demonstrando a conformidade estrutural e de segurança. O cartório usa esse relatório no seu dossiê probatório, mas continua responsável pela governança local, pelo controle dos acessos dos seus próprios funcionários e pela gestão da sua rede interna.

25. Sou da Classe 3 e opero meu sistema 100% em nuvem (SaaS). Ainda assim preciso contratar um Pentest (Teste de Intrusão)? As serventias de Classe 3 que operam integralmente em nuvem, sem servidores de aplicação locais expostos à internet, ficam dispensadas de contratar um teste de intrusão individual e completo. O requisito é considerado cumprido mediante a apresentação do relatório técnico de segurança fornecido pela empresa da nuvem (desenvolvedora), somado a uma declaração do titular do cartório atestando que os computadores locais possuem antivírus, firewall ativado e sistema operacional atualizado.

Defesa Cibernética, Logs e Vulnerabilidades

26. Quais são os níveis de detalhamento exigidos para as Trilhas de Auditoria (Logs) do sistema? O Provimento divide as trilhas de auditoria em quatro níveis: Essencial, Intermediário, Ampliado e Avançado.

  • Classes 1 e 2: Devem adotar no mínimo o Nível Essencial, que registra a autenticação de usuários, operações principais e erros relevantes.
  • Classe 3: Deve adotar no mínimo o Nível Intermediário, que inclui tudo do nível essencial e adiciona o registro de alterações cadastrais, exportações de dados e tentativas de acessos não autorizados.

27. Existe um prazo normativo para que a empresa de software ou o TI do cartório corrija vulnerabilidades no sistema (SLA de correção)? Sim, a gestão de vulnerabilidades possui prazos rigorosos e inegociáveis. Se for descoberta uma falha técnica classificada como crítica, ela deve ser corrigida em até 30 dias. No entanto, se houver risco iminente ou se a falha já estiver sendo explorada ativamente por invasores, a correção emergencial e contenção devem ser aplicadas imediatamente, preferencialmente no prazo máximo de 72 horas.

Portabilidade e Extração do Acervo Eletrônico

28. O que é a “simulação documentada de extração integral” — Portabilidade? É um teste prático obrigatório para comprovar que o cartório mantém autonomia sobre seus dados e não está dependente exclusivamente de um fornecedor. A Engedigital® já disponibiliza mecanismos de portabilidade e extração de dados em formatos interoperáveis e não proprietários, apoiando a serventia na realização desse procedimento e na geração das evidências necessárias ao seu dossiê técnico.

29. Com qual frequência essa extração de dados deve ser testada? O teste de portabilidade deve ser documentado na Etapa 5 e refeito periodicamente nos seguintes prazos máximos: Classe 3, a cada 24 meses; Classe 2, a cada 30 meses; Classe 1, a cada 36 meses. O procedimento também deve ser realizado em caso de troca relevante de fornecedor de software ou alteração significativa de infraestrutura. Como a Engedigital® já disponibiliza mecanismos de extração e portabilidade, compete ao cartório formalizar a solicitação quando necessário, executar o teste com apoio técnico e arquivar as evidências correspondentes no dossiê da serventia.

Interoperabilidade e Integração

30. Meu sistema precisará se conectar com os sistemas da Corregedoria? Sim. A Etapa 5 exige que os sistemas de gestão das serventias sejam tecnicamente aptos a se integrarem (interoperabilidade) com as plataformas eletrônicas de fiscalização e controle da Corregedoria. O sistema precisará possuir capacidade de trocar dados em formato aberto, identificar inequivocamente quem emitiu a informação e utilizar canais seguros e rastreáveis para comunicação com a autoridade fiscalizadora.