Diseño de CCTV bancario 2026: Zona por zona EN 62676-4 Identificación + GDPR DPIA + A ML + NDAA §889

¿Por qué las cámaras de seguridad de los bancos no "cubren el vestíbulo"?

Una sucursal minorista parece un pequeño local comercial. Un regulador la examina y ve cinco regímenes legales superpuestos: el riesgo de datos de categoría especial del artículo 9 GDPR en cada transacción, la retención de pruebas contra el blanqueo de capitales en cada ventanilla, la reconstrucción de la información del cliente para el control de sanciones en cada apertura de cuenta, los controles de adquisición de la Sección 889 de NDAA en cada cuerpo de cámara y la protección contra rayos EN 62305 en cada cajero automático exterior. Cada uno de estos regímenes define un parámetro diferente de la misma cámara: la lente, la ventana de retención, la marca del modelo, el dispositivo de protección contra sobretensiones. Si uno falla, el diseño no supera la fase de puesta en marcha. Si fallan dos, el diseño no supera la fase de adquisición.

La norma EN 62676-4, que define numéricamente qué significa realmente "la cámara vio el rostro", se sitúa por debajo de los cuatro regímenes legales. A menudo se le resta importancia en las bases de licitación, razón por la cual muchos diseños cumplen con el requisito de número de cámaras pero no alcanzan el umbral de píxeles por metro. La enmienda de octubre de 2025 introduce el marco OODPCVS (Descripción general, Esquema, Discernir, Percibir, Caracterizar, Validar, Analizar) como un vocabulario más detallado que se superpone a los niveles habituales de Detección/Observación/Reconocimiento/Identificación ( DORI ). Los umbrales no cambian; OODPCVS simplemente proporciona a los auditores un lenguaje más preciso para los casos intermedios. En el resto de este artículo, utilizamos los valores DORI, con la correspondencia OODPCVS en la tabla siguiente para referencia cruzada.

DORI (legado)	píxeles/m	OODPCVS (2025)	Uso típico de los bancos
Identification	250	Validate / Scrutinise	Teller face, ATM user, entry, vault axis, safe-deposit entry
Recognition	125	Characterise	Cash drawer, vault perimeter overlap, drive-through approach
Observation	62	Perceive / Discern	General lobby, car park sweep
Detection	25	Outline / Overview	Minimum to justify recording at all

Este artículo analiza cada zona con un enfoque matemático explícito. Dedicamos una atención especial a la aritmética de píxeles por metro porque, según nuestra experiencia auditando diseños de sucursales de bancos europeos de tamaño medio, la principal razón por la que falla la puesta en marcha es que el diseño cumplió con el requisito de número de cámaras, pero no alcanzó el umbral de píxeles por metro en la ventanilla de atención al cliente. El vestíbulo estaba bien. La bóveda estaba bien. La ventanilla —la zona crítica ML tenía un déficit del 14 % en la identificación. Este es el modo de fallo que conlleva un rediseño y un retraso de seis meses.

Tarjeta de referencia. Identificación 250 px/m · Reconocimiento 125 px/m · Observación 62 px/m · Detección 25 px/m. El cajero, el usuario del cajero automático, la entrada, el eje de la bóveda y la entrada a la caja fuerte se encuentran en la etapa de Identificación. Todo lo demás es un paso inferior justificable con una justificación documentada.

Zona 1 — Entrada a la sucursal: cada rostro, superposición de dos cámaras

La entrada de la sucursal es la zona más sencilla de diseñar correctamente y la más fácil de subestimar. Todos los organismos reguladores exigen una captura facial con nivel de identificación de cada adulto que entra por la puerta, sin excepción. El caso de uso es la investigación posterior: cuando se detecta fraude, robo o identificación asistida de sospechosos en una alerta posterior ML, la grabación de la entrada proporciona la marca de tiempo y la primera imagen nítida del rostro. Un fotograma de entrada borroso es una de las razones más comunes por las que se retrasa la resolución de un caso de fraude.

Ejemplo práctico: cámara de 4 MP, lente de 4 mm, 4 m hasta la puerta de entrada.

PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓

Un margen de seguridad de 1,9 veces superior al umbral de 250 ppm a 4 m permite que el diseño tolere la oclusión parcial, las mañanas oscuras de invierno y pequeños errores de altura de montaje sin infringir la normativa de identificación. La posición de 6 m corresponde a la parte posterior del vestíbulo, pasando la puerta interior, donde el cliente pasa del espacio público al espacio controlado por el banco.

¿Por qué dos cámaras y no una? El sistema de entrada con dos cámaras evita tanto la manipulación como la obstrucción. Una sola cámara representa un único punto de fallo: pintura en aerosol, obstrucción por un sombrero, reflejos del sol desde un ángulo incorrecto o, en el peor de los casos, manipulación física durante el robo. Dos cámaras instaladas con espejos en las esquinas opuestas del techo se observan mutuamente y vigilan la entrada simultáneamente. La segunda cámara también capta el ángulo que la primera pierde debido a paraguas y sombreros altos. El coste marginal del hardware es de un dispositivo y unos cientos de metros de cable Cat6, una cantidad insignificante en comparación con el coste de una identificación impugnada.

Privacidad desde el diseño: la cámara de entrada graba legalmente a cada cliente que entra porque la base legal es el interés legítimo según el artículo 6(1)(f) GDPR —la prevención de delitos financieros es uno de los casos reconocidos en el considerando 49— combinado con señalización explícita en la puerta. Su DPIA debe documentar la prueba de necesidad (¿se podría obtener el mismo resultado probatorio con menos datos?), la prueba de proporcionalidad (¿es necesaria o excesiva la superposición de dos cámaras?) y el mecanismo de derechos del interesado. La respuesta estándar para las cámaras de entrada es sí, sí y un procedimiento de contacto con el DPO publicado.

Para obtener una explicación completa de la aritmética de píxeles por metro que respalda las cifras anteriores, consulte la DORI calculation walkthrougho saltar directamente a la free DORI calculator para validar su elección específica de cámara y objetivo.

Zona 2 — Línea de cajeros: cajero por ventanilla + cajero con caja registradora sobre el hombro

La ventanilla de atención al cliente es la zona más olvidada en el diseño típico de una sucursal y la que tiene más probabilidades de fallar en una nueva medición de puesta en marcha. La tentación es instalar una sola dome superior que cubra todo el mostrador: eficiente, económica y fácil de cablear. El problema es que un solo dispositivo superior no puede satisfacer dos objetivos DORI distintos a la vez: el rostro del cliente en la identificación (250 ppm) y el cajón de efectivo en el reconocimiento (125 ppm). Uno se encuentra aproximadamente a la altura de los ojos mirando horizontalmente; el otro está a la altura de la mano mirando verticalmente. La geometría es fundamentalmente diferente.

Una nota sobre por qué las mismas especificaciones de la cámara cumplen con los requisitos de Entry pero no con los de Teller. Una cámara de 4 MP / 4 mm / 1/2.8" con una línea de visión de 4 m ofrece ~476 ppm en un rostro, lo que facilita la identificación. El mismo cuerpo con la misma lente, montado en dome a 2,7 m de altura, apuntando hacia abajo a un cliente en el cajero a 4 m de distancia al otro lado del mostrador, apunta al cliente en un ángulo oblicuo. El plano efectivo del rostro se acorta aproximadamente en cos(35°) ≈ 0,82, y la línea de visión diagonal está más cerca de 4,8 m que de 4. Las ppm efectivas en el rostro se acercan a ~325, todavía por encima de la identificación, pero sin margen para película antirreflejos, iluminación invernal o un cliente alto. Por eso, el diseño de la línea de cajeros utiliza una cámara montada a la altura del rostro en una columna o frente del mostrador, no una dome suspendida. Misma especificación, geometría diferente, resultado diferente.

Ejemplo práctico: cámara de 6 MP, sensor de 1/1,8" (7,20 mm horizontal), lente de 8 mm, montada en columna a la altura del rostro del cliente.

PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓

PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓

La combinación de 6 MP / 8 mm / 1/1.8" es la cámara ideal para cajeros. El margen de seguridad de más de 250 ppm es intencional: absorbe la película antirreflejos del mostrador, la poca luz ambiental invernal, las variaciones en la altura de los clientes y la inevitable ligera variación en la posición de montaje durante sus 10 años de funcionamiento. La distancia de 5 m corresponde a la posición de un cliente a un paso del mostrador, aún en el momento de la identificación.

La cámara auxiliar se monta en la parte superior, detrás del cajero, apuntando hacia el cajón de efectivo. La opción típica es una cámara de 4 MP con una lente gran angular de 2,8 mm y un alcance visual de 1,2 m sobre la superficie del cajón. Esta cámara registra la manipulación de los billetes (conteo, empaquetado y clasificación) y constituye la prueba principal en caso de disputa por efectivo. No necesita captar el rostro del cliente (para eso se utiliza la cámara de la ventana). Sin embargo, sí necesita captar claramente las manos y los billetes, lo que implica al menos reconocimiento facial en un cajón de aproximadamente 0,6 m de ancho.

Límite de privacidad: enmascaramiento del teclado numérico. Ninguna de las cámaras cubre el teclado del PIN del lado del cliente. La normativa PCI establece explícitamente que cualquier dispositivo que registre la entrada del PIN activa los controles de gestión de PIN: cifrado en reposo, custodia de claves y auditoría. No conviene que su sistema de CCTV herede el alcance de la normativa PCI. La solución habitual consiste en montar las cámaras en ángulos que impidan físicamente la visión del teclado (ángulos agudos laterales) o enmascarar la zona del teclado en el firmware de la cámara (la mayoría de las cámaras ONVIF profesionales admiten el enmascaramiento de privacidad por zona). En cualquier caso, el documento de diseño debe indicar el método utilizado y su justificación.

El patrón por ventanilla aumenta linealmente: una fila de cajeros de 6 puestos cuenta con 6 cámaras de vigilancia facial + 6 cámaras en el cajón de efectivo = 12 dispositivos en el lado del cajero. Esto puede parecer mucho hasta que se compara con la alternativa de una transacción en efectivo disputada por falta de evidencia que termina en manos del supervisor. El costo marginal de dos cámaras por puesto es muy inferior al costo de una disputa no resuelta.

Zona 3 — Cajero automático: Identificación facial + comportamiento en pantalla + perímetro / placa

Cada cajero automático merece tres cámaras. La cámara frontal identifica al usuario. La cámara de la pantalla registra su comportamiento: cubrir el teclado, observar por encima del hombro, manipular la pantalla. La cámara perimetral cubre la entrada y la salida, y en los cajeros automáticos para vehículos captura la matrícula. Cada cámara detecta una categoría diferente de fraude o ataque: clonación de tarjetas (rostro + comportamiento), captura de tarjetas (comportamiento), robo por distracción (perímetro), robo en cajeros automáticos para vehículos (perímetro + matrícula) y reconstrucción de cuentas usurpadas (rostro).

Ejemplo práctico: grupo de tres cámaras para cajeros automáticos

Cámara frontal: 4 MP, lente de 6 mm y 1/2,8" a 1,5 m del rostro del usuario:

PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)

Cámara de pantalla/comportamiento: 4 MP, lente gran angular de 2,8 mm y 1/2,8" a 1 m del área del teclado:

PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)

Cámara de inspección de matrículas para vehículos: 8 MP, lente de 1/1.8" y 12 mm a una distancia de 5 a 8 m de la matrícula.

PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night

Ángulo de paso y reducción de la capacidad del obturador. Las cámaras de placas son el único lugar en una sucursal donde la aritmética de posición estática subestima la lente que se necesita. Un vehículo que se acerca al cajero automático a 5 km/h se mueve aproximadamente a 1,4 m/s, y la placa rara vez es perpendicular al eje de la cámara; el ángulo de aproximación típico es de 20° a 35°. La resolución efectiva en los caracteres de la placa se reduce por cos(ángulo): a 30° se pierde aproximadamente un 13 %, a 45° se pierde aproximadamente un 30 %. Además, el desenfoque por movimiento difumina los caracteres a menos que la velocidad de obturación sea ≤ 1/500 s, lo que obliga a una apertura mayor o una ganancia mayor en condiciones nocturnas. Regla general: duplique la distancia focal que elegiría para una captura de rostro estática a la misma distancia. Para un autoservicio de 5 m, 12 mm, no 6 mm. Consulte la Guía de distancia y distancia focal de la matrícula para el cálculo completo de legibilidad de la plancha.

Cajero automático exterior = zona de protección contra rayos. La norma EN 62305 clasifica cualquier dispositivo exterior expuesto en poste o montado en marquesina como Zona de Protección contra Rayos, y la BOM debe incluir dispositivos de protección contra sobretensiones tanto en la línea de alimentación como en la línea de datos. Una cámara PoE estándar sin SPD está a una sola tormenta eléctrica de quedar inservible, y la sobretensión a menudo daña también el puerto NVR. Su PDF de diseño debe especificar explícitamente el modelo de SPD para cada cámara exterior, la clasificación LPZ y la conexión a tierra al sistema de protección contra rayos del edificio, si existe. Presupuesto PoE típico para una cámara ATM exterior con calentador y SPD: 25–30 W por punto de conexión en un puerto de switch PoE+ (60 W). Las dome interiores consumen 5–7 W. Dimensionar el switch y el SAI del armario en consecuencia.

Zona 4 — Bóveda y sala de dinero: sistema de doble cámara superpuesto, vinculado al control de acceso.

La bóveda y la sala de recuento de dinero constituyen la zona de mayor riesgo en cualquier sucursal, y también la más propensa a sobredimensionarla y, a la vez, a subdimensionarla. Una sobredimensionación se traduce en cuatro cámaras 4K de gran angular apuntando a la misma pared. Una subdimensionación se traduce en una sola cámara de alta resolución sin un segundo ángulo de visión. La configuración ideal consiste en dos cámaras con campos superpuestos, montadas en esquinas opuestas, cada una con una densidad de píxeles de nivel de identificación a lo largo del eje central de la sala.

Ejemplo práctico: par de cámaras de 4 MP, lente de 4 mm, esquinas opuestas a 2,7 m de altura.

PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

Cada cámara cubre la habitación desde una esquina. La superposición angular del 30-40% a lo largo del eje central significa que un intento de manipulación en un dispositivo deja al segundo dispositivo como testigo independiente, y el margen de identificación (~1,9 veces por encima del umbral) absorbe tolerancias de montaje y variaciones de iluminación razonables.

Etiquetado de vídeo activado por eventos. Las grabaciones de la bóveda deben etiquetarse en el registro de eventos del control de acceso. Cada apertura de puerta en la bóveda debe adjuntar automáticamente el segmento de vídeo correspondiente del par de cámaras al registro de eventos en el NVR. Esto es lo que buscan los auditores ML cuando solicitan "ver las entradas de la bóveda de los últimos 90 días": no una larga línea de tiempo de una habitación vacía, sino una lista de eventos de acceso con un clip de 2 minutos preadjunto por evento. La mayoría de las plataformas NVR profesionales admiten el etiquetado de vídeo activado por eventos; el diseño solo necesita especificar el vínculo, la regla de retención (normalmente la más larga entre el registro de acceso y las ventanas de retención ML ) y la compatibilidad con el proveedor de control de acceso.

La retención de las grabaciones de la bóveda es la más larga de los regímenes que la regulan. En la UE, una práctica traducida como ML D establece un plazo de 6 meses para el acceso general a la bóveda y un plazo indefinido para los eventos marcados. En EE. UU., la guía BSA/FFIEC exige un mínimo de 1 año para la bóveda y 5 años para cualquier grabación vinculada a un Informe de Actividad Sospechosa. Una nota sobre la retención prolongada: el principio de limitación de almacenamiento del GDPR (Artículo 5(1)(e)) va en sentido contrario: la retención indefinida requiere un desencadenante auditable (la marca SAR, el ID de la investigación) que vincule cada segmento conservado con su propósito lícito. Una retención general de 5 años sin justificación a nivel de segmento constituye en sí misma una irregularidad. Consulte con un abogado para diseños transfronterizos. La calculadora de almacenamiento de CCTVplanner realiza los cálculos en /calculadora/almacenamiento con retención por cámara como variable por zona.

Zona 5 — Pasillo de cajas de seguridad: identifique la entrada, nunca se lleve el contenido.

Las cajas de seguridad constituyen el ámbito donde la privacidad está más claramente definida y respaldada por la jurisprudencia en todas las jurisdicciones europeas. El cliente tiene una expectativa explícita de privacidad respecto al contenido de su caja. La videovigilancia en el pasillo es aceptable —a veces obligatoria—, pero la grabación del interior de la caja, o incluso la interacción del cliente con su caja abierta, puede ser cuestionada en varias jurisdicciones en virtud del artículo 8 del Convenio Europeo de Derechos Humanos. El diseño estándar consiste en cubrir la entrada del pasillo, cubrir la puerta de la sala de cajas desde el interior y nunca apuntar una cámara hacia el estante de cajas.

Ejemplo práctico: 4 MP / 4 mm en la entrada del pasillo, profundidad de visión de 3 a 5 m.

PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓

El cliente es identificable en la entrada del pasillo. Una segunda cámara dentro de la sala de cajas cubre la puerta, pero está colocada de manera que el estante de cajas queda fuera del encuadre. Se graba al cliente entrando y saliendo; su interacción con su propia caja no se graba.

Este es el patrón de privacidad por diseño más explícito de todo el sector y el que los supervisores premian con mayor generosidad en la revisión de la DPIA. Al documentar la restricción angular, el diagrama de los campos de visión de la cámara con el bastidor de la caja fuera de cada fotograma y la capacitación del operador sobre la política de no hacer zoom dentro del bastidor, se transforma una zona que de otro modo sería riesgosa en una clara demostración de cumplimiento. El PDF del proyecto CCTVplanner incluye una anotación de "alcance del contenido capturado" por cámara, específicamente para este tipo de documentación dirigida a los reguladores.

Arquitectura de red: VLAN, plano de gestión, NDAA de software

La sección 889 NDAA no se limita al cuerpo de la cámara. Las directrices de aplicación de la ley para 2023-2024 de las agencias federales dejan claro que el software de gestión de vídeo, el firmware NVR y los sistemas de gestión en la nube de las entidades cubiertas están igualmente restringidos. Una cámara Hanwha o Axis "compatible" conectada a un NVR Hikvision sigue constituyendo una infracción de la sección 889. Su diseño debe certificar la pila completa: cuerpo de la cámara, grabador, VMS y cualquier servicio de gestión en la nube o móvil.

La segmentación de la red tampoco es opcional. Una red de videovigilancia bancaria es un objetivo de alto valor, tanto porque las cámaras en sí mismas ofrecen un punto de observación privilegiado sobre el manejo de efectivo, como porque los conmutadores PoE con credenciales predeterminadas constituyen una vía documentada de acceso lateral a la red corporativa. El diseño mínimo es el siguiente:

VLAN dedicada para cámaras, sin enrutamiento a la LAN corporativa, sin salida a Internet excepto a los puntos finales de la nube del proveedor autorizados.
Plano de gestión en una VLAN independiente con autenticación multifactor en la consola VMS.
Proceso de actualización de firmware documentado: actualización manual aislada de la red o actualización automática solo con firmware firmado, nunca mediante descarga HTTP simple.
Las credenciales predeterminadas se eliminaron durante la puesta en marcha, lo cual quedó documentado en el informe de entrega.

Esta es la capa que transforma un sistema de videovigilancia de un obstáculo en materia de cumplimiento normativo en una ventaja en este sentido. Los auditores solicitan cada vez con mayor frecuencia el diagrama de red junto con el cronograma de las cámaras.

Estandarización de múltiples sucursales en más de 10 ubicaciones.

Un banco minorista con 50 sucursales tiene las mismas cinco zonas en todas ellas, pero las sucursales difieren en tamaño, distribución y orientación. El diseño de cada una desde cero es lo que inicia el problema de la falta de cumplimiento normativo: la sucursal 23 recibe una lente de 6 mm en la entrada, mientras que todas las demás usan una de 4 mm, porque el diseñador de ese día lo recordó mal. Tres meses después, la puesta en marcha revela que la entrada de la sucursal 23 activa el reconocimiento en lugar de la identificación, y toda la sucursal debe rediseñarse.

El modelo estandarizado utiliza tres plantillas arquetípicas: pequeña (dos cajeros, un cajero automático, sin servicio de autoservicio), mediana (cuatro cajeros, dos cajeros automáticos, sin servicio de autoservicio) y grande (más de seis cajeros, servicio de autoservicio, múltiples bóvedas). Cada arquetipo es un diseño EN 62676-4 completamente resuelto, con el número de cámaras, la selección de lentes, las alturas de montaje y los cálculos DORI incorporados. Cada sucursal real comienza como una bifurcación del arquetipo más similar, con modificaciones específicas para las cámaras perimetrales y la geometría del plano. El cumplimiento se mantiene; solo varía la geometría.

El modelo de proyecto CCTVplanner está diseñado para este patrón. La acción "duplicar proyecto" clona un arquetipo con todas las zonas, todos los cálculos DORI y todos los metadatos de cumplimiento intactos. El proyecto duplicado acepta un nuevo plano, un nuevo mapa satelital y ajustes de cámara por sucursal sin perder la base de referencia EN 62676-4. Cada sucursal genera su propio PDF de auditoría, pero las reglas de diseño subyacentes son idénticas y verificables.

BOM , almacenamiento de retención y el PDF del auditor

Un diseño bancario que no genera un único archivo entregable para el auditor no es un diseño terminado. El PDF contiene:

Plano de planta con todas las cámaras marcadas.
Matriz de zonas con nivel DORI por cámara por zona
Programación de la cámara con modelo + objetivo + montura + alimentación
Cableado y presupuesto PoE por armario (típico: 25–30 W por cámara ATM exterior, 5–7 W por dome interior)
Dimensionamiento NVR y del almacenamiento para las ventanas de retención por zona.
Lista SPD para dispositivos LPZ de exterior
Bandera NDAA §889 por cámara, grabadora y componente VMS
Diagrama de arquitectura de red (VLAN, plano de gestión, política de firmware)
Plantilla de hoja de trabajo para la Evaluación de Impacto en la Protección de Datos (EIPD) del artículo 35 GDPR

Cada una de estas secciones responde a una pregunta del regulador. La matriz de zonas responde a la pregunta "¿Se identificó a todas las personas relevantes?". El cronograma de cámaras responde a la pregunta "¿Hay marcas prohibidas presentes en una sucursal adyacente a una jurisdicción federal?". La tabla de retención responde a la pregunta "¿Se conservan las grabaciones de los cajeros automáticos el tiempo suficiente para cumplir con la norma de 90 días de la BSA y el tiempo suficiente para respetar la limitación de almacenamiento GDPR ?". La hoja de trabajo de la DPIA responde a la pregunta "¿Se aplicó el Artículo 35 a este procesamiento?". Un único PDF que se corresponde claramente con estas preguntas reduce la entrevista con el regulador de medio día a media hora.

La lista de materiales BOM se exporta por separado como archivo CSV para el flujo de trabajo de compras. La exportación en formato DXF se envía al contratista eléctrico con las rutas de cableado, las posiciones de montaje y el presupuesto PoE por punto de conexión. Ambos archivos hacen referencia al mismo PDF canónico, por lo que compras, el instalador y el auditor siempre consultan la misma fuente de información. Este patrón de múltiples salidas es lo que distingue una herramienta de diseño de nivel bancario de un planificador de cámaras genérico.

Errores comunes que se deben evitar

Una única dome superior que cubre tanto el mostrador como el cajón de efectivo en la ventanilla del cajero.
Diferentes objetivos DORI, diferente geometría, un solo dispositivo no puede satisfacer ambas necesidades. Las auditorías ML señalan específicamente al cajero; la mayoría de los fallos de puesta en marcha se producen aquí.
Integrar Hikvision o Dahua en una BOM de una sucursal federalmente adyacente, incluyendo el NVR y el VMS.
La sección 889 NDAA abarca todo el sistema. Una cámara compatible conectada a una grabadora no compatible sigue constituyendo una infracción. Esto conlleva la retirada de fondos federales y la necesidad de una nueva adquisición.
Omitir la evaluación de impacto sobre la protección de datos (EIPD) del artículo 35 GDPR en un "rediseño menor".
Cualquier cambio en la cantidad, instalación o retención de cámaras en una sucursal implica un cambio en la actividad de procesamiento. Incluso un proyecto como "acabamos de agregar dos cámaras" requiere una actualización de la Evaluación de Impacto en la Protección de Datos (EIPD). Las autoridades de supervisión realizan un seguimiento cada vez mayor de esto.
Las cámaras de los cajeros automáticos exteriores no cuentan con protección contra sobretensiones.
La norma EN 62305 exige la clasificación LPZ + SPD en todas las cámaras exteriores expuestas. Un tifón, un fallo en el transformador o un rayo directo sobre la cubierta pueden dañar la cámara y, con frecuencia, también el puerto NVR. El SPD supone una inversión inicial mínima.
Cajero automático con una sola cámara y sin sistema de respaldo.
Un intento de manipulación u obstrucción en la única cámara del cajero automático no deja rastro. El sistema de tres cámaras (frontal + pantalla + perímetro) protege tanto contra manipulaciones como contra fraudes.
Retención ajustada al período aplicable más corto
Una sucursal que opera en la UE y EE. UU. debe cumplir con las normativas ML D y BSA. Dimensionar el almacenamiento según el plazo de la UE cuando BSA exige un plazo mayor es un error de diseño evitable que suele salir a la luz en la entrevista con el regulador seis meses después. El error opuesto —la retención indefinida generalizada sin justificación por segmento— incumple la limitación de almacenamiento GDPR.
VLAN de cámara plana con LAN corporativa
Los conmutadores PoE con credenciales predeterminadas y las cámaras IP son rutas de movimiento lateral documentadas. La segmentación no es algo deseable, pero sí recomendable.

Preguntas frecuentes

→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?

Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.

→What is the AML video retention window for ATM footage in the EU vs the US?

EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.

→Is Hikvision banned in every bank branch, or only federal-affiliated ones?

Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.

→How many cameras do I need at an ATM — one, two, or three?

Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.

→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?

At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.

→Do I need separate cameras for the teller's face and the teller's cash drawer?

Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.

→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?

Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.

→Can I reuse one branch's CCTV design across 50 sites?

Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.

→Does NDAA §889 cover the NVR and VMS or just the cameras?

The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.

Diseño de CCTV bancario 2026: Cajero automático, bóveda, ventanilla y entrada a sucursal — Recorrido zona por zona EN 62676-4

TL;DR — las 5 cosas que debes hacer bien

Tabla de contenidos