Projeto de CFTV para Bancos 2026: Zona por Zona EN 62676-4 Identificação + GDPR DPIA + ML + NDAA §889

Por que as câmeras de segurança dos bancos não "cobrem o saguão"?

Uma agência bancária parece um pequeno espaço comercial. Um órgão regulador a analisa e vê cinco regimes legais sobrepostos: o Artigo 9 GDPR sobre risco de dados de categoria especial em cada transação, a retenção de provas para fins de combate à lavagem de dinheiro em cada caixa, a reconstrução do cadastro "Conheça Seu Cliente" para verificação de sanções em cada abertura de conta, os controles de aquisição da Seção 889 NDAA em cada corpo de câmera e a proteção contra raios da norma EN 62305 em cada caixa eletrônico externo. Cada um desses regimes define um parâmetro diferente da mesma câmera: a lente, a janela de retenção, a marca do modelo, o dispositivo de proteção contra surtos. Se um deles estiver incorreto, o projeto falha na fase de comissionamento. Se dois estiverem incorretos, o projeto falha na fase de aquisição.

Subjacente a todos os quatro regimes legais está EN 62676-4 — a norma técnica que define, em números, o que significa "a câmera viu o rosto". Ela costuma ser subestimada nos editais de licitação, razão pela qual muitos projetos atendem ao requisito de número de câmeras, mas não atingem o limite de pixels por metro. A emenda de outubro de 2025 introduz a estrutura OODPCVS (Visão Geral, Descrição, Discernimento, Percepção, Caracterização, Validação, Análise Crítica) como um vocabulário mais detalhado, sobreposto aos já conhecidos níveis de Detecção/Observação/Reconhecimento/Identificação ( DORI ). Os limites não se alteram; OODPCVS apenas fornece aos auditores uma linguagem mais precisa para casos intermediários. Para o restante deste artigo, utilizamos os números DORI, com o mapeamento OODPCVS na tabela abaixo para referência cruzada.

DORI (legado)	px/m	OODPCVS (2025)	Uso bancário típico
Identification	250	Validate / Scrutinise	Teller face, ATM user, entry, vault axis, safe-deposit entry
Recognition	125	Characterise	Cash drawer, vault perimeter overlap, drive-through approach
Observation	62	Perceive / Discern	General lobby, car park sweep
Detection	25	Outline / Overview	Minimum to justify recording at all

Este artigo analisa cada zona individualmente, com os cálculos matemáticos explícitos. Dedicamos uma atenção especial à aritmética de pixels por metro porque, em nossa experiência auditando projetos de agências de bancos europeus de médio porte, o principal motivo para o insucesso na implementação é que o projeto atendia à exigência de número de câmeras, mas não atingia o limite de pixels por metro no caixa. O saguão estava perfeito. O cofre estava perfeito. O caixa — a zona crítica ML — estava 14% abaixo do necessário para a identificação. Esse é o tipo de falha que resulta em um redesenho e um atraso de seis meses.

Cartão de referência. Identificação 250 px/m · Reconhecimento 125 px/m · Observação 62 px/m · Detecção 25 px/m. Caixa de banco, usuário de caixa eletrônico, entrada, eixo do cofre e entrada de cofre-forte estão todos na Identificação. Todo o resto é um passo defensável para baixo com justificativa documentada.

Zona 1 — Entrada da filial: todos os rostos, sobreposição de duas câmeras

A entrada da agência é a zona mais simples de projetar corretamente e a mais fácil de subestimar. Todas as autoridades reguladoras esperam uma captura facial com qualidade de identificação de todos os adultos que passam pela porta — sem exceção. O objetivo é a investigação posterior: quando uma fraude, furto, roubo ou identificação assistida de suspeito surge em um alerta ML, a gravação da entrada fornece o registro de data e hora e a primeira imagem nítida do rosto. Uma imagem de entrada desfocada é um dos motivos mais comuns para a demora na resolução de uma fraude.

Exemplo prático — câmera de 4MP, lente de 4mm, 4m até a porta de entrada.

PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓

Uma altura livre de 1,9 vezes acima do limite de 250 ppm a 4 m significa que o projeto tolera oclusão parcial, manhãs escuras de inverno e pequenos erros na altura de instalação sem infringir as normas de identificação. A posição de 6 m fica na parte de trás do vestíbulo — após a porta interna, onde o cliente transita do espaço público para o espaço controlado pelo banco.

Por que duas câmeras e não uma? O sistema de entrada com duas câmeras serve tanto para evitar adulteração quanto para evitar obstrução. Uma única câmera de entrada representa um único ponto de falha: tinta spray, obstrução por chapéu, reflexo do sol em um ângulo inadequado ou — no pior dos casos — adulteração física durante o próprio roubo. Duas câmeras, instaladas em lados opostos do teto, observam uma à outra e a entrada simultaneamente. A segunda câmera também captura o ângulo que a primeira perde devido a guarda-chuvas e chapéus altos. O custo marginal do hardware se resume a um dispositivo e algumas centenas de metros de cabo Cat6 — um valor pequeno em comparação com o custo de uma identificação contestada.

Privacidade por design: a câmera de entrada grava legalmente todos os clientes que entram, pois a base legal é o interesse legítimo, conforme o Artigo 6(1)(f) GDPR — a prevenção de crimes financeiros é um dos casos reconhecidos no considerando 49 —, combinado com sinalização explícita na porta. Sua Avaliação de Impacto sobre a Proteção de Dados (AIPD) precisa documentar o teste de necessidade (seria possível obter o mesmo resultado probatório com menos dados?), o teste de proporcionalidade (a sobreposição de duas câmeras é necessária ou excessiva?) e o mecanismo de direitos do titular dos dados. A resposta padrão para câmeras de entrada é sim, sim, e um procedimento de contato com o Encarregado da Proteção de Dados (DPO) devidamente afixado.

Para uma explicação completa do cálculo de pixels por metro que fundamenta os números acima, consulte o DORI calculation walkthroughou pule diretamente para o free DORI calculator para validar sua escolha específica de câmera e lente.

Zona 2 — Fila do caixa: frente por guichê + gaveta de dinheiro sobre o ombro

O guichê do caixa é a zona mais negligenciada no projeto típico de uma agência bancária e a que tem maior probabilidade de falhar em uma nova medição durante o comissionamento. A tentação é instalar uma única dome suspensa que ilumine todo o balcão — eficiente, barata e fácil de instalar. O problema é que um único dispositivo suspenso não consegue atender a dois objetivos distintos DORI simultaneamente: o rosto do cliente na Identificação (250 ppm) e a gaveta de dinheiro no Reconhecimento (125 ppm). Um está aproximadamente na altura dos olhos, olhando horizontalmente; o outro está na altura das mãos, olhando verticalmente. A geometria é fundamentalmente diferente.

Uma observação sobre por que a mesma especificação de câmera passa na etapa de Entrada, mas falha na etapa de Caixa. Uma câmera de 4 MP / 4 mm / 1/2,8" a 4 m de distância, em linha reta, captura aproximadamente 476 ppm de um rosto — o suficiente para identificação. O mesmo corpo, com a mesma lente, montado em uma dome a 2,7 m de altura, apontando para um cliente no caixa a 4 m de distância, do outro lado do balcão, está posicionado em um ângulo oblíquo. O plano facial efetivo é encurtado em aproximadamente cos(35°) ≈ 0,82, e a diagonal da linha de visão fica mais próxima de 4,8 m do que de 4 m. A captura efetiva de ppm no rosto fica mais próxima de 325 — ainda acima do nível necessário para identificação, mas sem margem para compensar o brilho da película, a iluminação de inverno ou a altura de um cliente. É por isso que o projeto para linhas de caixa utiliza uma câmera montada na altura do rosto em uma coluna ou na frente do balcão, e não em uma dome suspensa. Mesma especificação, geometria diferente, resultado diferente.

Exemplo prático — câmera de 6 MP, sensor de 1/1,8" (7,20 mm na horizontal), lente de 8 mm, montada em coluna na altura do rosto do cliente.

PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓

PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓

A combinação de 6 MP / 8 mm / 1/1,8" é a câmera padrão para caixas eletrônicos. A margem de segurança de mais de 250 ppm é intencional — ela compensa o reflexo da película antirreflexo no balcão, a baixa luminosidade ambiente no inverno, as variações de altura dos clientes e a inevitável pequena deriva da posição de montagem ao longo de 10 anos de vida útil. O número de 5 m indica a posição de um cliente a um passo do balcão, ainda na área de identificação.

A câmera auxiliar é instalada acima, atrás do caixa, apontando para a gaveta de dinheiro. A configuração típica: 4MP com lente grande angular de 2,8mm a uma distância de 1,2m em linha reta com a superfície da gaveta. Essa câmera grava o manuseio das notas — contagem, embalagem, separação — e serve como prova em caso de disputa relacionada ao dinheiro. Ela não precisa captar o rosto do cliente (a câmera da janela faz isso). Precisa, sim, captar claramente as mãos e as notas, o que significa, no mínimo, reconhecimento facial em uma área de aproximadamente 0,6m de largura ao redor da gaveta.

Limite de privacidade — Ocultação do teclado PIN. Nenhuma das câmeras cobre o teclado do terminal PIN do lado do cliente. As diretrizes do PCI são explícitas ao afirmar que qualquer dispositivo que grave a entrada do PIN aciona os controles de manipulação do PIN — criptografia em repouso, custódia da chave e auditoria. Você não quer que seu sistema de CFTV herde o escopo do PCI. A solução padrão é instalar as câmeras em ângulos que fisicamente não permitam a visualização da face do teclado (ângulos agudos laterais) ou mascarar a região do teclado no firmware da câmera (a maioria das câmeras ONVIF profissionais suporta mascaramento de privacidade por zona). De qualquer forma, o documento de projeto deve especificar qual método foi utilizado e o motivo.

O padrão de câmeras por guichê escala linearmente: uma fila de 6 caixas recebe 6 câmeras faciais + 6 câmeras nas gavetas de dinheiro = 12 dispositivos no lado do caixa. Isso parece muito até você comparar com a alternativa de uma transação em dinheiro contestada, sem provas, que acaba sendo encaminhada ao supervisor. O custo marginal de duas câmeras por posição é muito menor do que o custo de uma contestação inconclusiva.

Zona 3 — Caixa eletrônico: reconhecimento facial + comportamento na tela + perímetro/placa

Cada caixa eletrônico deve ter três câmeras. A câmera facial identifica o usuário. A câmera da tela registra o comportamento — como cobrir o teclado, observar o usuário por cima do ombro ou usar técnicas de engenharia social. A câmera perimetral cobre a aproximação e a saída, e, em caixas eletrônicos com acesso para veículos, captura a placa do veículo. Cada câmera é responsável por uma categoria diferente de fraude ou ataque: clonagem de cartão (reconhecimento facial + comportamento), captura de cartão (comportamento), roubo por distração (perímetro), roubo em caixas eletrônicos com acesso para veículos (perímetro + placa) e reconstrução de contas roubadas (reconhecimento facial).

Exemplo prático — conjunto de três câmeras em um caixa eletrônico

Câmera frontal — 4 MP, lente de 1/2,8", 6 mm a 1,5 m do rosto do usuário:

PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)

Câmera de tela/comportamento — 4MP, lente grande angular de 1/2,8", 2,8 mm a 1 m da área do teclado:

PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)

Câmera para impressão de placas em drive-thru — 8MP, lente de 1/1,8", 12mm a 5–8m da placa:

PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night

Ângulo de passagem e redução da capacidade do obturador. As câmeras de placa são o único caso em que a aritmética de posição estática subestima a lente necessária. Um veículo se aproximando do caixa eletrônico a 5 km/h está se movendo a aproximadamente 1,4 m/s, e a placa raramente está perpendicular ao eixo da câmera — o ângulo de aproximação típico é de 20° a 35°. A resolução efetiva em ppm dos caracteres da placa é reduzida pelo cosseno do ângulo: a 30°, perde-se cerca de 13%, a 45°, cerca de 30%. Além disso, o desfoque de movimento borra os caracteres, a menos que a velocidade do obturador seja ≤ 1/500 s, o que exige uma abertura maior ou um ganho mais alto em condições noturnas. Regra prática: dobre a distância focal que você escolheria para capturar um rosto estático à mesma distância. Para um drive-thru de 5 m, use 12 mm em vez de 6 mm. Veja o guia de distância e distância focal da placa de matrícula para o cálculo completo da legibilidade da placa.

Caixa eletrônico externo = zona de proteção contra raios. A norma EN 62305 classifica qualquer dispositivo externo montado em poste exposto ou cobertura como Zona de Proteção contra Raios (LPZ), e a BOM deve incluir dispositivos de proteção contra surtos tanto na linha de energia quanto na linha de dados. Uma câmera PoE padrão sem DPS (Dispositivo de Proteção contra Surtos) pode ser danificada por uma única tempestade com raios — e o surto geralmente danifica a porta NVR Receptor de Vídeo Nuclear). Seu projeto PDF deve listar explicitamente o modelo de DPS para cada câmera externa, a classificação LPZ e a ligação ao sistema de proteção contra raios do edifício, se houver. O consumo típico PoE para uma câmera ATM externa com aquecedor e DPS é de 25 a 30 W por ponto em uma porta de switch PoE+ (60 W). dome internas consomem de 5 a 7 W. Dimensione o switch e o nobreak (UPS) do armário de acordo.

Zona 4 — Cofre e sala do dinheiro: sobreposição de câmeras duplas, vinculadas ao controle de acesso.

A sala do cofre e da contagem de dinheiro é a zona de maior risco em qualquer agência bancária e, ao mesmo tempo, a mais fácil de superdimensionar e subdimensionar. Superdimensionar significa usar quatro câmeras 4K grande-angulares apontando para a mesma parede. Subdimensionar significa usar uma única câmera de alta resolução sem um segundo ângulo. O padrão correto consiste em duas câmeras com campos de visão sobrepostos, montadas em cantos opostos, cada uma com densidade de pixels de nível de identificação ao longo do eixo central da sala.

Exemplo prático — par de câmeras de 4MP, lente de 4mm, cantos opostos a 2,7m de altura.

PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

Cada câmera cobre a sala a partir de um canto. A sobreposição angular de 30 a 40% ao longo do eixo central significa que uma tentativa de adulteração em um dispositivo deixa o segundo dispositivo como testemunha independente, e a margem de identificação (aproximadamente 1,9 vezes acima do limite) absorve tolerâncias razoáveis de montagem e variações de iluminação.

Marcação de vídeo acionada por eventos. As imagens do cofre precisam ser associadas ao registro de eventos do sistema de controle de acesso. Cada evento de abertura de porta no cofre deve anexar automaticamente o segmento de vídeo correspondente ao par de câmeras ao registro de eventos no NVR. É isso que os auditores de ML procuram quando solicitam "ver as entradas do cofre dos últimos 90 dias": não uma longa linha do tempo de salas vazias, mas uma lista de eventos de acesso com um clipe de 2 minutos pré-anexado para cada evento. A maioria das plataformas NVR profissionais suporta a marcação de vídeo acionada por eventos — o projeto só precisa especificar a vinculação, a regra de retenção (normalmente a mais longa entre as janelas de retenção do registro de acesso e da ML ) e a compatibilidade com o fornecedor do sistema de controle de acesso.

A retenção de gravações de cofres de câmeras é a mais longa entre os regimes que a abrangem. Na UE, uma prática traduzida pela ML D estabelece 6 meses para acesso geral ao cofre e retenção indefinida para eventos sinalizados. Nos EUA, as diretrizes da BSA/FFIEC recomendam um mínimo de 1 ano para gravações de cofres e 5 anos para qualquer gravação vinculada a um Relatório de Atividade Suspeita. Uma observação sobre a longa retenção: o princípio da limitação de armazenamento GDPR (Artigo 5(1)(e)) tem a direção oposta — a retenção indefinida precisa de um gatilho auditável (a sinalização do SAR, o ID da investigação) que vincule cada segmento preservado à sua finalidade legal. A retenção indefinida de 5 anos sem justificativa em nível de segmento constitui, por si só, uma constatação. Consulte um advogado para projetos transfronteiriços. A calculadora de armazenamento do CCTVplanner faz os cálculos em [link para a calculadora de armazenamento]. /calculadora/armazenamento com a retenção por câmera como uma variável por zona.

Zona 5 — Corredor de cofres: identifique a entrada, nunca capture o conteúdo.

O cofre é a área onde o limite da privacidade é mais nítido e mais respaldado pela jurisprudência em todas as jurisdições europeias. O cliente tem uma expectativa explícita de privacidade em relação ao conteúdo do seu cofre. O circuito fechado de TV (CFTV) no corredor é aceitável — às vezes obrigatório —, mas a cobertura do interior do cofre ou mesmo da interação do cliente com o cofre aberto pode ser contestada com base no Artigo 8 da Convenção Europeia dos Direitos Humanos (CEDH) em diversas jurisdições. O padrão de projeto é: cobrir a entrada do corredor, cobrir a porta da sala dos cofres por dentro e nunca apontar uma câmera para o próprio compartimento dos cofres.

Exemplo prático — 4MP / 4mm na entrada do corredor, profundidade de visão de 3 a 5m

PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓

O cliente é identificável na entrada do corredor. Uma segunda câmera dentro da sala de caixas cobre a porta, mas está angulada de forma que a estante de caixas fique fora do enquadramento. O cliente é gravado entrando e saindo; sua interação com a própria caixa não é.

Este é o padrão de privacidade por design mais explícito em toda a área e o que os supervisores mais valorizam nas avaliações de impacto sobre a proteção de dados (DPIA). Ao documentar a restrição de ângulo, o diagrama de campos de visão da câmera com o rack de equipamentos fora de cada quadro e o treinamento do operador sobre a política de não dar zoom na área de equipamentos, você transforma uma zona de risco em uma demonstração clara de conformidade. O PDF do projeto CCTVplanner inclui uma anotação de "escopo do conteúdo capturado" por câmera, específica para esse tipo de documentação voltada para os órgãos reguladores.

Arquitetura de rede: VLAN, plano de gerenciamento, NDAA de software

A Seção 889 da Lei de Autorização de NDAA não se limita ao corpo da câmera. As diretrizes de fiscalização de 2023-2024 das agências federais deixam claro que o software de gerenciamento de vídeo, o firmware NVR e os sistemas de gerenciamento em nuvem das entidades abrangidas pela lei também estão sujeitos a restrições. Uma câmera Hanwha ou Axis "em conformidade" conectada a um NVR Hikvision ainda constitui uma violação da Seção 889. Seu projeto precisa comprovar a abrangência completa: corpo da câmera, gravador, VMS e qualquer serviço de gerenciamento em nuvem ou móvel.

A segmentação de rede também não é opcional. Uma rede de CFTV bancária é um alvo de alto valor — tanto porque as próprias câmeras oferecem uma visão privilegiada do manuseio de dinheiro, quanto porque switches PoE com credenciais padrão representam um caminho documentado de movimentação lateral para a rede corporativa. O projeto mínimo:

VLAN dedicada para câmeras, sem roteamento para a LAN corporativa, sem saída para a internet, exceto para endpoints de nuvem de fornecedores autorizados.
Plano de gerenciamento em uma VLAN separada com autenticação multifator no console do VMS.
Processo de atualização de firmware documentado — atualização manual isolada da internet ou atualização automática somente com firmware assinado, nunca por meio de um simples pull via HTTP.
As credenciais padrão foram removidas durante o comissionamento e documentadas na transferência de responsabilidade.

Esta é a camada que transforma um sistema de CFTV de um passivo de conformidade em um ativo de conformidade. Os auditores solicitam cada vez mais o diagrama da rede juntamente com a programação das câmeras.

Padronização em várias filiais em mais de 10 locais.

Um banco de varejo com 50 agências possui as mesmas cinco zonas em todas elas — mas as agências diferem em tamanho, layout e geometria das ruas. A criação manual de cada projeto do zero é como começa o desvio de conformidade: a agência 23 recebe uma lente de 6 mm na entrada, enquanto todas as outras usam 4 mm, porque o projetista daquele dia se confundiu. Três meses depois, a equipe de comissionamento descobre que a agência 23 utiliza Reconhecimento em vez de Identificação na entrada, e toda a agência precisa ser redesenhada.

O modelo padronizado utiliza três arquétipos — tipicamente pequeno (2 caixas, um caixa eletrônico, sem drive-thru), médio (4 caixas, dois caixas eletrônicos, sem drive-thru) e grande (6 ou mais caixas, drive-thru, vários cofres). Cada arquétipo é um projeto EN 62676-4 totalmente resolvido, com a quantidade de câmeras, a escolha das lentes, as alturas de montagem e os cálculos DORI incorporados. Cada agência real começa como uma ramificação do arquétipo mais próximo, com adaptações específicas para as câmeras de perímetro e a geometria da planta baixa. A conformidade é mantida; apenas a geometria varia.

O modelo de projeto do CCTVplanner foi desenvolvido para esse padrão. A ação "duplicar projeto" clona um arquétipo com todas as zonas, todos os cálculos DORI e todos os metadados de conformidade intactos. O projeto duplicado aceita então uma nova planta baixa, um novo mapa de satélite e ajustes de câmeras por filial sem perder a linha de base da EN 62676-4. Cada filial gera seu próprio PDF de auditoria, mas as regras de projeto subjacentes são idênticas e podem ser verificadas novamente.

BOM , armazenamento de retenção e o PDF do auditor

Um projeto bancário que não gera um arquivo único para o auditor não é considerado um projeto finalizado. O PDF contém:

Planta baixa com todas as câmeras marcadas
Matriz de zonas com nível DORI por câmera por zona
Cronograma da câmera com modelo + lente + suporte + alimentação
Consumo de cabos e orçamento PoE por armário (típico: 25–30 W por câmera ATM externa, 5–7 W por dome interna)
Dimensionamento de armazenamento e NVR para janelas de retenção por zona
Lista SPD para dispositivos LPZ externos
Sinalizador NDAA §889 por câmera, gravador e componente VMS
Diagrama da arquitetura de rede (VLAN, plano de gerenciamento, política de firmware)
Modelo de planilha para Avaliação de Impacto sobre a Proteção de Dados (AIPD) do Artigo 35 GDPR

Cada uma dessas seções responde a uma pergunta do órgão regulador. A matriz de zonas responde à pergunta "todos os indivíduos relevantes foram identificados?". O cronograma das câmeras responde à pergunta "há alguma marca proibida presente em uma agência adjacente à jurisdição federal?". A tabela de retenção responde à pergunta "você mantém as imagens do caixa eletrônico por tempo suficiente para cumprir a regra dos 90 dias da Lei de Sigilo Bancário (BSA) e por tempo suficiente para respeitar a limitação de armazenamento GDPR ?". A planilha de Avaliação de Impacto sobre a Proteção de Dados (DPIA) responde à pergunta "você aplicou o Artigo 35 a este processamento?". Um único PDF que mapeia claramente essas perguntas reduz a entrevista com o órgão regulador de meio dia para meia hora.

A BOM é exportada separadamente como CSV para o fluxo de trabalho de compras. A exportação em DXF é enviada ao instalador elétrico com as rotas dos cabos, posições de montagem e orçamento PoE por ponto. Ambos os arquivos fazem referência ao mesmo PDF padrão, garantindo que o setor de compras, o instalador e o auditor sempre consultem a mesma fonte de informações confiáveis. Esse padrão de múltiplas saídas é o que diferencia uma ferramenta de projeto de nível bancário de um planejador de câmeras genérico.

Erros comuns a evitar

Uma única dome suspensa cobre tanto a frente quanto a gaveta de dinheiro no guichê do caixa.
Alvos DORI diferentes, geometria diferente, um único dispositivo não consegue atender a ambos. Uma auditoria de ML sinaliza especificamente o caixa eletrônico — a maioria das falhas de comissionamento ocorre aqui.
Misturar Hikvision ou Dahua em uma BOM de filial federal adjacente — incluindo NVR e VMS —
A Seção 889 NDAA abrange toda a cadeia de valor. Uma câmera compatível conectada a um gravador não compatível ainda constitui uma violação. Isso resulta no corte do financiamento federal e em uma nova licitação.
Ignorar a Avaliação de Impacto sobre a Proteção de Dados (AIPD) do Artigo 35 GDPR em uma "remodelagem menor"
Qualquer alteração na quantidade, instalação ou retenção de câmeras em uma filial representa uma mudança na atividade de processamento. Mesmo um projeto do tipo "apenas adicionamos duas câmeras" exige a atualização da Avaliação de Impacto sobre a Proteção de Dados (AIPD). As autoridades de supervisão estão monitorando isso cada vez mais.
Ausência de dispositivo de proteção contra surtos nas câmeras externas dos caixas eletrônicos.
A norma EN 62305 exige classificação LPZ + SPD em todas as câmeras externas expostas. Um tufão, uma falha no transformador ou um raio que atinja diretamente a cobertura danificam a câmera e, frequentemente, a porta NVR. O investimento inicial em um SPD é pequeno.
Caixa eletrônico com uma única câmera e sem câmera de ré.
Uma tentativa de adulteração ou obstrução na única câmera do caixa eletrônico não deixa vestígios. O sistema de três câmeras do caixa eletrônico (frontal + tela + perímetro) é tão eficaz contra adulteração quanto contra fraudes.
Retenção dimensionada para a janela aplicável mais curta.
Uma filial que opera na UE e nos EUA precisa atender aos requisitos da Lei Anti-Lavagem de Dinheiro ( ML -D) e da Lei de Sigilo Bancário (BSA). Dimensionar o armazenamento para o período exigido pela UE quando a BSA requer um período maior é o tipo de erro de projeto evitável que acaba vindo à tona na entrevista com o órgão regulador seis meses depois. O erro oposto — retenção indefinida e indiscriminada sem justificativa por segmento — viola as limitações de armazenamento GDPR.
VLAN da câmera com LAN corporativa
Switches PoE com credenciais padrão e câmeras IP são caminhos de movimentação lateral documentados. Segmentação não é um "recurso desejável".

Perguntas frequentes

→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?

Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.

→What is the AML video retention window for ATM footage in the EU vs the US?

EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.

→Is Hikvision banned in every bank branch, or only federal-affiliated ones?

Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.

→How many cameras do I need at an ATM — one, two, or three?

Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.

→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?

At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.

→Do I need separate cameras for the teller's face and the teller's cash drawer?

Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.

→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?

Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.

→Can I reuse one branch's CCTV design across 50 sites?

Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.

→Does NDAA §889 cover the NVR and VMS or just the cameras?

The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.

Projeto de CFTV Bancário 2026: Caixa Eletrônico, Cofre, Caixa e Entrada da Agência — Análise Zona por Zona EN 62676-4

Resumindo: as 5 coisas que você precisa fazer certo.

Índice