Breves notas sobre o Provimento CNJ nº 74

Felipe Leonardo Rodrigues,

é tabelião substituto em S. Paulo

No dia 01/08/2018 foi publicado o Provimento CNJ nº 74. A norma dispõe sobre os padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil.

A nova normativa veio em boa hora. A partir da nova norma os cartórios possuirão estrutura tecnologia mínima para a continuidade da prestação do serviço público, a preservação da informação notarial a longo prazo e a segurança contra o acesso não autorizado.

Buscaremos fazer breves anotações sobre alguns pontos de ordem prática sobre a normativa mínima -, é apenas uma abordagem breve e inicial sobre o tema.

Apresentamos a seguir algumas notas práticas.

Art. 1º Dispor sobre padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil.

Nota: Segurança da informação é um conjunto de ações destinadas a proteção de dados (conjuntos de informações) com o intuído de preservar seu valor para o indivíduo ou organização.

A segurança está alicerçada em alguns pilares, são eles: confidencialidade, integridade, disponibilidade e autenticidade. A norma técnica de gestão da segurança da informação é a ABNT NBR ISO/IEC 27002:2013.

Confidencialidade é um atributo do dado (informação) que não permite a sua disponibilização ou franqueamento a pessoas ou organização sem a devida autorização de seu detentor. É o resguardo da informação dada em confiança e a proteção contra a sua disponibilização sem autorização.

Integridade significa a disponibilidade de informação confiável, correta e em formato compatível para sua utilização – que a informação não foi alterada de forma não autorizada, pois se é alterada sem autorização ou falsificada, a informação fica comprometida, perdendo a sua eficácia e confidencialidade.

Disponibilidade é um sistema informático resistente a falhas de hardware, software e energia, com o objetivo de manter os serviços disponíveis. Quanto mais redundância existir, menor será a probabilidade de interrupções no serviço.

Autenticidade é a certeza de uma informação que provem de uma fonte confiável e não foi alvo de mutação ao longo de seu processo.

Seguindo essas premissas básicas será possível manter a continuidade e a disponibilidade de determinados serviços oferecido ao usuário.    

Art. 2º Os serviços notariais e de registro deverão adotar políticas de segurança de informação com relação a confidencialidade, disponibilidade, autenticidade e integridade e a mecanismos preventivos de controle físico e lógico.

Nota: Política de Segurança da Informação em poucas palavras é o documento contendo as normas, métodos e procedimentos conhecido por todos os funcionários da organização, que deve ser revisado com certa regularidade.

Visa viabilizar e segregar o uso dos sistemas somente por pessoas autorizadas e que realmente necessitam de tais privilégios.

A elaboração de uma política de segurança da informação tem guarida na norma ABNT NBR ISO/IEC 27002:2013, que dispõe sobre os códigos de práticas para a gestão de segurança da informação. Sugiro contar com uma assessoria especializada em gestão e segurança da informação.

Parágrafo único. Como política de segurança da informação, entre outras, os serviços de notas e de registro deverão:

I – ter um plano de continuidade de negócios que preveja ocorrências nocivas ao regular funcionamento dos serviços

Nota: Plano de continuidade de negócios é um documento que detalha não só o mapeamento dos processos críticos do cartório, seja gestão e segurança da informação, seja os processos dos próprios atos notariais. A continuidade da segurança da informação, contempla os sistemas de gestão de proteção de dados e o resguardo da continuidade do negócio do cartório.

Significa planejar, implementar e verificar a continuidade da segurança da informação, resultando nos métodos de redundâncias e proteção, de modo a assegurar a disponibilidade dos recursos de processamento e acesso a informação.

Fundamental ter uma assessoria especializada em segurança da informação, que estude o ambiente, sugira e faça as correções necessárias, que possua um plano de conscientização dos funcionários.

Vale a visita: https://www.cartorioseguro.com.br (Mais informações: Fabricio Santos – fabricio.santos@nextlayer.com.br)

II – atender a normas de interoperabilidade, legibilidade e recuperação a longo prazo na prática dos atos e comunicações eletrônicas.

Nota: Interoperabilidade é a capacidade de um sistema se comunicar com outro, num padrão aberto.

Legibilidade é a capacidade de um sistema ler um dado gerado por outro sistema, de modo a possibilitar a leitura sem perda de informação.

Recuperação (da informação) a longo prazo permite que a informação arquivada (backups) possa ser lida a qualquer momento, mesmo que arquivadas há muito tempo; gerenciando as mudanças e avanços de recursos e permitindo a leitura de modo contínuo. Se um ato foi gerado num tipo de extensão e gravado por um determinado recurso, hoje obsoletos, é necessário gerenciar a transição de leitura e integridade, para num eventual resgate, a informação esteja disponível e legível.  

Art. 3º Todos os livros e atos eletrônicos praticados pelos serviços notariais e de registro deverão ser arquivados de forma a garantir a segurança e a integridade de seu conteúdo.

Nota: O backup (cópia de segurança) resguarda, protege e disponibiliza o dado notarial, principalmente, em caso de acidentes ou mau funcionamento do software e hardware. O cartório deve implantar rotinas de cópias de segurança (backup) dos livros, documentos e informações relevantes para eventual resgate da informação e continuidade da prestação do serviço.

É essencial também prever a implantação de método de controle de acesso e criptografia dos dados backupados.

§ 1º Os livros e atos eletrônicos que integram o acervo dos serviços notariais e de registro deverão ser arquivados mediante cópia de segurança (backup) feita em intervalos não superiores a 24 horas.

Nota: O intervalo mínimo é de 24 horas, mas fica a critério do delegado realizar a cópia em intervalo menor. Quanto menor o intervalor, maior será a disponibilidade da informação.

§ 2º Ao longo das 24 horas mencionadas no parágrafo anterior, deverão ser geradas imagens ou cópias incrementais dos dados que permitam a recuperação dos atos praticados a partir das últimas cópias de segurança até pelo menos 30 minutos antes da ocorrência de evento que comprometa a base de dados e informações associadas.

Nota: Cópias incrementais (cópia dos dados que foram modificados desde o último backup) não são muito simples de se fazer. Dependerá da infraestrutura do cartório. Se o cartório possuir um servidor com recurso (sistema de gerenciamento de banco de dados) que possibilite fazer cópias incrementais com os usuários logados (trabalhando em seus computadores) é perfeitamente possível.

Contudo, se o recurso não permite a geração de cópia com usuários logados, gerando lentidão ou travamento do banco dados, poderá encadear a descontinuidade da prestação do serviço prestado. Ou ainda, se o cartório não possuir um sistema de gerenciamento de banco de dados poderá encontrar dificuldades para o período proposto (30 minutos).

§ 3º A cópia de segurança mencionada no § 1º deverá ser feita tanto em mídia eletrônica de segurança quanto em serviço de cópia de segurança na internet (backup em nuvem).

Nota: Quando falamos em mídia, pode ser fita, CDs, DVDs, pendrive, HD externo etc.

O backup geralmente é gravado em fita (possui grande capacidade e boa confiabilidade), em HDs externos (possui grande capacidade e menor confiabilidade), em CDs, DVDs, pendrive (menor capacidade e confiabilidade) etc.

O storage é um repositório onde serão centralizados os dados da rede local do cartório, mas também pode assumir outras funções e servir, por exemplo, como servidor de arquivos, backup, área de compartilhamento e colaboração – tudo que envolve a administração e o processamento de dados armazenados.

O backup de nuvem é um serviço em que é feito o backup dos dados e aplicativos no servidor ou computador do cartório e esse backup é armazenado em um servidor remoto. O serviço é totalmente modular, personalizável, confiável e com um custo relativamente baixo. Algumas corregedorias obrigam que os serviços de backup de nuvem devem ser contratados com pessoa jurídica regularmente constituída no Brasil, como é o caso do Estado de São Paulo (Cap. 14, item 90, letra h).

§ 4º A mídia eletrônica de segurança deverá ser armazenada em local distinto da instalação da serventia, observada a segurança física e lógica necessária.

Nota: Pode ser fita, HDs externos, CDs, DVDs, pendrive etc., desde que mantenham método de criptografia para evitar acesso indevido (não autorizado) aos dados e guardado em local seguro.

§ 5º Os meios de armazenamento utilizados para todos os dados e componentes de informação relativos aos livros e atos eletrônicos deverão contar com recursos de tolerância a falhas.

Nota: Tolerância a falhas ou sistemas redundantes baseia-se na detecção de falha de hardware e alterna instantaneamente para um componente de hardware redundante, seja o componente com falha um processador, uma placa de memória, uma fonte de alimentação, um subsistema de armazenamento.

O servidor com Raid possui um conjunto redundante de discos independentes, que gravam e replicam as informações entre eles e que permite a retirada de um deles (que apresentou defeito) sem a necessidade de desligar o servidor. Ao inserir o novo HD no lugar daquele com defeito as informações gravadas nos demais são automaticamente lidas, replicadas e gravadas no novo;

Há também os servidores de replicação, tendo um servidor principal outro secundário, onde todas as informações são gravadas no servidor principal e ao mesmo tempo no servidor secundário. Caso o servidor principal apresente algum defeito, o servidor secundário assume o controle da operação. Neste caso, a partir do controle pelo servidor secundário, nenhuma informação é mais gravada no servidor principal. Corrigido o problema no servidor principal, é necessário sincronizar as informações entre os dois servidores.

Art. 4º O titular delegatário ou o interino/interventor, os escreventes, os prepostos e os colaboradores do serviço notarial e de registro devem possuir formas de autenticação por certificação digital própria ou por biometria, além de usuário e senha associados aos perfis pessoais com permissões distintas, de acordo com a função, não sendo permitido o uso de “usuários genéricos”.

Nota: Não é permitida a criação e utilização de usuários genéricos, ou seja, dois ou mais funcionários não podem utilizar o mesmo usuário e senha.

Isso dificulta o rastreamento do usuário que utilizou o sistema ou provocou alguma alteração ou ação nociva. A exigência de certificado digital ou biometria nos parece um excesso. Uma senha segura com no mínimo 14 caracteres, alternando letras, números e símbolos, seria o bastante. Recomenda-se a alteração da senha pelo menos a cada 30 dias.

Art. 5º O sistema informatizado dos serviços notariais e de registro deverá ter trilha de auditoria própria que permita a identificação do responsável pela confecção ou por eventual modificação dos atos, bem como da data e hora de efetivação.

Nota: Trilhas de auditoria podem ser compostas por um ou mais logs. Quando possível, é aceitável também que administradores de sistemas não tenham permissão de exclusão ou desativação dos registros (logs) de suas próprias atividades. As trilhas de auditoria podem conter dois tipos de registros (logs):

– Registros de administrador e operador – que contêm informações sobre atividades no sistema e podem ser utilizados para monitorar a conformidade das atividades dos administradores, operadores e usuários do sistema e da rede.

– Registros de falhas e erros – que contêm informações sobre falhas e erros informados pelos usuários ou pelos programas de sistema relacionados a problemas com processamento da informação ou sistemas de comunicação.

§ 1º A plataforma de banco de dados deverá possuir recurso de trilha de auditoria ativada.

Nota: Nem todas as versões de sistemas de gerenciamento de banco de dados possuem o recurso de trilha de auditoria. As versões mais atuais possuem, por ex.: MySql 5.7, cujo recurso deve ser configurado e ativado. Os cartórios que não possuem sistemas de gerenciamento de bancos de dados podem buscar os logs de eventos do Windows, por exemplo. Contudo é bom frisar que os eventos do Windows nem sempre são suficientes. É necessário ativar trilhas especificas para tabelas especificas.

§ 2º As trilhas de auditoria do sistema e do banco de dados deverão ser preservadas em backup, visando a eventuais auditorias.

Nota: Conforme dito acima, somente as versões mais atuais possibilitam salvar a trilha de auditoria. Os logs de eventos do Windows também podem ser salvos.

Art. 6º Os serviços notariais e de registro deverão adotar os padrões mínimos dispostos no anexo do presente provimento, de acordo com as classes nele definidas.

Nota: Alguns cartórios de menor porte podem encontrar dificuldades e não ter condições de aplicar todos os requisitos do padrão mínimo dos referidos anexo. Parece-nos mais ponderável que cada caso seja tratado de forma individual e constatada a dificuldade, seja envidado esforços para a adequação ou adaptação da infraestrutura do cartório ao provimento.

Parágrafo único. Todos os componentes de software utilizados pela serventia deverão estar devidamente licenciados para uso comercial, admitindo-se os de código aberto ou os de livre distribuição.

Nota: É vedado a utilização de software não genuíno, os chamados popularmente de “piratas”. A Lei 9.609/98 estabelece que a violação de direitos autorais de programas de computador é crime, punível criminal e civilmente.

Os softwares de código aberto também chamados de open source software e os de livre distribuição também chamados de free software podem ser utilizados sem qualquer restrição.

Art. 7º Os serviços notariais e de registro deverão adotar rotina que possibilite a transmissão de todo o acervo eletrônico pertencente à serventia, inclusive banco de dados, softwares e atualizações que permitam o pleno uso, além de senhas e dados necessários ao acesso a tais programas, garantindo a continuidade da prestação do serviço de forma adequada e eficiente, sem interrupção, em caso de eventual sucessão.

Nota: No caso de eventual sucessão do titular do cartório, como todos os documentos notariais pertencem ao Estado, o banco de dados e senhas necessária ao acesso devem ser transmitidos ao novo titular ou interino, conforme o caso.

Art. 8º Os padrões mínimos dispostos no anexo do presente provimento deverão ser atualizados anualmente pelo Comitê de Gestão da Tecnologia da Informação dos Serviços Extrajudiciais (COGETISE).

§ 1º Comporão o COGETISE:

I – a Corregedoria Nacional de Justiça, na condição de presidente;

II – as Corregedorias de Justiça dos Estados e do Distrito Federal;

III – a Associação dos Notários e Registradores do Brasil (ANOREG/BR);

IV – o Colégio Notarial do Brasil – Conselho Federal (CNB/CF);

V – a Associação Nacional dos Registradores de Pessoas Naturais do Brasil (ARPEN/BR);

VI – o Instituto de Registro Imobiliário do Brasil (IRIB/BR);

VII – o Instituto de Estudos de Protesto de Títulos do Brasil (IEPTB/BR); e

VIII – o Instituto de Registro de Títulos e Documentos e de Pessoas Jurídicas do Brasil (IRTDPJ/BR).

Nota: É de suma importância a permanente atualização dos requisitos dos padrões mínimos em decorrência do avanço tecnológico, bem como da necessidade de eventual ajuste dos requisitos à realidade dos cartórios menores.

§ 2º Compete ao COGETISE divulgar, estimular, apoiar e detalhar a implementação das diretrizes do presente provimento e fixar prazos para tanto.

Nota: Interessante a criação de um comitê que implante um cronograma, oriente e divulgue as ações necessários, de modo a difundir a cultura da tecnologia e segurança da informação.

Art. 9º O descumprimento das disposições do presente provimento pelos serviços notariais e de registro ensejará a instauração de procedimento administrativo disciplinar, sem prejuízo de responsabilização cível e criminal.

Nota: A omissão na implantação dos requisitos mínimos poderá ensejar a instauração de procedimento administrativo para averiguar eventual falta funcional. Eventual falha dolosa na proteção ou manuseio das informações também poderá ensejar responsabilidade civil e criminal.

Art. 10. A Recomendação CNJ n. 9, de 7 de março de 2013, e as normas editadas pelas corregedorias de justiça dos Estados e do Distrito Federal permanecem em vigor no que forem compatíveis com o presente provimento.

Nota: Prevalece a norma do CNJ em relação a norma estadual, se houver alguma incompatibilidade entre elas.

Art. 11. Este provimento entra em vigor após decorridos 180 dias da data de sua publicação.

Nota: Referido provimento entra em vigor em 28/01/2019.

ANEXO

CLASSE 1

Serventias com arrecadação de até R$ 100 mil por semestre, equivalente a 30,1% dos cartórios

PRÉ-REQUISITOS

Energia estável, rede elétrica devidamente aterrada e link de comunicação de dados mínimo de 2 megabits

Endereço eletrônico (e-mail) da unidade para correspondência e acesso ao sistema Malote Digital

Local técnico (CPD) isolado dos demais ambientes preferencialmente por estrutura física de alvenaria ou, na sua impossibilidade, por divisórias. Em ambos os casos, com possibilidade de controle de acesso (porta com chave) restrito aos funcionários da área técnica

Local técnico com refrigeração compatível com a quantidade de equipamentos e metragem

Unidade de alimentação ininterrupta (nobreak) compatível com os servidores instalados, com autonomia de pelo menos 30 minutos

Dispositivo de armazenamento (storage), físico ou virtual

Serviço de cópias de segurança na internet (backup em nuvem)

Servidor com sistema de alta disponibilidade que permita a retomada do atendimento à população em até 15 minutos após eventual pane do servidor principal

Impressoras e scanners (multifuncionais)

Switch para a conexão de equipamentos internos

Roteador para controlar conexões internas e externas

Softwares licenciados para uso comercial

Software antivírus e antissequestro

Firewall

Proxy

Banco de dados

Mão de obra: pelo menos 2 funcionários do cartório treinados na operação do sistema e das cópias de segurança ou empresa contratada que preste o serviço de manutenção técnica com suporte de pelo menos 2 pessoas

CLASSE 2

Serventias com arrecadação entre R$ 100 mil e R$ 500 mil por semestre, equivalente a 26,5% dos cartórios

PRÉ-REQUISITOS

Energia estável, rede elétrica devidamente aterrada e link de comunicação de dados mínimo de 4 megabits

Endereço eletrônico (e-mail) da unidade para correspondência e acesso ao sistema Malote Digital

Local técnico (CPD) isolado dos demais ambientes preferencialmente por estrutura física de alvenaria ou, na sua impossibilidade, por divisórias. Em ambos os casos, com possibilidade de controle de acesso (porta com chave) restrito aos funcionários da área técnica

Local técnico com refrigeração compatível com a quantidade de equipamentos e metragem

Unidade de alimentação ininterrupta (nobreak) compatível com os servidores instalados, com autonomia de pelo menos 30 minutos

Dispositivo de armazenamento (storage), físico ou virtual

Serviço de cópias de segurança na internet (backup em nuvem)

Servidor com sistema de alta disponibilidade que permita a retomada do atendimento à população em até 15 minutos após eventual pane do servidor principal

Impressoras e scanners (multifuncionais)

Switch para a conexão de equipamentos internos

Roteador para controlar conexões internas e externas

Softwares licenciados para uso comercial

Software antivírus e antissequestro

Firewall

Proxy

Banco de dados

Mão de obra: pelo menos 2 funcionários do cartório treinados na operação do sistema e das cópias de segurança ou empresa contratada que preste o serviço de manutenção técnica com suporte de pelo menos 2 pessoas

CLASSE 3

Serventias com arrecadação acima de R$ 500 mil por semestre, equivalente a 21,5% dos cartórios

PRÉ-REQUISITOS

Energia estável, rede elétrica devidamente aterrada e link de comunicação de dados mínimo de 10 megabits

Endereço eletrônico (e-mail) da unidade para correspondência e acesso ao sistema Malote Digital

Local técnico (CPD) isolado dos demais ambientes preferencialmente por estrutura física de alvenaria ou, na sua impossibilidade, por divisórias. Em ambos os casos, com possibilidade de controle de acesso (porta com chave) restrito aos funcionários da área técnica

Local técnico com refrigeração compatível com a quantidade de equipamentos e metragem

Unidade de alimentação ininterrupta (nobreak) compatível com os servidores instalados, com autonomia de pelo menos 30 minutos

Dispositivo de armazenamento (storage), físico ou virtual

Serviço de cópias de segurança na internet (backup em nuvem)

Servidor com sistema de alta disponibilidade que permita a retomada do atendimento à população em até 15 minutos após eventual pane do servidor principal

Impressoras e scanners (multifuncionais)

Switch para a conexão de equipamentos internos

Roteador para controlar conexões internas e externas

Softwares licenciados para uso comercial

Software antivírus e antissequestro

Firewall

Proxy

Banco de dados

Mão de obra: pelo menos 3 funcionários do cartório treinados na operação do sistema e das cópias de segurança ou empresa contratada que preste o serviço de manutenção técnica com suporte de pelo menos 3 pessoas