Notícia n. 1496 - Boletim Eletrônico IRIB / Março de 2000 / Nº 180 - 15/03/20
Tipo de publicação
Notícia
Coleções
Edição
180
Date
2000Período
Março
Description
SELO DE BOAS PRÁTICAS - (versão 1.2 - texto preliminar)) 1. OBJETIVO Esta norma visa estabelecer uma série de requisitos para garantir a confiança de que as práticas de informática aplicadas a um Sistema de Registro atendam as suas finalidades. O cartório deve definir a abrangência de seu Sistema de Informação, listando todos os programas e aplicativos utilizados. 2. REQUISITOS GERAIS 2.1 Representante do Sistema A Administração deve designar um profissional que, independente de outras responsabilidades deve ter autoridade definida para: · Homologar os Sistemas Informatizados ( "hardware", "software" e treinamento do pessoal) · Aprovar os planos de contingência (ver item 2.3) · Verificar a adequação dos recursos necessários · Verificar a adequação da capacidade instalada com relação à demanda de serviços · Assegurar que os requisitos desta norma estejam implementados e mantidos. 2.2 Homologação dos Sistemas Informatizados Todas a incorporação, modificação ou substituição de elementos de "software", "hardware" ou infra-estrutura deve ser previamente analisada e formalmente aprovada pelo Representante do Sistema. Os seguintes itens dentre outros devem ser considerados: · Levantamento das possibilidades de falhas · Testes necessários para prevenir falhas · Necessidade de sistemas redundantes e prazos de vigência · Treinamento do pessoal · Necessidade de procedimentos documentados. 2.3 Planos de Contingência Devem ser elaborados planos de contingência com o objetivo de não comprometer a eficácia do Sistema de Informação em situações não rotineiras e previamente identificadas. As seguintes situações entre outras devem ser consideradas: · Falta de energia · Vírus de computador · Quedas de Sistema · Fogo · Inoperância de algum "hardware" ou "software" · Ausência de pessoal designado. 2.4 Ações corretivas Todas as não-conformidades do encontradas (incluindo reclamações de clientes) devem ser registradas e tomadas ações imediatas para não comprometer a eficácia do Sistema de Informação. Deve ser feita uma análise das não-conformidades levando-se em conta a gravidade do problema, sua abrangência e a possibilidade de reincidência . Para as não-conformidades com impacto significativo no Sistema de Informação devem ser tomadas ações para a descoberta das causas e prevenção da reincidência. Devem ser mantidos registros destas análises e das ações decorrentes. 2. 5 Auditorias Internas A intervalos máximos de seis meses ou após modificações significativas, devem ser planejadas e executadas auditorias internas com o objetivo de verificar a conformidade das práticas do sistema de informação aos requisitos desta norma e aos procedimentos internos. Devem ser formalizados relatórios das auditorias internas e, para os problemas encontrados, deve ser seguido o item 2.4. Os seguintes itens dentre outros devem ser considerados nas auditorias internas: · Adequação da capacidade do sistema de informação em relação à demanda de serviços · Funcionamento e cumprimento das normas de "back-up" dos sistemas considerados críticos · Verificação da eficácia das ações corretivas 2.6 Treinamento Todo o pessoal que executa tarefas críticas do Sistema de Informação deve ser qualificado com base na experiência ou treinamento. Para tarefas consideradas críticas (incluindo o Representante do Sistema), deve ser providenciado pessoal qualificado em caráter de substituição no caso de férias ou ausências não planejadas. 3. REQUISITOS ESPECÍFICOS 3.1. Inserção e Modificação de Registros Em todas as situações onde houver inserção e/ou modificação de registros, os seguintes conceitos devem ser atendidos pelo sistema de informação: · Intervenção autorizada: o sistema de informação deve ter proteção suficiente de forma a não permitir que pessoas não autorizadas tenham poder de realizar intervenções na inserção e modificação de registros. Deve haver uma lista de pessoas autorizadas a efetuar as operações para cada aplicativo. · Campos suficientes: o sistema de informação deve conter todos os campos de preenchimento exigidos pela legislação e/ou pelos procedimentos internos. · Rastreabilidade de intervenção: o sistema de informação deve ter capacidade de identificar e registrar os autores das intervenções que alterem a base de registros. Estes registros devem ser protegidos e mantidos por prazos definidos pela Administração. · Ligação com outros módulos e referências: o sistema de informação deve ter procedimentos automatizados ou manuais para garantir que, a cada operação de inserção e/ou modificação, sejam identificadas e prontamente atualizadas outras bases de dados. 3.1.1. Aplicação Os requisitos de inserção e modificação devem ser aplicados aos sistemas de informação ligados aos processos de protocolo, registro, indicador real e indicador pessoal. 3.2. Armazenamento Em todas as situações onde houver armazenamento de dados/registros, os seguintes conceitos devem ser atendidos pelo Sistema de Informação: · Não deterioração: o sistema de informação deve ter proteção suficiente de forma a não permitir que os registros e dados percam suas características originais pelo tempo de consulta do registro / dado. Esta proteção deve levar conta, dentre outros: · testes periódicos de integridade das bases de dados · ocorrência de eventos fortuitos, como raio, fogo, interrupção de energia · intervenções erradas ou não autorizadas, como por exemplo, "hackers". · Perenidade: o sistema de informação deve ter proteção suficiente para evitar a perda parcial ou total de algum registro da base de dados. Esta proteção deve levar em conta, dentre outros: · interrupção dos serviços de assistência técnica do fornecedor de "hardware" e "software" · ocorrência de eventos fortuitos, como raio, fogo e interrupção de energia · intervenções erradas ou não autorizadas, como por exemplo "hackers". · Proteção contra alterações não autorizadas: o sistema de informação deve prever controles sobre os registros / dados armazenados que previnam alterações que mudem a situação destes dados. Esta proteção deve levar em conta, dentre outros: · intervenções erradas de caráter não intencional · intervenções não autorizadas, como por exemplo "hackers" · Possibilidade de atualização: o sistema de informação deve ter características suficientes que permitam sua migração para outras versões do "software" / "hardware" ou outros tipos / marcas de "software" / "hardware" sem que ocorra risco de perda de informações. 3.2.1. Aplicação Os requisitos de armazenamento devem ser aplicados aos sistemas de informação ligados aos processos de protocolo, registro, indicador real, indicador pessoal e recolhimento de taxas 3.3. Acesso, leitura, reprodução e distribuição Em todas as situações onde houver acesso, leitura, reprodução e distribuição de dados/registros, os seguintes conceitos devem ser atendidos pelo sistema de informação: · Acesso autorizado: o sistema de informação deve ter proteção suficiente de forma a não permitir que pessoas não autorizadas tenham acesso aos registros/dados. Deve haver uma lista de pessoas autorizadas a acessar cada base de registros/ dados. · Sigilo, confidencialidade: o sistema de informação deve ter mecanismos suficientes para não permitir o uso indevido das informações contidas nas bases de registro/dados e ou procedimentos que afetem a segurança destas informações. · Utilização em outros Sistemas o sistema de informação deve ter características suficientes que permitam acesso e transferencia das bases de dados/registros para outros sistemas ("software"/ "hardware") na eventualidade de uma necessidade de migração. · Acesso Completo: O sistema de informação deve ter mecanismos suficientes que impeçam a reprodução de somente parte dos registros/dados, a fim de evitar possibilidade de uma má interpretação da condição do indicador físico e/ou real. · Proteção contra entradas dúbias: o sistema de informação deve identificar situações onde pode haver discrepância dos registros/ dados e prever controles. Dentre outros, os seguintes casos devem ser contemplados: possíveis homônimos, nomes/endereços incompletos, nomes de soleira, etc. 3.3.1. Aplicação Os requisitos de armazenamento devem ser aplicados aos sistemas de informação ligados aos processos de protocolo, contraditório, registro, indicador real, indicador pessoal e recolhimento de taxas 3.4. Outros Conceitos Disposição, exclusão e reclassificação de registros/dados: O sistema de informação deve conter procedimentos específicos para a disposição, exclusão e reclassificação de registros/dados, bem como garantir a impossibilidade de operações ilegais que modifiquem a condição do registro de maneira intencional ou não Acuracidade dos relatórios financeiros: O sistema de informação deve ser capaz de demonstrar através de testes ou outro modo a acuidade dos relatórios financeiros. Controle cronológico: O sistema de informação ter mecanismos de proteção que impeçam a adulteração da data cronológica aplicada a os registros/ dados SELO DE QUALIDADE EM INFORMÁTICA Próximos passos 1. Revisão da Norma, incorporando sugestões IRIB/ANOREG. 2. Desenvolvimento da metodologia de Auditoria. 3. Treinamento de Auditores. 4. Auditoria "piloto" 5. Revisão da Norma 6. Elaboração da lista de verificação do auditor. 7. Definição da Estrutura de concessão do Selo. Conceitos do trabalho 1. Haverá uma Norma de Referência que definirá os itens mínimos que um cartório deve obedecer para a garantia dos dados informatizados. 2. Os sistemas Informatizados utilizados pelos cartórios deverão oferecer segurança dos registros/ dados comparáveis aos sistemas tradicionais 3. A Norma de Referência deverá criar um modelo de escolha de sistemas de informação e de gestão que poderá nortear os cartórios em relação à implantação e manutenção das atividades de informática. 4. A Norma de Referência estará disponível para todos os cartórios que a queiram utilizar. 5. Será objeto da Norma de Referência a verificação das "boas práticas" de utilização da tecnologia, ferramentas e metodologias da informática. 6. A Norma de Referência deverá ser abrangente, isto é, deve ser aplicável a cartórios de grande e pequenos porte e a diversos níveis de informatização. 7. A Norma de Referência deverá ser viva e inteligente, isto é, deve ser capaz de agregar modificações que visam o aprimoramento da informática e deverá ser capaz de reconhecer deficiências dos sistemas e de as corrigir. 8. A Norma de Referência deverá levar em consideração aspectos relacionados com o "software", "hardware", procedimentos implantados e qualificação do pessoal. 9. A Norma de Referência abordará itens que devem estar presentes nos Sistemas Informatizados, mas não "como" devem ser implantados. A implantação deve levar em conta a especificidade de cada um dos cartórios e sua eficácia será verificada na avaliação. 10. Será elaborado um roteiro de avaliação para a verificação da aderência dos sistemas informatizados à Norma de Referência. 11. O selo da Qualidade será concedido aos cartórios cujos sistemas informatizados estejam aderentes à Norma de Referência.
Direitos
IRIB – Instituto de Registro Imobiliário do Brasil
Article Number
1496
Idioma
pt_BR