Notícia n. 1975 - Boletim Eletrônico IRIB / Setembro de 2000 / Nº 234 - 13/09/20
Tipo de publicação
Notícia
Coleções
Edição
234
Date
2000Período
Setembro
Description
NORMA DE BOAS PRÁTICAS DE INFORMÁTICA EM CARTÓRIOS DE REGISTRO DE IMÓVEIS - 1. OBJETIVO Esta norma visa estabelecer requisitos para garantir que as práticas de informática aplicadas a um Sistema de Registro de Imóveis atendam às suas finalidades com segurança e confiabilidade. 2. REQUISITOS SISTÊMICOS 2.1. Abrangência O cartório deve definir a abrangência de seu Sistema de Informação, documentando adequadamente sua estrutura e relacionando todos os programas, equipamentos e aplicativos utilizados. Notas: - A definição pode ser na forma de um diagrama de blocos e lista de software e hardware atualizada. - Recomenda-se fortemente que o cartório possua rede interna interligando os módulos existentes. 2.2. Representante do Sistema A Administração deve designar um profissional que, independente de outras responsabilidades, deve ter autoridade definida e conhecida por todos no cartório para: - Homologar os Sistemas Informatizados ("hardware", "software" e treinamento do pessoal) - (ver item 2.3) - Aprovar os planos de contingência e verificar se os recursos estarão disponíveis quando necessários (ver item 2.4) - Garantir que não sejam utilizados programas cuja falta de licença possa afetar a prestação de serviços - Verificar a eficácia das ações corretivas tomadas, a fim de evitar re-ocorrência de problemas - Assegurar a capacitação do pessoal que opera os sistemas - Assegurar que os requisitos desta norma estejam implementados e mantidos. O representante deve possuir capacitação na área de informática ou ter assessoria técnica suficiente para gerenciar o sistema. Notas: - Recomenda-se que sejam realizadas auditorias internas independentes para verificar a conformidade das práticas do sistema de informação em relação aos requisitos desta norma. 2.3. Homologação dos Sistemas Informatizados Toda incorporação, modificação ou substituição críticas de elementos de "software", "hardware" ou infra-estrutura deve ser previamente analisada e formalmente aprovada pelo Representante do Sistema. Nota: - Recomenda-se o uso de uma lista de verificação padronizada, aprovada pelo representante do sistema, e arquivada para consultas futuras. Esta lista pode conter, dentre outros, os seguintes itens: - Levantamento das possibilidades de falhas - Testes necessários para prevenir falhas - Necessidade de sistemas redundantes e prazos de vigência - Treinamento do pessoal - Necessidade de procedimentos documentados. 2.4. Planos de Contingência Devem ser elaborados planos de contingência documentados descrevendo as responsabilidades e as ações a serem tomadas com o objetivo de não comprometer a eficácia do Sistema de Informação em situações não rotineiras e previamente identificadas. O pessoal que executa os planos de contingência deve estar capacitado. As seguintes situações, dentre outras, devem ser consideradas: - Falta de energia - Vírus de computador - Inoperância de algum "hardware" ou "software" críticos - Ausência de pessoal crítico para o funcionamento do sistema - Quedas de Sistema - Fogo - Furto ou roubo de equipamentos. Notas: - Recomenda-se que as pessoas responsáveis pela execução dos planos de contingência possuam treinamento e que na sua ausência outra pessoa saiba como operacionalizar os planos de contingência. 2.5. Instrumentos de Preservação dos Dados e Cópias de Segurança Deve haver uma análise definindo quais dados/registros devem ser cobertos por um sistema de cópia de segurança. Deve haver procedimentos e equipamentos que garantam a integridade dos registros/dados preservados em casos de necessidade de recuperação dessas informações. Os seguintes itens, dentre outros, devem ser considerados no sistema de preservação/recuperação de registros/dados: - Cópia de segurança em tempo real e/ou periódica dos dados/registros - Cópia de segurança dos programas/aplicativos - Utilização de dispositivos contra falha de alimentação de energia - Programas anti-vírus atualizados - Instalação de proteção contra invasão externa caso o sistema de informática utilizar-se de canais abertos, tais como Internet. Neste caso, deve-se aplicar uma proteção do tipo "firewall". Deve haver um procedimento documentado de verificação da eficácia dos métodos/dispositivos que garantem integridade das cópias de segurança. 2.6. Intervenção Autorizada O sistema de informação deve ter proteção suficiente de forma a não permitir que pessoas não autorizadas tenham poder de realizar intervenções na inserção, modificação, leitura, reprodução e exclusão de registros/dados. Deve haver uma sistemática de senhas para autorizar intervenções que mudem a base de dados. Deve haver um controle de senhas que contenha: - alçadas de responsabilidade de cada perfil de usuário - troca periódica de senhas - eliminação de senhas em casos específicos (saída de funcionário, por exemplo). O procedimento de atribuição de senhas e perfis de usuário deve ser protegido contra acessos indevidos por pessoal não autorizado. 2.7. Portabilidade O sistema de informação deve ter características suficientes que permitam acesso e transferência das bases de dados/registros para outros sistemas ("software"/"hardware") na eventualidade de uma necessidade de migração ou atualização, sem que ocorra risco de perda de informações. Nota: - Caso exista uma empresa prestadora de serviços de informática para o Cartório, recomenda-se a adoção de uma cláusula contratual na qual conste explicitamente as condições que garantem a transferência da base de dados (portabilidade). 2.8. Ação Corretiva As não-conformidades encontradas que possam afetar a segurança e a confiabilidade dos dados devem ser registradas e tomadas ações imediatas para não comprometer a eficácia do Sistema de Informações. Nos casos considerados críticos devem ser analisadas as causas das não-conformidades e tomadas as providências necessárias para evitar a reincidência. Deve ser designado um responsável para coordenar o processo de ação corretiva. Devem ser mantidos documentos que mostrem as análises e providências tomadas. 3. REQUISITOS GERAIS 3.1. Inserção e Modificação de Registros Em todas as situações onde houver inserção e/ou modificação de registros, os seguintes conceitos devem ser atendidos pelo sistema de informação: - Intervenção autorizada (ver 2.6). - Rastreabilidade de intervenção: o sistema de informação deve ter capacidade de identificar e registrar os autores das intervenções que alterem a base de dados. Estes registros não devem ser passíveis de modificações futuras. - Ligação com outros módulos e referências: o sistema de informação deve ter procedimentos automatizados ou manuais para garantir que, a cada operação de inserção e/ou modificação, as bases de dados relacionados sejam identificadas e prontamente atualizadas. A rastreabilidade das intervenções deve ser feita de forma automática pelo próprio equipamento/programa. Somente o oficial ou substituto podem ter autorização para alterar os registros de rastreabilidade de intervenções. Os registros de rastreabilidade devem estar à disposição da equipe auditora. 3.2. Armazenamento Em todas as situações onde houver armazenamento de dados/registros, os seguintes conceitos devem ser atendidos pelo Sistema de Informação: - Não deterioração/perenidade: o sistema de informação deve ter proteção suficiente de forma a não permitir que os registros e dados percam suas características originais. Esta proteção deve levar conta, dentre outros: - testes periódicos de integridade das bases de dados - monitoramento da capacidade de armazenamento de dados. - Proteção contra alterações não autorizadas: o sistema de informação deve prever controles sobre os registros/dados armazenados que previnam alterações que mudem a situação destes dados. Esta proteção deve levar em conta, dentre outros: - intervenções erradas de caráter não intencional - intervenções não autorizadas, como por exemplo "hackers". Notas: - Recomenda-se o uso de softwares que possuam avaliação automática e periódica da integridade das bases de dados. 3.3. Acesso, Leitura, Reprodução e Distribuição Em todas as situações onde houver acesso, leitura, reprodução e distribuição de dados/registros, os seguintes conceitos devem ser atendidos pelo sistema de informação: - Acesso autorizado (ver 2.6). - Sigilo e confidencialidade: o sistema de informação deve ter mecanismos suficientes para não permitir o acesso indevido das informações contidas nas bases de registro/dados (ver 2.6). - Acesso Completo: O sistema de informação deve ter mecanismos suficientes que impeçam a reprodução parcial de informação sem o devido alerta. Notas: - A reprodução parcial de informação pode induzir a erro nos conclusões, devendo ser evitada ou claramente identificada. 3.4. Outros Conceitos Disposição, exclusão e reclassificação de registros/dados: O sistema de informação deve conter procedimentos específicos para a disposição, exclusão e reclassificação de registros/dados, bem como garantir a impossibilidade de operações ilegais que modifiquem a condição do registro de maneira intencional ou não. Confiabilidade dos relatórios financeiros: O sistema de informação deve ser capaz de demonstrar através de testes ou outro modo a confiabilidade dos relatórios financeiros. Controle cronológico: O sistema de informação ter mecanismos de proteção que impeçam a adulteração da data cronológica aplicada aos registros/dados. 4. REQUISITOS ESPECÍFICOS 4.1. Livro 1 - Protocolo - Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). - A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). - Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). - Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). - Deve haver mecanismos que determinem a ordem de entrada das solicitações (cadastro, documento, título, etc.). Qualquer alteração nessa ordem somente poderá ser feita pela alçada competente e deve ser mantido registro indelével de tal alteração (ver item 3.1). - Deve haver compatibilidade entre os registros do protocolo, as cobranças de usuários e os repasses ao Estado. 4.2. Livro 2 - Matrículas - Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). - Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). - A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). - Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). - No caso da matrícula armazenada como imagem, esta imagem deve ser cópia fiel e atualizada do registro em papel. Na eventual possibilidade de que seja feita qualquer edição na imagem da matrícula, deve-se assegurar que tal intervenção seja autorizada e rastreada. - Se forem usados arquivos de processador de texto contendo informações de matrículas para gerar alterações, os dados anteriores devem ser protegidos ou deve haver uma inspeção para garantir a fidedignidade em relação aos dados da matrícula anterior. - No caso da não existência de cópia em papel, especiais condições devem ser estipuladas para evitar alterações ilegais, deterioração e perda acidental de dados. Deve haver sistemática de assinaturas eletrônicas para garantir a autenticidade dos documentos. - O sistema deve rastrear qualquer alteração de matrícula a uma entrada de dados via protocolo (Livro 1). - Deve haver coerência entre os registros da matrícula e o indicador real (Livro 4). - Deve haver coerência entre os registros da matrícula e o indicador pessoal (Livro 5). - Deve haver coerência entre os registros da matrícula e os registros auxiliares (Livro 3). 4.3. Livro 3 - Registros Auxiliares - Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). - A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). - Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). - Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). - Deve haver coerência entre os registros auxiliares e a matrícula (Livro 2). 4.4. Livro 4 - Indicador Real - Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). - A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). - Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). - Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). - Deve haver coerência entre os registros do indicador real e a matrícula (Livro 2). 4.5. Livro 5 - Indicador Pessoal - Somente pessoal autorizado deve acessar e inserir dados no livro em questão (ver 2.6). - A rastreabilidade de todas as inserções e alterações deve ser garantida por registros indeléveis (ver 3.1). - Os registros devem estar cobertos pelo controle de cópias de segurança e preservação dos dados (ver 2.5). - Devem existir planos de contingência específicos para o caso de inoperância do sistema, além de pessoal treinado para este caso (ver 2.4). - Deve haver coerência entre os registros do indicador pessoal e a matrícula (Livro 2). FUNDAÇÃO VANZOLINI
Direitos
IRIB – Instituto de Registro Imobiliário do Brasil
Article Number
1975
Idioma
pt_BR