POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

 Política de Segurança da Informação do TABELIONATO DE NOTAS E PROTESTOS SÃO JOSÉ- SC

1 Objetivo


A Política de Segurança da Informação (PSI) tem como objetivo orientar e estabelecer as diretrizes do Tabelionato de Notas e Protestos São José - SC para a proteção dos ativos de informação e a prevenção da responsabilidade legal para todos os usuários. Desta forma, aplica-se e deve ser cumprida em todas as áreas da serventia.


Esta PSI considera boas práticas de segurança da informação (inclusive ABNT NBR ISO/IEC 27001) e foi estruturada em conformidade com a Lei nº 13.709/2018 (LGPD), com o Código Nacional de Normas do Foro Extrajudicial (Provimento CNJ nº 149/2023) e com os requisitos mínimos de segurança da informação aplicáveis às serventias extrajudiciais (Provimento CNJ nº 213/2026), sem prejuízo de demais normas e determinações correicionais.


2 Aplicação


Aplica-se ao delegatário (titular), aos colaboradores, prepostos, estagiários, prestadores de serviço e demais terceiros que tratem informações ou utilizem ativos, sistemas e redes do cartório, inclusive em regime remoto.


3 Princípios


A gestão da segurança da informação no cartório observará os seguintes princípios:


• Confidencialidade: garantia de que as informações sejam acessadas somente por pessoas autorizadas.
• Integridade: garantia de que as informações permaneçam completas, íntegras e livres de alterações não autorizadas.
• Disponibilidade: garantia de que as informações e sistemas estejam acessíveis sempre que necessário para o desempenho das atividades da serventia.
• Autenticidade: garantia de que as informações e operações realizadas possam ser atribuídas de forma inequívoca ao seu autor.
• Rastreabilidade: garantia de que os acessos e operações realizadas nos sistemas possam ser devidamente registrados e auditados.
• Necessidade e mínimo privilégio: concessão de acesso apenas às informações estritamente necessárias para o desempenho das funções de cada usuário.
• Segregação de funções: distribuição adequada de responsabilidades de forma a reduzir riscos de erro, fraude ou uso indevido das informações.
PSI do TABELIONATO DE NOTAS E PROTESTOS SÃO JOSÉ- SC 4 de 13
• Privacidade e segurança desde a concepção: consideração dos princípios de proteção de dados e segurança da informação desde a concepção de sistemas, processos e serviços.


4 Diretrizes gerais e específicas


4.1 Tratamento da Informação


As informações produzidas, recebidas ou armazenadas pelo cartório constituem ativos institucionais e deverão ser utilizadas exclusivamente para fins relacionados às atividades da serventia.
O acesso às informações deverá observar o princípio da necessidade, sendo restrito às pessoas devidamente autorizadas.
O cartório deverá manter inventário atualizado dos ativos de informação sob sua responsabilidade, incluindo equipamentos, sistemas, bases de dados e demais recursos tecnológicos relevantes para o tratamento das informações.
As informações deverão ser protegidas contra acesso, uso, divulgação, alteração ou destruição não autorizada, por meio de medidas técnicas e administrativas adequadas.
O acesso a informações armazenadas nos recursos tecnológicos do cartório poderá ocorrer quando necessário para fins de auditoria, segurança da informação, investigação de incidentes, cumprimento de obrigações legais ou proteção do acervo informacional, sempre observados os princípios da finalidade, necessidade e proporcionalidade.


4.2 Acesso à Informação


O acesso aos sistemas, bases de dados e demais recursos tecnológicos do cartório será concedido de acordo com as atribuições e responsabilidades de cada usuário, observando-se o princípio do mínimo privilégio.
A concessão de acesso ocorre mediante autorização prévia e formal, podendo ser realizada por meio de sistemas de controle de acesso ou registros administrativos.
Os acessos concedidos são revisados periodicamente e revogados imediatamente em caso de desligamento do colaborador, mudança de função ou término de contrato com prestadores de serviço.
Os sistemas utilizados pela serventia deverão manter registros de acesso e de atividades relevantes (logs), de modo a possibilitar auditoria, rastreabilidade e apuração de eventuais incidentes de segurança. Os registros de acesso e eventos relevantes deverão ser mantidos pelo prazo mínimo necessário para fins de auditoria e investigação de incidentes.


4.3 Sistemas Aplicativos


Sistemas aplicativos desenvolvidos dentro da serventia devem seguir as boas práticas de segurança, Privacy by Default e Privacy by Design e manter a guarda segura da biblioteca de códigos-fontes.
Sistemas aplicativos desenvolvidos fora da serventia, de propriedade de terceiros e utilizados pela organização mediante licenciamento, deverão observar integralmente a legislação e as normas vigentes aplicáveis, especialmente a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), bem como as disposições do Provimento nº 149/2023 e do Provimento nº 213/2025, ambos do Conselho Nacional de Justiça.
O mau uso dos sistemas, realizado de forma acidental ou deliberada, deve ser combatido pela segregação das funções dentro do sistema, habilitando os usuários autenticados ao mínimo de acesso possível ao cumprimento de suas funções.

 

4.4 Gestão de Fornecedores e Terceiros


O Tabelionato de Notas e Protestos São José - SC poderá contratar fornecedores e prestadores de serviços que realizem tratamento de dados pessoais ou que tenham acesso a informações no desempenho de suas atividades.
Nessas hipóteses, deverão ser observadas medidas destinadas a garantir a proteção das informações e dos dados pessoais compartilhados.


Para esse fim, deverão ser observadas, sempre que aplicável, as seguintes diretrizes:


• Avaliar previamente a necessidade e a adequação do compartilhamento de dados pessoais com terceiros;
• Garantir que fornecedores e prestadores de serviço adotem medidas técnicas e organizacionais adequadas para proteção das informações;
• Formalizar obrigações de confidencialidade e proteção de dados pessoais nos instrumentos contratuais firmados com terceiros;
• Exigir a assinatura de Termo de Compromisso de Confidencialidade e Proteção de Dados ou instrumento equivalente pelos terceiros que tenham acesso a dados pessoais ou informações sensíveis da serventia;
• Avaliar os riscos relacionados ao compartilhamento de dados pessoais e às integrações entre sistemas utilizados pelo cartório e por fornecedores;
• Monitorar, quando aplicável, o cumprimento das obrigações relacionadas à proteção de dados pessoais e segurança da informação pelos terceiros contratados.


4.5 Uso de ativos particulares


Os equipamentos, sistemas e demais recursos tecnológicos utilizados para o desempenho das atividades do cartório deverão, preferencialmente, ser fornecidos pelo Tabelionato de Notas e Protestos São José - SC.
O uso de equipamentos particulares para acesso a sistemas ou informações do cartório somente poderá ocorrer mediante autorização expressa do responsável pelo Tabelionato de Notas e Protestos São José - SC.
Na hipótese de autorização excepcional, o equipamento deverá atender a requisitos mínimos de segurança, tais como uso de mecanismos de autenticação, bloqueio automático de tela, atualização de sistema operacional, utilização de antivírus ou solução equivalente e proteção contra acesso não autorizado.


4.6 Salvaguarda de dados


Os dados em poder do Tabelionato de Notas e Protestos São José - SC serão salvaguardados em conformidade com as exigências do Provimento CNJ nº 213/2026 e as exigências da Lei nº 13.709/2018 – LGPD.
As medidas de salvaguarda de dados deverão considerar a continuidade das atividades da serventia e a recuperação das informações essenciais em caso de falhas tecnológicas ou indisponibilidade de sistemas. Sempre que aplicável, poderão ser adotados instrumentos formais de continuidade operacional, tais como Plano de Continuidade de Negócios (PCN) e Plano de Recuperação de Desastres (PRD), nos quais poderão ser definidos parâmetros de recuperação como RTO (Recovery Time Objective) e RPO (Recovery Point Objective).
O descarte de informações e mídias deverá ocorrer de forma segura, de modo a impedir o acesso, recuperação ou reconstrução não autorizada das informações.
A serventia mantém uma Política de Backup e Salvaguarda de Dados Pessoais – Anexo I, detalhando as rotinas, sistemas e repositórios utilizados para manter a cópias de segurança dos dados.

 

4.7 Uso de Criptografia e Proteção de Dados


O Tabelionato de Notas e Protestos São José - SC adota mecanismos destinados à proteção das informações e dos dados pessoais armazenados ou transmitidos por seus sistemas e redes.
Sempre que aplicável, são utilizados mecanismos de criptografia ou outras técnicas destinadas a garantir a confidencialidade e integridade das informações.
A utilização desses mecanismos observa as boas práticas de segurança da informação, considerando a natureza das informações tratadas, os riscos envolvidos e os recursos tecnológicos disponíveis.

 

4.8 Medidas de segurança técnicas e organizacionais

 

O Tabelionato de Notas e Protestos São José - SC realiza periodicamente análises de riscos para identificar as potenciais ameaças à segurança da informação e proteção de dados pessoais, bem como elabora o RIPD – Relatório de Impacto à Proteção de Dados – Anexo II.
Os eventos relevantes de segurança deverão ser monitorados periodicamente, de forma a possibilitar a identificação de comportamentos anômalos ou incidentes de segurança da informação.
Como resultado das análises são definidas as medidas de segurança técnicas e organizacionais a serem tomadas para mitigar e/ou evitar a concretização das ameaças detectadas. Ao final é elaborado o Relatório de Gestão de Riscos e Segurança da Informação, que será utilizado para gestão contínua da implantação das medidas de mitigação na serventia.


4.9 Respostas a incidentes de segurança e privacidade


O Tabelionato de Notas e Protestos São José - SC tem o compromisso de tratar eventuais incidentes de segurança da informação e privacidade de forma célere, observando as boas práticas de segurança da informação e as exigências legais aplicáveis.
Para esse fim, a serventia mantém um Plano de Resposta a Incidentes de Segurança e Privacidade – Anexo III, que estabelece os procedimentos para identificação, classificação, tratamento e resposta aos incidentes, bem como as responsabilidades dos envolvidos no processo.
O referido plano contempla, entre outros aspectos:


• A identificação e classificação dos incidentes de segurança da informação e privacidade;
• A definição das responsabilidades para tratamento dos incidentes;
• Os procedimentos para contenção, mitigação e resolução dos incidentes identificados;
• Os fluxos de comunicação interna e, quando aplicável, comunicação às autoridades competentes e aos titulares de dados pessoais;
• O registro dos incidentes identificados e das medidas adotadas para seu tratamento e mitigação.


4.10 Mecanismos de segurança desde a concepção de novos produtos ou serviços


Segurança desde a concepção de novos produtos é um conceito derivado do “Privacy by design”, desenvolvido na década de 1990 pela Dra. Ann Cavoukian, Comissária de Informação e Privacidade de Ontário, no Canadá.
O principal objetivo é garantir que sistemas, processos e serviços levem em consideração a segurança dos dados durante suas arquiteturas e planejamentos. Para alcançar esse objetivo são 7 princípios que devem ser observados:


1. Proativo, e não reativo; preventivo, e não corretivo;
2. Privacidade como padrão (Privacy by Default);
3. Privacidade incorporada ao design;
4. Funcionalidade total (soma positiva, não soma-zero);
5. Segurança de ponta a ponta;
6. Visibilidade e transparência; e
7. Respeito pela privacidade do usuário.


O Tabelionato de Notas e Protestos São José - SC tem como compromisso seguir esses princípios tanto em processos e serviços desenvolvidos internamente, como na contratação de terceiros (operadores), que forneçam produtos e serviços que tratem os dados sob custódia da serventia.

 

5 Papeis e responsabilidades


5.1 Usuários em geral


Colaboradores, prestadores de serviços, estagiários e afins, em qualquer nível hierárquico, na sua esfera de competência, serão responsáveis por cumprir e zelar pela materialização e realização eficaz das normas e princípios da segurança da informação. Em atenção especial ao compromisso com os critérios legais e éticos que envolvam a serventia.
É de inteira responsabilidade do usuário qualquer prejuízo ou dano sofrido ou causado ao Tabelionato de Notas e Protestos São José - SC e/ou a terceiros, em decorrência da não obediência às diretrizes e às normas aqui referidas.
Cabe a todos os usuários as seguintes práticas:


• Cumprir fielmente políticas, normas e procedimentos de Segurança da Informação, incluindo regras estabelecidas neste documento;
• Buscar orientação do superior quando houver dúvidas relacionadas à Segurança da Informação;
• Assinar o Termo de Responsabilidade, formalizando a ciência da PSI e das Normas de Segurança da Informação, bem como assumindo a responsabilidade pelo seu cumprimento;
• Proteger as informações contra o acesso, a modificação, a divulgação ou a destruição não autorizada pelo titular da serventia;
• Utilizar os recursos tecnológicos utilizados apenas para fins profissionais;
• Prezar pela segurança das informações confidenciais, incluindo todo e quaisquer dados pessoais a que tiverem acesso;
• Comunicar imediatamente ao titular da serventia ou preposto por ele designado sobre qualquer descumprimento ou violação desta PSI.


5.2 Titular(es) da serventia


Cabe ao(s) titular(es) da serventia e prepostos com funções de liderança:


• Garantir a implementação de mecanismos necessários para o descarte seguro das informações;
• Manter postura em relação à Segurança da Informação e servir de modelo de conduta para os colaboradores, prestadores de serviços, estagiários e afins;
• Cumprir esta política, as normas e os procedimentos de Segurança da Informação;
• Garantir acesso e conhecimento a esta política, bem como as normas e os procedimentos aqui estabelecidos;
• Inserir em contratos com prestadores de serviços, clientes, terceirizados e parceiros, quando estes necessitarem ter contato com dados pessoais sob a guarda da serventia, cláusulas de responsabilidade, de proteção de dados pessoais e confidencialidade, exigindo o repasse das obrigações a seus próprios empregados e colaboradores;
• Adaptar normas, processos, procedimentos e sistemas sob sua responsabilidade para atender à PSI;
• Observar e zelar pela aplicação das regras e legislação de Proteção de Dados Pessoais;


5.3 Encarregado pelo tratamento de dados pessoais


O Encarregado atuará como canal de comunicação entre o cartório, os titulares de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), bem como acompanhará a conformidade das atividades de tratamento de dados pessoais com a legislação aplicável.

Cabe ao Encarregado as atividades previstas no Art. 41 da Lei 13.709/2018 (LGPD):


• Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da autoridade nacional e adotar providências; e
• Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais.


Cabe, também, ao Encarregado as atividades previstas no Provimento CNJ nº 149/2023:


• Monitorar e acompanhar a gestão de terceiros com quem houver compartilhamento de dados pessoais, incluindo a verificação da adoção de medidas adequadas de proteção de dados, conforme diretrizes previstas no Código Nacional de Normas (Art. 86);
• Acompanhar a implementação de medidas técnicas e organizacionais destinadas à proteção de dados pessoais e à mitigação de riscos relacionados à segurança da informação (Art. 90, I);
• Promover a adoção de mecanismos de segurança e proteção de dados desde a concepção de novos produtos, serviços, processos ou sistemas que envolvam tratamento de dados pessoais (Art. 90, I);
• Acompanhar o tratamento e a gestão de incidentes de segurança da informação envolvendo dados pessoais, em conformidade com os procedimentos internos estabelecidos pelo cartório (Art. 90);
• Avaliar, quando aplicável, os resultados de análises de segurança relacionadas a sistemas, bases de dados e demais ambientes tecnológicos utilizados no tratamento de dados pessoais (Art. 90);
• Avaliar os riscos relacionados às integrações entre sistemas e às hipóteses de compartilhamento de dados pessoais com terceiros (Art. 86 e Art. 90);
• Promover programas de capacitação e conscientização voltados à proteção de dados pessoais e à segurança da informação no âmbito da serventia (Art. 94, IV);
• Manter canal de comunicação destinado ao atendimento de solicitações, requisições ou reclamações apresentadas pelos titulares de dados pessoais (Art. 95, I);
• Acompanhar o fluxo interno de atendimento aos direitos dos titulares de dados pessoais, desde o recebimento da solicitação até a resposta final ao titular (Art. 95, II).

 

6 Governança de Segurança da Informação e Proteção de Dados


A governança de segurança da informação e proteção de dados pessoais no âmbito do cartório observa a legislação aplicável e as normas editadas pelo Conselho Nacional de Justiça.
Compete à administração da serventia assegurar a implementação e manutenção de medidas técnicas e organizacionais destinadas à proteção das informações e dos dados pessoais tratados no exercício das atividades notariais e registrais.

 

Para esse fim, a gestão da segurança da informação deverá observar, entre outras, as seguintes diretrizes:


• Promover a adoção de políticas, procedimentos e controles destinados à proteção das informações e dos dados pessoais tratados pela serventia;
• Assegurar que os sistemas e processos utilizados pelo cartório observem os princípios da segurança da informação e da proteção de dados pessoais;
• Garantir que colaboradores, prepostos e prestadores de serviço estejam cientes de suas responsabilidades quanto à proteção das informações sob sua guarda;
• Promover a capacitação e conscientização dos usuários quanto às boas práticas de segurança da informação e proteção de dados pessoais;
• Assegurar que as atividades de tratamento de dados pessoais realizadas no âmbito da serventia estejam em conformidade com a legislação aplicável e com as normas editadas pelo Conselho Nacional de Justiça.

 

7 Disposições finais


As infrações a essa PSI e Normas de Segurança da Informação serão passíveis de processo disciplinar.
O uso de qualquer recurso da serventia para atividades ilegais é motivo de demissão por justa causa.
Esta PSI estará disponível em local de fácil localização e com acesso restrito aos usuários internos da serventia.
Esta Política deverá ser revisada periodicamente ou sempre que houver alterações relevantes na legislação, nos sistemas ou nos processos da serventia.

8 Documentos relacionados


• Política de Backup e Salvaguarda de Dados Pessoais – Anexo I;
• RIPD – Relatório de Impacto à Proteção de Dados – Anexo II;
• Plano de Resposta à Incidentes de Privacidade – Anexo III; e
• Relatório de Gestão de Riscos e Segurança da Informação.


Data Versão Revisão Histórico Realizada por Revisada por


20/05/2026 V1R1 Versão inicial. 
17/06/2026 V1R2 Versão revisada