Desain CCTV Bank 2026: Zona demi Zona EN 62676-4 Identifikasi + GDPR DPIA + ML + NDAA §889

Mengapa CCTV bank tidak "meliputi lobi"?

Cabang ritel tampak seperti ruang komersial kecil. Regulator melihatnya dan menemukan lima rezim hukum yang saling tumpang tindih — risiko data kategori khusus Pasal 9 GDPR pada setiap transaksi, penyimpanan bukti anti pencucian uang pada setiap loket teller, rekonstruksi Know-Your-Customer (KYC) untuk penyaringan sanksi pada setiap pembukaan rekening, kontrol pengadaan Bagian 889 NDAA pada setiap bodi kamera, dan perlindungan petir EN 62305 pada setiap ATM eksterior. Masing-masing rezim tersebut menetapkan parameter yang berbeda dari kamera yang sama: lensa, jendela penyimpanan, merek model, perangkat pelindung lonjakan arus. Jika salah satu parameter salah, desain akan gagal dalam tahap pengoperasian. Jika dua parameter salah, desain akan gagal dalam tahap pengadaan.

Di bawah keempat rezim hukum tersebut terdapat EN 62676-4 — standar teknis yang mendefinisikan apa arti sebenarnya dari "kamera melihat wajah" dalam angka. Standar ini seringkali kurang diperhatikan dalam dokumen tender, itulah sebabnya banyak desain memenuhi persyaratan jumlah kamera tetapi tidak memenuhi ambang batas piksel per meter. Amandemen Oktober 2025 memperkenalkan kerangka kerja OODPCVS (Overview, Outline, Discern, Perceive, Characterise, Validate, Scrutinise) sebagai kosakata yang lebih rinci yang ditambahkan di atas tingkat Deteksi/Observasi/Pengenalan/Identifikasi ( DORI ) yang sudah dikenal. Ambang batas tidak berubah; OODPCVS hanya memberikan auditor bahasa yang lebih tepat untuk kasus-kasus menengah. Untuk bagian selanjutnya dari artikel ini, kami menggunakan angka DORI, dengan pemetaan OODPCVS dalam tabel di bawah ini untuk referensi silang.

DORI (warisan)	px/m	OODPCVS (2025)	Penggunaan bank pada umumnya
Identification	250	Validate / Scrutinise	Teller face, ATM user, entry, vault axis, safe-deposit entry
Recognition	125	Characterise	Cash drawer, vault perimeter overlap, drive-through approach
Observation	62	Perceive / Discern	General lobby, car park sweep
Detection	25	Outline / Overview	Minimum to justify recording at all

Artikel ini membahas setiap zona secara rinci dengan perhitungan yang jelas. Kami memberikan perhatian yang luar biasa pada perhitungan piksel per meter karena, berdasarkan pengalaman kami dalam mengaudit desain cabang dari bank-bank menengah Eropa, alasan utama kegagalan pengoperasian adalah karena desain tersebut memenuhi persyaratan jumlah kamera tetapi gagal mencapai ambang batas piksel per meter pada loket teller. Lobi baik-baik saja. Brankas baik-baik saja. Loket teller—zona kritis ML —kurang 14% dari persyaratan Identifikasi. Itulah mode kegagalan yang menyebabkan perancangan ulang dan penundaan selama enam bulan.

Kartu referensi. Identifikasi 250 px/m · Pengenalan 125 px/m · Observasi 62 px/m · Deteksi 25 px/m. Teller bank, pengguna ATM, pintu masuk, poros brankas, dan pintu masuk tempat penyimpanan aman semuanya berada di tahap Identifikasi. Segala sesuatu yang lain merupakan langkah mundur yang dapat dibenarkan dengan alasan yang terdokumentasi.

Zona 1 — Pintu masuk cabang: setiap wajah, tumpang tindih dua kamera

Area pintu masuk cabang adalah zona paling sederhana untuk dirancang dengan benar dan paling mudah untuk kurang spesifikasi. Setiap regulator mengharapkan pengambilan gambar wajah tingkat identifikasi pada setiap orang dewasa yang masuk melalui pintu — tanpa pengecualian. Kasus penggunaannya adalah investigasi lanjutan: ketika penipuan, pencurian, perampokan, atau identifikasi tersangka yang dibantu muncul dalam peringatan ML selanjutnya, rekaman pintu masuk memberi Anda penanda waktu dan gambar wajah pertama yang jelas. Bingkai pintu masuk yang buram adalah salah satu alasan paling umum mengapa penanganan kasus penipuan terhenti.

Contoh kasus — kamera 4MP, lensa 4mm, jarak 4m ke pintu masuk

PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓

Ruang kepala sebesar 1,9 kali di atas ambang batas 250 ppm pada ketinggian 4m berarti desain tersebut mentolerir oklusi parsial, cahaya redup di pagi hari musim dingin, dan kesalahan kecil pada ketinggian pemasangan tanpa termasuk dalam kategori Identifikasi. Posisi 6m berada di bagian belakang ruang depan — melewati pintu dalam, tempat pelanggan beralih dari ruang publik ke ruang yang dikendalikan bank.

Mengapa dua kamera dan bukan satu? Pola pintu masuk dengan dua kamera bersifat anti-perusakan dan juga anti-penghalangan. Satu kamera pintu masuk merupakan titik kegagalan tunggal: cat semprot, penghalangan oleh topi, silau matahari dari sudut yang salah, atau — dalam kasus yang paling sinis — perusakan fisik selama perampokan itu sendiri. Dua kamera yang dipasang secara simetris di sudut langit-langit yang berlawanan saling mengamati dan pintu masuk secara bersamaan. Kamera kedua juga menangkap sudut yang hilang oleh kamera pertama karena payung dan topi tinggi. Biaya perangkat keras marginalnya adalah satu perangkat dan beberapa ratus meter kabel Cat6 — kecil dibandingkan dengan biaya satu identifikasi yang dipersoalkan.

Privasi berdasarkan desain: kamera pintu masuk secara sah merekam setiap pelanggan yang masuk karena dasar hukumnya adalah kepentingan sah berdasarkan Pasal 6(1)(f) GDPR — mencegah kejahatan keuangan adalah salah satu kasus yang diakui dalam pertimbangan ke-49 — dikombinasikan dengan papan pengumuman yang jelas di pintu. DPIA Anda perlu mendokumentasikan uji kebutuhan (bisakah Anda mencapai hasil pembuktian yang sama dengan data yang lebih sedikit?), uji proporsionalitas (apakah tumpang tindih dua kamera diperlukan atau berlebihan?) dan mekanisme hak subjek. Jawaban standar untuk kamera pintu masuk adalah ya, ya dan prosedur kontak DPO yang diposting.

Untuk penjelasan lengkap mengenai perhitungan piksel per meter yang mendasari angka-angka di atas, lihat DORI calculation walkthroughatau langsung menuju ke free DORI calculator untuk memvalidasi pilihan kamera dan lensa spesifik Anda.

Zona 2 — Jalur teller: setiap loket + laci kas di atas bahu

Loket teller adalah zona yang paling sering diabaikan dalam desain cabang bank pada umumnya dan yang paling mungkin gagal dalam pengukuran ulang saat commissioning. Godaan yang muncul adalah memasang satu dome di atas kepala yang dapat melihat seluruh konter — efisien, murah, dan mudah dipasang kabelnya. Masalahnya adalah satu perangkat di atas kepala tidak dapat memenuhi dua target DORI yang berbeda sekaligus: wajah pelanggan pada Identifikasi (250 ppm) dan laci kas pada Pengenalan (125 ppm). Yang satu berada kira-kira setinggi mata dengan pandangan horizontal; yang lain berada setinggi tangan dengan pandangan vertikal. Geometrinya sangat berbeda.

Catatan mengapa spesifikasi kamera yang sama lolos pemeriksaan Entri tetapi gagal di Teller. Kamera 4 MP / 4 mm / 1/2.8" pada jarak pandang 4 m menghasilkan ~476 ppm pada wajah — dengan mudah mengidentifikasi wajah. Bodi yang sama pada lensa yang sama, dipasang di dome pada ketinggian 2,7 m menghadap ke bawah ke arah pelanggan teller yang berjarak 4 m di seberang meja, menghadap pelanggan pada sudut miring. Bidang wajah efektif dipersingkat sekitar cos(35°) ≈ 0,82, dan garis pandang diagonal lebih dekat ke 4,8 m daripada 4 m. Ppm efektif pada wajah lebih dekat ke ~325 — masih di atas batas identifikasi tetapi tanpa ruang untuk film anti silau, pencahayaan musim dingin, atau pelanggan yang tinggi. Itulah mengapa desain untuk teller menggunakan kamera yang dipasang setinggi wajah pada kolom atau bagian depan meja, bukan dome di atas kepala. Spesifikasi yang sama, geometri yang berbeda, hasil yang berbeda.

Contoh yang dikerjakan — kamera 6 MP, sensor 1/1.8" (7,20 mm horizontal), lensa 8 mm, dipasang pada kolom setinggi wajah pelanggan.

PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓

PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓

Kombinasi 6 MP / 8 mm / 1/1.8" adalah kamera andalan untuk layanan teller. Ruang gerak di atas 250 ppm (gambar per menit) sengaja dibuat demikian — untuk mengakomodasi lapisan anti-silau pada meja kasir, pencahayaan ambient rendah di musim dingin, variasi tinggi badan pelanggan, dan pergeseran posisi pemasangan yang kecil dan tak terhindarkan selama masa pakai 10 tahun. Angka 5 m menunjukkan posisi pelanggan satu langkah di belakang meja kasir, masih dalam proses identifikasi.

Kamera pendamping dipasang di atas, di belakang teller, menghadap ke bawah ke laci uang. Pilihan umum: 4MP dengan lensa lebar 2,8mm pada jarak pandang 1,2m ke permukaan laci. Kamera ini merekam penanganan uang kertas — penghitungan, pengemasan, penyortiran — dan merupakan bukti utama untuk setiap perselisihan uang tunai. Kamera ini tidak perlu melihat wajah pelanggan (kamera jendela yang melakukannya). Namun, kamera ini perlu melihat tangan dan uang kertas dengan jelas, yang berarti setidaknya pengenalan wajah pada area laci dengan lebar sekitar 0,6m.

Batas privasi — Penyamaran keypad PIN. Kedua kamera tersebut tidak menutupi keypad PIN di sisi pelanggan. Panduan PCI secara eksplisit menyatakan bahwa perangkat apa pun yang merekam input PIN akan memicu kontrol penanganan PIN — enkripsi saat data diam, penyimpanan kunci, dan audit. Anda tidak ingin sistem CCTV Anda mewarisi cakupan PCI. Solusi standar adalah memasang kamera pada sudut yang secara fisik tidak dapat melihat permukaan keypad (sudut lancip dari samping), atau menyembunyikan area keypad di firmware kamera (sebagian besar kamera ONVIF profesional mendukung penyembunyian privasi per zona). Bagaimanapun, dokumen desain harus menyatakan metode mana yang Anda gunakan dan mengapa.

Pola per-jendela meningkat secara linier: jalur teller 6 posisi mendapatkan 6 kamera wajah + 6 kamera laci kas = 12 perangkat di sisi teller. Itu terdengar banyak sampai Anda membandingkannya dengan alternatif satu transaksi tunai yang disengketakan tanpa bukti dan berakhir di pengawas. Biaya marginal dua kamera per posisi jauh di bawah biaya satu sengketa yang tidak menghasilkan kesimpulan.

Zona 3 — ATM: Identifikasi wajah + pemeriksaan perilaku + perimeter / pelat

Setiap ATM layak memiliki tiga kamera. Kamera wajah mengidentifikasi pengguna. Kamera layar merekam perilaku — menutupi keypad, mengintip layar, rekayasa sosial. Kamera perimeter mencakup pendekatan dan keluar, dan pada unit drive-up, kamera ini merekam plat nomor kendaraan. Setiap kamera menjawab kategori penipuan atau serangan yang berbeda: skimming kartu (wajah + perilaku), menjebak kartu (perilaku), pencurian dengan pengalihan perhatian (perimeter), perampokan drive-up (perimeter + plat nomor), dan rekonstruksi pengambilalihan akun (wajah).

Contoh kasus — klaster ATM tiga kamera

Kamera wajah — 4MP, 1/2.8", lensa 6mm pada jarak 1,5m ke wajah pengguna:

PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)

Kamera layar/perilaku — 4MP, 1/2.8", lensa lebar 2.8mm pada jarak 1m ke area keypad:

PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)

Kamera pelat drive-through — 8MP, 1/1.8", lensa 12mm pada jarak 5–8m ke pelat:

PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night

Sudut tembus pandang dan penurunan daya rana. Kamera plat nomor adalah satu-satunya tempat di cabang ATM di mana perhitungan posisi statis meremehkan lensa yang Anda butuhkan. Kendaraan yang mendekati ATM dengan kecepatan 5 km/jam bergerak sekitar 1,4 m/s, dan plat nomor jarang tegak lurus terhadap sumbu kamera — sudut pendekatan tipikal adalah 20°–35°. Jumlah karakter pada plat nomor yang efektif berkurang karena cos(sudut): pada 30° Anda kehilangan ~13%, pada 45° Anda kehilangan ~30%. Selain itu, blur akibat gerakan mengaburkan karakter kecuali kecepatan rana ≤ 1/500 s, yang memaksa penggunaan aperture yang lebih lebar atau gain yang lebih tinggi dalam kondisi malam. Aturan praktis: gandakan panjang fokus yang akan Anda pilih untuk pengambilan gambar wajah statis pada jarak yang sama. Untuk drive-through 5 m, 12 mm bukan 6 mm. Lihat panduan jarak plat nomor dan panjang fokus untuk perhitungan keterbacaan pelat secara lengkap.

ATM luar ruangan = zona perlindungan petir. EN 62305 mengklasifikasikan setiap perangkat luar ruangan yang dipasang pada tiang terbuka atau kanopi sebagai Zona Perlindungan Petir, dan BOM Bill of Materials) harus mencakup perangkat perlindungan lonjakan arus (surge protection devices/SPD) pada saluran daya dan saluran data. Kamera PoE standar tanpa SPD hanya tinggal menunggu satu badai petir saja untuk rusak total — dan lonjakan arus seringkali juga merusak port NVR. PDF desain Anda harus secara eksplisit mencantumkan model SPD per kamera luar ruangan, klasifikasi LPZ, dan pengikatan ke sistem petir bangunan jika ada. Anggaran PoE tipikal untuk kamera ATM luar ruangan dengan pemanas dan SPD: 25–30 W per titik pada port switch PoE+ (60 W). dome dalam ruangan membutuhkan daya 5–7 W. Sesuaikan ukuran switch dan UPS di lemari sesuai kebutuhan.

Zona 4 — Brankas dan ruang uang: tumpang tindih kamera ganda, terhubung ke kontrol akses

Ruang brankas dan penghitungan uang adalah zona dengan risiko tertinggi di setiap cabang dan yang paling mudah untuk melakukan spesifikasi berlebihan dan rekayasa yang kurang memadai secara bersamaan. Spesifikasi berlebihan terlihat seperti empat kamera 4K sudut lebar yang mengarah ke dinding yang sama. Rekayasa yang kurang memadai terlihat seperti satu kamera resolusi tinggi tanpa sudut pandang kedua. Pola yang tepat adalah dua kamera dengan bidang pandang yang tumpang tindih, dipasang di sudut yang berlawanan, masing-masing dengan kepadatan piksel tingkat Identifikasi di sepanjang sumbu tengah ruangan.

Contoh kasus — pasangan 4MP, lensa 4mm, sudut berlawanan pada ketinggian 2,7m

PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

Setiap kamera mencakup ruangan dari salah satu sudut. Tumpang tindih sudut 30–40% di sepanjang sumbu tengah berarti upaya perusakan pada satu perangkat akan meninggalkan perangkat kedua sebagai saksi independen, dan ruang lingkup identifikasi (~1,9x di atas ambang batas) mampu menampung toleransi pemasangan dan variasi pencahayaan yang wajar.

Pemberian tag pada video berdasarkan pemicu peristiwa. Rekaman dari ruang penyimpanan perlu ditandai ke log peristiwa kontrol akses. Setiap peristiwa pintu terbuka di ruang penyimpanan harus secara otomatis melampirkan segmen video pasangan kamera yang sesuai ke catatan peristiwa di NVR. Inilah yang dicari auditor ML ketika mereka meminta untuk "melihat entri ruang penyimpanan selama 90 hari terakhir": bukan garis waktu panjang ruangan kosong, tetapi daftar peristiwa akses dengan klip 2 menit yang telah dilampirkan sebelumnya untuk setiap peristiwa. Sebagian besar platform NVR profesional mendukung penandaan video pemicu peristiwa — desain hanya perlu menentukan tautan, aturan retensi (biasanya yang lebih lama antara jendela retensi log akses dan ML ), dan kompatibilitas vendor kontrol akses.

Retensi untuk rekaman arsip adalah yang terlama di antara rezim yang mengaturnya. Di Uni Eropa, praktik yang diterjemahkan oleh ML D menetapkan retensi 6 bulan untuk akses arsip umum dan tidak terbatas untuk kejadian yang ditandai. Di AS, panduan BSA/FFIEC mendorong minimal 1 tahun untuk arsip dan 5 tahun untuk rekaman apa pun yang terkait dengan Laporan Aktivitas Mencurigakan (SAR). Catatan tentang retensi jangka panjang: Prinsip pembatasan penyimpanan GDPR (Pasal 5(1)(e)) berlaku sebaliknya — retensi tidak terbatas memerlukan pemicu yang dapat diaudit (tanda SAR, ID investigasi) yang mengaitkan setiap segmen yang disimpan dengan tujuan hukumnya. Retensi menyeluruh selama 5 tahun tanpa justifikasi tingkat segmen itu sendiri merupakan temuan. Konsultasikan dengan penasihat hukum untuk desain lintas batas. Kalkulator penyimpanan CCTVplanner melakukan perhitungan di kalkulator/penyimpanan dengan retensi per kamera sebagai variabel per zona.

Zona 5 — Koridor brankas: identifikasi pintu masuk, jangan pernah mengambil isi brankas

Ruang penyimpanan aman adalah zona di mana batasan privasi paling tajam dan paling didukung oleh yurisprudensi di setiap yurisdiksi Eropa. Pelanggan memiliki harapan privasi yang eksplisit terkait isi kotak mereka. CCTV di koridor dapat diterima — terkadang wajib — tetapi perekaman bagian dalam kotak atau bahkan interaksi pelanggan dengan kotak mereka yang terbuka dapat ditentang berdasarkan Pasal 8 Konvensi Hak Asasi Manusia Eropa (ECHR) di beberapa yurisdiksi. Pola desain standar adalah: tutupi pintu masuk koridor, tutupi pintu ruang penyimpanan dari dalam, jangan pernah mengarahkan kamera ke rak kotak itu sendiri.

Contoh perhitungan — 4MP / 4mm di pintu masuk koridor, kedalaman pandang 3–5m

PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓

Pelanggan dapat diidentifikasi di pintu masuk koridor. Kamera kedua di dalam ruang kotak mencakup pintu tetapi diarahkan sedemikian rupa sehingga rak kotak berada di luar bingkai. Pelanggan terekam saat masuk dan keluar; interaksi mereka dengan kotak mereka sendiri tidak terekam.

Ini adalah pola privasi-berdasarkan-desain yang paling eksplisit di seluruh cabang dan yang paling dihargai oleh supervisor dalam tinjauan DPIA. Dengan mendokumentasikan batasan sudut, diagram bidang pandang kamera dengan rak kotak di luar setiap bingkai, dan pelatihan operator tentang kebijakan tanpa zoom ke dalam kotak, Anda mengubah zona yang berisiko menjadi demonstrasi kepatuhan yang bersih. PDF proyek CCTVplanner menyertakan anotasi "cakupan konten yang ditangkap" per kamera khusus untuk jenis dokumentasi yang ditujukan untuk regulator ini.

Arsitektur jaringan: VLAN, bidang manajemen, NDAA -perangkat lunak

NDAA §889 tidak hanya berhenti pada bodi kamera. Panduan penegakan hukum tahun 2023–2024 dari lembaga federal memperjelas bahwa perangkat lunak manajemen video, firmware NVR, dan sistem manajemen cloud dari entitas yang tercakup juga dibatasi. Kamera Hanwha atau Axis yang "sesuai" yang terhubung ke NVR Hikvision tetap merupakan pelanggaran §889. Desain Anda perlu membuktikan keseluruhan sistem: bodi kamera, perekam, VMS, dan layanan manajemen cloud atau seluler apa pun.

Segmentasi jaringan juga bukan pilihan opsional. Jaringan CCTV bank merupakan target bernilai tinggi — baik karena kamera itu sendiri merupakan titik pandang istimewa dalam penanganan uang tunai, maupun karena switch PoE dengan kredensial default merupakan jalur pergerakan lateral yang terdokumentasi ke dalam jaringan perusahaan. Desain minimumnya:

VLAN khusus kamera, tidak ada perutean ke LAN perusahaan, tidak ada akses keluar internet kecuali ke titik akhir cloud vendor yang diizinkan.
Bidang manajemen pada VLAN terpisah dengan otentikasi multi-faktor pada konsol VMS.
Proses pembaruan firmware didokumentasikan — pembaruan manual terisolasi (air-gapped) atau pembaruan otomatis hanya dengan firmware yang ditandatangani, tidak pernah menggunakan penarikan HTTP biasa.
Kredensial default dihapus saat commissioning, didokumentasikan dalam serah terima.

Inilah lapisan yang mengubah sistem CCTV dari beban kepatuhan menjadi aset kepatuhan. Auditor semakin sering meminta diagram jaringan bersamaan dengan jadwal kamera.

Standardisasi multi-cabang di 10+ lokasi

Sebuah bank ritel dengan 50 cabang memiliki lima zona yang sama di setiap cabangnya — tetapi cabang-cabang tersebut berbeda dalam ukuran, tata letak, dan geometri jalan. Proses mendesain ulang setiap bagian dari awal adalah awal mula penyimpangan kepatuhan: cabang 23 mendapatkan lensa 6mm di pintu masuk sementara cabang lain menggunakan 4mm, karena desainer pada hari itu salah ingat. Tiga bulan kemudian, pengujian menemukan bahwa cabang 23 mendeteksi pengenalan (Recognition) bukan identifikasi (Identification) di pintu masuk, dan seluruh cabang harus didesain ulang.

Model standar menggunakan tiga templat arketipe — biasanya kecil (2 teller, satu ATM, tanpa layanan drive-through), menengah (4 teller, dua ATM, tanpa layanan drive-through), dan besar (6+ teller, layanan drive-through, multi-brankas). Setiap arketipe merupakan desain EN 62676-4 yang telah sepenuhnya diselesaikan dengan jumlah kamera, pilihan lensa, ketinggian pemasangan, dan perhitungan DORI yang sudah terintegrasi. Setiap cabang sebenarnya dimulai sebagai percabangan dari arketipe terdekat, dengan penyesuaian khusus lokasi untuk kamera perimeter dan geometri denah lantai. Kepatuhan tetap terjaga; hanya geometrinya yang bervariasi.

Model proyek CCTVplanner dibangun untuk pola ini. Tindakan "duplikat proyek" mengklonakan arketipe dengan semua zona, semua perhitungan DORI, dan semua metadata kepatuhan yang utuh. Proyek yang diduplikasi kemudian menerima denah lantai baru, peta satelit baru, dan penyesuaian kamera per cabang tanpa kehilangan dasar EN 62676-4. Setiap cabang menghasilkan PDF auditornya sendiri, tetapi aturan desain yang mendasarinya identik dan dapat diverifikasi ulang.

BOM , penyimpanan retensi, dan PDF auditor.

Desain bank yang tidak menghasilkan satu file hasil akhir untuk auditor bukanlah desain yang selesai. PDF tersebut berisi:

Denah lantai dengan setiap kamera ditandai
Matriks zona dengan level DORI per kamera per zona
Jadwal kamera dengan model + lensa + dudukan + daya
Jalur kabel dan anggaran PoE per lemari (tipikal: 25–30 W per kamera ATM luar ruangan, 5–7 W per dome dalam ruangan)
Penentuan ukuran NVR + penyimpanan untuk jendela retensi per zona.
Daftar SPD untuk perangkat LPZ luar ruangan
Bendera NDAA §889 per kamera, perekam, dan komponen VMS
Diagram arsitektur jaringan (VLAN, bidang manajemen, kebijakan firmware)
Kerangka kerja DPIA Pasal 35 GDPR

Setiap bagian tersebut menjawab pertanyaan regulator. Matriks zona menjawab pertanyaan "apakah setiap wajah yang penting telah diidentifikasi?". Jadwal kamera menjawab pertanyaan "apakah ada merek terlarang yang hadir di cabang yang berdekatan secara federal?". Tabel retensi menjawab pertanyaan "apakah Anda menyimpan rekaman ATM cukup lama untuk mendukung aturan 90 hari BSA, dan cukup singkat untuk menghormati batasan penyimpanan GDPR ?". Lembar kerja DPIA menjawab pertanyaan "apakah Anda menerapkan Pasal 35 pada pemrosesan ini?". Sebuah PDF tunggal yang sesuai dengan pertanyaan-pertanyaan tersebut mengurangi waktu wawancara regulator dari setengah hari menjadi setengah jam.

Daftar BOM diekspor secara terpisah sebagai CSV untuk alur kerja pengadaan. Ekspor DXF dikirim ke kontraktor listrik dengan rute kabel, posisi pemasangan, dan anggaran PoE per titik. Kedua file tersebut merujuk pada PDF kanonik yang sama sehingga pengadaan, pemasang, dan auditor selalu melihat sumber kebenaran yang sama. Inilah pola multi-output yang membedakan alat desain kelas perbankan dari perencana kamera generik.

Kesalahan umum yang harus dihindari

Sebuah dome tunggal di atas kepala yang menutupi bagian depan dan laci uang di jendela teller.
Target DORI yang berbeda, geometri yang berbeda, satu perangkat tidak dapat memenuhi keduanya. Audit ML secara khusus menandai teller — sebagian besar kegagalan komisioning terjadi di sini.
Mencampurkan Hikvision atau Dahua ke dalam BOM cabang yang berdekatan secara federal — termasuk NVR dan VMS
NDAA §889 mencakup seluruh rangkaian prosedur. Kamera yang sesuai standar pada perekam yang tidak sesuai standar tetap merupakan pelanggaran. Pencabutan pendanaan federal dan pengadaan ulang akan menyusul.
Melewatkan Penilaian Dampak Perlindungan Data (DPIA) Pasal 35 GDPR pada "perubahan desain kecil"
Perubahan apa pun pada jumlah kamera, pemasangan, atau retensi di suatu cabang merupakan perubahan pada aktivitas pemrosesan. Bahkan proyek "kami baru saja menambahkan dua kamera" pun memerlukan pembaruan DPIA (Penilaian Dampak Perlindungan Data). Otoritas pengawas semakin memantau hal ini.
Tidak ada perangkat pelindung lonjakan arus pada kamera ATM luar ruangan.
EN 62305 mensyaratkan klasifikasi LPZ + SPD pada setiap kamera luar ruangan yang terpapar. Badai, kerusakan transformator, atau sambaran petir langsung pada kanopi dapat merusak kamera dan seringkali juga port NVR. Biaya pemasangan SPD tergolong kecil di awal.
ATM dengan satu kamera tanpa cadangan.
Upaya perusakan atau penghalangan pada satu-satunya kamera ATM tidak meninggalkan bukti. Pola tiga kamera ATM (muka + layar + perimeter) bersifat anti-perusakan sekaligus anti-penipuan.
Masa penyimpanan data disesuaikan dengan jangka waktu terpendek yang berlaku.
Cabang yang beroperasi di Uni Eropa dan AS perlu memenuhi persyaratan AML ML Laundering) dan BSA (Bank Secrecy Act). Memperkirakan penyimpanan sesuai jangka waktu Uni Eropa, sementara BSA mensyaratkan jangka waktu yang lebih lama, adalah jenis kesalahan desain yang dapat dicegah dan akan terungkap dalam wawancara regulator enam bulan kemudian. Kesalahan serupa—retensi tanpa batas secara menyeluruh tanpa justifikasi per segmen—melanggar batasan penyimpanan GDPR.
Kamera VLAN flat dengan LAN perusahaan
Switch PoE dengan kredensial default dan kamera IP merupakan jalur pergerakan lateral yang terdokumentasi. Segmentasi bukanlah sekadar fitur tambahan yang "baik untuk dimiliki".

Pertanyaan yang Sering Diajukan

→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?

Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.

→What is the AML video retention window for ATM footage in the EU vs the US?

EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.

→Is Hikvision banned in every bank branch, or only federal-affiliated ones?

Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.

→How many cameras do I need at an ATM — one, two, or three?

Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.

→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?

At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.

→Do I need separate cameras for the teller's face and the teller's cash drawer?

Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.

→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?

Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.

→Can I reuse one branch's CCTV design across 50 sites?

Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.

→Does NDAA §889 cover the NVR and VMS or just the cameras?

The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.

Desain CCTV Bank 2026: ATM, Brankas, Teller & Pintu Masuk Cabang — Panduan Zona demi Zona EN 62676-4

TL;DR — 5 hal yang perlu diperhatikan

Daftar Isi