Para cartórios e serventias extrajudiciais

Quem dá fé pública agora também precisa provar a própria segurança.

O Provimento CNJ 213/2026 transformou segurança de TI em obrigação da serventia: gestão de vulnerabilidades com prazo, teste de intrusão e evidência formal. O Defender360 cobre exatamente esse pilar — com laudo imutável que fala a língua do cartório: ICP-Brasil e blockchain.

Quero ver o Defender360 em ação

Demonstração gratuita, sem compromisso e sem instalar nada no seu ambiente.

Agende sua demonstração

Veja a plataforma e o laudo certificado de perto. Responde o time que decide: titular, substituto ou responsável de TI da serventia.

Ao enviar, você concorda com a nossa Política de Privacidade.

Diagnóstico grátis e sem compromisso

Provimento CNJ 213/2026LGPD / ANPDCorreção de críticas em até 30 dias (Anexo II)Laudo com ICP-Brasil + blockchain

Do início do scan ao primeiro relatório em ~20 minutos — e reavaliação contínua, não um projeto a cada dois anos.

O Provimento 213 tirou a segurança do campo das boas práticas. Agora é obrigação — com prazo.

Publicado em fevereiro de 2026, o Provimento CNJ nº 213 revogou o Provimento 74/2018 e criou um marco novo para todas as serventias do país: política de segurança da informação formal, autenticação multifator, criptografia dos dados, gestão de incidentes com comunicação à corregedoria em até 72 horas — e um cronograma por etapas com prazos máximos por classe (24 a 36 meses para a conformidade completa, com a primeira etapa vencendo já nos primeiros meses).

Para as serventias de maior arrecadação (Classe 3, acima de R$ 500 mil no semestre), a norma exige teste de intrusão no mínimo a cada 2 anos — e de novo sempre que a infraestrutura, a exposição à internet ou um fornecedor crítico mudar. E, para todas as classes, a gestão de vulnerabilidades vem com prazo duro: vulnerabilidade crítica corrigida em até 30 dias; com exploração ativa ou risco iminente, medidas em até 72 horas, com registro formal.

O custo de descumprir não é abstrato: o art. 24 prevê procedimento administrativo disciplinar quando caracterizada negligência ou omissão relevante do titular, sem prejuízo das responsabilidades civil e penal. E a declaração de conformidade é assinada pelo delegatário — declaração falsa sujeita às penalidades da lei (art. 17, §2º). "Achar que está conforme" virou risco pessoal de quem responde pela serventia.

No fundo, a questão é maior que a norma: o cartório guarda o patrimônio, a identidade e os atos da vida civil das pessoas. Quem vive de dar fé não pode descobrir um vazamento pela reclamação do usuário — nem chegar à corregedoria com uma planilha montada na véspera.

Defender360: o pilar de testes, vulnerabilidades e evidência do Provimento — automatizado.

O Defender360 é a plataforma de exposição contínua (CTEM) que descobre o que a sua serventia expõe na internet, testa como um atacante testaria (pipeline de 15 fases orquestradas por IA), prioriza o que é risco real para os prazos de correção — e transforma cada teste em laudo imutável, com timestamping ICP-Brasil e registro em blockchain, verificável publicamente.

Pentest contratado às pressas, válido até a próxima mudança
Teste contínuo, reexecutado quando a infraestrutura muda
Planilha de vulnerabilidades sem dono e sem prazo
Prioridade por risco com os prazos de 30 dias / 72 horas sob controle
"Declaro que estou conforme" na fé do fornecedor
Evidência imutável e verificável publicamente
Vazamento descoberto pela reclamação do usuário
Alerta quando credenciais da serventia aparecem na dark web

Da descoberta à evidência — em quatro movimentos.

1

Visibilidade total

A plataforma descobre automaticamente domínios, portais, sistemas e serviços da serventia expostos à internet — inclusive o que subiu sem ninguém avisar — e reavalia essa superfície de forma contínua.

2

Teste como o Provimento exige

Os motores de análise testam a exposição em 15 fases orquestradas. A IA valida a exploração de forma controlada ("PoC Confirmado"), corta falso-positivo e prioriza pelo que é risco real — não pelo volume de alertas.

3

Evidência de fé pública

Cada teste vira laudo certificado com timestamping ICP-Brasil e registro em blockchain: imutável, verificável publicamente, com trilha de auditoria do que foi testado, quando e com qual resultado.

4

Prazos e audiências certas

Os achados chegam com prioridade e prazo — para o time de TI corrigir dentro dos 30 dias/72 horas do Anexo II — e o mesmo risco vira relatório técnico, executivo para o titular e evidência para a corregedoria.

O que muda quando a evidência para de ser promessa.

Telas reais do portal Defender360 Security IA.

Cada achado chega priorizado e validado: severidade, CVSS, fase do teste, análise de explorabilidade e probabilidade de falso-positivo — com retest e abertura de ticket a um clique, para cumprir os prazos de correção com registro.

Cada achado chega priorizado e validado: severidade, CVSS, fase do teste, análise de explorabilidade e probabilidade de falso-positivo — com retest e abertura de ticket a um clique, para cumprir os prazos de correção com registro.

Pacotes de evidência mapeados automaticamente para ISO 27001, PCI DSS, LGPD, HIPAA e NIST CSF — a evidência organizada e exportável, no racional que auditoria e corregedoria esperam.

Pacotes de evidência mapeados automaticamente para ISO 27001, PCI DSS, LGPD, HIPAA e NIST CSF — a evidência organizada e exportável, no racional que auditoria e corregedoria esperam.

Por que uma serventia escolhe o Defender360.

O laudo fala a língua do cartório

Timestamping ICP-Brasil e registro em blockchain — a mesma lógica de autenticidade e imutabilidade que sustenta a fé pública, aplicada à sua evidência de segurança. Prova que se sustenta diante da corregedoria, não uma declaração de boa-fé.

O teste de intrusão sem projeto sob demanda

O pentest automatizado roda contínuo e se reexecuta quando a infraestrutura, a exposição ou o fornecedor mudam — exatamente os gatilhos que o Provimento usa para exigir novo teste. Você não corre atrás de consultoria na véspera.

Prazos de correção sob controle

Prioridade por risco de negócio com detecção de falso-positivo: seu time (ou seu fornecedor de TI) trata primeiro o que conta para os prazos do Anexo II, com registro formal de cada correção — evidência de diligência pronta.

Dark web e credenciais da serventia

O Provimento veda credencial compartilhada — e credencial vazada é a porta de entrada mais comum. O monitoramento contínuo da dark web alerta quando e-mails e senhas ligados à serventia aparecem à venda.

Proporcional à sua classe

Da varredura de vulnerabilidades (scanner) admitida no modelo SaaS ao teste de intrusão bienal da Classe 3, o mesmo motor atende o nível de exigência da sua serventia — e cresce com ele.

Conecta com as ferramentas que você já usa

SIEM, atendimento, colaboração e mensageria — sem desenvolvimento.

SplunkMicrosoft SentinelJiraServiceNowGitHubSlackMicrosoft TeamsTelegramWhatsApp
O que nossos clientes dizem

Empresas que transformaram sua operação

Com o Defender360, conseguimos centralizar todo o monitoramento dos sistemas críticos exigidos pelo BCB 538 em um único painel. O relatório de conformidade que antes levava dias agora é gerado em minutos.

OZ

Equipe de TI

Gestão de Infraestrutura · OZ Câmbio

Substituímos três ferramentas separadas por uma plataforma integrada. A visibilidade que temos hoje dos ativos e incidentes é incomparável — e o suporte em português faz toda a diferença.

EC

Equipe de TI

Operações de TI · Ecom Energia

O isolamento real de dados por tenant nos deu a confiança que precisávamos para escalar. Cada cliente tem sua visão totalmente separada, com rastreabilidade completa para a auditoria.

YW

Equipe de TI

Segurança e Compliance · YawPay

As perguntas que todo titular de serventia faz — respondidas.

Meu sistema é do fornecedor (SaaS). A responsabilidade não é dele?

O Provimento é claro: o delegatário é o responsável — inclusive pela gestão dos fornecedores e pela conformidade LGPD dos contratos. E a própria norma admite, no modelo SaaS, varredura de vulnerabilidades e validação da configuração de borda como parte do atendimento. O Defender360 executa e documenta exatamente isso, olhando a sua exposição real na internet — independentemente de quem fornece o sistema.

Sou Classe 1 ou 2 — o teste de intrusão nem é obrigatório para mim.

Verdade: o pentest bienal é exigência da Classe 3. Mas a gestão de vulnerabilidades e os prazos de correção (críticas em até 30 dias; risco iminente em até 72 horas, com registro) valem para todas as classes — e um incidente não consulta a sua arrecadação antes de acontecer. A vigilância contínua cobre a obrigação de hoje e já deixa pronta a da classe seguinte.

Não tenho equipe de TI para operar mais uma plataforma.

Esse é o ponto: o pipeline orquestrado e a IA fazem o trabalho pesado, com o primeiro relatório em cerca de 20 minutos e reavaliação contínua sem intervenção. O resultado chega priorizado e explicado — para o seu fornecedor de TI executar a correção, e para você acompanhar o cumprimento dos prazos.

Isso resolve tudo do Provimento 213 — backup, MFA, plano de continuidade?

Não — e desconfie de quem prometer isso. Backup com RPO, MFA, PCN/PRD e política interna seguem com a sua operação e o seu fornecedor de TI. O Defender360 cobre o pilar de testes, gestão de vulnerabilidades e evidência: descobre o que está exposto, testa, prioriza dentro dos prazos e gera o laudo imutável que comprova a diligência. É a parte do Provimento que não dá para cumprir com documento — só com teste executado e provado.

Ver a plataforma exige instalar algo ou liberar acesso?

Não. A demonstração acontece em ambiente de exemplo — você vê a plataforma e o laudo de perto sem instalar nada e sem liberar nenhum acesso. Uma avaliação no seu próprio ambiente só acontece quando (e se) você decidir avançar.

O cronograma do Provimento já está correndo. A evidência pode já estar pronta.

Você não precisa esperar a cobrança da corregedoria para saber onde a serventia está exposta. Em uma demonstração, você vê como o Defender360 mapeia a sua superfície, testa em 15 fases, prioriza pelo prazo que a norma exige e transforma cada teste em laudo certificado — ICP-Brasil e blockchain, imutável, pronto para a declaração de conformidade.

Se a sua evidência hoje depende da palavra do fornecedor, você sai da conversa sabendo exatamente o que mudar. Nos dois cenários, você troca "acho que estamos conformes" por prova.

Agendar minha demonstração

Gratuita. Sem instalação no seu ambiente. Sem compromisso.