Regulatório

Provimento CNJ 213/2026: O Que Muda na TI dos Cartórios

Equipe RI-Online 10 min de leitura

O que é o Provimento CNJ 213/2026 e por que ele importa

Publicado em fevereiro de 2026, o Provimento CNJ 213/2026 estabelece novos padrões obrigatórios de tecnologia da informação para todas as serventias extrajudiciais do Brasil. O objetivo é claro: elevar o nível de segurança de dados nos cartórios, garantir a continuidade dos serviços e alinhar as operações às exigências da Lei Geral de Proteção de Dados (LGPD).

Para oficiais, substitutos e gestores de TI, o provimento representa uma mudança significativa. Não se trata mais de recomendações ou boas práticas — são requisitos de TI para cartórios com força normativa, prazos definidos e consequências reais para quem não se adequar. Cartórios que ainda operam com infraestrutura defasada, backups manuais ou sistemas sem criptografia precisam agir com urgência.

O Provimento 213/2026 não é apenas uma norma técnica. É o marco regulatório que define o padrão mínimo de segurança digital para os cartórios brasileiros nos próximos anos.

Neste artigo, analisamos cada requisito tecnológico do Provimento 213 para cartórios, apresentamos um checklist de conformidade e comparamos os caminhos possíveis para adequação — incluindo como uma plataforma em nuvem já preparada pode simplificar todo o processo.

Requisitos tecnológicos do Provimento CNJ 213/2026

O provimento detalha cinco eixos de exigências técnicas que impactam diretamente a infraestrutura de TI das serventias. A seguir, analisamos cada um deles.

1. Criptografia: TLS 1.3 em trânsito e AES-256 em repouso

O Provimento CNJ 213/2026 exige que toda comunicação entre sistemas, usuários e serviços externos utilize, no mínimo, o protocolo TLS 1.3. Isso significa que dados transmitidos pela rede — sejam consultas ao SAEC, envio de certidões digitais ou acesso ao sistema de gestão — devem estar protegidos contra interceptação.

Além disso, os dados armazenados (em repouso) precisam utilizar criptografia AES-256, considerada padrão militar e amplamente adotada por instituições financeiras e governamentais. Essa exigência se aplica a bancos de dados, arquivos digitalizados, backups e qualquer mídia de armazenamento utilizada pela serventia.

  • TLS 1.3 para todas as conexões de entrada e saída do sistema
  • AES-256 para dados em repouso, incluindo backups e arquivos
  • Proibição de protocolos obsoletos como TLS 1.0, TLS 1.1 e SSL
  • Certificados digitais válidos e renovados dentro do prazo

2. Backup: política multicamadas com testes periódicos

A política de backup exigida pelo provimento vai muito além de uma simples cópia diária em disco externo. O texto normativo estabelece a obrigatoriedade de múltiplas camadas de backup, com cópias em locais geograficamente distintos e testes periódicos de restauração documentados.

Na prática, os cartórios precisam demonstrar que possuem:

  1. Backup local com retenção mínima definida pela serventia
  2. Backup remoto em localidade geograficamente distinta
  3. Backup adicional em mídia ou ambiente isolado (air-gapped ou imutável)
  4. Testes de restauração realizados no mínimo trimestralmente, com registro formal dos resultados

Cartórios que dependem exclusivamente de HDs externos ou pen drives conectados ao servidor estão em situação de não conformidade. Para entender melhor as diferenças entre infraestrutura local e na nuvem nesse contexto, consulte nosso artigo Sistema para Cartório: Nuvem ou Servidor Local?.

3. Controle de acesso: autenticação, permissões e auditoria

O eixo de controle de acesso do Provimento 213 exige que cada usuário do sistema possua credenciais individuais, com permissões granulares definidas por perfil de função. Compartilhamento de senhas e uso de contas genéricas ficam expressamente vedados.

Os requisitos incluem:

  • Autenticação individual por usuário, com senha forte ou autenticação multifator (MFA)
  • Permissões granulares baseadas em perfis (oficial, escrevente, auxiliar, consulta)
  • Trilhas de auditoria completas, registrando quem acessou, alterou ou consultou cada registro
  • Bloqueio automático de sessão após período de inatividade
  • Revisão periódica de acessos ativos, com desativação imediata de credenciais de colaboradores desligados

4. Proteção de dados: conformidade LGPD e dados no Brasil

O provimento reforça e detalha as obrigações dos cartórios perante a LGPD (Lei 13.709/2018). Entre os pontos mais relevantes, destaca-se a exigência de que todos os dados pessoais tratados pela serventia sejam armazenados em território brasileiro.

Isso impacta diretamente a escolha de fornecedores de tecnologia. Sistemas hospedados em datacenters fora do Brasil ou que utilizam serviços de nuvem sem região definida no país ficam em desconformidade. Outros requisitos incluem:

  • Armazenamento de dados em território nacional (datacenters no Brasil)
  • Registro de operações de tratamento de dados pessoais
  • Política de retenção e descarte de dados com base legal definida
  • Designação de encarregado de dados (DPO) pela serventia
  • Comunicação de incidentes de segurança à ANPD e aos titulares dentro dos prazos legais

5. Continuidade: disaster recovery e alta disponibilidade

O último eixo trata da continuidade de serviço. O Provimento CNJ 213/2026 exige que cada serventia possua um plano documentado de disaster recovery (recuperação de desastres), com procedimentos claros para restauração do ambiente em caso de falha, ataque cibernético ou desastre natural.

As exigências abrangem:

  • Plano de disaster recovery documentado e atualizado anualmente
  • RTO (Recovery Time Objective) e RPO (Recovery Point Objective) definidos formalmente
  • Simulações de recuperação realizadas pelo menos uma vez por ano
  • Alta disponibilidade do sistema principal, com mecanismos de failover
  • Monitoramento contínuo da infraestrutura com alertas em tempo real

Prazos para adequação

O Provimento CNJ 213/2026 estabelece um cronograma escalonado de adequação, considerando o porte e a classificação das serventias:

Classificação da Serventia Prazo para Adequação Data-limite
Serventias de grande porte (Classe A) 6 meses Agosto de 2026
Serventias de médio porte (Classe B) 12 meses Fevereiro de 2027
Serventias de pequeno porte (Classe C) 18 meses Agosto de 2027

Independentemente da classificação, recomenda-se iniciar o processo de adequação o quanto antes. Serventias de grande porte, em particular, têm poucos meses até a data-limite e precisam priorizar esse projeto imediatamente.

Mini auditoria: como avaliar sua situação atual

Antes de definir um plano de ação, é essencial mapear o estado atual da infraestrutura de TI. Utilize o checklist abaixo como ponto de partida para uma autoavaliação:

  1. O sistema utiliza TLS 1.3 em todas as conexões? Protocolos obsoletos estão desabilitados?
  2. Os dados armazenados (banco de dados, arquivos, backups) estão criptografados com AES-256?
  3. Existe uma política de backup multicamadas com cópias em localidades distintas?
  4. São realizados testes de restauração pelo menos trimestralmente, com registro documental?
  5. Cada usuário possui credenciais individuais? Contas genéricas foram eliminadas?
  6. O sistema mantém trilhas de auditoria completas de todas as operações?
  7. Os dados estão armazenados em datacenter localizado no Brasil?
  8. A serventia possui encarregado de dados (DPO) designado?
  9. Existe um plano de disaster recovery documentado e testado?
  10. O sistema possui mecanismos de alta disponibilidade e failover?

Para uma avaliação mais detalhada e estruturada, acesse nosso Checklist Completo de Conformidade com o Provimento 213.

Caminhos para a conformidade

Existem essencialmente dois caminhos para atender aos requisitos de TI do Provimento 213. Cada um possui implicações distintas em termos de custo, prazo e complexidade operacional.

Opção A: investir em infraestrutura própria

Nesse cenário, o cartório assume a responsabilidade integral pela conformidade. Isso envolve:

  • Aquisição de servidores com suporte a criptografia em hardware
  • Contratação de solução de backup em nuvem com replicação geográfica
  • Implementação de firewall, IDS/IPS e monitoramento 24/7
  • Contratação de equipe ou consultoria especializada em segurança
  • Elaboração e teste de plano de disaster recovery
  • Adequação do sistema legado ou troca de fornecedor

Esse caminho oferece controle total, mas exige investimento inicial elevado, tempo de implementação significativo e manutenção permanente por profissionais qualificados. Para serventias de pequeno e médio porte, essa abordagem pode ser financeiramente inviável.

Opção B: adotar uma plataforma em nuvem já em conformidade

A alternativa é migrar para um software para cartórios que já atenda nativamente aos requisitos do provimento. Plataformas em nuvem especializadas transferem a responsabilidade técnica de infraestrutura para o fornecedor, permitindo que o cartório se concentre na operação registral.

  • Criptografia TLS 1.3 e AES-256 já configuradas nativamente
  • Backup multicamadas gerenciado pelo provedor, com testes automatizados
  • Controle de acesso granular e trilhas de auditoria integradas ao sistema
  • Dados hospedados em datacenter brasileiro
  • Plano de disaster recovery e alta disponibilidade garantidos por SLA

Esse modelo elimina o investimento em capital (CAPEX) e converte os custos em uma assinatura mensal previsível (OPEX). A implementação é significativamente mais rápida, o que é determinante diante dos prazos do provimento. Para aprofundar essa análise, leia 7 Critérios para Escolher um Sistema para Cartório.

Comparativo de custos

A tabela abaixo apresenta uma estimativa comparativa entre os dois caminhos de adequação ao Provimento CNJ 213/2026, considerando uma serventia de médio porte:

Item Infraestrutura Própria Plataforma em Nuvem
Investimento inicial (hardware, licenças, projeto) R$ 80.000 - R$ 150.000 R$ 0 (incluso na assinatura)
Custo mensal (manutenção, suporte, energia, links) R$ 4.000 - R$ 8.000 R$ 2.500 - R$ 5.000
Equipe de TI dedicada ou consultoria R$ 5.000 - R$ 12.000/mês Incluso no suporte
Prazo de implementação 3 a 6 meses 2 a 4 semanas
Risco de obsolescência Alto (hardware depreciado em 3-5 anos) Baixo (atualizações contínuas)
Custo total estimado no 1o ano R$ 188.000 - R$ 390.000 R$ 30.000 - R$ 60.000

Os valores são estimativas baseadas em cenários típicos de mercado. O custo exato depende do porte da serventia, volume de dados e complexidade da operação.

Como o RI-Online atende aos requisitos do Provimento 213

O RI-Online foi projetado desde sua concepção para operar em conformidade com os mais rigorosos padrões de segurança e regulamentação. A plataforma atende a cada um dos eixos do Provimento CNJ 213/2026 de forma nativa:

Requisito do Provimento 213 Como o RI-Online Atende
Criptografia em trânsito (TLS 1.3) Todas as conexões utilizam TLS 1.3 por padrão, sem exceções
Criptografia em repouso (AES-256) Banco de dados, arquivos e backups criptografados com AES-256
Backup multicamadas 3 camadas de backup: local na AWS, replicação cross-region e cópia imutável
Testes de restauração Testes automatizados mensais com relatório disponível para auditoria
Controle de acesso granular Perfis por função, autenticação individual, suporte a MFA
Trilhas de auditoria Log completo e imutável de todas as operações, com retenção de longo prazo
Dados em território nacional Infraestrutura hospedada na AWS em São Paulo (sa-east-1)
Conformidade LGPD Controles de tratamento, retenção e descarte integrados ao sistema
Disaster recovery Plano documentado com RTO e RPO definidos, failover automático
Alta disponibilidade Arquitetura multi-AZ com SLA de disponibilidade contratual

Para conhecer em detalhes a arquitetura de segurança da plataforma, visite a página Segurança do RI-Online. Para entender como a conformidade é atendida ponto a ponto, acesse a página dedicada ao Provimento 213 e o RI-Online.

A integração com a infraestrutura da AWS garante que atualizações de segurança e conformidade sejam aplicadas continuamente, sem necessidade de intervenção manual por parte da serventia. Saiba mais sobre a infraestrutura cloud do RI-Online.

Conclusão

O Provimento CNJ 213/2026 representa um avanço necessário para a segurança digital dos cartórios brasileiros. Os requisitos são exigentes, mas refletem um padrão que o setor financeiro e outras áreas reguladas já adotam há anos. A questão para cada serventia não é se deve se adequar, mas como fazer isso da forma mais eficiente e dentro do prazo.

Para serventias que ainda operam com infraestrutura local tradicional, o caminho de adequação própria é possível, mas envolve investimentos significativos, tempo de projeto e a necessidade de manter uma equipe técnica qualificada de forma permanente. Já a adoção de uma plataforma em nuvem especializada como o RI-Online permite alcançar a conformidade com o Provimento 213 de forma imediata, com custo previsível e sem a complexidade de gerenciar infraestrutura.

Independentemente do caminho escolhido, o mais importante é iniciar agora. Os prazos estão correndo e a corregedoria realizará as primeiras verificações ainda em 2026. Avalie sua situação atual, consulte o checklist de conformidade e tome uma decisão informada.

Não espere o prazo vencer. A adequação ao Provimento 213 é uma obrigação normativa, mas também uma oportunidade de modernizar a operação do cartório e proteger o acervo registral de forma definitiva.

Quer ver o RI-Online na prática?

Solicite um convite e agende uma demonstração personalizada.

Solicitar Convite Mais Artigos