Provimento 213/2026 do CNJ — o que muda na segurança da informação dos cartórios

Lucas · · Atualizado em

Em 20 de fevereiro de 2026, o Corregedor Nacional de Justiça publicou o Provimento nº 213, que estabelece os novos padrões mínimos de tecnologia da informação e comunicação (TIC) para serviços notariais e de registro. O provimento substitui o antigo Provimento 74/2018 e traz exigências bem mais detalhadas — criptografia, backup, trilhas de auditoria, controle de acesso, proteção de dados pessoais e gestão de incidentes agora têm requisitos específicos e prazos definidos.

Se o seu cartório ainda opera com base no Provimento 74, é hora de entender o que mudou.

O que é o Provimento 213

O Provimento 213 define os requisitos mínimos de segurança da informação que todos os serviços notariais e de registro precisam cumprir. O objetivo é garantir segurança, integridade, disponibilidade, autenticidade e rastreabilidade das informações tratadas pelas serventias extrajudiciais.

O documento inclui 5 anexos técnicos e estabelece um cronograma de implementação progressiva em até 5 etapas, com prazos que variam de acordo com o porte da serventia.

Os 8 pilares do provimento

O Provimento 213 organiza suas exigências em 8 áreas. Cada uma delas traz requisitos específicos que os cartórios precisam atender.

1. Criptografia de dados

Dados em trânsito devem usar TLS 1.3 (mínimo TLS 1.2). Dados em repouso considerados críticos precisam de criptografia AES-256. A gestão de chaves deve ser formalizada, com rotação automática. Algoritmos obsoletos estão proibidos.

2. Backup e continuidade operacional

Os backups precisam ser automatizados, com cópias completas e incrementais. O armazenamento deve ser off-site com redundância geográfica. O provimento define parâmetros de RPO (tempo máximo de perda de dados) e RTO (tempo máximo para restaurar o serviço) por classe de serventia:

  • Classe 3 (faturamento acima de R$ 500 mil/semestre): RPO de 4 horas, RTO de 8 horas
  • Classe 2 (R$ 100 mil a R$ 500 mil/semestre): RPO de 12 horas, RTO de 24 horas
  • Classe 1 (até R$ 100 mil/semestre): RPO e RTO de 24 horas

Testes de restauração devem ser feitos semestralmente ou anualmente, dependendo da classe. Também é exigida proteção contra criptografia maliciosa (ransomware).

3. Trilhas de auditoria

Toda ação no sistema precisa registrar identificação do usuário, data e hora (com precisão de segundo), sincronizados via NTP. Os logs devem ser imutáveis, protegidos contra alteração e retidos por no mínimo 5 anos.

4. Controle de acesso

Autenticação individualizada — compartilhar credenciais está proibido. MFA (autenticação multifator) é obrigatória para acessos administrativos. Os perfis devem seguir o princípio de menor privilégio, com timeout automático por inatividade.

5. Infraestrutura tecnológica

O provimento exige banco de dados com integridade transacional e logs, alta disponibilidade, firewall stateful, IPS/IDS e segmentação de rede. Proteção de endpoint (antivírus/antimalware) é obrigatória. Usar software sem suporte ativo (end-of-life) está vedado.

6. Proteção de dados pessoais (LGPD)

Conformidade integral com a Lei 13.709/2018. Isso inclui registro de operações de tratamento de dados, procedimentos para atender aos direitos dos titulares, comunicação de incidentes à ANPD e à Corregedoria, e designação de DPO quando aplicável.

7. Gestão de incidentes

Os procedimentos de identificação, classificação e contenção devem estar documentados. Incidentes precisam ser comunicados à Corregedoria em até 72 horas. Vulnerabilidades críticas devem ser tratadas em até 30 dias. Se houver exploração ativa, a contenção deve ocorrer em até 72 horas.

8. Portabilidade e reversibilidade

Os contratos com fornecedores de tecnologia precisam incluir cláusulas de portabilidade. Dados devem ser exportáveis em formatos abertos (PDF/A, XML, CSV) — sem lock-in proprietário. Simulações de extração integral devem ser documentadas.

Classificação e prazos

O provimento classifica as serventias em três classes com base no faturamento semestral. Os prazos para implementação variam:

ClasseFaturamento semestralPrazo para etapas 1 e 2Prazo total
Classe 1Até R$ 100 mil210 dias36 meses
Classe 2R$ 100 mil a R$ 500 mil150 dias30 meses
Classe 3Acima de R$ 500 mil90 dias24 meses

As 5 etapas de implementação

O provimento estabelece um roteiro progressivo:

  1. Governança e conformidade legal — designação de responsáveis, criação de políticas de segurança, implementação de MFA, inventário de ativos de informação.
  2. Infraestrutura e continuidade — energia, conectividade, plano de continuidade de negócio (PCN), plano de recuperação de desastres (PRD), proteção de endpoint.
  3. Proteção do acervo — criptografia, backups automatizados, firewall/IPS, banco de dados com integridade transacional, trilhas de auditoria imutáveis.
  4. Monitoramento e auditoria — relatórios de conformidade, gestão de vulnerabilidades, testes de penetração (obrigatório para Classe 3).
  5. Interoperabilidade — integração com plataformas de fiscalização, adoção de padrões abertos, garantia de reversibilidade.

O que o SaaS muda nessa equação

Uma das vantagens que o Provimento 213 reconhece é o modelo SaaS. Quando a serventia utiliza um sistema em nuvem, vários requisitos estruturais passam a ser de responsabilidade do provedor de tecnologia:

  • Validação técnica coletiva — uma validação do provedor beneficia todas as serventias que utilizam o serviço;
  • Dispensa de pentest individual — para serventias Classe 3, o relatório técnico do provedor pode substituir testes individuais;
  • Atualizações automáticas — patches de segurança são aplicados centralmente pelo provedor;
  • Comprovação simplificada — a documentação do provedor cobre os requisitos de infraestrutura.

Isso não elimina as responsabilidades do cartório — governança, treinamento, conformidade LGPD organizacional e infraestrutura local (energia, conectividade) continuam sendo da serventia. Mas reduz significativamente o esforço técnico necessário.

Como se preparar

Se o seu cartório ainda não começou a se movimentar, os primeiros passos são:

  1. Identifique a classe da sua serventia — o faturamento semestral define os prazos e o nível de exigência;
  2. Designe um responsável pela segurança da informação — alguém precisa coordenar o processo;
  3. Faça um diagnóstico — compare a situação atual com os requisitos do provimento e identifique as lacunas;
  4. Avalie seus fornecedores de tecnologia — verifique se o sistema que o cartório utiliza já atende (ou está se adequando) aos requisitos técnicos do provimento;
  5. Comece pela governança — políticas, procedimentos e treinamento são a base. A tecnologia vem depois.

Para quem já trabalha com segurança da informação baseada na ISO 27001, boa parte do caminho já está percorrida — os pilares do Provimento 213 se alinham diretamente com os controles da norma.

Referências

O SIG Virtual foi desenvolvido para ajudar organizações a estruturar seus sistemas de gestão — incluindo segurança da informação, conformidade e gestão de pessoas — numa única plataforma. Se o seu cartório precisa se adequar ao Provimento 213, faça o teste gratuito e veja como organizar esse processo. Confira nossos planos e preços ou entre em contato.

Quer ver o SIG Virtual funcionando?

Teste grátis e veja se faz sentido pra sua empresa.

Testar Grátis