O Oficial do Registro Civil e Tabelião de Notas e Protesto de Letras e Títulos de Artur Nogueira no uso de suas atribuições legais e regimentais,

CONSIDERANDO que o cartório coleta e produz informações de caráter e procedência diversos, as quais devem permanecer íntegras, disponíveis e, nas situações em que a observância for obrigatória, com o sigilo resguardado;

CONSIDERANDO o número progressivo de incidentes cibernéticos no ambiente da rede mundial de computadores e a necessidade de processos de trabalho orientados para a boa gestão da segurança da informação;

CONSIDERANDO o Provimento 74/2018 de 31 de julho de 2018 publicado no diário oficial de 01 de agosto de 2018 que dispõe sobre padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil;

CONSIDERANDO a Lei Geral de Proteção de Dados Pessoais 13.709 de 14 de agosto de 2018 que dispõe sobre a proteção de dados pessoais e altera a Lei nº 12.965, de 23 de abril de 2014 (Marco Civil da Internet).

CONSIDERANDO a resolução interna que instituiu as Diretrizes de Segurança da Informação do Oficial do Registro Civil e Tabelião de Notas e Protesto de Letras e Títulos de Artur Nogueira;

CONSIDERANDO o provimento 23/2020 do Tribunal de Justiça do Estado de São Paulo de 03 de setembro de 2020 que acrescentou os itens 127 a 152.1 do Capítulo XIII do Tomo II das Normas de Serviço da Corregedoria Geral da Justiça;

CONSIDERANDO o provimento 134/2022 do CNJ 24 de agosto de 2022 que estabelece as medidas a serem adotadas pelas serventias extrajudiciais em âmbito nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais e seu artigo 6º item V;

 

RESOLVE: Criar e adotar a seguinte Política de Segurança da Informação denominada como PSI nos termos que segue:

 

CAPÍTULO I - DAS DISPOSIÇÕES GERAIS

 

SEÇÃO I - DOS PRINCÍPIOS BÁSICOS DA PSI

Art.1º. Instituir a Política de Segurança da Informação (PSI) do Oficial do Registro Civil e Tabelião de Notas e Protesto de Letras e Títulos de Artur Nogueira, que tem como princípios básicos:

1. A proteção do direito individual e coletivo das pessoas à inviolabilidade da sua intimidade e ao sigilo da correspondência e das comunicações, nos termos previstos na Constituição Federal;

2. A proteção de informações relacionadas a assuntos que mereçam tratamento especial;

3. A criação, desenvolvimento e manutenção de cultura relacionada à segurança da informação, alinhada as diretrizes nacionais de segurança da informação.

 

SEÇÃO II - DAS DEFINIÇÕES RELATIVAS À PSI

 Art.2º. Para efeitos desta Política, ficam estabelecidos os seguintes conceitos:

 

1. Ameaça: qualquer circunstância ou evento com o potencial de causar impacto negativo sobre a confidencialidade, a integridade, a autenticidade e a disponibilidade da informação;

2. Ativo de informação: os meios de armazenamento, transmissão e processamento, os sistemas de informação e os locais onde se encontram esses meios e as pessoas que a eles têm acesso;

3. Autenticidade: propriedade de que a informação foi produzida, expedida, modificada ou destruída por um determinado indivíduo, entidade ou processo;

4. Confidencialidade: propriedade de que a informação não será disponibilizada ou divulgada a indivíduos, entidades ou processos sem autorização;

5. Disponibilidade: propriedade de que a informação esteja acessível e utilizável sob demanda por indivíduo, entidades ou processos;

6. Gestor de ativo de informação: é o titular da serventia responsável pela gestão e operação dos ativos de informação;

7. Incidente de segurança: evento ou conjunto de eventos de segurança da informação, indesejados ou inesperados, confirmados ou sob suspeita, que tenham grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação;

8. Informação: conjunto de dados, textos, imagens, métodos, sistemas ou quaisquer formas de representação dotadas de significado em determinado contexto, independentemente do meio em que resida ou da forma pela qual seja veiculado;

9. Integridade: propriedade de que a informação não foi modificada ou destruída, de maneira não autorizada ou acidental, por indivíduos, entidades ou processos;

10. Plano de Continuidade de Negócios: documentação dos procedimentos e informações necessárias para manter os ativos de informação críticos e a continuidade de suas atividades críticas em local alternativo previamente definido, em casos de incidentes;

11. Plano de Recuperação de Negócios: documentação dos procedimentos e informações necessárias para que se operacionalize o retorno das atividades críticas à normalidade;

12. Público alvo: é o conjunto de usuários internos e externos atendidos pela serventia;

13. Risco: possibilidade potencial de uma ameaça comprometer a informação ou o sistema de informação pela exploração da vulnerabilidade;

14. Segurança da informação: ações que objetivam viabilizar e assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade das informações;

15. Serviços essenciais: são aqueles que são imprescindíveis à atividade finalística desta serventia;

16. Responsável pela TI: é o setor ou pessoa responsável pela Tecnologia da Informação e gestão de segurança na serventia;

17. Usuário externo: qualquer pessoa física ou jurídica, não caracterizada como usuário interno, que tenha acesso a informações produzidas pela serventia de forma autorizada;

18. Usuário interno: qualquer colaborador, prestador de serviço terceirizado, estagiário ou qualquer outra pessoa que tenha acesso às informações produzidas pela serventia de forma autorizada; e

19. Vulnerabilidade: fragilidade de um ativo ou grupo de ativos de informação que pode ser explorado negativamente por uma ou mais ameaças.

 

 

 SEÇÃO III - DOS OBJETIVOS DA PSI

 Art.3º. São objetivos desta Política de Segurança da Informação:

1. Dotar o cartório e seus colaboradores e prestadores de serviços de instrumentos jurídicos, normativos e organizacionais que os capacitem a assegurar a confidencialidade, a integridade, a autenticidade e a disponibilidade das informações produzidas e armazenadas;

2. Estabelecer diretrizes e normas gerais para a efetiva implementação da segurança da informação;

3. Subsidiar a promoção das ações necessárias à implementação e à manutenção dos processos de gestão de riscos, gestão de incidentes de segurança da informação, gestão da continuidade de serviços essenciais e gestão do uso dos recursos de Tecnologia da Informação e Comunicação;

 

CAPÍTULO II - DAS DIRETRIZES GERAIS

 

SEÇÃO I - DA CLASSIFICAÇÃO E TRATAMENTO DA INFORMAÇÃO

 Art.4º. A classificação e o tratamento da informação, realizados por meio de procedimento definido formalmente, abrange informações provenientes dos serviços essenciais de Tecnologia da Informação e Comunicação da serventia.

Parágrafo único. As informações deverão ser classificadas de forma a permitir tratamento diferenciado de acordo com seu grau de importância, criticidade, sensibilidade, e em conformidade com requisitos legais.

Art.5º. Os critérios gerais aplicáveis à Classificação e ao tratamento da informação serão definidos por norma interna elaborado pelo Comitê Gestor de Segurança da Informação, com a participação de todos os setores da serventia que produzem, recepcionam ou custodiam informações essenciais às atividades finalísticas, e submetido à apreciação do tabelião.

 

SEÇÃO II - DA GESTÃO DE RISCOS DE SEGURANÇA DA INFORMAÇÃO

 Art.6º. A gestão de riscos é realizada por meio de processo definido de maneira formal, contendo as fases de análise, avaliação e tratamento dos riscos.

Parágrafo único. O processo de gestão de riscos deverá, sempre que possível e necessário, ser apoiado por uma ferramenta computacional que contemple as atividades mencionadas no caput deste artigo.

Art.7º. O responsável pela TI da serventia é o responsável pela execução das fases de análise, avaliação e tratamento dos riscos.

Art.8º. O escopo da gestão de riscos será definido anualmente pelo tabelião da serventia, mantendo a correspondência com as normas de serviços e provimentos publicados pelo CNJ e pelo Comitê de Gestão da Tecnologia da Informação dos Serviços Extrajudiciais (COGETISE),

Parágrafo único. Os critérios gerais aplicáveis para aceitação de riscos serão definidos anualmente pelo tabelião com a orientação técnica do Responsável pela TI (Tecnologia da Informação e Comunicação).

Art.9º. O responsável pela TI e gestor de segurança da informação elaborará relatório anual de gestão riscos para o tabelião contendo as ações tomadas frente às ameaças e as recomendações utilizadas para tratar os riscos identificados.

 

 SEÇÃO III - DA GESTÃO DO ACESSO E USO DOS RECURSOS DE TECNOLOGIA DA INFORMAÇÃO E COMUNICAÇÃO

 Art.10º. A gestão de acesso e uso dos recursos de Tecnologia da Informação e Comunicação disponibilizados pela serventia é regulado por normativo próprio.

Art.11º. Estão sujeitos à regulamentação de que trata o caput do artigo 10 os usuários internos e externos da serventia que, de maneira autorizada, tenham acesso aos recursos de Tecnologia da Informação e Comunicação prestados por esta serventia.

Parágrafo único. A utilização desses recursos está condicionada à aceitação desta Política por parte dos usuários mediante assinatura de termo de uso, podendo este ser eletrônico ou impresso em papel.

                                                                               

SEÇÃO IV - DA GESTÃO E CONTROLE DE ATIVOS DE INFORMAÇÃO

 Art.12º. A gestão e controle dos ativos de informação é realizada por meio de processo definido de maneira formal, contendo as fases de cadastro, atualização e exclusão.

Parágrafo único. O processo de gestão e controle dos ativos de informação deverá, sempre que possível e necessário, ser apoiado por ferramenta computacional que contemple as atividades mencionadas no caput deste artigo.

Art.13º. O responsável pela TI da serventia é o responsável pela execução das fases de cadastro, atualização e exclusão.

 

SEÇÃO V - DA GESTÃO DE INCIDENTES DE SEGURANÇA DA INFORMAÇÃO

 Art.14º. A gestão de incidentes de segurança da informação é realizada por meio de processo definido de maneira formal, contendo as fases de detecção, triagem, análise e resposta aos incidentes de segurança.

Art.15º. Fica instituído que o responsável pela TI poderá solicitar apoio externo quando necessário para responder aos incidentes de segurança de maneira adequada e tempestiva.

Art.16º. O responsável pela TI tem autonomia compartilhada, ou seja, participará do resultado da decisão recomendando os procedimentos a serem executados ou as medidas de recuperação durante a identificação de uma ameaça e debaterá as ações a serem tomadas, seus impactos e a repercussão caso as recomendações não forem seguidas.

Parágrafo único. O tabelião é o responsável em aprovar as ações decorrentes de um incidente ou ameaça de segurança que afetem a imagem institucional ou a confidencialidade das informações da serventia.

Art.17º. O funcionamento da gestão de incidentes é regulado por documento formal devendo conter, no mínimo, os seguintes pontos: definição da missão, público alvo, modelo de implementação, canal de comunicação de incidentes de segurança e os serviços que serão prestados.

 

SEÇÃO VI - DO PLANO DE CONTINUIDADE DE NEGÓCIOS

 Art.18º. A gestão da continuidade dos negócios é realizada por meio de processo definido de maneira formal, contendo as fases de análise de impacto e definição das estratégias pelo responsável pela TI e pelos setores da serventia, por fim, a elaboração de planos.

§1º Os planos mencionados no caput deste artigo são:

1. O de Continuidade de Negócios;
2. O de Recuperação de Negócios.

 

§2º Os planos referidos no §1º serão submetidos ao tabelião para seu conhecimento e aprovação.

Art.19º. A definição dos serviços essenciais será feita pelo tabelião com apoio técnico do responsável pela TI.

Art.20º. O responsável pela TI é responsável por estabelecer e manter o processo formal da gestão de continuidade de serviços essenciais de Tecnologia da Informação e Comunicação.

Art.21º. O responsável pela TI é o responsável pela elaboração dos procedimentos técnicos constantes nos Planos de Continuidade e de Recuperação do Negócio.

Art.22º. Os Planos de Continuidade e de Recuperação do Negócio, após aprovados, serão exercitados e testados anualmente e os resultados documentados de forma a garantir a sua efetividade.

Art.23º. Os Planos de Continuidade e de Recuperação do Negócio serão revisados nas seguintes situações:

1. No mínimo, uma vez por ano;

2. Em função dos resultados dos testes realizados; e

3. Após alguma mudança significativa nos ativos de informação, nas atividades ou em algum de seus componentes

 

CAPÍTULO III - DAS RESPONSABILIDADES

 

SEÇÃO I - DO TABELIÃO/INTERINO,

 Art.24º. Cabe ao tabelião/oficial/interino adotar as seguintes diretrizes:

1. Propor normas e procedimentos internos relativos à segurança da informação, em conformidade com as legislações existentes sobre o tema;

2. Promover cultura de segurança da informação na serventia e implementar programas contínuos destinados à conscientização e capacitação dos usuários interno;

3. Propor recursos necessários às ações de segurança da informação;

4. Constituir grupos de trabalho para tratar de temas e propor soluções específicas sobre segurança da informação;

5. Estabelecer critérios de classificação dos dados e das informações, com vistas à garantia dos níveis de segurança desejados e à normatização do acesso e uso das informações;

6. Garantir que os objetivos propostos no artigo 3º desta Política sejam alcançados.

7. Orientar todos os seus prepostos, colaboradores e os prestadores terceirizados de serviços técnicos sobre os deveres, requisitos e responsabilidades decorrentes da Lei n. 13.709, de 14 de agosto de 2018.

8. Orientar todos os seus prepostos, colaboradores e os prestadores terceirizados de serviços técnicos sobre as formas de coleta, tratamento e compartilhamento de dados pessoais a que tiverem acesso, bem como sobre as respectivas responsabilidades.

 Nomear um Encarregado que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)

 

SEÇÃO II - DO RESPONSÁVEL PELA TI

 Art.25º. Cabe ao responsável pela TI da serventia implantar e gerenciar os controles relativos:

1. À gestão dos ativos de Tecnologia da Informação e Comunicação, principalmente os críticos e estratégicos, a fim de inventariar e identificar seus responsáveis;

2. À gestão da segurança das configurações da rede de comunicação de dados, para garantir a proteção das informações disponíveis na rede e a infraestrutura de suporte;

3. À gestão da segurança física dos ambientes computacionais, a fim de impedir e/ou repelir o acesso físico não autorizado e a ocorrência de danos e interferências nas instalações e informações digitais do órgão;

4. À gestão das operações tecnológicas, a fim de garantir a operação segura dos recursos de processamento da informação;

5. À gestão das cópias e restauração de dados da serventia para manter a confidencialidade, a integridade e a disponibilidade das informações e dos recursos de processamento de informação;

6. Ao uso dos recursos tecnológicos e aos acessos às informações e serviços em rede da serventia, a fim de garantir o acesso somente aos usuários autorizados a operar as informações acessadas;

7. Ao gerenciamento de incidentes de segurança da informação, a fim de permitir o controle das fragilidades, vulnerabilidades e eventos que porventura coloquem em risco a segurança das informações e serviços da serventia;

8. Às modificações nos recursos de processamento da informação e sistemas da serventia, considerando a criticidade dos sistemas e serviços essenciais.

 

SEÇÃO III- DO ENCARREGADO

Art.26º. Cabe ao Encarregado o seguinte;

1. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

2. Receber comunicações da autoridade nacional e adotar providências;

3. Orientar os colaboradores e os prestadores de serviços contratados a respeito das práticas a serem tomadas em relação à proteção de dados pessoais; e

4. Executar as demais atribuições determinadas pelo Tabelião ou estabelecidas em normas complementares.

 

CAPÍTULO IV - DAS DISPOSIÇÕES FINAIS

 Art.27º. A inobservância dos dispositivos constantes desta Política de Segurança da Informação pode acarretar, isolada ou cumulativamente, nos termos da lei, sanções administrativas, civis ou penais, assegurados aos envolvidos o contraditório e a ampla defesa.

Art.28º. A Política de Segurança da Informação deverá ser revisada anualmente ou quando necessário.

Art.29º. Esta Política entrará em vigor na data de sua publicação para todos os colaboradores e prestadores de serviços.

 

Artur Nogueira, 27 de fevereiro de 2024.

 

Kendi Felipe Yamamoto

Tabelião Titular