Portaria Normativa Detran-SP nº 47, de 27 de novembro de 2025

Data da publicação: 28/11/2025

Dispõe sobre a vistoria veicular e os requisitos operacionais, tecnológicos, de certificação e de segurança dos sistemas utilizados pelas empresas vistoriadoras no âmbito do Estado de São Paulo.

O PRESIDENTE DO DEPARTAMENTO ESTADUAL DE TRÂNSITO, no uso das das competências e atribuições do artigo 5º, e do inciso I, do artigo 43, do Decreto estadual nº 69.053, de 14 de novembro de 2024, alterado pelo Decreto estadual nº 69.759, de 31 de julho de 2025, e considerando os artigos 22, 120, 121 e 128 da Lei federal nº 9.503, de 23 de setembro de 1997, a Resolução CONTRAN nº 941, de 28 de março de 2022, a Resolução CONTRAN nº 993, de 15 de junho de 2023, e o contido no processo nº 140.00712856/2025-01,

RESOLVE:

CAPÍTULO I

DAS DISPOSIÇÕES INICIAIS

Art. 1º Esta Portaria Normativa dispõe sobre a vistoria veicular e os requisitos operacionais, tecnológicos, de certificação e de segurança dos sistemas utilizados pelas empresas vistoriadoras no âmbito do Estado de São Paulo.

Art. 2º Para os fins desta Portaria Normativa, considera-se:

1. – empresa vistoriadora: pessoa jurídica de direito público ou privado habilitada pelo Departamento Estadual de Trânsito (DETRAN-SP) para o exercício da atividade de vistoria veicular, nos termos da Resolução CONTRAN nº 941, de 28 de março de 2022;
2. – empresa integradora: pessoa jurídica de direito público ou privado credenciada no DETRAN-SP para o fornecimento de sistema tecnológico para integração de dados de vistoria veicular aos sistemas informatizados da autarquia;
3. – empresa auditora: pessoa jurídica de direito público ou privado credenciada pelo DETRAN-SP para a realização de atividades de controle de qualidade e verificação da conformidade dos procedimentos de vistoria veicular, nos termos da regulamentação vigente;
4. – Vistoria de:

a. Identificação Veicular: procedimento destinado à conferência dos elementos identificadores do veículo, como número de chassi, motores, plaquetas, etiquetas autocolantes, marcação de vidros, características externas e outros sinais de identificação, com o objetivo de verificar a autenticidade, originalidade e integridade desses elementos e sua correspondência com os registros constantes nas bases de dados do órgão executivo de trânsito e da administração pública, sendo exigida nas seguintes hipóteses:

1. preparação para leilão, nos termos do art. 7º, § 1º, da Resolução CONTRAN nº 623, de 6 de setembro de 2016;
2. transferência de propriedade para seguradora, nos termos do art. 14, §§ 6º e 7º, da Resolução CONTRAN nº 810, de 15 de dezembro de 2020;
3. consolidação da propriedade pelo credor, nos termos do art. 3º, § 1º, e art. 8º-B do Decreto-Lei federal nº 911, de 1º de outubro de 1969;
4. emissão de laudo fotográfico para baixa do registro do veículo, nos termos do art. 3º, § 3º, da Resolução CONTRAN nº 967, de 17 de maio de 2022, e Portaria Normativa DETRAN-SP nº 35, de 8 de novembro de 2024;

b) Segurança Veicular: procedimento técnico que tem por finalidade avaliar as
condições de segurança do veículo, com foco nos equipamentos obrigatórios e demais
componentes essenciais à segurança veicular, sendo exigida nas seguintes hipóteses:

1. transferência de propriedade ou de domicilio intermunicipal ou interestadual do
   proprietário do veículo, nos termos do art. 2º da Resolução CONTRAN nº 941, de 28 de março de
   2022;
2. regularização de veículo com placas alfanuméricas de duas letras, nos termos do Ofício Circular n° 772/2017/CGIE/DENATRAN/SE;
3. entrada e saída de veículo usado no Registro Nacional de Veículos em Estoque (RENAVE), nos termos do art. 3º, inciso III, da Resolução CONTRAN nº 941, de 2022, e Portaria Normativa DETRAN-SP nº 32, de 12 de agosto de 2024;
4. liberação de veículo removido, nos termos do art. 271, § 2º, da Lei federal nº 9.503, de 1997;
5. regularização de veículo com placas alfanuméricas de duas letras, nos termos do
   Ofício Circular n° 772/2017/CGIE/DENATRAN/SE;
6. registro de veículos de fabricação artesanal, nos termos do art. 7º da Resolução CONTRAN nº 699, de 10 de outubro de 2017;
7. registro de ciclomotor que não possua Certificado de Adequação à Legislação de Trânsito (CAT), nos termos do art. 14, inciso II, da Resolução CONTRAN nº 996, de 15 de junho de 2023;
8. correção de dados na Base de Índice Nacional (BIN), nos termos do Anexo I da Resolução CONTRAN nº 916, de 28 de março de 2022;
9. emissão de laudo para modificações permitidas em veículos zero km, nos casos sem previsão de Certificado de Segurança Veicular (CSV), nos termos do Anexo V da Resolução CONTRAN nº 916, de 2022;

c. Estrutura e Alteração Veicular: realizada na classificação de veículos com danos de pequena, média ou grande monta, exigida na hipótese de emissão de laudo de classificação de danos, nos termos do art. 2º da Resolução CONTRAN nº 810, de 15 de dezembro de 2020;

Art. 3º Os sistemas utilizados pelas empresas vistoriadoras deverão ser auditáveis e atender aos requisitos operacionais, tecnológicos, de certificação e de segurança estabelecidos nesta Portaria Normativa.

CAPÍTULO II

DO PROCEDIMENTO DE VISTORIA VEICULAR

Art. 4º O procedimento de vistoria veicular deverá ser realizado em sistema tecnológico fornecido por empresas integradoras.

§ 1º O sistema tecnológico de que trata o caput deste artigo deverá ser operacionalizado por meio de dispositivo móvel, o qual deverá ser capaz de capturar, registrar e transmitir os dados e imagens georreferenciadas exigidos nesta Portaria Normativa, podendo comunicar-se com infraestrutura computacional remota para execução de funcionalidades complementares, inclusive as de validação, cruzamento de informações e aplicação de algoritmos.

§ 2º Nas etapas do processo de vistoria de identificação veicular e de estrutura e alteração veicular que não exijam validação on-line, será admitido, em caso de indisponibilidade momentânea de conectividade, o armazenamento temporário dos dados no dispositivo móvel utilizado, ficando a validação e o encerramento da vistoria condicionados à transmissão dos dados armazenados.

Art. 5º São etapas a serem observadas no procedimento de vistoria veicular:

I – verificação do local de vistoria veicular, que deverá:

1. estar previamente validado, mediante verificação de sua localização geográfica por Global Positioning System (GPS) e Internet Protocol (IP);
2. ser submetido a monitoramento contínuo durante toda a vistoria veicular, com interrupção imediata da atividade sempre que identificada qualquer irregularidade que comprometa a segurança ou a qualidade da vistoria;

II – verificação de identidade, compreendendo:

a. a confirmação da identidade do vistoriador e do cidadão responsável pelo veículo, por meio de coleta fotográfica com tecnologia liveness que permita a autenticação biométrica facial;

b. o registro e a validação do documento de identidade do cidadão responsável pelo veículo, por meio de coleta de imagem fotográfica;

c. o registro, em sistema auditável, dos dados de identificação do vistoriador e do cidadão responsável pelo veículo;

III – registro fotográfico de todos os ângulos do veículo, com transmissão das imagens para os sistemas informatizados do DETRAN-SP, mantendo-se a rastreabilidade e a integridade dos registros;

IV – filmagem do veículo;

V – registro fotográfico do número de identificação veicular (VIN), com aplicação de tecnologia de Reconhecimento Óptico de Caracteres (OCR) para leitura e validação automática dos caracteres, permitindo, em caso de falha na leitura, a correção manual assistida, hipótese em que o sistema deverá registrar o evento, identificá-lo como exceção e encaminhá-lo automaticamente para auditoria, com sinalização destacada da intervenção manual realizada;

VI – verificação de itens de segurança veicular e classificação do resultado, compreendendo:

a. a verificação e aprovação dos itens obrigatórios constantes do Anexo I desta Portaria Normativa, bem como das condições gerais do veículo;

b. a classificação do resultado da vistoria, nos seguintes termos:

1. aprovado: em conformidade com a legislação vigente;

2. aprovado com apontamento: em conformidade, com observações não impeditivas;

3. reprovado: com constatação de não conformidades impeditivas de identificação ou segurança veicular.

§ 1º As vistorias veiculares que incluem verificações e análises adicionais, inclusive aspectos estéticos ou de leitura e armazenamento dos módulos eletrônicos do veículo, poderão ser utilizadas para transferência de propriedade do veículo ao adquirente, desde que verificados os incisos deste artigo e itens obrigatórios previstos no Anexo I desta Portaria Normativa.

§2º As filmagens do veículo deverão:

1. – ser realizadas em dois vídeos distintos, com registro em 360 graus, conforme especificações técnicas estabelecidas pelo DETRAN-SP;
2. – iniciar da traseira ou da dianteira do veículo e terminar no mesmo ponto de partida, com pausa entre as voltas de, no máximo, 120 segundos observando os seguintes critérios:

a. no primeiro vídeo, deverão ser capturadas imagens do veículo com todas as partes fechadas e vidros cerrados, registrando-se a volta completa em 360 graus, com movimentos horizontais e verticais, se necessário, abrangendo obrigatoriamente os seguintes itens:

1. para-brisa;
2. limpador de para-brisa em funcionamento;
3. para-choques dianteiro e traseiro;
4. placas;
5. todos os pneus, com os dianteiros esterçados, evidenciando a banda de rodagem e o indicador de desgaste da banda (Tread Wear Indicator – TWI);
6. sistema de sinalização e iluminação em funcionamento, com seus respectivos dispositivos;

b. no segundo vídeo, deverão ser capturadas imagens do veículo com portas, capô, porta-malas ou caçamba abertos, registrando-se os seguintes itens:

1. compartimento do motor com o veículo em funcionamento;
2. interior do veículo, incluindo bancos, vidros, espelhos retrovisores, funcionamento dos cintos de segurança e painel aceso;
3. compartimento de bagagem, porta-malas ou caçambas abertos;
4. estepe fora do veículo, evidenciando a banda de rodagem e o TWI;
5. equipamentos obrigatórios posicionados em seu local de origem.

§ 3º O sistema tecnológico deverá:

1. – validar presença física do veículo por meio de visão computacional;
2. – registrar, de forma auditável, toda e qualquer hipótese de interrupção do processo de vistoria, incluindo o motivo da paralisação e as etapas concluídas até aquele momento, garantindo a transparência e a rastreabilidade das ações;
3. – gerar alerta imediato ao vistoriador, na hipótese de divergência entre a imagem do VIN e os dados cadastrais do veículo.

§ 4º Ficam dispensadas a confirmação, o registro e a validação da identidade do responsável pelo veículo nas vistorias de:

I – identificação veicular;

II – segurança veicular para:

a. entrada e saída de veículo usado no Registro Nacional de Veículos em Estoque (RENAVE);

b. liberação de veículo removido;

III – estrutura e alteração veicular.

§ 5º A verificação de itens de segurança prevista no inciso VI do caput deste artigo e a filmagem prevista no § 2º deste artigo somente serão exigidas na vistoria de segurança veicular.

§ 6º O DETRAN-SP poderá definir o tempo máximo para realização da vistoria veicular. Art. 6º O DETRAN-SP poderá implementar regras sistêmicas de caráter impositivo, voltadas à prevenção e eliminação de condutas vedadas ou estatisticamente inviáveis no âmbito das vistorias veiculares, com fundamento em evidências técnicas, dados consolidados ou padrões de recorrência.

Parágrafo único. As regras sistêmicas de caráter impositivo poderão incluir, entre outras:

1. – bloqueio automático de laudos por inconsistência técnica ou estatística;
2. – geração de alertas para padrões de comportamento atípicos, com base em análise de dados históricos;
3. – exigência de revisão obrigatória por auditoria manual em caso de recorrência de apontamentos.

CAPÍTULO III

DOS REQUISITOS OPERACIONAIS, TECNOLÓGICOS, DE CERTIFICAÇÃO E DE SEGURANÇA

Art. 7º Os sistemas tecnológicos utilizados pelas empresas vistoriadoras para a realização de vistoria veicular deverão dispor dos seguintes requisitos:

1. – operacionais:

a. sistema tecnológico de vistoria veicular: o sistema deve permitir a realização de vistoria veicular completa, incluindo a verificação de todos os elementos de identificação veicular previstos na Resolução CONTRAN nº 941, de 2022;

b. captura de imagens estáticas e filmagem do processo de vistoria veicular: o sistema tecnológico deve permitir que todo o processo de vistoria veicular seja filmado em etapas e sem interrupções;

c. rastreabilidade das etapas da vistoria: o sistema tecnológico deve garantir a rastreabilidade de todas as etapas da vistoria veicular, desde o seu início até a emissão do laudo, com registros detalhados de cada ação executada;

d. validação automática: o sistema deve possuir recursos tecnológicos para verificar, de forma automatizada, a consistência dos dados de identificação veicular informados, conforme parâmetros estabelecidos pela Resolução CONTRAN nº 968, de 20 de junho de 2022;

e. coleta e validação biométrica facial com prova de vida da identidade do vistoriador e da pessoa responsável pelo veículo no momento da vistoria: o sistema tecnológico deve garantir que a identidade das pessoas envolvidas no processo seja validada por meio de biometria;

II – tecnológicos:

a. reconhecimento óptico de caracteres: o sistema tecnológico deve empregar tecnologia de reconhecimento óptico de caracteres para a validação automática dos itens de identificação veicular;

b. visão computacional: o sistema tecnológico deve utilizar tecnologia de visão computacional para identificar inconsistências visuais, como adulteração de chassis e outras superfícies veiculares;

c. algoritmo de aprendizagem: o sistema tecnológico deve utilizar tecnologia para realizar análise preditiva, identificando padrões históricos de irregularidades com base em grandes volumes de dados;

d. algoritmos de hash: o sistema tecnológico deve utilizar algoritmos de hash para garantir a integridade dos arquivos gerados pelo sistema;

e. georreferenciamento: o sistema tecnológico deve incorporar dados de tempo e coordenadas geográficas precisas, associadas ao perfil do vistoriador, para garantir a precisão e autenticidade no processo de vistoria;

f. bloqueio de adulteração de metadados: o sistema tecnológico deve ter mecanismos que impeçam a adulteração dos metadados de localização durante o processo de vistoria veicular;

g. detecção de anomalias no sistema eletrônico de bordo: os sistemas tecnológicos utilizados nas vistorias de identificação veicular deverão ser projetados com capacidade de evolução tecnológica (future proofing), permitindo, inclusive, a integração com as centrais eletrônicas dos veículos (ECUs), por meio de interfaces padronizadas;

h. sistema automatizado de conformidade: o sistema tecnológico deve possuir sistema de conformidade automatizado, baseado em tecnologia capaz de detectar discrepâncias nos laudos e identificar possíveis fraudes ou erros realizados pelo operador;

III – de Certificação:

a. certificação de segurança da informação ISO/IEC 27001;

b. certificação de Lei Geral de Proteção de Dados Pessoais ISO/IEC 27701;

c. certificação de computação em nuvem ISO/IEC 27017;

d. certificação de proteção de dados pessoais na nuvem ISO/IEC 27018;

e. certificação de qualidade e gestão ISO 9001;

d. certificação de gestão de serviços de TI ISO/IEC 20000-1;

IV – de Segurança:

a. criptografia de dados: todos os dados transmitidos e armazenados pelo sistema devem ser criptografados com algoritmos robustos, utilizando TLS 1.3 para comunicação segura, AES-256 para criptografia simétrica e SHA-256 para verificação de integridade, com gerenciamento de chaves por meio de um Sistema de Gestão de Chaves (KMS), assegurando controle de acesso, rotação periódica e auditoria das chaves utilizadas;

b. autenticação multifatorial: o sistema tecnológico deve implementar autenticação multifatorial para o acesso ao sistema, tanto para vistoriadores quanto para outros usuários autorizados, como auditores e administradores;

c. controle de acesso e permissões: o sistema tecnológico deverá:

1. implementar mecanismos de controle de acesso com base em perfis e papéis de usuários, garantindo que cada usuário ou serviço tenha acesso apenas às funcionalidades e dados estritamente necessários ao desempenho de suas atribuições, conforme o princípio do menor privilégio;
2. exigir autenticação biométrica, registro detalhado e imutável de todos os eventos de acesso e alteração de permissões, com logs auditáveis e integráveis a sistemas de monitoramento de segurança;
3. ser configuráveis, rastreáveis e sujeitas a revisões periódicas, incluindo trilhas de auditoria completas sobre quem concedeu, alterou ou revogou acessos;

d. integridade dos dados: o sistema tecnológico deve garantir a integridade dos dados utilizando algoritmos de hash para que qualquer modificação não autorizada nos registros seja detectada e o registro imutável de logs no processo;

e. monitoramento em tempo real: o sistema tecnológico deve ter monitoramento contínuo de suas atividades, com a capacidade de gerar alertas em tempo real em caso de tentativas de fraude ou outras atividades suspeitas;

f. segurança na transmissão de dados: a transmissão de dados entre o sistema tecnológico de vistoria e o sistema do DETRAN-SP deve ser realizada de forma segura, usando protocolos criptografados e validados.

§ 1º A validação das informações deverá ocorrer simultaneamente ao procedimento de vistoria veicular.

§ 2º Fica dispensada a coleta e validação biométrica da identidade da pessoa responsável pelo veículo, nas hipóteses de vistorias de identificação veicular e de estrutura e alteração veicular.

CAPÍTULO IV

DAS EMPRESAS AUDITORAS

Seção I
Das Empresas Auditoras

Art. 8º As empresas integradoras deverão contratar empresas auditoras para controle de conformidade, risco e qualidade de todas as vistorias de identificação veicular realizadas.

§ 1º As empresas auditoras deverão enviar os resultados de suas auditorias ao DETRAN-SP.

§ 2º A prestação dos serviços pelas empresas auditoras incluirá, obrigatoriamente:

I – a análise sistemática dos laudos de vistoria emitidos, com cruzamentos de dados e validações automatizadas junto aos bancos de dados oficiais e integrados;

II – a identificação de inconsistências, padrões atípicos ou recorrências estatisticamente relevantes que indiquem possíveis falhas ou fraudes;

III – a avaliação de risco de cada vistoria realizada, por meio de critérios objetivos, permitindo a classificação de vistorias por grau de confiabilidade.

§ 3º As auditorias deverão ser realizadas de forma sistêmica, com base nos dados transmitidos eletronicamente pelas empresas integradoras.

§ 4º Será permitido o uso de operadores humanos na execução das auditorias, desde que as atividades realizadas atendam integralmente aos limites temporais estabelecidos no § 1º do art. 10 desta Portaria Normativa.

Art. 9º. As empresas auditoras deverão estar credenciadas pelo DETRAN-SP nos termos da Portaria Normativa DETRAN-SP nº 25, de 2024, e dispor das seguintes certificações:

1. – certificação de segurança da informação ISO/IEC 27001;
2. – certificação de Lei Geral de Proteção de Dados Pessoais ISO/IEC 27701;
3. – certificação de computação em nuvem ISO/IEC 27017;
4. – certificação de proteção de dados pessoais na nuvem ISO/IEC 27018;
5. – certificação de qualidade e gestão ISO 9001;
6. – certificação de gestão de serviços de TI ISO/IEC 20000-1.

Art. 10. A empresa auditora deverá registrar em tempo real, no sistema informatizado do DETRAN-SP, a informação de que o laudo de vistoria veicular foi submetido à auditoria, assegurando a rastreabilidade e a integridade do processo de verificação.

§ 1º Na hipótese de impossibilidade de registro em tempo real, deverá ser respeitados os seguintes prazos, contados a partir do recebimento dos dados pela empresa integradora:

1. – em até cinco minutos, no mínimo em 90% dos registros realizados;
2. – em até dez minutos, no máximo em 7% dos registros realizados;
3. – em até quinze minutos, no máximo em 3% dos registros realizados.

§ 2º Na hipótese de reprovação do laudo de vistoria em virtude de apontamento de desconformidade ou qualidade da empresa auditora, a empresa integradora e a empresa vistoriadora serão notificadas pelo DETRAN-SP para apresentar, no prazo de cinco dias, manifestação.

Art. 11. Os resultados das auditorias serão consolidados em relatórios trimestrais e encaminhados ao DETRAN-SP, contendo, no mínimo:

1. – o número total de laudos auditados;
2. – as não conformidades detectadas e as medidas corretivas recomendadas.

Seção II
Do Controle de Conformidade, Qualidade e Risco
Subseção I
Do Controle de Conformidade

Art. 12. O controle de conformidade tem por finalidade verificar se a vistoria veicular foi realizada de acordo com os requisitos operacionais, tecnológicos e de segurança estabelecidos nesta Portaria Normativa.

§ 1º A verificação de conformidade será realizada pelas empresas auditoras, mediante análise cruzada dos dados coletados durante a vistoria veicular e os registros constantes nos sistemas e subsistemas informatizados do DETRAN-SP.

§ 2º No controle de conformidade, deverão ser avaliados, no mínimo, a:

1. – correta execução das etapas da vistoria veicular, incluindo registros fotográficos, filmagens e validações exigidas;
2. – verificação da identidade do vistoriador e do cidadão responsável pelo veículo, quando aplicável, por meio de autenticação biométrica;
3. – compatibilidade entre os dados coletados e as informações do veículo constantes nos sistemas e subsistemas do DETRAN-SP;
4. – integridade, autenticidade e rastreabilidade dos arquivos gerados, com validação dos metadados e da trilha de auditoria.

Subseção II
Do Controle de Qualidade

Art. 13. O controle de qualidade tem por finalidade verificar a precisão, completude, clareza e consistência técnica das informações coletadas no momento do procedimento de vistoria veicular.

§ 1º A verificação da qualidade será realizada pelas empresas auditoras, mediante análise dos registros fotográficos, filmagens, dados estruturados e demais evidências geradas durante o procedimento de vistoria veicular.

§ 2º No controle de qualidade, deverão ser avaliados, no mínimo, a:

1. – qualidade das imagens fotográficas e vídeos, considerando nitidez, enquadramento, ângulo, iluminação, ausência de obstruções e respeito às especificações técnicas estabelecidas pelo DETRAN-SP;
2. – completude dos registros visuais e textuais exigidos para cada etapa do procedimento de vistoria veicular;
3. – coerência entre os elementos registrados e os dados constantes nos sistemas e subsistemas do DETRAN-SP;
4. – consistência entre a sequência lógica do procedimento executado e os padrões operacionais esperados, com verificação de eventuais omissões, sobreposições ou interrupções não justificadas;
5. – correta utilização dos recursos tecnológicos obrigatórios.

Subseção III
Do Controle de Risco

Art. 14. O controle de risco tem por finalidade identificar, classificar e mitigar os riscos associados à realização das vistorias de identificação veicular, com base nos resultados do controle de conformidade e de qualidade.

§ 1º O risco será aferido por meio de metodologia baseada em critérios objetivos, utilizando-se análise estatística, cruzamento de dados, padrões de recorrência e histórico de conformidade e qualidade da empresa vistoriadora.

§ 2º As empresas auditoras deverão classificar cada vistoria veicular auditada em níveis de risco, considerando, no mínimo, a:

1. – gravidade e a natureza das inconformidades detectadas;
2. – frequência de ocorrência de falhas técnicas ou operacionais por parte da empresa vistoriadora;
3. – existência de inconsistências que comprometam a rastreabilidade, a integridade ou a autenticidade das informações registradas;
4. – reincidência de problemas de qualidade, como imagens inválidas, registros incompletos ou uso inadequado do sistema tecnológico;
5. – histórico da empresa vistoriadora e da empresa integradora quanto à regularidade e à correção das vistorias de identificação veicular realizadas.

§ 3º O resultado do controle de risco poderá ensejar a adoção, por parte do DETRAN- SP, das seguintes medidas:

1. – emissão de alerta preventivo às empresas vistoriadoras e às empresas integradoras;
2. – determinação de realização de nova vistoria veicular;
3. – suspensão cautelar das empresas vistoriadoras e das empresas integradoras;
4. – instauração de processo administrativo sancionador contra a empresa vistoriadora e a empresa integradora.

CAPÍTULO V

DOS DADOS E INFORMAÇÕES DAS VISTORIAS DE IDENTIFICAÇÃO VEICULAR

Seção I
Do Controlador

Art. 15. O DETRAN-SP é o controlador dos dados provenientes da vistoria veicular realizada pelas empresas vistoriadoras e transmitidos por meio dos sistemas tecnológicos das empresas integradoras.

Parágrafo único. Os dados a que se refere o caput deste artigo serão armazenados nos sistemas do DETRAN-SP.

Seção II
Dos Usuários Finais

Art. 16. As empresas integradoras e as empresas auditoras serão consideradas Usuários Finais, conforme previsto na Portaria Normativa DETRAN-SP nº 40, de 26 de março de 2025, devendo acessar os dados relacionados à vistoria veicular, exclusivamente para o desempenho das atividades previstas nesta Portaria Normativa.

§ 1º O acesso aos dados será realizado por meio de credenciais individualizadas, com registro de logs de acesso e uso.

§ 2º É vedado o uso ou compartilhamento dos dados acessados e produzidos pelas empresas integradoras e auditoras para qualquer finalidade distinta das atividades previstas nesta Portaria Normativa.

Seção III
Do Armazenamento dos Dados Produzidos

Art. 17. As empresas integradoras e as empresas auditoras poderão armazenar, pelo prazo máximo de seis meses, os dados produzidos em razão da vistoria veicular, exclusivamente em ambiente tecnológico sob sua administração direta, devidamente homologado pelo DETRAN- SP.

Parágrafo único. As empresas integradoras e as empresas auditoras não poderão utilizar, compartilhar, ceder ou tratar os dados armazenados para qualquer finalidade que não esteja estritamente vinculada à execução das atividades previstas nesta Portaria Normativa, sob pena de responsabilização administrativa, civil e penal, nos termos da legislação aplicável.

CAPÍTULO VI

DOS VALORES RELATIVOS ÀS VISTORIAS VEICULARES E DO PREÇO PÚBLICO

Seção I
Dos Valores Relativos às Vistorias Veiculares

Art. 18. Ficam definidos, em Unidade Fiscal do Estado de São Paulo (UFESP), os seguintes valores de contratação pelos serviços de vistoria veicular, de vistoria de segurança veicular e de vistoria de estrutura e alteração veicular:

1. – 2,750 (dois inteiros e setecentos e cinquenta milésimos) UFESP pela Vistoria de Identificação Veicular;
2. – 5,500 (cinco inteiros e quinhentos milésimos) UFESP pela Vistoria de Segurança Veicular;
3. – 3,850 (três inteiros e oitocentos e cinquenta milésimos) UFESP pela Vistoria de Estrutura e Alteração Veicular.

Art. 19. O DETRAN-SP implementará, nos termos do art. 13 da Portaria Normativa DETRAN-SP nº 25, de 2024, meios específicos de pagamento dos valores de contratação, procedendo ao repasse proporcional às empresas vistoriadoras, integradoras e auditoras, na seguinte conformidade:

I – à empresa vistoriadora:

a. 1,925 (um inteiro e novecentos e vinte e cinco milésimos) UFESP pela Vistoria de Identificação Veicular;

b. 3,850 (três inteiros e oitocentos e cinquenta milésimos) UFESP pela Vistoria de Segurança Veicular;

c. 2,695 (dois inteiros e seiscentos e noventa e cinco milésimos) UFESP pela Vistoria de Estrutura e Alteração Veicular;

II – à empresa integradora:

a. 0,275 (duzentos e setenta e cinco milésimos) UFESP pela integração dos dados de Vistoria de Identificação Veicular aos sistemas do DETRAN-SP;

b. 0,550 (quinhentos e cinquenta milésimos) UFESP pela integração dos dados de Vistoria de Segurança Veicular aos sistemas do DETRAN-SP;

c. 0,385 (trezentos e oitenta e cinco milésimos) UFESP pela integração dos dados de Vistoria de Estrutura e Alteração Veicular aos sistemas do DETRAN-SP;

III – à empresa auditora:

a. 0,412 (quatrocentos e doze milésimos) UFESP pela auditoria da Vistoria de Identificação Veicular;

b. 0,825 (oitocentos e vinte e cinco milésimos) UFESP pela auditoria da Vistoria de Segurança Veicular;

c. 0,577 (quinhentos e setenta e sete milésimos) UFESP pela auditoria da Vistoria de Estrutura e Alteração Veicular.

Art. 20. A empresa vistoriadora fica autorizada, na hipótese de vistoria móvel, a cobrar pelo deslocamento do vistoriador.

Art. 21. Nos casos de reprovação da vistoria veicular exclusivamente por itens previstos no Anexo I desta Portaria Normativa, poderá ser realizada nova vistoria, no prazo de até 15 (quinze) dias corridos contados da data da reprovação, sem necessidade de novo pagamento, desde que sanadas as não conformidades apontadas.

Parágrafo único. O disposto no caput deste artigo não se aplica quando a reprovação envolver sinais identificadores do veículo:

1. – número de chassi;
2. – número de motor;
3. – plaqueta de identificação;
4. – etiquetas autocolantes ou marcações nos vidros.

Seção II
Do Preço Público

Art. 22. Fica instituído, com fundamento no artigo 48 da Lei estadual nº 15.266, de 26 de dezembro de 2013, preço público pelo desenvolvimento, recepção, tratamento e armazenamento de dados e informações eletrônicas pelo DETRAN-SP relativos à vistoria veicular.

Parágrafo único. O preço público instituído nos termos do caput deste artigo fica fixado em:

1. 0,138 (cento e trinta e oito milésimos) UFESP pelo desenvolvimento, recepção, tratamento e armazenamento de dados e informações eletrônicas de vistoria de Identificação Veicular;
2. 0,275 (duzentos e setenta e cinco milésimos) UFESP pelo desenvolvimento, recepção, tratamento e armazenamento de dados e informações eletrônicas de vistoria de Segurança Veicular;
3. 0,193 (cento e noventa e três milésimos) UFESP pelo desenvolvimento, recepção, tratamento e armazenamento de dados e informações eletrônicas de vistoria de Estrutura e Alteração Veicular.

CAPÍTULO VII

DAS DISPOSIÇÕES FINAIS E TRANSITÓRIAS

Art. 23. A Diretoria de Tecnologia da Informação homologará o sistema tecnológico da empresa integradora e da empresa auditora, conforme Plano de Validação Técnica para Homologação constante nos Anexos II e III desta Portaria Normativa.

Art. 24. As empresas integradoras e as empresas auditoras deverão manter apólice de seguro de responsabilidade civil vigente com cobertura mínima de dois milhões de reais.

Art. 25. A empresa vistoriadora, a empresa integradora e a empresa auditora responderão pelos danos decorrentes de falhas nos serviços prestados, inclusive aqueles relacionados à integridade, autenticidade, disponibilidade ou confidencialidade dos dados de vistoria veicular, sem prejuízo das demais sanções administrativas, civis e penais cabíveis.

Art. 26. A recusa de acionamento do seguro de responsabilidade civil, quando exigido pelo DETRAN-SP ou verificada a ocorrência do sinistro, acarretará na suspensão cautelar da empresa, sem prejuízo das demais sanções administrativas, civis e penais aplicáveis.

Art. 27. Não serão credenciadas empresas integradoras ou auditoras cujos sócios ou administradores possuam, direta ou indiretamente, participação societária, vínculo contratual ou relação comercial ativa com atividades que possam comprometer a imparcialidade na execução dos serviços credenciados ou homologados.

Parágrafo único. Para os fins deste artigo, consideram-se atividades que possam comprometer a imparcialidade na execução dos serviços:

1. – vistoria veicular;
2. – remarcação de motores ou chassi;
3. – comercialização, reapropriação, recuperação, indenização, revenda ou leilão de veículos;
4. – serviços de remoção, depósito ou guarda de veículos; e
5. – comercialização de informações veiculares.

Art. 28. As empresas integradoras credenciadas no DETRAN-SP terão prazo de 180 (cento e oitenta) dias para a obtenção das certificações exigidas por esta Portaria Normativa.

Art. 29. As empresas vistoriadoras, integradoras e auditoras credenciadas no DETRAN- SP na data de publicação desta Portaria Normativa deverão adequar-se integralmente às suas disposições no prazo de até 90 (noventa) dias, contado da data de sua entrada em vigor.

Art. 30. Esta Portaria Normativa entra em vigor em 1º de janeiro de 2026.

EDUARDO AGGIO DE SÁ
Presidente
ANEXO I
ITENS DE SEGURANÇA OBRIGATÓRIOS NA VISTORIA VEICULAR

Art. Único. Nos termos da Resolução CONTRAN nº 993, de 15 de junho de 2023, os seguintes itens de segurança deverão ser verificados e classificados no sistema informatizado do DETRAN-SP:

CATEGORIA	ITEM DE SEGURANÇA
Chassi	Chapa suporte da numeração, numeração identificadora, etiquetas de identificação (VIS), gravação nos vidros, plaqueta/etiqueta confirmativa.
Motores	Base da gravação da numeração, numeração identificadora.
Placa	Existência, numeração, cor, placa dianteira e traseira.
Plaqueta      do      Ano                     de Fabricação	Plaqueta/etiqueta indicativa do ano de fabricação.
CRV/CRLV	Autenticidade via QR Code, informações gerais do documento.
Câmbio	Numeração identificadora.
Carroceria	Numeração identificadora.
Eixo	Numeração identificadora.
Itens      de             Segurança             e Equipamentos Obrigatórios	Buzina
	Cinto de segurança para árvore de transmissão
	Cinto de segurança
	Chave de fenda ou ferramenta
	Chave de roda
	Escapamento
	Triângulo de segurança
	Encosto de cabeça assentos dianteiros
	Encosto de cabeça assentos traseiros
	Espelho retrovisor lado direito
	Espelho retrovisor lado esquerdo
	Espelho retrovisor interno
	Extintor de incêndio (se exigido por legislação vigente)
	Faróis principais dianteiros
	Freios de estacionamento e de serviço
	Lanternas de freio
	Lanterna de iluminação da placa traseira
	Lanternas de posição traseiras
	Lanterna de marcha à ré
	Lanternas delimitadoras e lanternas laterais
	Lanternas indicadoras de direção dianteiras
	Lanternas indicadoras de direção traseiras
	Lavador de para-brisa
	Limpador de para-brisa

Luzes de posição dianteiras (faroletes)

Macaco compatível com o peso do veículo

Para-sol

Para-choque dianteiro

Para-choque traseiro

Pneus em condições de uso

Protetores das rodas traseiras

Tacógrafo (quando exigido por legislação)

Retro-refletores (catadióptrico) traseiros

Roda sobressalente (estepe)

Velocímetro

Para-brisa

Vidros de segurança

Ancoragem de sistema de retenção infantil (Isofix/Latch)

Sistema de retenção da cadeira de rodas e seu usuário

Lanterna de freio elevada (3ª luz de freio)

Retrorrefletor dianteiro, não triangular

Retrorrefletor lateral, não triangular

Faixa/Dispositivo/Película retrorrefletiva

Dispositivo de proteção anti-intrusão traseira

Protetor lateral

Janelas de emergência

Saídas de emergência

Alerta sonoro de marcha à ré

Sistema antispray

Indicador de direção lateral

Lanternas intermitentes de advertência

Sistema de travamento do capô

Luz de rodagem diurna (DRL)

Dispositivo de proteção para pernas e motores

Dispositivo aparador de linha, fixado no guidão do veículo

ANEXO II
PLANO DE VALIDAÇÃO TÉCNICA PARA HOMOLOGAÇÃO DAS EMPRESAS INTEGRADORAS DE
VISTORIA VEICULAR

ITEM	DESCRIÇÃO	ATENDE? S/N	OBSERVAÇÕES DO AVALIADOR
1.          Captura             de Evidências
1.1.	Captura de fotografias obrigatórias dos itens definidos pelo DETRAN-SP.
1.2.	Captura de dois (2) vídeos em 360∘ (mínimo 30 segundos cada, contínuo, sem cortes) com hash SHA-256 na captura.
1.3.	Registro  obrigatório  de  metadados  (GPS,  IP, data/hora, hash) em todas as mídias.
1.4.	Validação automática de qualidade da mídia (foco, iluminação, enquadramento).
1.5.	É vedado o upload manual ou utilização de arquivos externos.

2. Georreferenciamento
2.1	Todas         as         mídias          devem                   conter georreferenciamento                    automático   (GPS              +                   IP) capturado no ato da coleta.
2.2.1.	Bloquear  alterações  manuais  dos  dados  de localização.
2.2.2.	Garantir precisão mínima de 30 metros para o GPS e bloquear automaticamente a vistoria se fora do raio máximo de 30 metros do endereço aprovado.
2.2.3.	Registrar justificativa obrigatória em casos de ausência de sinal.
2.2.4.	Detectar    e    bloquear     tentativas     de                  uso                  de aplicativos de simulação de GPS.
2.2.5.	Vincular       georreferenciamento        ao                    laudo, permitindo visualização em mapa pelo portal do DETRAN-SP.
2.3.	Para ambientes internos ou sem sinal GPS, o sistema deve registrar: última posição válida com timestamp, endereço IP da rede utilizada e justificativa categorizada.
3.1. OCR do VIN
3.1.1	Realizar captura automática do VIN a partir de imagem (chassi, plaqueta ou etiqueta).
3.1.2.	O OCR deve ter nível de acurácia mínimo ≥95%.
3.1.3	Validação do dígito verificador do VIN.
3.1.4.	Três tentativas de OCR antes da aceitação de exceção.
3.1.5.	Em caso de falha/baixa confiabilidade do OCR, permitir fallback de digitação assistida com validação de base (BIN) e obrigatoriedade de justificativa. O sistema deve destacar os dígitos de maior incerteza para validação humana. Todo fallback deve ser logado (data, hora, identificação do vistoriador).
3.1.6.	Encaminhamento automático de exceções à auditoria com bloqueio da emissão do laudo até decisão. O processo deve ser transparente, com rastreabilidade em banco de dados e hash criptográfico das imagens enviadas.
3.2.                               Visão Computacional                                para Detecção                                              de Adulterações
3.2.1.	Utilizar algoritmos de computer vision para identificar marcas de lixamento/solda no chassi, deslocamento/colagem de etiquetas e indícios de adulteração em gravuras nos vidros.
3.2.2.	Classificação automática da detecção suspeita como: Alerta leve (requer verificação humana) ou Alerta crítico (bloqueio automático do laudo).

3.2.3.	Imagens    originais     e    processadas                  (bounding boxes) devem ser armazenadas e vinculadas ao laudo.
3.3. Machine Learning (IA) Antifraude
3.3.1.	Aplicar algoritmos de IA para detectar fraudes (reutilização de mídias, VIN duplicado) e erros operacionais (fotos repetidas, baixa iluminação).
3.3.2.	Existência     de     mecanismo     de                     treinamento contínuo (machine learning supervisionado) com base em casos confirmados de fraude/anomalia.
3.3.3.	Os modelos de IA devem ter logs auditáveis com métricas de precisão, recall e falsos positivos.
3.4. Regras Sistêmicas Impositivas
3.4.1.	Bloqueio automático da emissão do laudo em cenários críticos: VIN diferente do cadastro, suspeita crítica de adulteração e tentativa de fraude detectada pela IA.
3.4.2.	O bloqueio deve ser imediato, impedindo que o vistoriador prossiga manualmente.
3.4.3.	O caso deve ser encaminhado automaticamente para auditoria do DETRAN.
3.5.   Arquitetura           para Evolução          Futura (ECUs/OBD-II)
3.5.1.	Arquitetura  modular  e  escalável,  permitindo integração posterior com ECU/OBD-II.
3.5.2.	Preparado para coletar parâmetros do veículo (Quilometragem,     DTCs,                                Estado  de                                sensores críticos).
3.5.3.	Permitir geração de alertas automáticos em caso de inconsistências entre a leitura da ECU e os dados visuais capturados.
4. Biometria
4.1	Validação biométrica facial com liveness do vistoriador: Início (liberação) e Final (confirmação) da vistoria.
4.2	Validação biométrica facial com liveness da pessoa     responsável      pelo     veículo,                quando presente, associada a documento oficial.
4.3	O laudo deve conter: Nome completo do vistoriador, Foto e template biométrico, Resultado   de   liveness,   Data/hora   e georreferenciamento da captura.
4.4	É vedada a reutilização de biometria ou o uso de arquivos externos.
4.4.1.	O sistema de liveness deve detectar e rejeitar tentativas de fraude por imagens estáticas, vídeos gravados previamente e máscaras físicas ou digitais (deepfakes, morphing facial).

4.4.2.	Mecanismo de liveness deve combinar duas camadas de detecção: passiva (análise de textura, profundidade,  reflexos)  e  ativa  (movimento espontâneo: piscar, virar, pronunciar).
4.4.3.	Limiares mínimos de aceitação: score de similaridade ≥0,95, taxa máxima de falsos positivos ≤0,1%, taxa máxima de falsos negativos ≤2%.
4.4.4.	Cada validação deve gerar registro com: fotografia original, template biométrico, resultado              de              liveness,                             score, data/hora/georreferenciamento e hash SHA-256 da evidência.
4.4.5.	Prazo   mínimo    de    guarda    dos             registros  de validação biométrica será de 6 meses.
4.4.6.	A identidade do vistoriador deve ser vinculada ao laudo através de: Evidência fotográfica (foto no local/hora) e Evidência biométrica (resultado do liveness).
4.4.7.	O laudo deve conter metadados que permitam a rastreabilidade:                                        Data/hora/geolocalização, Identificação  única  do  vistoriador  e  Hash criptográfico das evidências.
4.5	Regras Sistêmicas Impositivas: Bloqueio automático do laudo quando: Não houver a biometria         do           vistoriador,                           houver inconsistência/falha no liveness, ou Não houver vinculação da biometria do responsável (quando presente).
5.  Integração  com  o DETRAN-SP
5.1	Integração                     obrigatória                                      com SISCSV/SERPRO/Senatran.
5.2	Integração obrigatória com PRODESP/DETRAN- SP.
5.3	Integração obrigatória com a camada em nuvem gerida pela PRODESP em ambiente certificado.
5.4. Comunicação com Auditoras	As integradoras não terão comunicação direta com empresas auditoras.
5.5.                      Segurança, Autenticação                                     e Autorização
5.5.1.	Autenticação das requisições via OAuth 2.0, fluxo Client Credentials, obtendo um token JWT de validade limitada.
5.5.2.	Requisições de criação ou modificação de dados (POST, PUT, PATCH) devem ter seu payload assinado digitalmente (JWS com algoritmo RS256 ou superior).
5.5.3.	A assinatura digital não se aplica aos arquivos binários, cuja integridade é garantida pelo hash SHA-256.

5.5.4.	Comunicação  com    os    endpoints                           protegida obrigatoriamente por criptografia em trânsito (TLS 1.3 com PFS).
6. Etapas do Fluxo de Submissão de Laudo
6.1	Etapa 1: Iniciação e Envio de Metadados (Requisição POST para /api/v1/laudos). O payload (JSON, < 1 MB) deve conter exclusivamente os metadados  (dados  do  veículo,  vistoriador, resultados da biometria).
6.2	Etapa 2: Upload Direto das Mídias para repositório em nuvem usando URLs Pré- Assinadas (Pre-Signed URLs). O processo não passa pelos servidores da API principal do DETRAN-SP.
6.3	Etapa 3: Confirmação e Processamento (Commit) (Requisição                    POST                                 final                para /api/v1/laudos/{laudo_id}/commit).  O  resultado final     (aprovado,     reprovado,     em           análise)         é comunicado via Webhook.
6.4.        Padrões              de Desenvolvimento, Resiliência                            e Desempenho
6.4.1.	Operações de submissão de laudos devem ser idempotentes, enviando cabeçalho HTTP Idempotency-Key para evitar duplos registros por falhas de rede.
6.4.2.	Tratamento de erros seguindo o padrão definido pela RFC 7807 (Problem Details for HTTP APIs).
6.4.3.	Para operações de processamento intensivo, o DETRAN-SP pode adotar fluxo assíncrono. A API deve retornar status 202 Accepted com um ID de transação.
6.4.4.	A integradora deve manter um endpoint seguro para receber notificações do DETRAN-SP, sendo obrigatória  a  comunicação  de  resultados assíncronos via Webhooks.
7.        Segurança           da Informação
7.1	Criptografia em trânsito: TLS 1.3 com Perfect Forward Secrecy (PFS). Uso de SSL/TLS obsoleto (<1.2), sem PFS, não é aceitável.
7.2	Criptografia em repouso: AES-256.
7.3	Hashing: cada mídia deve ter hash SHA-256 calculado no momento da captura.
7.4	Gestão de chaves: chaves criptográficas geridas por  KMS             ou       HSM,         com    rotação        periódica obrigatória.
7.5	Autenticação     multifator      (MFA)    para                          acesso administrativo e auditoria.

7.6	Controle de acessos baseado em papéis (RBAC) com registros imutáveis de alterações.
7.7	Logs imutáveis (WORM) de todas as operações (captura,     upload,     consulta,                   auditoria),                    com retenção mínima de 5 anos.
7.8	Proteções  de  infraestrutura:  WAF,  IDS/IPS  e defesa DDoS.
7.9	Pentest     anual     independente      e                 varreduras trimestrais de vulnerabilidades (SAST/DAST), com entrega dos relatórios ao DETRAN-SP.
8.                   Certificações (Obrigatórias)
8.1	ISO/IEC 27001 (Sistema de Gestão de Segurança da Informação – ISMS).
8.2	ISO/IEC 27701 (Extensão de privacidade – PIMS)
8.3	ISO/IEC   27017    (Controles    e                 orientações                de segurança    específicos    para                 computação       em nuvem)
8.4	ISO/IEC 27018 Proteção de PII em nuvens públicas atuando como operadoras (processors) — salvaguardas e práticas recomendadas.
8.5	ISO 9001 (Sistema de Gestão da Qualidade)
8.6	ISO/IEC 20000-1 (Sistema de Gestão de Serviços de TI – ITSM)
9.      Infraestrutura         e Continuidade
9.1	Disponibilidade mensal ≥99,5%.
9.2	RTO ≤30 minutos e RPO ≤15 minutos.
9.3	Hospedagem em datacenter no Brasil (Tier III/IV) ou nuvem certificada (ISO 27018/27001, SOC 2).
9.4	Monitoramento 24×7.
9.5	Testes     semestrais      de                continuidade,  com relatórios entregues ao DETRAN-SP.
10. LGPD e Gestão de Dados
10.1	O DETRAN-SP será o Controlador dos dados; as integradoras atuarão como Operadoras.
10.2	É vedado o reuso dos dados para finalidades diversas.
10.3	Prazo de guarda: seis meses para laudos e evidências.
10.4	É obrigatório o Relatório de Impacto (RIPD) para tratamento de biometria e IA antifraude.

ANEXO III

PLANO DE VALIDAÇÃO TÉCNICA PARA HOMOLOGAÇÃO DAS EMPRESAS AUDITORAS DE VISTORIA VEICULAR

ITEM	DESCRIÇÃO DA ATIVIDADE DE AUDITORIA (DE- PARA)	ATENDE? S/N	OBSERVAÇÕES DO AVALIADOR
1. Recepção e Análise de Evidências

1.1.	Validação da presença e integridade das fotografias obrigatórias recebidas no pacote JSON.
1.2.	Validação da integridade dos vídeos 360º e recálculo do Hash SHA-256 para confronto com metadados.
1.3.	Verificação da existência e consistência dos metadados (GPS, IP, Data/Hora) em todas as mídias.
1.4.	Validação       automática                       secundária        da qualidade        da       mídia                            (detecção          de escuro/desfocado) para aprovação.
1.5.	Detecção de anomalias nos metadados que indiquem upload manual ou edição externa de arquivos.
2. Georreferenciamento
2.1.	Validação espacial das coordenadas recebidas em confronto com o local registrado na coleta das mídias.
2.2.	Detecção     de     coordenadas                    estáticas                    ou inseridas manualmente nos metadados.
2.3.	Aplicação de regra de bloqueio (Geofence) para coordenadas fora do raio de 30 metros.
2.4.	Verificação da presença de justificativa formal nos casos sinalizados como “sem sinal”.
2.5.	Aplicação de heurísticas para detecção de uso de simuladores de GPS (Fake GPS).
2.6.	Disponibilização das coordenadas validadas para visualização em mapa no parecer de auditoria.
2.7.	Validação da consistência dos dados de triangulação     (IP/WiFi)                         para          vistorias                         em ambientes internos ou sem sinal de GPS.
3. Validação de OCR do VIN
3.1.1.	Execução      de       contraprova                      de       OCR (Reconhecimento Óptico) sobre as imagens de chassi/placa.
3.1.2.	Verificação se o índice de acurácia do OCR atende      aos     requisitos                 mínimos                   para aprovação automática.
3.1.3.	Em caso de exceção verificar se realmente teve falha na captura do OCR.
3.1.4.	Encaminhamento     para    validação                                 humana obrigatória nos casos de fallback (digitação assistida) da Integradora.
3.2. Visão Computacional para                Detecção                de Adulterações
3.2.1.	Aplicação    de    Visão                    Computacional                    para identificar profundidade das mídias coletadas (Contraprova).

3.2.2.	Aplicação    de    Visão                    Computacional                    para identificar cor do veículo (Contraprova).
3.2.3.	Geração e armazenamento de evidência de auditoria com bounding boxes sobre as áreas suspeitas.
3.3.      Aprendizado            de máquina e Antifraude
3.3.1.	Manutenção de banco de dados de fraudes para treinamento contínuo dos modelos de auditoria.
3.3.2.	Registro auditável das métricas de precisão (score) do modelo utilizado na auditoria.
4. Biometria
4.1.	Validação do token biométrico do vistoriador.
4.2.	Validação      do       token                      biométrico          do responsável.
4.3.	Verificação     da     presença     de                      metadados biométricos completos no pacote recebido.
5.     Integração     com        o DETRAN-SP
5.1.	Integração obrigatória com as APIS fornecidas em ambientes certificados disponibilizados pelo Detran.
6.              Fluxo                 de Processamento                                       de Auditoria
6.1.	Recepção     e     validação                     estrutural             dos metadados.
6.2.	Análise da integridade das mídias.
6.3.	Conclusão da análise e parecer para emissão do laudo. Em até cinco minutos, no mínimo em 90% dos registros realizados. Em até dez minutos, no máximo em 7% dos registros realizados.  Em  até  quinze  minutos,  no máximo em 3% dos registros realizados.
6.4.          Padrões                de Desenvolvimento, Resiliência e Desempenho
6.4.1.	Implementação        de                                 Idempotência                                 no processamento para evitar duplicidade de pacotes.
7.          Segurança             da Informação
7.1.	Criptografia em trânsito: TLS 1.3 com Perfect Forward        Secrecy (PFS).                  Uso          de         SSL/TLS obsoleto (<1.2), sem PFS, não é aceitável.
7.2.	Criptografia em repouso: AES-256.
7.3.	Hashing: cada mídia deve ter hash SHA-256 calculado no momento da captura.
7.4.	Gestão    de    chaves:    chaves               criptográficas geridas por KMS ou HSM, com rotação periódica obrigatória.

7.5.	Logs    imutáveis      (WORM)    de            todas            as operações      (captura,       upload,                       consulta, auditoria), com retenção mínima 6 meses.
7.6.	Proteções de infraestrutura: WAF, IDS/IPS e defesa DDoS.
7.7.	Pentest anual independente e varreduras trimestrais de vulnerabilidades (SAST/DAST), com entrega dos relatórios ao DETRAN-SP.
8.                       Certificações (Obrigatórias)
8.1.	ISO/IEC   27001    (Sistema    de                Gestão   de Segurança da Informação – ISMS).
8.2.	ISO/IEC 27701 (Extensão de privacidade – PIMS)
8.3.	ISO/IEC 27017 (Controles e orientações de segurança específicos para computação em nuvem)
8.4.	ISO/IEC 27018 Proteção de PII em nuvens públicas atuando como operadoras (processors)  —  salvaguardas  e  práticas recomendadas.
8.5.	ISO 9001 (Sistema de Gestão da Qualidade)
8.6.	ISO/IEC   20000-1    (Sistema    de                Gestão     de Serviços de TI – ITSM)
9.        Infraestrutura           e Continuidade
9.1.	Disponibilidade mensal ≥99,5%.
9.2.	RTO ≤30 minutos e RPO ≤15 minutos.
9.3.	Hospedagem em datacenter no Brasil (Tier III/IV) ou nuvem certificada (ISO 27018/27001, SOC 2).
9.4.	Monitoramento 24×7.
9.5.	Testes   semestrais    de              continuidade,        com relatórios entregues ao DETRAN-SP.
10. LGPD e Gestão de Dados
10.1.	O DETRAN-SP será o Controlador dos dados; as integradoras atuarão como Operadoras.
10.2.	É vedado o reuso dos dados para finalidades diversas.
10.3.	Prazo de guarda: seis meses para laudos e evidências.
10.4.	É obrigatório o Relatório de Impacto (RIPD) para tratamento de biometria e antifraude.

Texto extraído do Diário Oficial do estado de São Paulo