Cadeia de Custódia (CoC)

1) Propósito e escopo

Definir princípios, procedimentos e registros para manter a integridade, a proveniência e a rastreabilidade de materiais e dados probatórios, do ato de coleta até o relato final — incluindo evidências físicas e digitais (ou híbridas em ambiente operacional e em nuvem/SaaS).

2) Princípios orientadores

  1. Identificação única: cada item recebe ID inequívoco (código, QR, UUID) vinculado ao caso e ao coletor.
  2. Integridade verificável: lacres invioláveis (físico) e hashes/assinaturas (digital).
  3. Rastreabilidade completa: “quem, quando, onde e como” em cada transferência e manuseio.
  4. Mínima intervenção: preservar o estado original; quando intervir, justificar e registrar.
  5. Segregação de funções e revisão técnica: reduzir vieses e falhas operacionais.
  6. Transparência de limitações: declarar lacunas, riscos e mitigadores.

3) Termos e definições operacionais

  • Item de custódia: amostra, mídia, arquivo, imagem forense, exportação autenticada, registro de log, etc.
  • Evento de custódia: coleta, acondicionamento, lacração, transferência, recebimento, abertura, análise, descarte/devolução.
  • Custodiantes: pessoas/unidades responsáveis pela guarda.
  • Selagem: aplicação de lacre com ID e assinatura; contrasselo em reabertura justificada.
  • Hash: assinatura criptográfica (preferir SHA-256); registrar algoritmo, ferramenta e versão.

4) Planejamento da custódia (antes da coleta)

  • Matriz quesito → fonte → método → embalagem/lacre → registro.
  • Formulários preparados (numerados): CoC, etiquetas, recibos de transferência, RMA (retorno/devolução).
  • Meios e recipientes: compatíveis com a matriz (temperatura, umidade, ESD, anti-UV, blindagem).
  • Rotas e prazos: definição de cadeia logística e contingências.
  • Ambiente digital: chaves, tokens, permissões mínimas, NTP/offset e trilhas de audit log.

5) Coleta e selagem (físico)

  1. Identificar item/local; fotografar/registrar contexto.
  2. Acondicionar em recipiente adequado (rotulado com ID, data/hora, coletor).
  3. Lacrar com lacre numerado e assinar o ponto de selagem; registrar no formulário CoC.
  4. Condições ambientais: anotar temperatura/umidade quando relevante.
  5. Controles: amostras em branco/controle, quando aplicável.

6) Coleta preservadora (digital)

  • Aquisição física (bit a bit) com write blocker quando possível; alternativa: aquisição lógica ou exportação autenticada (API) em nuvem/SaaS com audit logs.
  • Hash do alvo e da imagem/export calculados e anotados; registrar ferramenta e versão.
  • Sincronização temporal: NTP ativo; registrar fuso/offset do coletor e do alvo.
  • Dicionário de campos para exportações (nomes, tipos, semântica, limitações).
  • Volatilidade: coletas ao vivo (RAM/processos) justificadas com registro imediato de parâmetros e hash do dump.

7) Transferência e recebimento

  • Recibo de transferência: item(s), IDs, lacres, hash(es), data/hora, origem e destino, assinaturas (ou assinatura digital).
  • Condições de transporte: temperatura, impacto, blindagem; foto do estado do lacre no envio/recebimento.
  • Não conformidades: lacre violado, embalagem danificada ou divergência de hash → abrir incidente, quarentena do item e registrar ações.

8) Armazenamento e acesso

  • Zonas segregadas (controle de acesso, CCTV, logs de sala/cofre).
  • Inventário periódico e rehash para mídias digitais críticas (detecção de bit rot).
  • Criptografia em repouso (chaves sob KMS/gestão formal).
  • Regra de acesso: necessidade comprovada e registro nominativo de quem acessou o quê/quando.

9) Abertura, análise e contrasselo

  • Autorização formal com motivo técnico; registrar abertura do lacre (foto, assinatura, data/hora).
  • Amostragem/subamostragem: plano documentado (proveniência e reconciliação).
  • Contrasselo ao finalizar; atualizar CoC, anexando novos IDs/lacres e hashes gerados.

10) Documentos e artefatos da CoC

  • Formulário CoC (id, origem, coletor, datas/horas, lacres, hashes, transferências, aberturas/fechamentos, incidentes).
  • Recibos de transferência (com assinaturas).
  • Fotos de selagem/estado.
  • Logs (sala/cofre; sistemas; audit logs em nuvem).
  • Tabela de versões (ferramentas de coleta/análise, scripts, firmware; hash do executável).
  • Dossiê de ambiente (NTP, fuso, políticas de retenção, chaves/tokens usados).

11) Incidentes e tratamento de não conformidades

  • Classificação: integridade, identificação, documentação, ambiente.
  • Ação imediata: congelar manipulação, isolar item, preservar evidências do incidente.
  • Análise de causa e remediação (ex.: reaquisição, ajustes de SOP).
  • Rastreabilidade do incidente no laudo (efeito sobre conclusões e limitações).

12) Particularidades em nuvem/SaaS

  • Escopo mínimo necessário nas exportações; registrar tenant, região, políticas de retenção e versões de esquema.
  • Proveniência: URL/ID do recurso, carimbos temporais do provedor, assinaturas do export quando disponíveis.
  • Confiabilidade: anexar audit logs e metadados de sistema; declarar lacunas (E2E, logs suprimidos, janelas vencidas).

13) Qualidade e auditoria

  • Revisão técnica independente dos registros de CoC em casos críticos.
  • Auditorias internas periódicas (amostras rastreadas ponta-a-ponta).
  • Ensaios de proficiência/testes cegos em procedimentos de custódia (quando aplicável).
  • Treinamento e qualificação dos operadores (registros atualizados).

14) Comunicação no laudo (estrutura sugerida)

  1. Escopo e quesitos relevantes à CoC.
  2. Inventário de itens (IDs, lacres, hashes, mídias/embalagens).
  3. Linha do tempo de custódia (coleta → transferências → aberturas → análises → contrasselos → armazenamento).
  4. Ambiente e ferramentas (versões, NTP/offset, tabelas de versões e hashes).
  5. Incidentes e mitigações (efeito sobre integridade e conclusões).
  6. Limitações (lacunas de retenção, criptografia, impossibilidades).
  7. Anexos: formulários, recibos, fotos, logs, dicionário de campos, tabela de versões.

15) Checklists operacionais

Antes da coleta

  • Formulários/etiquetas/lacres prontos e numerados.
  • Plano de embalagem e transporte definido.
  • Ambiente digital com NTP, permissões mínimas e audit logs habilitados.

Durante a coleta

  • ID único e fotografia do item/local.
  • Lacre aplicado e assinado; hash calculado (digital).
  • Registro completo de data/hora, coletor, ferramenta/versão e parâmetros.

Transferência/recebimento

  • Recibo com IDs, lacres, hash(es) e assinaturas.
  • Verificação do estado do lacre; foto no recebimento.
  • Registro de condições de transporte.

Armazenamento/análise

  • Controle de acesso ativo; inventário atualizado.
  • Aberturas autorizadas e justificadas; contrasselo ao final.
  • Rehash/verificação após cópias e antes do relatório.

Encerramento

  • Devolução/descarte documentados (política aplicável).
  • Consolidação de anexos (CoC, recibos, fotos, logs, versões/hashes).

16) Indicadores de qualidade

  • % de itens com CoC completa e sem lacunas temporais.
  • % de transferências com recibo e foto de lacre no envio/recebimento.
  • % de imagens/exports com hash verificado (origem ↔ destino).
  • Tempo médio de detecção e tratamento de não conformidades.
  • % de operadores com treinamento válido em CoC.

17) Materiais de apoio

  • Modelo de Formulário CoC (físico e digital).
  • Recibo de transferência (físico e digital).
  • Roteiro de coleta digital (imagem/exports, hashes, NTP/offset).
  • Matriz de rastreabilidade (item → evento → custodiantes → evidências).
  • Template de incidente e fluxograma de tratamento.

18) Relações com outros eixos

  • Rastreabilidade: documentação ponta-a-ponta e proveniência.
  • Validação: desempenho e limites de métodos/ferramentas de coleta.
  • Evidência Digital: hashing, NTP/offset, dicionário de campos, exportações autenticadas.
  • Comunicação: relato claro de eventos/limitações e anexos reprodutíveis.
  • Quantificação: quando números dependem da integridade dos dados de base.

Aviso final de escopo
Esta página descreve critérios técnico-metodológicos de cadeia de custódia para preservar integridade e rastreabilidade de evidências. Não interpreta normas para casos concretos e não constitui consultoria jurídica.

Declaração editorial
Conteúdo técnico-científico no âmbito das ciências forenses e das normas técnicas; não constitui consultoria jurídica, parecer legal ou recomendação profissional.