Capa do Ebook gratuito Escrivão de Polícia Civil: Preparação Completa em Procedimentos Policiais

Escrivão de Polícia Civil: Preparação Completa em Procedimentos Policiais

Novo curso

14 páginas
Todos os cursos > Concursos > Polícia Civil ::

Sistemas, Protocolos e Segurança da Informação no Trabalho do Escrivão de Polícia Civil

Capítulo 10

Tempo estimado de leitura: 14 minutos

+ Exercício

Princípios de segurança da informação aplicados ao cartório

No trabalho do escrivão, segurança da informação é o conjunto de práticas para proteger dados e sistemas contra acesso indevido, alteração não autorizada e indisponibilidade. Na prática, isso significa garantir: confidencialidade (só acessa quem pode), integridade (não é alterado sem registro e autorização) e disponibilidade (permanece acessível quando necessário, sem interrupções por incidentes).

Em ambiente cartorário, dados sensíveis incluem: qualificações pessoais, endereços, telefones, dados bancários, informações médicas, dados de crianças e adolescentes, medidas protetivas, relatórios de inteligência, senhas, chaves de acesso, credenciais de sistemas, além de documentos sigilosos e peças com restrição de acesso.

Princípios operacionais que orientam o uso de sistemas

  • Necessidade de saber: acessar apenas o que é indispensável para o ato em execução.
  • Menor privilégio: perfis com o mínimo de permissões necessárias (evita “acesso total” por comodidade).
  • Segregação de funções: tarefas críticas divididas (ex.: quem cadastra não é necessariamente quem autoriza/expede).
  • Rastreabilidade: toda ação relevante deve deixar registro (log) para auditoria.
  • Padronização: procedimentos repetíveis reduzem erros e brechas (ex.: checklist de envio seguro).

Controle de acesso, autenticação e perfis de usuário

Controle de acesso: o que é e como se aplica

Controle de acesso é a forma como o sistema decide quem pode acessar o quê e em quais condições. No cartório, isso se materializa em perfis (roles) e permissões (ex.: visualizar, cadastrar, editar, assinar, expedir, excluir, exportar).

Boas práticas: evitar contas compartilhadas, manter perfis compatíveis com a função, revisar acessos quando há mudança de lotação e bloquear acessos de quem se afastou.

Autenticação: como provar que você é você

Autenticação é o processo de confirmar a identidade do usuário. Pode envolver: algo que você sabe (senha), algo que você tem (token/app autenticador/certificado) e algo que você é (biometria). Quanto mais fatores, maior a segurança.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Quando houver opção, priorize autenticação multifator (MFA) para sistemas com dados sensíveis, e-mail institucional e assinaturas digitais.

Senhas e credenciais: regras práticas

  • Senhas fortes: longas (preferencialmente frases-senha), únicas por sistema e sem padrões previsíveis.
  • Não reutilizar senha do e-mail em outros sistemas.
  • Não anotar senha em papel visível, post-it, capa de caderno ou arquivo “senhas.txt”.
  • Não compartilhar credenciais nem “emprestar login” para agilizar serviço.
  • Troca imediata se houver suspeita de vazamento ou acesso indevido.

Passo a passo: revisão de perfil e acessos (rotina de cartório)

Objetivo: reduzir permissões excessivas e impedir acessos indevidos.

  • 1) Liste os sistemas usados no setor (ex.: sistema de procedimentos, e-mail, armazenamento, assinatura digital, protocolos).
  • 2) Para cada servidor/colaborador, confirme: lotação atual, função e necessidade de acesso.
  • 3) Verifique se há contas genéricas/compartilhadas; solicite substituição por contas nominais.
  • 4) Confirme se o perfil atribuído é o mínimo necessário (ex.: “consulta” em vez de “edição” quando aplicável).
  • 5) Registre a revisão (data, responsável, ajustes solicitados) e encaminhe ao administrador do sistema/área de TI conforme fluxo interno.

Registro de logs e rastreabilidade

Logs são registros automáticos de eventos: login, tentativas falhas, criação/alteração de documentos, exportações, assinaturas, remessas, exclusões, mudanças de perfil. Eles permitem identificar o que ocorreu, quando, por quem e de onde.

O que observar em logs (visão prática)

  • Acessos fora do padrão: horários incomuns, locais diferentes, muitas tentativas de login.
  • Exportações em massa: download de grandes volumes de dados sem justificativa.
  • Alterações críticas: edição de documentos já assinados, mudanças de status, exclusões.
  • Falhas repetidas: podem indicar ataque de força bruta ou senha esquecida (ambos exigem ação).

Boas práticas de uso de logs no cartório

  • Trate logs como informação sensível: não divulgar prints em grupos, não enviar por canais pessoais.
  • Ao relatar incidente, inclua: data/hora, usuário, tela/funcionalidade, evidências (ID do registro, hash, protocolo), e impacto percebido.
  • Não “corrija” o problema apagando rastros; preserve evidências para apuração.

Confidencialidade e manuseio de dados sensíveis

Cuidados no ambiente físico e digital

  • Tela protegida: bloquear estação ao se ausentar, mesmo por poucos minutos.
  • Impressões: retirar imediatamente da impressora; evitar deixar documentos em bandejas.
  • Ambiente: atenção a visitantes, prestadores e circulação em áreas de atendimento.
  • Compartilhamento: enviar dados apenas a destinatários legitimados e pelo canal adequado.
  • Minimização: ao responder solicitações, encaminhar somente o necessário (evitar “anexar tudo”).

Exemplo prático: envio de dados por e-mail

Se for indispensável enviar documento sensível por e-mail institucional, prefira anexos protegidos (quando permitido), valide o destinatário (endereço completo, domínio correto), e registre a remessa. Evite encaminhar para e-mails pessoais e evite copiar destinatários desnecessários.

Riscos comuns no cartório e como prevenir

Phishing (e-mails, mensagens e links falsos)

Phishing é tentativa de enganar o usuário para capturar senha, instalar malware ou obter dados. Pode se apresentar como “atualização de sistema”, “intimação”, “comprovante”, “nota fiscal”, “acesso bloqueado”, “urgente”.

Sinais de alerta: urgência exagerada, remetente estranho, domínio parecido (troca de letras), link encurtado, anexos inesperados, erros de escrita, pedido de senha.

Passo a passo: checagem rápida antes de clicar

  • 1) Verifique o remetente completo (não apenas o nome exibido).
  • 2) Passe o mouse sobre o link para ver o endereço real (se não bater com o esperado, não clique).
  • 3) Desconfie de anexos inesperados, especialmente executáveis e arquivos compactados.
  • 4) Confirme por canal oficial alternativo (telefone institucional/ramal) se a mensagem for crítica.
  • 5) Se suspeito, encaminhe ao canal interno de TI/segurança e apague após orientação.

Senhas fracas e reutilizadas

Senhas curtas, previsíveis ou reutilizadas facilitam invasões e sequestro de contas. A prevenção é adotar frases-senha, MFA e troca imediata em caso de suspeita.

Compartilhamento indevido (interno e externo)

O compartilhamento indevido ocorre quando dados são enviados a quem não tem legitimidade, ou quando se usa canal inadequado (mensageiros pessoais, e-mail pessoal, pen drive sem controle). Prevenção: confirmar destinatário, limitar anexos, usar canais institucionais e registrar remessas.

Mídias removíveis (pendrives, HDs externos, celulares)

Mídias removíveis são vetor comum de malware e vazamento. O risco aumenta quando a mídia é de origem desconhecida ou usada em vários computadores.

Passo a passo: uso seguro de mídia removível (quando inevitável)

  • 1) Use apenas mídia institucional identificada e autorizada.
  • 2) Antes de abrir, faça verificação com ferramenta de segurança disponível no órgão.
  • 3) Evite copiar “pastas inteiras”; copie somente o necessário.
  • 4) Não conecte mídia desconhecida em computador do cartório.
  • 5) Ao finalizar, apague cópias temporárias conforme orientação interna e registre a movimentação quando exigido.

Tratamento de documentos digitais: assinatura, integridade, envio seguro e registro

Assinatura digital: finalidade e cautelas

Assinatura digital (com certificado/solução institucional) vincula o documento ao signatário e ajuda a garantir integridade e autenticidade. Cautelas: assinar somente após conferência final, proteger credenciais do certificado, e evitar assinar “em branco” ou versões preliminares.

Passo a passo: assinatura segura de documento digital

  • 1) Abra o documento a partir do repositório oficial (evite cópias soltas em área de trabalho).
  • 2) Confira conteúdo, anexos e metadados relevantes (número/identificador, destinatário, datas).
  • 3) Verifique se é a versão final (controle de versão: “minuta” vs “final”).
  • 4) Assine no sistema/solução institucional.
  • 5) Após assinar, gere/registre o comprovante (recibo, carimbo do tempo, ID do documento) conforme o sistema permitir.
  • 6) Armazene no local correto e com a classificação adequada (sigilo/restrição).

Conferência de integridade: como detectar alteração

Integridade é a garantia de que o arquivo não foi alterado. Dependendo do sistema, isso pode ser verificado por: hash (ex.: SHA-256), verificação de assinatura, carimbo do tempo, ou validação no portal/validador institucional.

Passo a passo: verificação de integridade (modelo geral)

  • 1) Identifique o método aceito no órgão (validador de assinatura, hash, recibo do sistema).
  • 2) Compare o identificador (hash/ID) do arquivo recebido com o informado no envio/recibo.
  • 3) Se houver divergência, não utilize o arquivo: preserve a evidência, comunique o superior e solicite reenvio por canal seguro.
  • 4) Registre a ocorrência (data/hora, remetente, evidência técnica disponível, impacto).

Envio seguro: canal, destinatário e minimização

Envio seguro é escolher canal institucional adequado, confirmar destinatário e reduzir exposição. Regras práticas: evitar anexar dados sensíveis sem necessidade, preferir compartilhamento com controle de acesso (quando disponível), e evitar reencaminhamentos em cadeia.

Registro de remessas: rastreabilidade do que saiu do cartório

Registro de remessas é a anotação formal do envio: o que foi enviado, para quem, quando, por qual canal, com qual identificador (protocolo/ID/hash), e quem realizou. Isso reduz disputas (“não recebi”), facilita auditoria e ajuda na resposta a incidentes.

Passo a passo: registro mínimo de remessa digital

  • 1) Identifique o documento/arquivo (título, ID no sistema, número de procedimento quando aplicável).
  • 2) Registre destinatário (órgão, unidade, e-mail institucional/usuário no sistema) e responsável pelo recebimento quando houver.
  • 3) Registre canal (sistema oficial, e-mail institucional, malote digital institucional, outro autorizado).
  • 4) Registre data/hora e comprovante (protocolo, recibo, ID de envio, hash/validação se aplicável).
  • 5) Arquive o comprovante no local padronizado (pasta do procedimento/repositório oficial).

Resposta a incidentes: o que fazer ao suspeitar de vazamento ou invasão

Incidente pode ser: acesso indevido, e-mail comprometido, arquivo alterado, malware, perda de dispositivo, envio errado, exposição de dados. A resposta deve ser rápida e rastreável.

Passo a passo: conduta imediata (modelo prático)

  • 1) Interrompa a ação: pare de usar o sistema/arquivo suspeito e não apague evidências.
  • 2) Isole: desconecte da rede se houver suspeita de malware (conforme orientação interna).
  • 3) Registre: anote data/hora, o que ocorreu, telas, IDs, remetentes, destinatários, arquivos envolvidos.
  • 4) Comunique: informe chefia imediata e canal de TI/segurança do órgão.
  • 5) Mitigue: troque senha/ative MFA quando orientado; revogue acessos indevidos; solicite bloqueio de conta/dispositivo se necessário.
  • 6) Corrija o fluxo: se houve envio errado, comunique o destinatário para não abrir/para excluir, e registre a providência conforme orientação interna.

Roteiro de verificação diária de segurança (checklist do escrivão)

Use este roteiro no início e no fim do expediente, adaptando aos sistemas do órgão.

Início do expediente

  • 1) Verificar se a estação está íntegra: sem alertas incomuns, sem dispositivos desconhecidos conectados.
  • 2) Confirmar login em conta nominal (não usar conta de terceiros).
  • 3) Checar e-mail institucional: identificar mensagens suspeitas (phishing) antes de abrir anexos.
  • 4) Conferir se pastas/repositórios do setor estão acessíveis apenas a quem deve (quando houver painel de permissões).
  • 5) Validar que não há documentos sensíveis expostos em mesa/impressora.

Durante o expediente (pontos de controle)

  • 1) Bloquear tela ao se ausentar.
  • 2) Conferir destinatário antes de cada envio (dupla checagem).
  • 3) Evitar download local desnecessário; preferir repositório oficial.
  • 4) Registrar remessas digitais com protocolo/recibo.
  • 5) Se usar mídia removível autorizada: verificar e registrar conforme regra interna.

Fim do expediente

  • 1) Garantir que documentos finalizados estejam no repositório correto (não em “Downloads/Área de Trabalho”).
  • 2) Encerrar sessões em sistemas e e-mail (logout quando aplicável).
  • 3) Guardar/descartar rascunhos e impressões conforme orientação interna.
  • 4) Reportar eventos anormais observados (lentidão incomum, pop-ups, acessos estranhos, falhas repetidas).

Questões situacionais comentadas (treino de decisão)

1) Você recebe e-mail com assunto “Acesso bloqueado: redefina sua senha agora” com link para login

Risco: phishing para captura de credenciais.

Conduta: não clicar no link; verificar remetente e domínio; acessar o sistema digitando o endereço oficial manualmente; comunicar TI/segurança se houver indícios; registrar a tentativa se exigido.

2) Um colega pede sua senha “só para protocolar rápido” porque o sistema está lento

Risco: quebra de rastreabilidade e responsabilização; acesso indevido; violação de política interna.

Conduta: negar compartilhamento; oferecer alternativa segura (protocolar você mesmo, solicitar criação/regularização de acesso do colega, acionar suporte). Registrar a necessidade de ajuste de perfil/conta se recorrente.

3) Um arquivo PDF “ofício_assinado.pdf” chega por mensagem e precisa ser juntado com urgência, mas a assinatura não valida

Risco: documento adulterado, assinatura inválida, arquivo corrompido ou tentativa de fraude.

Conduta: não juntar como documento válido; solicitar reenvio por canal institucional; pedir versão assinada corretamente; registrar a inconsistência (data/hora, remetente, evidência da falha de validação).

4) Você percebe que enviou anexos com dados sensíveis para o e-mail errado (destinatário com nome parecido)

Risco: vazamento de dados; exposição de sigilo.

Conduta: comunicar imediatamente chefia e canal de segurança; tentar mitigar (solicitar ao destinatário que não abra e exclua; se houver recurso institucional de revogação/expiração, acionar); registrar o incidente com detalhes e comprovantes; revisar procedimento de dupla checagem de destinatário.

5) Um pendrive “achado” na recepção é entregue para você “ver o que tem”

Risco: malware via mídia removível.

Conduta: não conectar em computador do cartório; encaminhar para o procedimento interno (TI/segurança) para análise em ambiente controlado; registrar a ocorrência conforme orientação.

6) O sistema mostra que seu usuário realizou uma exportação grande de dados em horário em que você não estava

Risco: conta comprometida ou uso indevido.

Conduta: comunicar imediatamente; trocar senha e habilitar MFA se disponível; solicitar verificação de logs (IP/estação); pedir bloqueio temporário da conta se necessário; preservar evidências (prints, IDs de log) sem divulgar em canais informais.

7) Você precisa enviar documentos digitais a outro órgão e há duas opções: e-mail pessoal do destinatário ou canal institucional com autenticação

Risco: vazamento e ausência de rastreabilidade no e-mail pessoal.

Conduta: usar canal institucional com autenticação e registro; anexar apenas o necessário; registrar remessa com protocolo/recibo; se houver urgência, justificar e documentar a escolha do canal conforme norma interna.

8) Um documento já assinado precisa de correção pequena (um número digitado errado)

Risco: quebra de integridade e questionamento de autenticidade se editar o arquivo assinado.

Conduta: não editar o arquivo assinado; gerar versão corrigida com novo ciclo de conferência e assinatura; manter a versão anterior preservada conforme regra interna; registrar a retificação e o motivo no sistema/controle aplicável.

9) Você recebe ligação pedindo “confirmação de dados” de uma pessoa envolvida, alegando ser de outro setor

Risco: engenharia social para obter dados.

Conduta: confirmar identidade por canal oficial (ramal institucional, e-mail institucional, protocolo); verificar legitimidade e necessidade; fornecer apenas o estritamente necessário e registrável; se não houver base, negar e orientar o solicitante ao canal formal.

10) Você precisa trabalhar com um arquivo sensível fora do sistema porque o sistema está instável

Risco: cópias locais, perda de controle de acesso, vazamento.

Conduta: evitar ao máximo; se inevitável e autorizado, usar local seguro institucional, com controle de acesso; nomear e versionar; remover cópias temporárias após normalização; registrar a exceção (motivo, período, responsável) conforme orientação interna.

Agora responda o exercício sobre o conteúdo:

Ao suspeitar que sua conta foi usada indevidamente após identificar uma exportação grande de dados em horário em que você não estava, qual conduta é a mais adequada?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A exportação em massa fora do padrão pode indicar conta comprometida. A resposta deve ser rápida e rastreável: comunicar, preservar evidências, mitigar com troca de senha/MFA e, se necessário, bloquear a conta para evitar novos acessos indevidos.

Próximo capitúlo

Organização Administrativa e Gestão Documental para Escrivão de Polícia Civil

Arrow Right Icon
Aprenda Polícia Civil

AprendaPolícia Civil

Curso com aulas específicas para concurso público de Policia Civil. Materiais gratuitos imersos com legislação para você tirar suas dúvidas e se preparar.

 Aprenda Concursos

AprendaConcursos

Acesse cursos online gratuitos para concursos como INSS, PF e PRF. Certificação gratuita e simulados exclusivos para conquistar sua vaga com confiança!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store