Notícia n. 1740 - Boletim Eletrônico IRIB / Junho de 2000 / Nº 212 - 20/06/20
Tipo de publicação
Notícia
Coleções
Edição
212
Date
2000Período
Junho
Description
Norma de boas práticas de informática - Cartórios de Registro de Imóveis - Superada mais uma importante etapa no projeto de consolidação de normas técnicas para informatização de serviços de registro de imóveis no Brasil - após a visita ao Segundo Registro Predial de Franca dos técnicos da Fundação Vanzolini - o IRIB, ANOREGsp e ANOREGbr apresentam aos registradores brasileiros a nova versão do documento que vai balizar as avaliações técnicas dos sistemas utilizados pelos registros prediais brasileiros. O objetivo do documento é esabelecer requisitos para fiabilidade dos sistemas atualmente utilizados pelos cartórios brasileiros. Todos os comentários, críticas, sugestões serão muito bem-vindos. Sinta-se à vontade para entar em contado com Sérgio Jacomino, coordenador - [email protected] Melvin Cymbalista, Fundação Vanzolini - [email protected] 1. OBJETIVO Esta norma visa estabelecer uma série de requisitos para garantir a confiança de que as práticas de informática aplicadas a um Sistema de Registro de Imóveis atendam às suas finalidades. 2. REQUISITOS SISTÊMICOS 2.1. Abrangência O cartório deve definir a abrangência de seu Sistema de Informação, documentando adequadamente sua estrutura e relacionando todos os programas, equipamentos e aplicativos utilizados. Notas: · A definição pode ser na forma de um diagrama de blocos e lista de software e hardware atualizada. · Recomenda-se fortemente que o cartório possua rede interna interligando os módulos existentes. 2.2. Representante do Sistema A Administração deve designar um profissional que, independente de outras responsabilidades, deve ter autoridade definida e conhecida por todos no cartório para: · Homologar os Sistemas Informatizados ("hardware", "software" e treinamento do pessoal) - (ver item 2.3) · Aprovar os planos de contingência e verificar se os recursos estarão disponíveis quando necessários (ver item 2.4) · Garantir que não sejam utilizados programas cuja falta de licença possa afetar a prestação de serviços · Tomar ações corretivas para os problemas a fim de evitar a re-ocorrência · Assegurar a capacitação do pessoal que opera os sistemas · Verificar preventivamente a adequação da capacidade instalada com relação à demanda futura de serviços e tecnologias · Assegurar que os requisitos desta norma estejam implementados e mantidos. Notas: · Recomenda-se que sejam realizadas auditorias internas independentes para verificar a conformidade das práticas do sistema de informação em relação aos requisitos desta norma. · O representante deve possuir capacitação na área de informática ou ter assessoria técnica suficiente para gerenciar o sistema. · Todos os softwares utilizados devem ser legalizados e evidências desta situação devem estar disponíveis. · As cópias de segurança dos programas devem estar prontamente disponíveis para assegurar reinstalação no caso de problemas. · Para tarefas consideradas críticas (incluindo o Representante do Sistema), deve ser providenciado pessoal qualificado em caráter de substituição no caso de férias ou ausências não planejadas. 2.3 Homologação dos Sistemas Informatizados Toda a incorporação, modificação ou substituição críticas de elementos de "software", "hardware" ou infra-estrutura deve ser previamente analisada e formalmente aprovada pelo Representante do Sistema. Nota: · Recomenda-se o uso de uma lista de verificação padronizada que deve ser aprovada pelo representante do sistema, podendo conter, dentre outros, os seguintes itens: · Levantamento das possibilidades de falhas · Testes necessários para prevenir falhas · Necessidade de sistemas redundantes e prazos de vigência · Treinamento do pessoal · Necessidade de procedimentos documentados. · A lista de verificação deve ser devidamente arquivada. 2.4. Planos de Contingência Devem ser elaborados planos de contingência documentados com o objetivo de não comprometer a eficácia do Sistema de Informação em situações não rotineiras e previamente identificadas. O pessoal que executa os planos de contingência deve estar capacitado. As seguintes situações, dentre outras, devem ser consideradas: · Falta de energia · Vírus de computador · Quedas de Sistema · Fogo · Inoperância de algum "hardware" ou "software" críticos · Ausência de pessoal crítico para o funcionamento do sistema. Notas: · Recomenda-se que as pessoas responsáveis pela execução dos planos de contingência possuam treinamento. Mais de uma pessoa deve saber como operar os planos de contingência. 2.5 Instrumentos de Preservação dos Dados e Cópias de Segurança Deve haver uma análise definindo quais dados/registros devem ser cobertos por um sistema de cópia de segurança. Deve haver procedimentos e equipamentos que garantam a integridade dos registros/dados preservados em casos de necessidade de recuperação dessas informações. Os seguintes itens, dentre outros, devem ser considerados no sistema de preservação/recuperação de registros/dados: · Cópia de segurança em tempo real e/ou periódica dos dados/registros · Cópia de segurança dos programas/aplicativos · Utilização de dispositivos contra falha de alimentação de energia · Programas anti-vírus atualizados · Proteção contra "hackers". Deve haver um procedimento de verificação da eficácia dos métodos/dispositivos que garantem integridade das cópias de segurança. Notas: · Recomenda-se a instalação de proteção contra invasão externa, principalmente se o sistema de informática utilizar-se de canais abertos, tais como internet. Neste caso, deve-se aplicar uma proteção do tipo "firewall". 2.6 Intervenção autorizada O sistema de informação deve ter proteção suficiente de forma a não permitir que pessoas não autorizadas tenham poder de realizar intervenções na inserção, modificação, leitura, reprodução e exclusão de registros/dados. Deve haver uma sistemática de senhas para autorizar intervenções que mudem a base de dados. Deve haver um controle de senhas que contenha: alçadas de responsabilidade de cada perfil de usuário, troca periódica de senhas e eliminação de senhas em casos específicos (saída de funcionário, por exemplo). O procedimento de atribuição de senhas e perfis de usuário deve ser protegido contra acessos indevidos por pessoal não autorizado. 2.7 Portabilidade O sistema de informação deve ter características suficientes que permitam sua migração para outras versões do "software"/"hardware" ou outros tipos/marcas de "software"/"hardware" sem que ocorra risco de perda de informações. O sistema de informação deve ter características suficientes que permitam acesso e transferência das bases de dados/registros para outros sistemas ("software"/"hardware") na eventualidade de uma necessidade de migração, sem que ocorra risco de perda. 3. REQUISITOS GERAIS 3.1. Inserção e Modificação de Registros Em todas as situações onde houver inserção e/ou modificação de registros, os seguintes conceitos devem ser atendidos pelo sistema de informação: · Intervenção autorizada (ver 2.6). · Rastreabilidade de intervenção: o sistema de informação deve ter capacidade de identificar e registrar os autores das intervenções que alterem a base de registros. Estes registros devem ser indeléveis. · Ligação com outros módulos e referências: o sistema de informação deve ter procedimentos automatizados ou manuais para garantir que, a cada operação de inserção e/ou modificação, sejam identificadas e prontamente atualizadas outras bases de dados. Notas: · A rastreabilidade das intervenções deve ser feita de forma automática pelo próprio equipamento/programa, não permitindo modificações posteriores, inclusive pelo administrador do sistema. · Os registros de rastreabilidade devem estar à disposição da equipe auditora. 3.2. Armazenamento Em todas as situações onde houver armazenamento de dados/registros, os seguintes conceitos devem ser atendidos pelo Sistema de Informação: · Não deterioração/perenidade: o sistema de informação deve ter proteção suficiente de forma a não permitir que os registros e dados percam suas características originais. Esta proteção deve levar conta, dentre outros: · testes periódicos de integridade das bases de dados. · interrupção dos serviços de assistência técnica do fornecedor de "hardware" e "software". · Proteção contra alterações não autorizadas: o sistema de informação deve prever controles sobre os registros/dados armazenados que previnam alterações que mudem a situação destes dados. Esta proteção deve levar em conta, dentre outros: · intervenções erradas de caráter não intencional · intervenções não autorizadas, como por exemplo "hackers". Notas: · Recomenda-se o uso de softwares que possuam avaliação automática e periódica da integridade das bases de dados. 3.3. Acesso, leitura, reprodução e distribuição Em todas as situações onde houver acesso, leitura, reprodução e distribuição de dados/registros, os seguintes conceitos devem ser atendidos pelo sistema de informação: · Acesso autorizado (ver 2.6). · Sigilo e confidencialidade: o sistema de informação deve ter mecanismos suficientes para não permitir o acesso indevido das informações contidas nas bases de registro/dados (ver 2.6). · Acesso Completo: O sistema de informação deve ter mecanismos suficientes que impeçam a reprodução parcial de informação sem o devido alerta. · Proteção contra entradas dúbias: o sistema de informação deve identificar situações onde pode haver discrepância e/ou coincidência parcial dos registros/dados e prever controles. Dentre outros, os seguintes casos devem ser contemplados: possíveis homônimos, nomes/endereços incompletos, nomes de solteira, duplicidade de registros, etc. Notas: · A reprodução parcial de informação pode induzir a erro nos conclusões, devendo ser evitada ou claramente identificada. 3.4. Outros Conceitos Disposição, exclusão e reclassificação de registros/dados: O sistema de informação deve conter procedimentos específicos para a disposição, exclusão e reclassificação de registros/dados, bem como garantir a impossibilidade de operações ilegais que modifiquem a condição do registro de maneira intencional ou não. Confiabilidade dos relatórios financeiros: O sistema de informação deve ser capaz de demonstrar através de testes ou outro modo a confiabilidade dos relatórios financeiros. Controle cronológico: O sistema de informação ter mecanismos de proteção que impeçam a adulteração da data cronológica aplicada a os registros/dados. 4. REQUISITOS ESPECÍFICOS 4.1. Livro 1 - Protocolo · Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). · A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). · Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). · Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). · A ordem cronológica deve ser rigorosamente obedecida na entrada de qualquer solicitação (cadastro, documento, título, etc.). Qualquer alteração a essa regra deverá ser realizada pela alçada competente e deve ser mantido registro indelével de tal alteração. · Deve haver compatibilidade entre os registros do protocolo, as cobranças de usuários e os repasses ao Estado. 4.2. Livro 2 - Matrículas · Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). · Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). · A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). · Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). · No caso da matrícula armazenada como imagem, esta imagem deve ser cópia fiel e atualizada do registro em papel. Na eventual possibilidade de que seja feita qualquer edição na imagem da matrícula, deve-se assegurar que tal intervenção seja autorizada e rastreada. · Se forem usados arquivos de processador de texto contendo informações de matrículas para gerar alterações, os dados anteriores devem ser protegidos ou deve haver uma inspeção para garantir a fidedignidade em relação aos dados da matrícula anterior. · No caso da não existência de cópia em papel, especiais condições devem ser estipuladas para evitar alterações ilegais, deterioração e perda acidental de dados. Deve haver sistemática de assinaturas eletrônicas para garantir a autenticidade dos documentos. · O sistema deve rastrear qualquer alteração de matrícula a uma entrada de dados via protocolo (Livro 1). · Deve haver coerência entre os registros da matrícula e o indicador real (Livro 4). · Deve haver coerência entre os registros da matrícula e o indicador pessoal (Livro 5). · Deve haver coerência entre os registros da matrícula e os registros auxiliares (Livro 3). 4.3. Livro 3 - Registros Auxiliares · Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). · A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). · Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). · Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). · Deve haver coerência entre os registros auxiliares e a matrícula (Livro 2). 4.4. Livro 4 - Indicador Real · Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). · A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). · Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). · Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). · Deve haver coerência entre os registros do indicador real e a matrícula (Livro 2). 4.5. Livro 5 - Indicador Pessoal · Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). · A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). · Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). · Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). · Deve haver coerência entre os registros do indicador pessoal e a matrícula (Livro 2).
Direitos
IRIB – Instituto de Registro Imobiliário do Brasil
Article Number
1740
Idioma
pt_BR