Capa do Ebook gratuito Escrivão da Polícia Federal: Domínio Jurídico, Documental e Tecnológico para Aprovação

Escrivão da Polícia Federal: Domínio Jurídico, Documental e Tecnológico para Aprovação

Novo curso

16 páginas
Todos os cursos > Concursos > Policia Federal ::

Gestão de documentos digitais e segurança da informação: integridade, autenticidade e rastreabilidade

Capítulo 11

Tempo estimado de leitura: 12 minutos

+ Exercício

Documentos digitais no contexto policial: o que muda na prática

No trabalho do Escrivão, documentos digitais precisam manter três propriedades essenciais para terem valor probatório e operacional: integridade (não foram alterados), autenticidade (é possível atribuir autoria/origem com segurança) e rastreabilidade (há registro confiável de quem fez o quê, quando e como). Em procedimentos policiais, isso se traduz em reduzir risco de adulteração, acesso indevido, vazamento e perda de evidências documentais.

Documento nato-digital x documento digitalizado

Documento nato-digital é aquele que nasce em meio eletrônico: um ofício produzido em editor de texto e assinado eletronicamente, um e-mail institucional, um relatório gerado por sistema, um arquivo exportado de um banco de dados, um log, uma planilha de apreensão gerada por sistema. Ele possui metadados (autor, data de criação, versões) e pode conter mecanismos nativos de validação (assinatura digital, trilhas de auditoria).

Documento digitalizado é a representação digital de um documento originalmente físico (papel) por meio de scanner/câmera. A digitalização facilita tramitação e armazenamento, mas não transforma automaticamente a imagem em um “original digital” com as mesmas garantias: a autenticidade dependerá do procedimento adotado (identificação do documento, conferência, registro do responsável, vinculação ao processo, controle de acesso e, quando aplicável, certificação/assinatura do responsável pela digitalização).

  • Risco típico do nato-digital: edição não autorizada do arquivo (ex.: alterar um PDF antes de juntada).
  • Risco típico do digitalizado: substituição da imagem (ex.: trocar páginas escaneadas) ou perda de contexto (ex.: digitalizar sem registrar origem e conferência).

Requisitos de autenticidade e integridade

Para sustentar autenticidade e integridade em documentos digitais, observe um conjunto de requisitos práticos:

  • Identificação inequívoca do autor/emitente: credenciais individuais, sem compartilhamento de usuário/senha, e preferencialmente com autenticação multifator.
  • Vinculação do documento ao procedimento: número do procedimento, referência cruzada, juntada com registro de data/hora e responsável.
  • Proteção contra alteração: formatos e controles que dificultem edição (ex.: PDF com assinatura digital), permissões de escrita restritas e registro de versões.
  • Registro de eventos: logs e trilhas de auditoria (quem acessou, baixou, alterou, assinou, enviou).
  • Preservação de metadados: evitar práticas que “quebram” metadados (ex.: copiar/colar conteúdo em novo arquivo sem registrar origem).

Exemplo prático (situação comum)

Um relatório nato-digital é elaborado e precisa ser juntado ao procedimento. Se ele for enviado como arquivo editável (ex.: .docx) por canal inseguro, há risco de alteração sem detecção. Se for convertido para PDF e assinado digitalmente, qualquer alteração posterior invalida a assinatura, evidenciando violação de integridade.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Assinatura eletrônica x assinatura digital (e quando usar)

Assinatura eletrônica é um termo amplo: qualquer mecanismo eletrônico que indique concordância/autoria (ex.: login e senha em sistema, aceite em plataforma, assinatura desenhada). Ela pode ser suficiente em fluxos internos de baixo risco, desde que o sistema registre evidências (autenticação forte, logs, trilha de auditoria).

Assinatura digital (em sentido estrito) utiliza criptografia assimétrica e certificados digitais, permitindo verificação técnica de autoria e integridade do documento. Em documentos sensíveis do procedimento policial, é a opção preferível quando disponível, pois fornece evidência robusta contra adulteração.

  • Use assinatura digital quando: o documento precisa de alta confiabilidade, circulará entre unidades/órgãos, ou pode ser questionado quanto à autoria/alteração.
  • Use assinatura eletrônica com controles quando: o ato ocorre dentro de sistema corporativo com autenticação forte e auditoria completa, e o risco é controlado.

Passo a passo: como preparar um documento para assinatura digital

  • Finalize o conteúdo e revise (evite assinar versões “em rascunho”).
  • Converta para formato adequado (comum: PDF) preservando layout e anexos.
  • Assine digitalmente com certificado e, se aplicável, com política de assinatura exigida pelo órgão.
  • Verifique a assinatura (validação) antes de juntar/enviar.
  • Armazene o arquivo assinado em repositório controlado e registre a juntada no procedimento.

Carimbo do tempo: prova de existência em um momento específico

Carimbo do tempo é um mecanismo que associa data e hora confiáveis a um documento assinado, ajudando a demonstrar que ele existia naquele instante e não foi alterado desde então. Em rotinas policiais, é útil quando a temporalidade do ato pode ser contestada (por exemplo, quando se precisa demonstrar que um relatório, um ofício ou uma comunicação foi produzido/assinado antes de determinado evento).

Passo a passo: uso prático do carimbo do tempo

  • Assine digitalmente o documento.
  • Aplique o carimbo do tempo conforme ferramenta institucional.
  • Valide assinatura e carimbo (cadeia de confiança e horário).
  • Junte ao procedimento registrando data/hora e responsável.

Controle de versões: evitando “arquivos paralelos” e divergências

Controle de versões é o conjunto de práticas para garantir que todos trabalhem sobre a versão correta do documento, com histórico de alterações. Em procedimentos policiais, versões paralelas podem gerar inconsistência, falhas de comunicação e questionamentos sobre qual documento é o válido.

  • Versão de trabalho: editável, com acesso restrito e registro de alterações.
  • Versão final: assinada (preferencialmente digitalmente), imutável e armazenada em repositório oficial.
  • Regra prática: após assinatura, não “edite”; gere nova versão, justifique e assine novamente.

Passo a passo: fluxo mínimo de versionamento em documentos sensíveis

  • Crie o arquivo em repositório oficial (evite área de trabalho/pendrive).
  • Nomeie com padrão (ex.: tipo_documento-numero_procedimento-vX-data).
  • Restrinja edição a responsáveis diretos.
  • Registre alterações relevantes (o que mudou e por quê).
  • Ao finalizar, converta para PDF, assine e bloqueie edição.
  • Arquive a versão final em pasta/repositório com permissão somente leitura para a maioria dos usuários.

Trilhas de auditoria: rastreabilidade de ponta a ponta

Trilha de auditoria é o registro verificável de eventos relacionados ao documento: criação, acesso, download, edição, assinatura, envio, juntada, exclusão. A rastreabilidade é crucial para apurar incidentes (vazamento, alteração indevida) e para demonstrar governança do procedimento.

Boas trilhas de auditoria têm: identificação do usuário, data/hora, ação realizada, origem (IP/dispositivo quando aplicável), e retenção adequada. Evite fluxos que “apagam” rastros, como compartilhamento por aplicativos pessoais ou cópias em mídias sem controle.

Sigilo e classificação da informação no manuseio de procedimentos

Documentos de procedimentos policiais frequentemente contêm dados pessoais, dados sensíveis, informações operacionais e elementos que, se divulgados, podem comprometer diligências, expor vítimas/testemunhas ou prejudicar a investigação. Por isso, o tratamento deve seguir classificação e princípio do menor privilégio (acesso apenas a quem precisa).

Classificação prática (modelo operacional)

  • Ostensivo: pode circular internamente sem restrições especiais, ainda com controle de integridade e versionamento.
  • Restrito/Sigiloso: acesso limitado por função e necessidade; exige armazenamento em repositório controlado, criptografia quando em trânsito e, preferencialmente, em repouso.
  • Altamente sensível (ex.: dados de inteligência, dados de colaboração premiada, dados bancários/telefônicos em massa): controles reforçados, segregação de pastas, logs detalhados, proibição de cópias locais e regras rígidas de compartilhamento.

Na dúvida, trate como mais sensível até orientação superior ou norma interna aplicável.

Compartilhamento seguro: envio, acesso e colaboração sem vazamento

Compartilhar documentos sensíveis exige equilibrar agilidade e segurança. O objetivo é garantir confidencialidade (somente destinatários autorizados acessam), integridade (não há alteração) e não repúdio (há evidência de envio/recebimento quando necessário).

Boas práticas de envio

  • Use canais institucionais (sistemas oficiais, e-mail corporativo com políticas de segurança, repositórios com link controlado).
  • Prefira link com controle de acesso (expiração, bloqueio de download quando possível) em vez de anexos replicados.
  • Envie documento final assinado (PDF assinado) quando o conteúdo não deve ser editado.
  • Evite encaminhar para e-mails pessoais, mensageiros não autorizados e armazenamento em nuvem pessoal.
  • Confirme destinatário (endereçamento) e aplique dupla checagem em listas de distribuição.

Passo a passo: envio mínimo seguro de documento sensível

  • Classifique o documento (ostensivo/restrito/sigiloso).
  • Garanta que é a versão correta e, se aplicável, assine digitalmente.
  • Escolha canal institucional apropriado (repositório com acesso por usuário/grupo ou sistema).
  • Defina permissões (somente leitura; bloqueio de compartilhamento externo; expiração do link).
  • Registre o envio (protocolo, juntada, despacho interno ou registro no sistema).
  • Revogue acesso quando a finalidade terminar (princípio da necessidade).

Backups e continuidade: não perder o que não pode ser refeito

Backups são essenciais para disponibilidade e resiliência contra falhas, ransomware e exclusões acidentais. Para documentos de procedimento, a perda pode significar retrabalho, atraso e risco institucional.

  • Regra 3-2-1 (referência prática): 3 cópias, 2 mídias diferentes, 1 cópia fora do ambiente principal (ou segregada logicamente).
  • Backups devem ser testados: não basta existir; é preciso validar restauração.
  • Controle de acesso ao backup: backup também é alvo de vazamento; aplique criptografia e permissões.

Passo a passo: checklist mínimo de backup para repositório de documentos

  • Identifique pastas/repositórios críticos do procedimento.
  • Defina periodicidade (diária para conteúdo em produção; conforme criticidade).
  • Habilite versionamento/retention para recuperar versões anteriores.
  • Garanta cópia segregada (imutável quando possível) contra ransomware.
  • Teste restauração em amostra (mensal/trimestral) e registre evidências do teste.

Criptografia: protegendo em trânsito e em repouso

Criptografia em trânsito protege durante o envio (ex.: conexões seguras). Criptografia em repouso protege quando armazenado (servidor, notebook, mídia removível). Para documentos sensíveis, ambos são desejáveis.

  • Em trânsito: priorize sistemas institucionais com comunicação segura; evite anexos em canais não controlados.
  • Em repouso: repositórios com criptografia e controle de chaves; em dispositivos, use criptografia de disco e bloqueio de tela.
  • Senhas em arquivos compactados podem ser paliativas, mas não substituem gestão adequada de acesso e chaves; use apenas quando alinhado a normas internas.

Prevenção de vazamentos: principais vetores e controles

Vazamentos costumam ocorrer por falhas simples: envio ao destinatário errado, uso de dispositivos pessoais, compartilhamento excessivo, senhas fracas, ausência de logs, cópias locais e fotos de tela/impressões indevidas.

Riscos comuns no dia a dia

  • Salvar documentos sensíveis em pastas locais sem criptografia.
  • Usar pendrive/mídia removível sem controle.
  • Enviar anexos para múltiplos destinatários sem necessidade.
  • Imprimir e deixar em local acessível.
  • Compartilhar credenciais ou usar conta genérica.
  • Baixar arquivos em computadores compartilhados.

Controles mínimos recomendados

  • Acesso por perfil (RBAC): permissões por função e necessidade.
  • MFA para acesso a sistemas e repositórios.
  • Logs e monitoramento: alertas para downloads em massa, acessos fora do padrão.
  • DLP/Políticas de exfiltração quando disponível: bloqueio de envio externo, restrição de cópia para mídias.
  • Treinamento e rotinas: dupla checagem de destinatário, padronização de nomes/versões, proibição de canais pessoais.
  • Resposta a incidentes: canal de reporte, preservação de evidências digitais (logs), revogação de acessos.

Aplicação direta em procedimentos policiais: cenários e decisões

Cenário 1: juntada de documento recebido por e-mail

Risco: arquivo adulterado antes de chegar, remetente falsificado, versão errada. Controles: conferir origem (domínio institucional, validação por canal alternativo quando sensível), preferir documento assinado digitalmente, registrar recebimento, armazenar em repositório oficial e manter o arquivo original recebido (sem reprocessar) para preservação.

Cenário 2: compartilhamento com outra unidade

Risco: vazamento por encaminhamento, perda de controle de acesso. Controles: link com expiração e acesso nominal, documento final assinado, restrição de download quando possível, registro do envio e do destinatário, revisão periódica de permissões.

Cenário 3: trabalho remoto/externo autorizado

Risco: dispositivo comprometido, rede insegura, cópias locais. Controles: VPN/canal institucional, criptografia de disco, bloqueio automático, proibição de armazenamento local, sincronização apenas em repositório corporativo, logs de acesso.

Exercícios práticos (identificação de riscos e controles mínimos)

Exercício 1: classifique e defina controles

Para cada item abaixo, indique (a) nível de sensibilidade (ostensivo/restrito/sigiloso/altamente sensível) e (b) três controles mínimos para armazenamento e envio.

  • Relatório interno com cronograma de diligências futuras.
  • Planilha com dados pessoais de testemunhas (nome, telefone, endereço).
  • Ofício de solicitação de informações a outro órgão, sem dados pessoais.
  • Arquivo com extratos bancários e dados de transações.
  • Termo assinado digitalmente com anexos de mídia (fotos/documentos).

Exercício 2: encontre os pontos de falha no fluxo

Fluxo: “Servidor redige documento em .docx, salva na área de trabalho, envia por aplicativo de mensagem para colega revisar, recebe de volta uma versão editada, imprime para colher assinatura manuscrita, fotografa e envia a foto por e-mail para juntada”.

Liste pelo menos 8 riscos (integridade, autenticidade, rastreabilidade, sigilo, perda) e proponha um fluxo alternativo com controles mínimos (repositório oficial, versionamento, assinatura digital, canal institucional, logs).

Exercício 3: matriz rápida de risco x controle

Preencha a tabela (pode ser em rascunho) associando risco e controle:

Risco | Impacto no procedimento | Controle preventivo | Evidência/registro gerado (log, protocolo, assinatura, etc. )
  • Envio ao destinatário errado
  • Alteração indevida de PDF
  • Perda de arquivo por falha/ransomware
  • Acesso por usuário não autorizado
  • Uso de versão desatualizada

Exercício 4: checklist de envio de documento sensível

Crie um checklist de 10 itens para sua unidade com base nos tópicos: classificação, versão final, assinatura, carimbo do tempo (quando aplicável), canal institucional, permissões, expiração de link, registro de envio, revogação de acesso, backup/retention. Em seguida, aplique o checklist a um caso simulado de envio de documento sigiloso para outra unidade.

Agora responda o exercício sobre o conteúdo:

Ao enviar para outra unidade um documento sensível que não deve ser editado, qual prática melhor garante integridade, autenticidade e rastreabilidade no compartilhamento?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A assinatura digital em PDF fornece evidência robusta de autoria e torna alterações detectáveis. O uso de canal institucional com controle de acesso e o registro do envio/juntada reforçam sigilo e rastreabilidade, reduzindo risco de vazamento e adulteração.

Próximo capitúlo

Informática avançada para Escrivão da Polícia Federal: sistemas, redes e produtividade aplicada

Arrow Right Icon
Aprenda Policia Federal

AprendaPolicia Federal

Materiais gratuitos preparatórios específicos para o concurso público de Polícia Federal. Aprenda com vídeo aulas e materiais escritos, online e de graça.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store