Publicada no dia 15 de abril de 2026, a Instrução Normativa nº 17 estabelece a nova Política de Segurança da Informação e Cibernética (PSI) para o Judiciário tocantinense, uma medida que visa a blindar os sistemas judiciais contra ataques cibernéticos e garantir a continuidade dos serviços.
Assinada pela Presidência do Tribunal de Justiça do Estado do Tocantins (TJTO), a normativa revoga normas anteriores para atender às diretrizes de segurança nacional fixadas pelo Conselho Nacional de Justiça (CNJ) e às exigências da Lei Geral de Proteção de Dados (LGPD).
A nova política parte da premissa de que a segurança digital é responsabilidade de todos que atuam no órgão. Conforme o documento, o foco é a proteção de ativos de informação, definidos como o patrimônio composto por todos os dados e informações gerados, manipulados ou descartados nos processos envolvendo atividades do Poder Judiciário do Tocantins. Isso inclui documentos digitais e até a infraestrutura física do Data Center.
Um dos pontos centrais da nova Política de Segurança da Informação e Cibernética é a adoção do princípio de “Confiança Zero” (Zero Trust). Sob esse modelo, o Judiciário deixa de presumir que um acesso é seguro apenas por vir de um dispositivo dentro da rede interna do Tribunal. Todo usuário, seja magistrado, servidor ou estagiário, passa a ser verificado continuamente.
A PSI estabelece algumas obrigações principais, que são detalhadas ao longo da norma. A Autenticação Multifator (MFA) torna-se obrigatória, ou seja, deve-se usar mais de uma forma de identificação, como senha e código por aplicativo, para acessos remotos, sistemas críticos e uso de nuvem. Essa medida tem sido adotada em todos os sistemas, como eproc, e-mail e sistemas internos como egesp, SEI, entre outros.
Também fixa a concessão de privilégios mínimos, ou seja, usuários acessarão apenas o estritamente necessário para suas funções. A medida busca evitar que falhas em contas individuais exponham todo o sistema.
A responsabilidade com senhas também é detalhada na normativa, que trata as credenciais como pessoais e intransferíveis. É a chamada “identificação inalienável”. Cada usuário responde legalmente por qualquer ação realizada com sua identificação (senha).
Além disso, trata do monitoramento físico em áreas críticas, como o Data Center e as salas de telecomunicações. Esses locais terão acesso rigorosamente restrito e monitorado.
Proteção de dados, uso de nuvem e penalidades
Em observância à Lei Geral de Proteção de Dados (LGPD), a normativa define que qualquer informação gerada e armazenada nos sistemas do Judiciário é patrimônio do Tribunal. Por outro lado, a norma reafirma que, embora o Judiciário tenha a custódia das informações, a titularidade dos dados pessoais pertence aos(às) cidadãos(ãs).
Para os serviços de nuvem oficiais contratados pelo Judiciário, a normativa exige que os dados sejam armazenados, preferencialmente, em território nacional, com criptografia de ponta e estratégias que permitam retirar as informações com segurança caso o contrato com o fornecedor seja encerrado.
A norma também estabelece regras de conduta física e digital, como a política de “mesa e tela limpas”, que exige que servidores bloqueiem seus computadores ao se ausentar e não deixem documentos sigilosos expostos.
O uso de redes Wi-Fi nas comarcas também foi segmentado entre a rede “Administrativa”, que é exclusiva para servidores autorizados, e a “Telejuris”, destinada aos visitantes e advogados com uso da conta Gov.br.
Além disso, a norma proíbe o uso de recursos de informática institucionais para fins pessoais ou para atividades que possam prejudicar a imagem da instituição.
O descumprimento das regras descritas na Instrução Normativa nº 17 poderá acarretar sanções administrativas, civis e penais aos usuários que as infringirem. Incidentes ou suspeitas de invasão devem ser reportados imediatamente à Equipe de Tratamento e Resposta a Incidentes (ETIR) do Tribunal para contenção de danos e investigação, conforme a normativa, que entrou em vigor na data de sua publicação.