Provimento 213 — guia prático de implementação das Etapas 1 e 2

Se o seu cartório precisa se adequar ao Provimento 213 do CNJ, este guia detalha o que fazer nas duas primeiras etapas, governança e infraestrutura. São as etapas com prazo mais curto (90 a 210 dias, dependendo da classe da serventia) e formam a base de tudo que vem depois.

Antes de começar, vale lembrar os prazos para conclusão das Etapas 1 e 2:

Classe	Faturamento semestral	Prazo
Classe 3	Acima de R$ 500 mil	90 dias
Classe 2	R$ 100 mil a R$ 500 mil	150 dias
Classe 1	Até R$ 100 mil	210 dias

Se você ainda não leu o panorama geral do provimento, vale passar pelo nosso artigo introdutório sobre o Provimento 213 antes de seguir com este guia.

Etapa 1 — Governança, estruturação organizacional e conformidade legal

O objetivo da primeira etapa é montar a base normativa e organizacional da serventia. Ao final, você precisa ter governança formal instituída, responsabilidades atribuídas, política de segurança vigente, controles de autenticação funcionando, inventário de ativos completo e documentação suficiente para demonstrar conformidade em caso de fiscalização.

1.1. Designação formal de responsáveis

O primeiro passo é criar um documento formal nomeando:

O responsável técnico interno pela implementação do provimento;
O controlador de dados pessoais da serventia (o próprio titular da delegação);
O encarregado de proteção de dados (DPO), quando aplicável.

Na prática, o DPO pode acumular a função de responsável pela implementação do provimento na serventia. O importante é que a designação seja formal: um documento assinado pelo titular, com nome, CPF, função e data de início da responsabilidade.

1.2. Política de Segurança da Informação

Elaborar, aprovar e divulgar internamente a Política de Segurança da Informação (PSI) da serventia. Essa política precisa contemplar todos os elementos mínimos do Anexo III do provimento e deve incluir, de forma expressa:

Diretrizes e objetivos estratégicos de segurança da informação;
Cronograma de implementação;
Responsabilidades de cada colaborador;
Diretrizes preliminares para o Plano de Continuidade de Negócios (PCN) e o Plano de Recuperação de Desastres (PRD), incluindo escopo, governança e critérios de continuidade.

Um ponto importante: nesta etapa, o provimento exige apenas que as diretrizes do PCN e PRD estejam incorporadas à política. A formalização técnica completa desses planos acontece na Etapa 2. Não precisa (e nem deve) ser deixada para depois da segunda etapa.

Após aprovação, a política deve ser divulgada a todos os colaboradores da serventia, com registro de ciência.

1.3. Autenticação individualizada e MFA

Implementar autenticação individualizada para todos os acessos: cada colaborador com seu próprio login e senha. Credenciais compartilhadas estão vedadas.

Além disso, acessos administrativos (usuários com privilégios elevados) devem obrigatoriamente usar autenticação multifator (MFA). Isso vale para painéis de administração de sistemas, acesso remoto e qualquer recurso com permissões de gestão.

1.4. Registro de operações de tratamento de dados (ROPA)

A serventia precisa criar e manter o ROPA — Record of Processing Activities, ou Registro de Atividades de Tratamento (RAT). Esse registro mapeia todas as atividades de tratamento de dados pessoais realizadas pela serventia, conforme o art. 37 da LGPD.

Para cada atividade de tratamento, o registro deve identificar:

Quais dados pessoais são tratados;
A finalidade do tratamento;
A base legal aplicável;
Os compartilhamentos realizados;
As medidas de segurança adotadas;
O período de retenção.

Esse documento não é estático e precisa ser atualizado sempre que houver mudança nas atividades de tratamento.

1.5 e 1.6. Comunicação de incidentes críticos

Incidentes classificados como críticos devem ser comunicados à Corregedoria competente nos prazos e condições definidos no Anexo II do provimento, além das comunicações exigidas pela legislação (como a notificação à ANPD nos termos da LGPD).

Como meta de diligência reforçada, a comunicação à Corregedoria deve ocorrer, sempre que possível, em até 24 horas da ciência do incidente — especialmente quando houver:

Risco de indisponibilidade prolongada;
Comprometimento de dados pessoais;
Potencial impacto sistêmico.

Na prática, isso significa que a serventia precisa ter um procedimento documentado de resposta a incidentes, com fluxo de comunicação definido, contatos atualizados e modelo de notificação pronto.

1.7. Inventário de ativos tecnológicos

Produzir um inventário completo que cubra:

Equipamentos: computadores, servidores, nobreaks, switches, roteadores, impressoras;
Software: sistemas operacionais, aplicações, versões, licenças;
Integrações: conexões com centrais eletrônicas, APIs, webservices;
Bancos de dados: localização, tipo, tamanho;
Certificados digitais: titularidade, validade, uso;
Histórico de atualizações: patches, upgrades;
Contratos: fornecedores de tecnologia, SLAs, vigência.

1.8. Licenciamento e revisão contratual

Dois pontos aqui:

Licenciamento de software: regularizar qualquer software sem licença. Software pirata é inaceitável num contexto de conformidade com o provimento.

Revisão de contratos com terceiros: todo contrato com fornecedor que envolva tratamento, armazenamento ou processamento de dados da serventia precisa conter cláusulas de:

Confidencialidade;
Reversibilidade;
Portabilidade integral do acervo em formato interoperável e não proprietário;
Documentação técnica para migração;
Cooperação em caso de transição de fornecedor;
Gestão de incidentes;
Conformidade com a LGPD.

Se os contratos atuais não possuem essas cláusulas, será necessário negociar aditivos contratuais com os fornecedores.

1.9. Declaração de conclusão

Ao final da Etapa 1, o titular da delegação (ou interino/interventor) deve firmar uma declaração de conclusão e registrar no Sistema Justiça Aberta.

Checklist resumido — Etapa 1

Etapa 2 — Infraestrutura e continuidade operacional

A segunda etapa cuida da base material. Energia, conectividade, proteção de endpoint, documentação da arquitetura tecnológica e, principalmente, a formalização dos planos de continuidade e recuperação de desastres.

Ao final, a serventia deve ter infraestrutura física adequada, conectividade compatível com sua classe, PCN e PRD formalizados com RTO e RPO definidos, e capacidade de manter ou restabelecer as operações dentro dos parâmetros do provimento.

2.1. Infraestrutura energética

A serventia precisa contar com:

Fonte de energia estável;
Aterramento técnico conforme normas da ABNT;
SAI/UPS (nobreak) com autonomia mínima de 30 minutos.

Evidências que devem ser produzidas:

Laudo de aterramento com ART (Anotação de Responsabilidade Técnica);
Ficha técnica do nobreak;
Teste de autonomia real sob carga atual (deve ser feito anualmente);
Lista dos equipamentos protegidos pelo nobreak, como estações de trabalho, ativos de rede e periféricos críticos;
Diagrama elétrico simplificado mostrando que o nobreak/estabilizador alimenta o caminho crítico até a internet.

Serventias que operam com servidor local (on-premise) precisam dimensionar o nobreak para suportar também o servidor, além das estações e ativos de rede. A autonomia de 30 minutos deve considerar essa carga adicional. Um servidor consome significativamente mais que uma estação de trabalho. O teste de autonomia anual precisa refletir a carga real, incluindo o servidor em operação.

2.2. Plano de contingência energética

Um documento formal, o “Plano de Contingência Energética”, que descreva:

Cenários: queda curta de energia, queda prolongada, falha de longa duração;
Procedimentos passo a passo para cada cenário;
Responsáveis e contatos de emergência;
Recursos de contingência: notebooks com bateria, roteador 4G/5G, contrato do plano de dados móveis, procedimento de acesso remoto seguro.

Para serventias com servidor local, o plano precisa prever o que acontece com o servidor durante queda prolongada: procedimento de desligamento seguro, tempo máximo de operação no nobreak e como retomar após o restabelecimento da energia. Se o sistema depende do servidor para funcionar, uma queda de energia que ultrapasse a autonomia do nobreak significa indisponibilidade total — e isso precisa estar mapeado no plano.

A simulação anual do plano será exigida formalmente no item 4.4 (Etapa 4), mas já vale registrar a primeira simulação aqui.

2.3. Ambiente físico

Controle de acesso restrito e proteção contra incêndio, inundações e variações térmicas. As exigências aqui variam bastante dependendo de onde o sistema da serventia roda, nuvem ou servidor local.

Serventia com sistema em nuvem (SaaS)

Se a serventia utiliza infraestrutura em nuvem (AWS, Azure, GCP), parte significativa dessa exigência é coberta pelo provedor. Para ambientes AWS, por exemplo, a documentação inclui:

Relatórios de conformidade do AWS Artifact: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018, CSA STAR;
Documento do Modelo de Responsabilidade Compartilhada AWS;
Atestado interno descrevendo a região AWS utilizada, serviços e configurações de residência de dados (datacenter no Brasil);
Cláusula contratual com a AWS (Customer Agreement + Data Processing Addendum).

Nesse modelo, a serventia documenta o ambiente físico do escritório (estações, rede local) e anexa a documentação do provedor para a parte de datacenter. A responsabilidade sobre servidores, refrigeração, redundância elétrica e segurança física do datacenter é do provedor.

Serventia com servidor local (on-premise)

Quem opera com ERP ou sistema de gestão instalado em servidor próprio assume a responsabilidade integral sobre o ambiente físico. Isso muda completamente o nível de exigência:

Sala de servidores com acesso restrito: o servidor não pode ficar no mesmo ambiente de circulação dos colaboradores. Idealmente, uma sala dedicada com tranca, e acesso limitado a pessoas autorizadas. Registro de entrada e saída (pode ser livro de controle ou controle eletrônico);
Climatização adequada: ar-condicionado dimensionado para a carga térmica dos equipamentos, com monitoramento de temperatura. Servidor operando acima da faixa recomendada pelo fabricante é risco de falha de hardware;
Proteção contra incêndio: extintor compatível com equipamentos elétricos (CO2 ou pó químico) na sala de servidores. AVCB do imóvel;
Proteção contra inundação: servidor não pode ficar no nível do piso se houver risco de alagamento. Atenção a tubulações de água próximas;
Backup local e off-site: com servidor on-premise, o backup não pode estar apenas no mesmo local físico do servidor. É obrigatório ter cópia off-site (nuvem, cofre externo ou outro local físico separado);
Documentação completa: fotografias do ambiente, planta baixa com localização dos equipamentos, laudos de climatização, registro de manutenção preventiva do ar-condicionado.

O esforço para cumprir o provimento com infraestrutura on-premise é consideravelmente maior do que no modelo SaaS. Cada requisito de segurança física, redundância e backup que o provedor de nuvem resolve centralmente precisa ser implementado e documentado individualmente pela serventia.

Ambiente físico do escritório (vale para ambos os modelos)

Independentemente de usar nuvem ou servidor local, o escritório da serventia precisa de:

Fotografias e documentação da proteção das estações de trabalho;
Comprovante de extintor de incêndio e AVCB (Auto de Vistoria do Corpo de Bombeiros);
Controle de acesso físico à área de equipamentos.

2.4. Conectividade

A serventia precisa de conectividade compatível com sua classe, incluindo:

Roteador e switch adequados;
Múltiplos links de internet quando necessário (principal e secundário).

Documentação necessária:

Contratos dos links de internet (principal e secundário), com SLA, velocidade e tecnologia;
Relatórios periódicos de testes de velocidade real;
Especificação dos equipamentos: modelo do roteador, switch;
Registro de teste de failover: desconectar manualmente o link principal, medir o tempo de comutação para o link secundário e documentar o impacto operacional. Registrar data, procedimento e resultado.

2.5. PCN e PRD

Este é provavelmente o item mais denso da Etapa 2. O Plano de Continuidade de Negócios (PCN) e o Plano de Recuperação de Desastres (PRD) precisam ser formalizados, em documentos separados ou integrados, desde que contenham todos os elementos obrigatórios:

I. Identificação e avaliação de riscos: listar os riscos que podem interromper as operações da serventia (falha elétrica, ransomware, falha de sistema, desastre natural, perda de pessoal-chave, falha de fornecedor) e avaliar probabilidade e impacto de cada um. Serventias com servidor on-premise devem considerar também: falha de hardware do servidor, corrupção de banco de dados local, furto de equipamentos, e perda do técnico responsável pela manutenção do servidor.

II. Medidas de mitigação: para cada risco identificado, definir o que será feito para reduzir a probabilidade ou o impacto. Exemplos: nobreak para falha elétrica, backup off-site para ransomware, link secundário para falha de conectividade.

III. RTO e RPO compatíveis com a classe da serventia:

Classe	RPO (perda máxima de dados)	RTO (tempo para restaurar)
Classe 3	4 horas	8 horas
Classe 2	12 horas	24 horas
Classe 1	24 horas	24 horas

IV. Medidas de curto e médio prazo:

Curto prazo (até 30 dias): ações imediatas de resposta ao incidente, como ativação de contingência, comunicação à Corregedoria, contenção do problema;
Médio prazo (até 90 dias): restauração completa da normalidade operacional, correções definitivas, revisão dos planos.

A declaração de conclusão da Etapa 2 não pode ser emitida sem que todos esses elementos estejam presentes.

Para quem precisa de uma referência sobre como estruturar esses planos, vale consultar a ISO 22301 — Continuidade de negócios.

2.6. Equipamentos e suporte técnico

Garantir que a serventia possui equipamentos adequados (atualizados, com capacidade de processamento e armazenamento compatíveis) e suporte técnico contínuo, seja equipe interna ou contrato com prestador de serviços.

2.7. Proteção de endpoint

Antivírus, antimalware ou solução equivalente em todas as estações de trabalho e servidores utilizados pela serventia. Sem exceção. É condição mínima de integridade operacional.

Para quem opera com servidor local, isso inclui o próprio servidor — não apenas as estações. O servidor é o ativo mais crítico da rede; se for comprometido por malware ou ransomware, toda a operação para. A solução de proteção no servidor precisa estar ativa, atualizada e com varreduras programadas.

2.8. Documento técnico da arquitetura

Um documento técnico simplificado que contenha, no mínimo:

Topologia básica de rede: diagrama mostrando como os equipamentos e sistemas se conectam;
Ambientes utilizados: local, nuvem, híbrido, SaaS ou compartilhado;
Fluxos de dados críticos: por onde os dados sensíveis trafegam;
Localização dos backups: física ou lógica;
Integrações externas: centrais eletrônicas, APIs de tribunais, webservices;
Mecanismos de alta disponibilidade ou redundância: failover, replicação, balanceamento.

2.9. Declaração de conclusão

Assim como na Etapa 1, o titular da delegação (ou interino/interventor) firma a declaração de conclusão e registra no Sistema Justiça Aberta.

Checklist resumido — Etapa 2

Políticas e documentos que exigem confirmação de leitura

Ao longo das Etapas 1 e 2, a serventia vai produzir diversos documentos normativos internos. Parte deles precisa ser formalmente divulgada aos colaboradores, com registro de ciência. Aqui está a lista consolidada:

Etapa 1:

Política de Segurança da Informação (PSI)
Designação formal de responsáveis (responsável técnico, controlador, DPO)
Procedimento de comunicação de incidentes
Registro de operações de tratamento de dados (ROPA/RAT)
Normas de uso de credenciais e autenticação (vedação de compartilhamento, MFA obrigatório)

Etapa 2:

Plano de Contingência Energética
Plano de Continuidade de Negócios (PCN)
Plano de Recuperação de Desastres (PRD)
Documento técnico da arquitetura tecnológica

Para cada um desses documentos, a serventia precisa comprovar que os colaboradores tomaram ciência — e isso significa ter um registro formal de leitura, não apenas ter enviado o documento por e-mail.

O SIG Virtual tem funcionalidade específica para isso: você publica a política na plataforma, atribui aos colaboradores e acompanha quem já leu e confirmou. Isso gera o registro de ciência que a fiscalização correicional pode exigir, sem precisar controlar planilha ou recolher assinatura em papel.

Próximos passos

Com as Etapas 1 e 2 concluídas, a serventia terá governança formal, política de segurança vigente, infraestrutura adequada e planos de continuidade documentados. As etapas seguintes, proteção do acervo digital, monitoramento e interoperabilidade, se apoiam nessa base.

O ponto central é: não trate o provimento como uma formalidade burocrática. Cada item foi desenhado para resolver problemas reais que as serventias enfrentam: perda de dados, indisponibilidade prolongada, vulnerabilidades exploradas, falta de rastreabilidade. A conformidade é consequência de uma operação bem estruturada.

Referências

O SIG Virtual ajuda serventias a organizar a implementação de normas e controles de gestão numa única plataforma, incluindo segurança da informação, LGPD e continuidade de negócios. Se o seu cartório precisa se adequar ao Provimento 213, faça o teste gratuito e veja como estruturar esse processo. Confira nossos planos e preços ou entre em contato.