Portaria Normativa DETRAN-SP nº 47,
Vistoria Veicular 100% digital, segura e auditável.

Art. 4º O procedimento de vistoria veicular deverá ser realizado em sistema tecnológico fornecido por empresas integradoras.

§ 1º O sistema tecnológico de que trata o caput deste artigo deverá ser operacionalizado por meio de dispositivo móvel, o qual deverá ser capaz de capturar, registrar e transmitir os dados e imagens georreferenciadas exigidos nesta Portaria Normativa, podendo comunicar-se com infraestrutura computacional remota para execução de funcionalidades complementares, inclusive as de validação, cruzamento de informações e aplicação de algoritmos.

§ 2º Nas etapas do processo de vistoria de identificação veicular e de estrutura e alteração veicular que não exijam validação on-line, será admitido, em caso de indisponibilidade momentânea de conectividade, o armazenamento temporário dos dados no dispositivo móvel utilizado, ficando a validação e o encerramento da vistoria condicionados à transmissão dos dados armazenados.

Art. 5º São etapas a serem observadas no procedimento de vistoria veicular:

I - verificação do local de vistoria veicular, que deverá:
a) estar previamente validado, mediante verificação de sua localização geográfica por Global Positioning System (GPS) e Internet Protocol (IP);
b) ser submetido a monitoramento contínuo durante toda a vistoria veicular, com interrupção imediata da atividade sempre que identificada qualquer irregularidade que comprometa a segurança ou a qualidade da vistoria;

II - verificação de identidade, compreendendo:
a) a confirmação da identidade do vistoriador e do cidadão responsável pelo veículo, por meio de coleta fotográfica com tecnologia liveness que permita a autenticação biométrica facial;
b) o registro e a validação do documento de identidade do cidadão responsável pelo veículo, por meio de coleta de imagem fotográfica;
c) o registro, em sistema auditável, dos dados de identificação do vistoriador e do cidadão responsável pelo veículo;

III - registro fotográfico de todos os ângulos do veículo, com transmissão das imagens para os sistemas informatizados do DETRAN-SP, mantendo-se a rastreabilidade e a integridade dos registros;

IV - filmagem do veículo;

V - registro fotográfico do número de identificação veicular (VIN), com aplicação de tecnologia de Reconhecimento Óptico de Caracteres (OCR) para leitura e validação automática dos caracteres, permitindo, em caso de falha na leitura, a correção manual assistida, hipótese em que o sistema deverá registrar o evento, identificá-lo como exceção e encaminhá-lo automaticamente para auditoria, com sinalização destacada da intervenção manual realizada;

VI - verificação de itens de segurança veicular e classificação do resultado, compreendendo:
a) a verificação e aprovação dos itens obrigatórios constantes do Anexo I desta Portaria Normativa, bem como das condições gerais do veículo;
b) a classificação do resultado da vistoria, nos seguintes termos:
1. aprovado: em conformidade com a legislação vigente;
2. aprovado com apontamento: em conformidade, com observações não impeditivas;
3. reprovado: com constatação de não conformidades impeditivas de identificação ou segurança veicular.

§ 1º As vistorias veiculares que incluem verificações e análises adicionais, inclusive aspectos estéticos ou de leitura e armazenamento dos módulos eletrônicos do veículo, poderão ser utilizadas para transferência de propriedade do veículo ao adquirente, desde que verificados os incisos deste artigo e itens obrigatórios previstos no Anexo I desta Portaria Normativa.

§ 2º As filmagens do veículo deverão:
I - ser realizadas em dois vídeos distintos, com registro em 360 graus, conforme especificações técnicas estabelecidas pelo DETRAN-SP;
II - iniciar da traseira ou da dianteira do veículo e terminar no mesmo ponto de partida, com pausa entre as voltas de, no máximo, 120 segundos, observando os seguintes critérios:

a) no primeiro vídeo, deverão ser capturadas imagens do veículo com todas as partes fechadas e vidros cerrados, registrando-se a volta completa em 360 graus, com movimentos horizontais e verticais, se necessário, abrangendo obrigatoriamente os seguintes itens:
1. para-brisa;
2. limpador de para-brisa em funcionamento;
3. para-choques dianteiro e traseiro;
4. placas;
5. todos os pneus, com os dianteiros esterçados, evidenciando a banda de rodagem e o indicador de desgaste da banda (Tread Wear Indicator – TWI);
6. sistema de sinalização e iluminação em funcionamento, com seus respectivos dispositivos;

b) no segundo vídeo, deverão ser capturadas imagens do veículo com portas, capô, porta-malas ou caçamba abertos, registrando-se os seguintes itens:
1. compartimento do motor com o veículo em funcionamento;
2. interior do veículo, incluindo bancos, vidros, espelhos retrovisores, funcionamento dos cintos de segurança e painel aceso;
3. compartimento de bagagem, porta-malas ou caçambas abertos;
4. estepe fora do veículo, evidenciando a banda de rodagem e o TWI;
5. equipamentos obrigatórios posicionados em seu local de origem.

§ 3º O sistema tecnológico deverá:
I - validar presença física do veículo por meio de visão computacional;
II - registrar, de forma auditável, toda e qualquer hipótese de interrupção do processo de vistoria, incluindo o motivo da paralisação e as etapas concluídas até aquele momento, garantindo a transparência e a rastreabilidade das ações;
III - gerar alerta imediato ao vistoriador, na hipótese de divergência entre a imagem do VIN e os dados cadastrais do veículo.

§ 4º Ficam dispensadas a confirmação, o registro e a validação da identidade do responsável pelo veículo nas vistorias de:
I - identificação veicular;
II - segurança veicular para:
a) entrada e saída de veículo usado no Registro Nacional de Veículos em Estoque (RENAVE);
b) liberação de veículo removido;
III - estrutura e alteração veicular.

§ 5º A verificação de itens de segurança prevista no inciso VI do caput deste artigo e a filmagem prevista no § 2º deste artigo somente serão exigidas na vistoria de segurança veicular.

§ 6º O DETRAN-SP poderá definir o tempo máximo para realização da vistoria veicular.

Art. 6º O DETRAN-SP poderá implementar regras sistêmicas de caráter impositivo, voltadas à prevenção e eliminação de condutas vedadas ou estatisticamente inviáveis no âmbito das vistorias veiculares, com fundamento em evidências técnicas, dados consolidados ou padrões de recorrência.

Parágrafo único. As regras sistêmicas de caráter impositivo poderão incluir, entre outras:
I - bloqueio automático de laudos por inconsistência técnica ou estatística;
II - geração de alertas para padrões de comportamento atípicos, com base em análise de dados históricos;
III - exigência de revisão obrigatória por auditoria manual em caso de recorrência de apontamentos.

Art. 7º Os sistemas tecnológicos utilizados pelas empresas vistoriadoras para a realização de vistoria veicular deverão dispor dos seguintes requisitos:

I - operacionais:
a) sistema tecnológico de vistoria veicular: o sistema deve permitir a realização de vistoria veicular completa, incluindo a verificação de todos os elementos de identificação veicular previstos na Resolução CONTRAN nº 941, de 2022;
b) captura de imagens estáticas e filmagem do processo de vistoria veicular: o sistema tecnológico deve permitir que todo o processo de vistoria veicular seja filmado em etapas e sem interrupções;
c) rastreabilidade das etapas da vistoria: o sistema tecnológico deve garantir a rastreabilidade de todas as etapas da vistoria veicular, desde o seu início até a emissão do laudo, com registros detalhados de cada ação executada;
d) validação automática: o sistema deve possuir recursos tecnológicos para verificar, de forma automatizada, a consistência dos dados de identificação veicular informados, conforme parâmetros estabelecidos pela Resolução CONTRAN nº 968, de 20 de junho de 2022;
e) coleta e validação biométrica facial com prova de vida da identidade do vistoriador e da pessoa responsável pelo veículo no momento da vistoria: o sistema tecnológico deve garantir que a identidade das pessoas envolvidas no processo seja validada por meio de biometria;

II - tecnológicos:
a) reconhecimento óptico de caracteres: o sistema tecnológico deve empregar tecnologia de reconhecimento óptico de caracteres para a validação automática dos itens de identificação veicular;
b) visão computacional: o sistema tecnológico deve utilizar tecnologia de visão computacional para identificar inconsistências visuais, como adulteração de chassis e outras superfícies veiculares;
c) algoritmo de aprendizagem: o sistema tecnológico deve utilizar tecnologia para realizar análise preditiva, identificando padrões históricos de irregularidades com base em grandes volumes de dados;
d) algoritmos de hash: o sistema tecnológico deve utilizar algoritmos de hash para garantir a integridade dos arquivos gerados pelo sistema;
e) georreferenciamento: o sistema tecnológico deve incorporar dados de tempo e coordenadas geográficas precisas, associadas ao perfil do vistoriador, para garantir a precisão e autenticidade no processo de vistoria;
f) bloqueio de adulteração de metadados: o sistema tecnológico deve ter mecanismos que impeçam a adulteração dos metadados de localização durante o processo de vistoria veicular;
g) detecção de anomalias no sistema eletrônico de bordo: os sistemas tecnológicos utilizados nas vistorias de identificação veicular deverão ser projetados com capacidade de evolução tecnológica (future proofing), permitindo, inclusive, a integração com as centrais eletrônicas dos veículos (ECUs), por meio de interfaces padronizadas;
h) sistema automatizado de conformidade: o sistema tecnológico deve possuir sistema de conformidade automatizado, baseado em tecnologia capaz de detectar discrepâncias nos laudos e identificar possíveis fraudes ou erros realizados pelo operador;

III - de Certificação:
a) certificação de segurança da informação ISO/IEC 27001;
b) certificação de Lei Geral de Proteção de Dados Pessoais ISO/IEC 27701;
c) certificação de computação em nuvem ISO/IEC 27017;
d) certificação de proteção de dados pessoais na nuvem ISO/IEC 27018;
e) certificação de qualidade e gestão ISO 9001;
f) certificação de gestão de serviços de TI ISO/IEC 20000-1;

IV - de Segurança:
a) criptografia de dados: todos os dados transmitidos e armazenados pelo sistema devem ser criptografados com algoritmos robustos, utilizando TLS 1.3 para comunicação segura, AES-256 para criptografia simétrica e SHA-256 para verificação de integridade, com gerenciamento de chaves por meio de um Sistema de Gestão de Chaves (KMS), assegurando controle de acesso, rotação periódica e auditoria das chaves utilizadas;
b) autenticação multifatorial: o sistema tecnológico deve implementar autenticação multifatorial para o acesso ao sistema, tanto para vistoriadores quanto para outros usuários autorizados, como auditores e administradores;
c) controle de acesso e permissões: o sistema tecnológico deverá:
1. implementar mecanismos de controle de acesso com base em perfis e papéis de usuários, garantindo que cada usuário ou serviço tenha acesso apenas às funcionalidades e dados estritamente necessários ao desempenho de suas atribuições, conforme o princípio do menor privilégio;
2. exigir autenticação biométrica, registro detalhado e imutável de todos os eventos de acesso e alteração de permissões, com logs auditáveis e integráveis a sistemas de monitoramento de segurança;
3. ser configuráveis, rastreáveis e sujeitas a revisões periódicas, incluindo trilhas de auditoria completas sobre quem concedeu, alterou ou revogou acessos;
d) integridade dos dados: o sistema tecnológico deve garantir a integridade dos dados utilizando algoritmos de hash para que qualquer modificação não autorizada nos registros seja detectada e o registro imutável de logs no processo;
e) monitoramento em tempo real: o sistema tecnológico deve ter monitoramento contínuo de suas atividades, com a capacidade de gerar alertas em tempo real em caso de tentativas de fraude ou outras atividades suspeitas;
f) segurança na transmissão de dados: a transmissão de dados entre o sistema tecnológico de vistoria e o sistema do DETRAN-SP deve ser realizada de forma segura, usando protocolos criptografados e validados.

§ 1º A validação das informações deverá ocorrer simultaneamente ao procedimento de vistoria veicular.

§ 2º Fica dispensada a coleta e validação biométrica da identidade da pessoa responsável pelo veículo, nas hipóteses de vistorias de identificação veicular e de estrutura e alteração veicular.

Seção I – Das Empresas Auditoras

Art. 8º As empresas integradoras deverão contratar empresas auditoras para controle de conformidade, risco e qualidade de todas as vistorias de identificação veicular realizadas.

§ 1º As empresas auditoras deverão enviar os resultados de suas auditorias ao DETRAN-SP.

§ 2º A prestação dos serviços pelas empresas auditoras incluirá, obrigatoriamente:
I - a análise sistemática dos laudos de vistoria emitidos, com cruzamentos de dados e validações automatizadas junto aos bancos de dados oficiais e integrados;
II - a identificação de inconsistências, padrões atípicos ou recorrências estatisticamente relevantes que indiquem possíveis falhas ou fraudes;
III - a avaliação de risco de cada vistoria realizada, por meio de critérios objetivos, permitindo a classificação de vistorias por grau de confiabilidade.

§ 3º As auditorias deverão ser realizadas de forma sistêmica, com base nos dados transmitidos eletronicamente pelas empresas integradoras.

§ 4º Será permitido o uso de operadores humanos na execução das auditorias, desde que as atividades realizadas atendam integralmente aos limites temporais estabelecidos no § 1º do art. 10 desta Portaria Normativa.

Art. 9º As empresas auditoras deverão estar credenciadas pelo DETRAN-SP nos termos da Portaria Normativa DETRAN-SP nº 25, de 2024, e dispor das seguintes certificações:

I - certificação de segurança da informação ISO/IEC 27001;
II - certificação de Lei Geral de Proteção de Dados Pessoais ISO/IEC 27701;
III - certificação de computação em nuvem ISO/IEC 27017;
IV - certificação de proteção de dados pessoais na nuvem ISO/IEC 27018;
V - certificação de qualidade e gestão ISO 9001;
VI - certificação de gestão de serviços de TI ISO/IEC 20000-1.

Art. 10. A empresa auditora deverá registrar em tempo real, no sistema informatizado do DETRAN-SP, a informação de que o laudo de vistoria veicular foi submetido à auditoria, assegurando a rastreabilidade e a integridade do processo de verificação.

§ 1º Na hipótese de impossibilidade de registro em tempo real, deverá ser respeitados os seguintes prazos, contados a partir do recebimento dos dados pela empresa integradora:
I - em até cinco minutos, no mínimo em 90% dos registros realizados;
II - em até dez minutos, no máximo em 7% dos registros realizados;
III - em até quinze minutos, no máximo em 3% dos registros realizados.

§ 2º Na hipótese de reprovação do laudo de vistoria em virtude de apontamento de desconformidade ou qualidade da empresa auditora, a empresa integradora e a empresa vistoriadora serão notificadas pelo DETRAN-SP para apresentar, no prazo de cinco dias, manifestação.

Art. 11. Os resultados das auditorias serão consolidados em relatórios trimestrais e encaminhados ao DETRAN-SP, contendo, no mínimo:

I - o número total de laudos auditados;
II - as não conformidades detectadas e as medidas corretivas recomendadas.

Seção II – Do Controle de Conformidade, Qualidade e Risco

Subseção I – Do Controle de Conformidade

Art. 12. O controle de conformidade tem por finalidade verificar se a vistoria veicular foi realizada de acordo com os requisitos operacionais, tecnológicos e de segurança estabelecidos nesta Portaria Normativa.

§ 1º A verificação de conformidade será realizada pelas empresas auditoras, mediante análise cruzada dos dados coletados durante a vistoria veicular e os registros constantes nos sistemas e subsistemas informatizados do DETRAN-SP.

§ 2º No controle de conformidade, deverão ser avaliados, no mínimo, a:
I - correta execução das etapas da vistoria veicular, incluindo registros fotográficos, filmagens e validações exigidas;
II - verificação da identidade do vistoriador e do cidadão responsável pelo veículo, quando aplicável, por meio de autenticação biométrica;
III - compatibilidade entre os dados coletados e as informações do veículo constantes nos sistemas e subsistemas do DETRAN-SP;
IV - integridade, autenticidade e rastreabilidade dos arquivos gerados, com validação dos metadados e da trilha de auditoria.

Subseção II – Do Controle de Qualidade

Art. 13. O controle de qualidade tem por finalidade verificar a precisão, completude, clareza e consistência técnica das informações coletadas no momento do procedimento de vistoria veicular.

§ 1º A verificação da qualidade será realizada pelas empresas auditoras, mediante análise dos registros fotográficos, filmagens, dados estruturados e demais evidências geradas durante o procedimento de vistoria veicular.

§ 2º No controle de qualidade, deverão ser avaliados, no mínimo, a:
I - qualidade das imagens fotográficas e vídeos, considerando nitidez, enquadramento, ângulo, iluminação, ausência de obstruções e respeito às especificações técnicas estabelecidas pelo DETRAN-SP;
II - completude dos registros visuais e textuais exigidos para cada etapa do procedimento de vistoria veicular;
III - coerência entre os elementos registrados e os dados constantes nos sistemas e subsistemas do DETRAN-SP;
IV - consistência entre a sequência lógica do procedimento executado e os padrões operacionais esperados, com verificação de eventuais omissões, sobreposições ou interrupções não justificadas;
V - correta utilização dos recursos tecnológicos obrigatórios.

Subseção III – Do Controle de Risco

Art. 14. O controle de risco tem por finalidade identificar, classificar e mitigar os riscos associados à realização das vistorias de identificação veicular, com base nos resultados do controle de conformidade e de qualidade.

§ 1º O risco será aferido por meio de metodologia baseada em critérios objetivos, utilizando-se análise estatística, cruzamento de dados, padrões de recorrência e histórico de conformidade e qualidade da empresa vistoriadora.

§ 2º As empresas auditoras deverão classificar cada vistoria veicular auditada em níveis de risco, considerando, no mínimo, a:
I - gravidade e a natureza das inconformidades detectadas;
II - frequência de ocorrência de falhas técnicas ou operacionais por parte da empresa vistoriadora;
III - existência de inconsistências que comprometam a rastreabilidade, a integridade ou a autenticidade das informações registradas;
IV - reincidência de problemas de qualidade, como imagens inválidas, registros incompletos ou uso inadequado do sistema tecnológico;
V - histórico da empresa vistoriadora e da empresa integradora quanto à regularidade e à correção das vistorias de identificação veicular realizadas.

§ 3º O resultado do controle de risco poderá ensejar a adoção, por parte do DETRAN-SP, das seguintes medidas:
I - emissão de alerta preventivo às empresas vistoriadoras e às empresas integradoras;
II - determinação de realização de nova vistoria veicular;
III - suspensão cautelar das empresas vistoriadoras e das empresas integradoras;
IV - instauração de processo administrativo sancionador contra a empresa vistoriadora e a empresa integradora.

Seção I – Do Controlador

Art. 15. O DETRAN-SP é o controlador dos dados provenientes da vistoria veicular realizada pelas empresas vistoriadoras e transmitidos por meio dos sistemas tecnológicos das empresas integradoras.

Parágrafo único. Os dados a que se refere o caput deste artigo serão armazenados nos sistemas do DETRAN-SP.

Seção II – Dos Usuários Finais

Art. 16. As empresas integradoras e as empresas auditoras serão consideradas Usuários Finais, conforme previsto na Portaria Normativa DETRAN-SP nº 40, de 26 de março de 2025, devendo acessar os dados relacionados à vistoria veicular, exclusivamente para o desempenho das atividades previstas nesta Portaria Normativa.

§ 1º O acesso aos dados será realizado por meio de credenciais individualizadas, com registro de logs de acesso e uso.

§ 2º É vedado o uso ou compartilhamento dos dados acessados e produzidos pelas empresas integradoras e auditoras para qualquer finalidade distinta das atividades previstas nesta Portaria Normativa.

Seção III – Do Armazenamento dos Dados Produzidos

Art. 17. As empresas integradoras e as empresas auditoras poderão armazenar, pelo prazo máximo de seis meses, os dados produzidos em razão da vistoria veicular, exclusivamente em ambiente tecnológico sob sua administração direta, devidamente homologado pelo DETRAN-SP.

Parágrafo único. As empresas integradoras e as empresas auditoras não poderão utilizar, compartilhar, ceder ou tratar os dados armazenados para qualquer finalidade que não esteja estritamente vinculada à execução das atividades previstas nesta Portaria Normativa, sob pena de responsabilização administrativa, civil e penal, nos termos da legislação aplicável.

Seção I – Dos Valores Relativos às Vistorias Veiculares

Art. 18. Ficam definidos, em Unidade Fiscal do Estado de São Paulo (UFESP), os seguintes valores de contratação pelos serviços de vistoria veicular, de vistoria de segurança veicular e de vistoria de estrutura e alteração veicular:

I - 2,750 (dois inteiros e setecentos e cinquenta milésimos) UFESP pela Vistoria de Identificação Veicular;
II - 5,500 (cinco inteiros e quinhentos milésimos) UFESP pela Vistoria de Segurança Veicular;
III - 3,850 (três inteiros e oitocentos e cinquenta milésimos) UFESP pela Vistoria de Estrutura e Alteração Veicular.

Art. 19. O DETRAN-SP implementará, nos termos do art. 13 da Portaria Normativa DETRAN-SP nº 25, de 2024, meios específicos de pagamento dos valores de contratação, procedendo ao repasse proporcional às empresas vistoriadoras, integradoras e auditoras, na seguinte conformidade:

I - à empresa vistoriadora:
a) 1,925 (um inteiro e novecentos e vinte e cinco milésimos) UFESP pela Vistoria de Identificação Veicular;
b) 3,850 (três inteiros e oitocentos e cinquenta milésimos) UFESP pela Vistoria de Segurança Veicular;
c) 2,695 (dois inteiros e seiscentos e noventa e cinco milésimos) UFESP pela Vistoria de Estrutura e Alteração Veicular;

II - à empresa integradora:
a) 0,275 (duzentos e setenta e cinco milésimos) UFESP pela integração dos dados de Vistoria de Identificação Veicular aos sistemas do DETRAN-SP;
b) 0,550 (quinhentos e cinquenta milésimos) UFESP pela integração dos dados de Vistoria de Segurança Veicular aos sistemas do DETRAN-SP;
c) 0,385 (trezentos e oitenta e cinco milésimos) UFESP pela integração dos dados de Vistoria de Estrutura e Alteração Veicular aos sistemas do DETRAN-SP;

III - à empresa auditora:
a) 0,412 (quatrocentos e doze milésimos) UFESP pela auditoria da Vistoria de Identificação Veicular;
b) 0,825 (oitocentos e vinte e cinco milésimos) UFESP pela auditoria da Vistoria de Segurança Veicular;
c) 0,577 (quinhentos e setenta e sete milésimos) UFESP pela auditoria da Vistoria de Estrutura e Alteração Veicular.

Art. 20. A empresa vistoriadora fica autorizada, na hipótese de vistoria móvel, a cobrar pelo deslocamento do vistoriador.

Art. 21. Nos casos de reprovação da vistoria veicular exclusivamente por itens previstos no Anexo I desta Portaria Normativa, poderá ser realizada nova vistoria, no prazo de até 15 (quinze) dias corridos contados da data da reprovação, sem necessidade de novo pagamento, desde que sanadas as não conformidades apontadas.

Parágrafo único. O disposto no caput deste artigo não se aplica quando a reprovação envolver sinais identificadores do veículo:
I - número de chassi;
II - número de motor;
III - plaqueta de identificação;
IV - etiquetas autocolantes ou marcações nos vidros.

Seção II – Do Preço Público

Art. 22. Fica instituído, com fundamento no artigo 48 da Lei estadual nº 15.266, de 26 de dezembro de 2013, preço público pelo desenvolvimento, recepção, tratamento e armazenamento de dados e informações eletrônicas pelo DETRAN-SP relativos à vistoria veicular.

Parágrafo único. O preço público instituído nos termos do caput deste artigo fica fixado em:
a) 0,138 (cento e trinta e oito milésimos) UFESP pelo desenvolvimento, recepção, tratamento e armazenamento de dados e informações eletrônicas de vistoria de Identificação Veicular;
b) 0,275 (duzentos e setenta e cinco milésimos) UFESP pelo desenvolvimento, recepção, tratamento e armazenamento de dados e informações eletrônicas de vistoria de Segurança Veicular;
c) 0,193 (cento e noventa e três milésimos) UFESP pelo desenvolvimento, recepção, tratamento e armazenamento de dados e informações eletrônicas de vistoria de Estrutura e Alteração Veicular.

Art. 23. A Diretoria de Tecnologia da Informação homologará o sistema tecnológico da empresa integradora e da empresa auditora, conforme Plano de Validação Técnica para Homologação constante nos Anexos II e III desta Portaria Normativa.

Art. 24. As empresas integradoras e as empresas auditoras deverão manter apólice de seguro de responsabilidade civil vigente com cobertura mínima de dois milhões de reais.

Art. 25. A empresa vistoriadora, a empresa integradora e a empresa auditora responderão pelos danos decorrentes de falhas nos serviços prestados, inclusive aqueles relacionados à integridade, autenticidade, disponibilidade ou confidencialidade dos dados de vistoria veicular, sem prejuízo das demais sanções administrativas, civis e penais cabíveis.

Art. 26. A recusa de acionamento do seguro de responsabilidade civil, quando exigido pelo DETRAN-SP ou verificada a ocorrência do sinistro, acarretará na suspensão cautelar da empresa, sem prejuízo das demais sanções administrativas, civis e penais aplicáveis.

Art. 27. Não serão credenciadas empresas integradoras ou auditoras cujos sócios ou administradores possuam, direta ou indiretamente, participação societária, vínculo contratual ou relação comercial ativa com atividades que possam comprometer a imparcialidade na execução dos serviços credenciados ou homologados.

Parágrafo único. Para os fins deste artigo, consideram-se atividades que possam comprometer a imparcialidade na execução dos serviços:
I - vistoria veicular;
II - remarcação de motores ou chassi;
III - comercialização, reapropriação, recuperação, indenização, revenda ou leilão de veículos;
IV - serviços de remoção, depósito ou guarda de veículos; e
V - comercialização de informações veiculares.

Art. 28. As empresas integradoras credenciadas no DETRAN-SP terão prazo de 180 (cento e oitenta) dias para a obtenção das certificações exigidas por esta Portaria Normativa.

Art. 29. As empresas vistoriadoras, integradoras e auditoras credenciadas no DETRAN-SP na data de publicação desta Portaria Normativa deverão adequar-se integralmente às suas disposições no prazo de até 90 (noventa) dias, contado da data de sua entrada em vigor.

Art. 30. Esta Portaria Normativa entra em vigor em 1º de janeiro de 2026.

Art. 30. Esta Portaria Normativa entra em vigor em 1º de fevereiro de 2026.

[Redação dada pela Portaria Normativa Detran-SP nº 48, de 30 de dezembro de 2025.]

EDUARDO AGGIO DE SÁ
Presidente

ANEXO I – ITENS DE SEGURANÇA OBRIGATÓRIOS NA VISTORIA VEICULAR

Art. Único. Nos termos da Resolução CONTRAN nº 993, de 15 de junho de 2023, os seguintes itens de segurança deverão ser verificados e classificados no sistema informatizado do DETRAN-SP:

CATEGORIA – ITEM DE SEGURANÇA

Chassi – Chapa suporte da numeração, numeração identificadora, etiquetas de identificação (VIS), gravação nos vidros, plaqueta/etiqueta confirmativa.
Motores – Base da gravação da numeração, numeração identificadora.
Placa – Existência, numeração, cor, placa dianteira e traseira.
Plaqueta do Ano de Fabricação – Plaqueta/etiqueta indicativa do ano de fabricação.
CRV/CRLV – Autenticidade via QR Code, informações gerais do documento.
Câmbio – Numeração identificadora.
Carroceria – Numeração identificadora.
Eixo – Numeração identificadora.

Itens de Segurança e Equipamentos Obrigatórios
Buzina
Cinto de segurança para árvore de transmissão
Cinto de segurança
Chave de fenda ou ferramenta
Chave de roda
Escapamento
Triângulo de segurança
Encosto de cabeça assentos dianteiros
Encosto de cabeça assentos traseiros
Espelho retrovisor lado direito
Espelho retrovisor lado esquerdo
Espelho retrovisor interno
Extintor de incêndio (se exigido por legislação vigente)
Faróis principais dianteiros
Freios de estacionamento e de serviço
Lanternas de freio
Lanterna de iluminação da placa traseira
Lanternas de posição traseiras
Lanterna de marcha à ré
Lanternas delimitadoras e lanternas laterais
Lanternas indicadoras de direção dianteiras
Lanternas indicadoras de direção traseiras
Lavador de para-brisa
Limpador de para-brisa
Luzes de posição dianteiras (faroletes)
Macaco compatível com o peso do veículo
Para-sol
Para-choque dianteiro
Para-choque traseiro
Pneus em condições de uso
Protetores das rodas traseiras
Tacógrafo (quando exigido por legislação)
Retro-refletores (catadióptrico) traseiros
Roda sobressalente (estepe)
Velocímetro
Para-brisa
Vidros de segurança
Ancoragem de sistema de retenção infantil (Isofix/Latch)
Sistema de retenção da cadeira de rodas e seu usuário
Lanterna de freio elevada (3ª luz de freio)
Retrorrefletor dianteiro, não triangular
Retrorrefletor lateral, não triangular
Faixa/Dispositivo/Película retrorrefletiva
Dispositivo de proteção anti-intrusão traseira
Protetor lateral
Janelas de emergência
Saídas de emergência
Alerta sonoro de marcha à ré
Sistema antispray
Indicador de direção lateral
Lanternas intermitentes de advertência
Sistema de travamento do capô
Luz de rodagem diurna (DRL)
Dispositivo de proteção para pernas e motores
Dispositivo aparador de linha, fixado no guidão do veículo

---

ANEXO II – PLANO DE VALIDAÇÃO TÉCNICA PARA HOMOLOGAÇÃO DAS EMPRESAS INTEGRADORAS DE VISTORIA VEICULAR

ITEM – DESCRIÇÃO – ATENDE? S/N – OBSERVAÇÕES DO AVALIADOR

1. Captura de Evidências
1.1. Captura de fotografias obrigatórias dos itens definidos pelo DETRAN-SP.
1.2. Captura de dois (2) vídeos em 360∘ (mínimo 30 segundos cada, contínuo, sem cortes) com hash SHA-256 na captura.
1.3. Registro obrigatório de metadados (GPS, IP, data/hora, hash) em todas as mídias.
1.4. Validação automática de qualidade da mídia (foco, iluminação, enquadramento).
1.5. É vedado o upload manual ou utilização de arquivos externos.

2. Georreferenciamento
2.1. Todas as mídias devem conter georreferenciamento automático (GPS + IP) capturado no ato da coleta.
2.2.1. Bloquear alterações manuais dos dados de localização.
2.2.2. Garantir precisão mínima de 30 metros para o GPS e bloquear automaticamente a vistoria se fora do raio máximo de 30 metros do endereço aprovado.
2.2.3. Registrar justificativa obrigatória em casos de ausência de sinal.
2.2.4. Detectar e bloquear tentativas de uso de aplicativos de simulação de GPS.
2.2.5. Vincular georreferenciamento ao laudo, permitindo visualização em mapa pelo portal do DETRAN-SP.
2.3. Para ambientes internos ou sem sinal GPS, o sistema deve registrar: última posição válida com timestamp, endereço IP da rede utilizada e justificativa categorizada.

3.1. OCR do VIN
3.1.1. Realizar captura automática do VIN a partir de imagem (chassi, plaqueta ou etiqueta).
3.1.2. O OCR deve ter nível de acurácia mínimo ≥95%.
3.1.3. Validação do dígito verificador do VIN.
3.1.4. Três tentativas de OCR antes da aceitação de exceção.
3.1.5. Em caso de falha/baixa confiabilidade do OCR, permitir fallback de digitação assistida com validação de base (BIN) e obrigatoriedade de justificativa. O sistema deve destacar os dígitos de maior incerteza para validação humana. Todo fallback deve ser logado (data, hora, identificação do vistoriador).
3.1.6. Encaminhamento automático de exceções à auditoria com bloqueio da emissão do laudo até decisão. O processo deve ser transparente, com rastreabilidade em banco de dados e hash criptográfico das imagens enviadas.

3.2. Visão Computacional para Detecção de Adulterações
3.2.1. Utilizar algoritmos de computer vision para identificar marcas de lixamento/solda no chassi, deslocamento/colagem de etiquetas e indícios de adulteração em gravuras nos vidros.
3.2.2. Classificação automática da detecção suspeita como: Alerta leve (requer verificação humana) ou Alerta crítico (bloqueio automático do laudo).
3.2.3. Imagens originais e processadas (bounding boxes) devem ser armazenadas e vinculadas ao laudo.

3.3. Machine Learning (IA) Antifraude
3.3.1. Aplicar algoritmos de IA para detectar fraudes (reutilização de mídias, VIN duplicado) e erros operacionais (fotos repetidas, baixa iluminação).
3.3.2. Existência de mecanismo de treinamento contínuo (machine learning supervisionado) com base em casos confirmados de fraude/anomalia.
3.3.3. Os modelos de IA devem ter logs auditáveis com métricas de precisão, recall e falsos positivos.

3.4. Regras Sistêmicas Impositivas
3.4.1. Bloqueio automático da emissão do laudo em cenários críticos: VIN diferente do cadastro, suspeita crítica de adulteração e tentativa de fraude detectada pela IA.
3.4.2. O bloqueio deve ser imediato, impedindo que o vistoriador prossiga manualmente.
3.4.3. O caso deve ser encaminhado automaticamente para auditoria do DETRAN.

3.5. Arquitetura para Evolução Futura (ECUs/OBD-II)
3.5.1. Arquitetura modular e escalável, permitindo integração posterior com ECU/OBD-II.
3.5.2. Preparado para coletar parâmetros do veículo (Quilometragem, DTCs, Estado de sensores críticos).
3.5.3. Permitir geração de alertas automáticos em caso de inconsistências entre a leitura da ECU e os dados visuais capturados.

4. Biometria
4.1. Validação biométrica facial com liveness do vistoriador: Início (liberação) e Final (confirmação) da vistoria.
4.2. Validação biométrica facial com liveness da pessoa responsável pelo veículo, quando presente, associada a documento oficial.
4.3. O laudo deve conter: Nome completo do vistoriador, Foto e template biométrico, Resultado de liveness, Data/hora e georreferenciamento da captura.
4.4. É vedada a reutilização de biometria ou o uso de arquivos externos.
4.4.1. O sistema de liveness deve detectar e rejeitar tentativas de fraude por imagens estáticas, vídeos gravados previamente e máscaras físicas ou digitais (deepfakes, morphing facial).
4.4.2. Mecanismo de liveness deve combinar duas camadas de detecção: passiva (análise de textura, profundidade, reflexos) e ativa (movimento espontâneo: piscar, virar, pronunciar).
4.4.3. Limiares mínimos de aceitação: score de similaridade ≥0,95, taxa máxima de falsos positivos ≤0,1%, taxa máxima de falsos negativos ≤2%.
4.4.4. Cada validação deve gerar registro com: fotografia original, template biométrico, resultado de liveness, score, data/hora/georreferenciamento e hash SHA-256 da evidência.
4.4.5. Prazo mínimo de guarda dos registros de validação biométrica será de 6 meses.
4.4.6. A identidade do vistoriador deve ser vinculada ao laudo através de: Evidência fotográfica (foto no local/hora) e Evidência biométrica (resultado do liveness).
4.4.7. O laudo deve conter metadados que permitam a rastreabilidade: Data/hora/geolocalização, Identificação única do vistoriador e Hash criptográfico das evidências.
4.5. Regras Sistêmicas Impositivas: Bloqueio automático do laudo quando: Não houver a biometria do vistoriador, houver inconsistência/falha no liveness, ou Não houver vinculação da biometria do responsável (quando presente).

5. Integração com o DETRAN-SP
5.1. Integração obrigatória com SISCSV/SERPRO/Senatran.
5.2. Integração obrigatória com PRODESP/DETRAN-SP.
5.3. Integração obrigatória com a camada em nuvem gerida pela PRODESP em ambiente certificado.
5.4. Comunicação com Auditoras – As integradoras não terão comunicação direta com empresas auditoras.

5.5. Segurança, Autenticação e Autorização
5.5.1. Autenticação das requisições via OAuth 2.0, fluxo Client Credentials, obtendo um token JWT de validade limitada.
5.5.2. Requisições de criação ou modificação de dados (POST, PUT, PATCH) devem ter seu payload assinado digitalmente (JWS com algoritmo RS256 ou superior).
5.5.3. A assinatura digital não se aplica aos arquivos binários, cuja integridade é garantida pelo hash SHA-256.
5.5.4. Comunicação com os endpoints protegida obrigatoriamente por criptografia em trânsito (TLS 1.3 com PFS).

6. Etapas do Fluxo de Submissão de Laudo
6.1. Etapa 1: Iniciação e Envio de Metadados (Requisição POST para /api/v1/laudos). O payload (JSON, < 1 MB) deve conter exclusivamente os metadados (dados do veículo, vistoriador, resultados da biometria).
6.2. Etapa 2: Upload Direto das Mídias para repositório em nuvem usando URLs Pré-Assinadas (Pre-Signed URLs). O processo não passa pelos servidores da API principal do DETRAN-SP.
6.3. Etapa 3: Confirmação e Processamento (Commit) (Requisição POST final para /api/v1/laudos/{laudo_id}/commit). O resultado final (aprovado, reprovado, em análise) é comunicado via Webhook.

6.4. Padrões de Desenvolvimento, Resiliência e Desempenho
6.4.1. Operações de submissão de laudos devem ser idempotentes, enviando cabeçalho HTTP Idempotency-Key para evitar duplos registros por falhas de rede.
6.4.2. Tratamento de erros seguindo o padrão definido pela RFC 7807 (Problem Details for HTTP APIs).
6.4.3. Para operações de processamento intensivo, o DETRAN-SP pode adotar fluxo assíncrono. A API deve retornar status 202 Accepted com um ID de transação.
6.4.4. A integradora deve manter um endpoint seguro para receber notificações do DETRAN-SP, sendo obrigatória a comunicação de resultados assíncronos via Webhooks.

7. Segurança da Informação
7.1. Criptografia em trânsito: TLS 1.3 com Perfect Forward Secrecy (PFS). Uso de SSL/TLS obsoleto (<1.2), sem PFS, não é aceitável.
7.2. Criptografia em repouso: AES-256.
7.3. Hashing: cada mídia deve ter hash SHA-256 calculado no momento da captura.
7.4. Gestão de chaves: chaves criptográficas geridas por KMS ou HSM, com rotação periódica obrigatória.
7.5. Autenticação multifator (MFA) para acesso administrativo e auditoria.
7.6. Controle de acessos baseado em papéis (RBAC) com registros imutáveis de alterações.
7.7. Logs imutáveis (WORM) de todas as operações (captura, upload, consulta, auditoria), com retenção mínima de 5 anos.
7.8. Proteções de infraestrutura: WAF, IDS/IPS e defesa DDoS.
7.9. Pentest anual independente e varreduras trimestrais de vulnerabilidades (SAST/DAST), com entrega dos relatórios ao DETRAN-SP.

8. Certificações (Obrigatórias)
8.1. ISO/IEC 27001 (Sistema de Gestão de Segurança da Informação - ISMS).
8.2. ISO/IEC 27701 (Extensão de privacidade - PIMS).
8.3. ISO/IEC 27017 (Controles e orientações de segurança específicos para computação em nuvem).
8.4. ISO/IEC 27018 Proteção de PII em nuvens públicas atuando como operadoras (processors) — salvaguardas e práticas recomendadas.
8.5. ISO 9001 (Sistema de Gestão da Qualidade).
8.6. ISO/IEC 20000-1 (Sistema de Gestão de Serviços de TI - ITSM).

9. Infraestrutura e Continuidade
9.1. Disponibilidade mensal ≥99,5%.
9.2. RTO ≤30 minutos e RPO ≤15 minutos.
9.3. Hospedagem em datacenter no Brasil (Tier III/IV) ou nuvem certificada (ISO 27018/27001, SOC 2).
9.4. Monitoramento 24x7.
9.5. Testes semestrais de continuidade, com relatórios entregues ao DETRAN-SP.

10. LGPD e Gestão de Dados
10.1. O DETRAN-SP será o Controlador dos dados; as integradoras atuarão como Operadoras.
10.2. É vedado o reuso dos dados para finalidades diversas.
10.3. Prazo de guarda: seis meses para laudos e evidências.
10.4. É obrigatório o Relatório de Impacto (RIPD) para tratamento de biometria e IA antifraude.

---

ANEXO III – PLANO DE VALIDAÇÃO TÉCNICA PARA HOMOLOGAÇÃO DAS EMPRESAS AUDITORAS DE VISTORIA VEICULAR

ITEM – DESCRIÇÃO DA ATIVIDADE DE AUDITORIA (DE-PARA) – ATENDE? S/N – OBSERVAÇÕES DO AVALIADOR

1. Recepção e Análise de Evidências
1.1. Validação da presença e integridade das fotografias obrigatórias recebidas no pacote JSON.
1.2. Validação da integridade dos vídeos 360º e recálculo do Hash SHA-256 para confronto com metadados.
1.3. Verificação da existência e consistência dos metadados (GPS, IP, Data/Hora) em todas as mídias.
1.4. Validação automática secundária da qualidade da mídia (detecção de escuro/desfocado) para aprovação.
1.5. Detecção de anomalias nos metadados que indiquem upload manual ou edição externa de arquivos.

2. Georreferenciamento
2.1. Validação espacial das coordenadas recebidas em confronto com o local registrado na coleta das mídias.
2.2. Detecção de coordenadas estáticas ou inseridas manualmente nos metadados.
2.3. Aplicação de regra de bloqueio (Geofence) para coordenadas fora do raio de 30 metros.
2.4. Verificação da presença de justificativa formal nos casos sinalizados como "sem sinal".
2.5. Aplicação de heurísticas para detecção de uso de simuladores de GPS (Fake GPS).
2.6. Disponibilização das coordenadas validadas para visualização em mapa no parecer de auditoria.
2.7. Validação da consistência dos dados de triangulação (IP/WiFi) para vistorias em ambientes internos ou sem sinal de GPS.

3. Validação de OCR do VIN
3.1.1. Execução de contraprova de OCR (Reconhecimento Óptico) sobre as imagens de chassi/placa.
3.1.2. Verificação se o índice de acurácia do OCR atende aos requisitos mínimos para aprovação automática.
3.1.3. Em caso de exceção verificar se realmente teve falha na captura do OCR.
3.1.4. Encaminhamento para validação humana obrigatória nos casos de fallback (digitação assistida) da Integradora.

3.2. Visão Computacional para Detecção de Adulterações
3.2.1. Aplicação de Visão Computacional para identificar profundidade das mídias coletadas (Contraprova).
3.2.2. Aplicação de Visão Computacional para identificar cor do veículo (Contraprova).
3.2.3. Geração e armazenamento de evidência de auditoria com bounding boxes sobre as áreas suspeitas.

3.3. Aprendizado de máquina e Antifraude
3.3.1. Manutenção de banco de dados de fraudes para treinamento contínuo dos modelos de auditoria.
3.3.2. Registro auditável das métricas de precisão (score) do modelo utilizado na auditoria.

4. Biometria
4.1. Validação do token biométrico do vistoriador.
4.2. Validação do token biométrico do responsável.
4.3. Verificação da presença de metadados biométricos completos no pacote recebido.

5. Integração com o DETRAN-SP
5.1. Integração obrigatória com as APIS fornecidas em ambientes certificados disponibilizados pelo Detran.

6. Fluxo de Processamento de Auditoria
6.1. Recepção e validação estrutural dos metadados.
6.2. Análise da integridade das mídias.
6.3. Conclusão da análise e parecer para emissão do laudo. Em até cinco minutos, no mínimo em 90% dos registros realizados. Em até dez minutos, no máximo em 7% dos registros realizados. Em até quinze minutos, no máximo em 3% dos registros realizados.

6.4. Padrões de Desenvolvimento, Resiliência e Desempenho
6.4.1. Implementação de Idempotência no processamento para evitar duplicidade de pacotes.

7. Segurança da Informação
7.1. Criptografia em trânsito: TLS 1.3 com Perfect Forward Secrecy (PFS). Uso de SSL/TLS obsoleto (<1.2), sem PFS, não é aceitável.
7.2. Criptografia em repouso: AES-256.
7.3. Hashing: cada mídia deve ter hash SHA-256 calculado no momento da captura.
7.4. Gestão de chaves: chaves criptográficas geridas por KMS ou HSM, com rotação periódica obrigatória.
7.5. Logs imutáveis (WORM) de todas as operações (captura, upload, consulta, auditoria), com retenção mínima 6 meses.
7.6. Proteções de infraestrutura: WAF, IDS/IPS e defesa DDoS.
7.7. Pentest anual independente e varreduras trimestrais de vulnerabilidades (SAST/DAST), com entrega dos relatórios ao DETRAN-SP.

8. Certificações (Obrigatórias)
8.1. ISO/IEC 27001 (Sistema de Gestão de Segurança da Informação - ISMS).
8.2. ISO/IEC 27701 (Extensão de privacidade - PIMS).
8.3. ISO/IEC 27017 (Controles e orientações de segurança específicos para computação em nuvem).
8.4. ISO/IEC 27018 Proteção de PII em nuvens públicas atuando como operadoras (processors) — salvaguardas e práticas recomendadas.
8.5. ISO 9001 (Sistema de Gestão da Qualidade).
8.6. ISO/IEC 20000-1 (Sistema de Gestão de Serviços de TI - ITSM).

9. Infraestrutura e Continuidade
9.1. Disponibilidade mensal ≥99,5%.
9.2. RTO ≤30 minutos e RPO ≤15 minutos.
9.3. Hospedagem em datacenter no Brasil (Tier III/IV) ou nuvem certificada (ISO 27018/27001, SOC 2).
9.4. Monitoramento 24x7.
9.5. Testes semestrais de continuidade, com relatórios entregues ao DETRAN-SP.

10. LGPD e Gestão de Dados
10.1. O DETRAN-SP será o Controlador dos dados; as integradoras atuarão como Operadoras.
10.2. É vedado o reuso dos dados para finalidades diversas.
10.3. Prazo de guarda: seis meses para laudos e evidências.
10.4. É obrigatório o Relatório de Impacto (RIPD) para tratamento de biometria e antifraude.