Blog

Como criar a Política de Segurança da Informação do seu cartório

A Política de Segurança da Informação (PSI) é o primeiro documento normativo que o cartório precisa produzir para cumprir a Etapa 1 do Provimento 213. Ela estabelece as regras do jogo: o que a serventia espera de cada colaborador em relação à proteção das informações, quais são as responsabilidades, o que é permitido e o que não é.

Não precisa ser um documento de 50 páginas. Precisa ser claro, completo nos elementos obrigatórios e, principalmente, aplicável no dia a dia da serventia.

O que o Provimento 213 exige da PSI

O item 1.2 do provimento determina que a PSI contemple integralmente os elementos mínimos do Anexo III. Além disso, deve incluir as diretrizes preliminares para o Plano de Continuidade de Negócios (PCN) e o Plano de Recuperação de Desastres (PRD), que serão formalizados na Etapa 2.

A política precisa ser:

  • Elaborada com base na realidade da serventia;
  • Aprovada formalmente pelo titular da delegação;
  • Divulgada a todos os colaboradores, com registro de ciência.

Estrutura recomendada

A estrutura abaixo cobre os elementos do Anexo III e organiza o documento de forma lógica. Você pode adaptar os títulos das seções, desde que o conteúdo obrigatório esteja presente.

1. Objetivo e escopo

Comece definindo o propósito da política e a quem ela se aplica. No contexto de um cartório, o escopo normalmente abrange todos os colaboradores (escreventes, auxiliares, estagiários), o titular, prestadores de serviço com acesso a sistemas ou dados da serventia, e qualquer pessoa que utilize recursos de tecnologia da informação do cartório.

Exemplo de redação:

Esta Política de Segurança da Informação estabelece as diretrizes, responsabilidades e controles para proteção das informações tratadas pela serventia [nome do cartório], abrangendo todos os colaboradores, prestadores de serviço e terceiros que acessem sistemas, equipamentos ou dados da serventia.

2. Definições e termos

Inclua um glossário com os termos técnicos usados ao longo da política. Lembre que os colaboradores que vão ler o documento nem sempre têm familiaridade com segurança da informação. Alguns termos que vale definir:

  • Ativo de informação
  • Dados pessoais e dados pessoais sensíveis
  • Incidente de segurança
  • Autenticação multifator (MFA)
  • Backup
  • Criptografia
  • RTO e RPO
  • Tratamento de dados pessoais

3. Princípios e diretrizes gerais

Descreva os princípios que orientam a segurança da informação na serventia. Os pilares clássicos são:

  • Confidencialidade: a informação só é acessível por quem tem autorização;
  • Integridade: a informação não pode ser alterada de forma indevida;
  • Disponibilidade: a informação e os sistemas devem estar acessíveis quando necessários;
  • Autenticidade: garantia da identidade de quem acessa ou produz a informação;
  • Rastreabilidade: toda ação nos sistemas deve ser registrada e auditável.

Esses são os cinco pilares que o próprio Provimento 213 menciona como objetivos.

4. Responsabilidades

Defina quem faz o quê. No mínimo:

Titular da delegação:

  • Aprovar a PSI e suas atualizações;
  • Garantir os recursos necessários para implementação;
  • Firmar as declarações de conclusão das etapas do provimento.

Responsável técnico pela implementação (pode ser o DPO):

  • Coordenar a implementação do provimento;
  • Manter os documentos normativos atualizados;
  • Gerenciar incidentes de segurança;
  • Conduzir treinamentos e campanhas de conscientização.

Encarregado de proteção de dados (DPO):

  • Atuar como canal de comunicação com titulares de dados e com a ANPD;
  • Orientar os colaboradores sobre tratamento de dados pessoais;
  • Manter o ROPA/RAT atualizado.

Colaboradores (todos):

  • Cumprir as diretrizes da PSI;
  • Utilizar credenciais de forma individualizada, sem compartilhamento;
  • Comunicar incidentes ou suspeitas ao responsável técnico;
  • Participar dos treinamentos obrigatórios.

Prestadores de serviço e fornecedores:

  • Cumprir as cláusulas contratuais de segurança e confidencialidade;
  • Comunicar incidentes que afetem dados da serventia.

5. Controle de acesso e autenticação

Esta seção detalha as regras de acesso aos sistemas e recursos da serventia:

  • Cada colaborador deve possuir credencial individual (login e senha). O compartilhamento de credenciais está vedado;
  • Senhas devem ter complexidade mínima (por exemplo: 10 caracteres, com letras maiúsculas, minúsculas, números e caracteres especiais);
  • Acessos administrativos exigem autenticação multifator (MFA);
  • Acessos devem ser revisados periodicamente, com revogação imediata em caso de desligamento;
  • Sessões inativas devem ser encerradas automaticamente após período definido (ex.: 15 minutos);
  • O princípio de menor privilégio deve ser aplicado: cada colaborador acessa apenas o que precisa para sua função.

6. Uso aceitável de recursos de TI

Defina o que é permitido e o que não é quanto ao uso dos equipamentos, internet, e-mail e sistemas da serventia. Alguns pontos comuns:

  • Equipamentos da serventia são para uso profissional. Uso pessoal moderado pode ser tolerado, desde que não comprometa a segurança;
  • Instalação de software não autorizado está proibida;
  • Conexão de dispositivos pessoais (pen drives, HDs externos) deve seguir regras específicas ou ser vedada;
  • Acesso a sites e serviços não relacionados ao trabalho pode ser restrito;
  • E-mails institucionais não devem ser usados para cadastro em serviços pessoais.

7. Proteção de dados pessoais

Incorpore as diretrizes de conformidade com a LGPD:

  • Todo tratamento de dados pessoais deve ter finalidade definida e base legal identificada;
  • O ROPA/RAT deve ser mantido atualizado;
  • Dados pessoais devem ser coletados na medida mínima necessária para a finalidade;
  • O compartilhamento de dados pessoais com terceiros deve estar previsto no ROPA e amparado por base legal;
  • Solicitações de titulares (acesso, correção, eliminação) devem ser atendidas nos prazos legais;
  • Incidentes envolvendo dados pessoais devem ser comunicados à ANPD e à Corregedoria nos prazos do provimento.

8. Gestão de incidentes

Descreva o fluxo de resposta a incidentes de segurança:

  • Identificação: qualquer colaborador que detecte ou suspeite de um incidente deve comunicar imediatamente ao responsável técnico;
  • Classificação: o responsável técnico classifica o incidente conforme os critérios do Anexo II do provimento (crítico, alto, médio, baixo);
  • Contenção: ações imediatas para limitar o impacto;
  • Comunicação: incidentes críticos devem ser comunicados à Corregedoria nos prazos do Anexo II (meta de 24 horas). Incidentes envolvendo dados pessoais devem ser comunicados à ANPD;
  • Recuperação: restauração dos sistemas e dados afetados;
  • Registro e análise: documentar o incidente, a resposta e as lições aprendidas.

Inclua os contatos de emergência: responsável técnico, titular, Corregedoria competente, ANPD.

9. Backup e recuperação

Defina as diretrizes de backup da serventia:

  • Frequência e tipo de backup (completo, incremental);
  • Local de armazenamento (local e off-site);
  • Período de retenção das cópias;
  • Frequência de testes de restauração;
  • Responsável pela execução e verificação dos backups.

Os parâmetros de RPO e RTO devem ser compatíveis com a classe da serventia conforme o provimento.

10. Diretrizes preliminares de continuidade

O provimento exige que a PSI já incorpore as diretrizes que fundamentarão o PCN e o PRD na Etapa 2. Inclua pelo menos:

  • Escopo da continuidade: quais processos são críticos para a serventia (registro de atos, consultas, emissão de certidões, atendimento ao público);
  • Governança de continuidade: quem é responsável pela ativação dos planos em caso de incidente;
  • Critérios de continuidade: quais são os cenários que ativam o plano (queda de energia prolongada, falha de sistema, ataque cibernético, desastre natural);
  • RTO e RPO alvo: referenciar os parâmetros da classe da serventia;
  • Compromisso de formalização: registrar que o PCN e PRD completos serão elaborados na Etapa 2, com os elementos obrigatórios do item 2.5 do provimento.

Essa seção não precisa ser o plano completo. É a declaração de intenção e os parâmetros que vão guiar a elaboração dos planos.

11. Classificação da informação

Defina categorias para as informações tratadas pela serventia. Uma classificação simples pode ser:

  • Pública: informações de acesso livre, sem restrição;
  • Interna: informações de uso restrito aos colaboradores da serventia;
  • Confidencial: informações que exigem proteção especial (dados pessoais sensíveis, dados de menores, informações financeiras, chaves criptográficas);
  • Sigilosa: informações protegidas por sigilo legal (atos sob sigilo judicial, por exemplo).

Para cada categoria, defina os controles aplicáveis: quem pode acessar, como deve ser armazenada, se pode ser impressa, como deve ser descartada.

12. Treinamento e conscientização

A política só funciona se as pessoas souberem o que ela diz. Inclua:

  • Todos os colaboradores devem receber treinamento sobre a PSI na admissão e periodicamente (recomendação: pelo menos anual);
  • Campanhas de conscientização sobre phishing, engenharia social e boas práticas de senhas;
  • Registro de participação nos treinamentos.

13. Sanções e penalidades

Estabeleça que o descumprimento da PSI pode resultar em medidas disciplinares, conforme a legislação trabalhista e as normas internas da serventia. Não precisa detalhar cada penalidade, mas é importante que o documento deixe claro que as regras têm consequências.

14. Revisão e atualização

Defina a periodicidade de revisão da política (recomendação: anual, ou sempre que houver mudança significativa na operação, nos sistemas ou na legislação). Registre o histórico de versões, com data, responsável e resumo das alterações.

15. Cronograma de implementação do provimento

Inclua o cronograma geral de implementação das etapas do Provimento 213, com os prazos aplicáveis à classe da serventia. Isso demonstra planejamento e comprometimento com a conformidade.

Aprovação e divulgação

Após redigir a política, os próximos passos são:

  1. Revisão técnica: o responsável técnico e/ou DPO revisa o documento para garantir que todos os elementos obrigatórios estão presentes;
  2. Aprovação formal: o titular da delegação aprova a política, com assinatura e data;
  3. Divulgação: distribuir a todos os colaboradores e coletar o registro de ciência (confirmação de leitura).

A confirmação de leitura é obrigatória. Cada colaborador precisa registrar formalmente que leu e compreendeu a política. O SIG Virtual permite publicar a política na plataforma, atribuir aos colaboradores e acompanhar quem já leu e confirmou, gerando o registro de ciência automaticamente.

Erros comuns

Alguns problemas que aparecem com frequência em PSIs de cartórios:

  • Copiar um modelo genérico sem adaptar: a política precisa refletir a realidade da serventia. Se o cartório não tem servidor local, não faz sentido ter regras sobre sala de servidores;
  • Redigir de forma inacessível: o documento será lido por escreventes e auxiliares, não por especialistas em segurança. Use linguagem clara;
  • Não incluir as diretrizes de continuidade: muita gente deixa o PCN e PRD inteiramente para a Etapa 2, mas o provimento exige que as diretrizes preliminares já estejam na PSI;
  • Aprovar e esquecer: a política precisa ser revisada periodicamente e atualizada quando a operação mudar.

Referências

O SIG Virtual ajuda serventias a organizar políticas, normas e controles de gestão numa única plataforma, com confirmação de leitura, versionamento e rastreabilidade. Se o seu cartório precisa criar a PSI para cumprir o Provimento 213, faça o teste gratuito e veja como estruturar esse processo. Confira nossos planos e preços ou entre em contato.

Quer ver o SIG Virtual funcionando?

Teste grátis e veja se faz sentido pra sua empresa.

Testar Grátis