Projeto CCTV para Bancos 2026: Zona a Zona EN 62676-4 Identificação + GDPR DPIA + ML + NDAA §889

Porque é que as câmaras de segurança dos bancos não "cobrem o átrio"?

Uma agência bancária parece um pequeno espaço comercial. Uma entidade reguladora analisa-a e vê sobrepostos cinco regimes jurídicos: o artigo 9.º GDPR sobre o risco de dados de categoria especial em cada transação, a retenção de provas para efeitos de combate ao branqueamento de capitais em cada caixa, a reconstrução do registo "Conheça o Seu Cliente" para verificação de sanções em cada abertura de conta, os controlos de aquisição da Secção 889 NDAA em cada corpo de câmara e a proteção contra raios da norma EN 62305 em cada ATM externo. Cada um destes regimes define um parâmetro diferente da mesma câmara: a objetiva, a janela de retenção, a marca do modelo, o dispositivo de proteção contra picos de tensão. Se um deles estiver incorreto, o projeto falha na fase de comissionamento. Se dois estiverem incorretos, o projeto falha na fase de aquisição.

Subjacente a todos os quatro regimes jurídicos está EN 62676-4 — a norma técnica que define, em números, o que significa "a câmara viu o rosto". É frequentemente subestimada nos avisos de concurso, razão pela qual muitos projetos cumprem o requisito do número de câmaras, mas não atingem o limite de pixéis por metro. A alteração de outubro de 2025 introduz a estrutura OODPCVS (Overview, Description, Discerniment, Perception, Characterization, Validation, Critical Analysis) como um vocabulário mais detalhado, sobreposto aos já conhecidos níveis de Detecção/Observação/Reconhecimento/Identificação ( DORI ). Os limites não se alteram; OODPCVS apenas fornece aos auditores uma linguagem mais precisa para casos intermédios. Para o resto deste artigo, utilizámos os números DORI, com o mapeamento OODPCVS na tabela abaixo para referência cruzada.

DORI (legado)	px/m	OODPCVS (2025)	Uso bancário típico
Identification	250	Validate / Scrutinise	Teller face, ATM user, entry, vault axis, safe-deposit entry
Recognition	125	Characterise	Cash drawer, vault perimeter overlap, drive-through approach
Observation	62	Perceive / Discern	General lobby, car park sweep
Detection	25	Outline / Overview	Minimum to justify recording at all

Este artigo analisa cada zona individualmente, com os cálculos matemáticos explícitos. Dedicamos especial atenção à aritmética de pixéis por metro porque, na nossa experiência de auditoria de projetos de agências de bancos europeus de média dimensão, a principal razão para o insucesso na implementação é que o projeto cumpria o requisito do número de câmaras, mas não atingia o limite de pixéis por metro na caixa. O lobby estava perfeito. O cofre estava perfeito. O caixa — a zona crítica ML — estava 14% abaixo do necessário para a identificação. Este é o tipo de falha que resulta num redesenho e num atraso de seis meses.

Cartão de referência. Identificação 250 px/m · Reconhecimento 125 px/m · Observação 62 px/m · Detecção 25 px/m. Caixa de banco, utilizador de ATM, entrada, eixo do cofre e entrada cofre-forte estão todos na Identificação. Tudo o resto é um passo defensável para baixo com justificação documentada.

Zona 1 — Entrada da filial: todos os rostos, sobreposição de duas câmaras

A entrada da agência é a zona mais simples de projetar corretamente e a mais fácil de subestimar. Todas as autoridades reguladoras esperam uma captura facial com qualidade de identificação de todos os adultos que passam pela porta — sem exceção. O objetivo é a investigação posterior: quando uma fraude, furto, roubo ou identificação assistida de suspeito surge num alerta ML, a gravação da entrada fornece o registo da data e hora e a primeira imagem nítida do rosto. Uma imagem de entrada desfocada é um dos motivos mais comuns para o atraso na resolução de uma fraude.

Exemplo prático — câmara de 4MP, lente de 4mm, 4m até à porta de entrada.

PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓

Uma altura livre de 1,9 vezes acima do limite de 250 ppm a 4 m significa que o projeto tolera oclusão parcial, manhãs escuras de inverno e pequenos erros na altura de instalação sem infringir as normas de identificação. A posição de 6 m é na parte de trás do vestíbulo — após a porta interior, onde o cliente transita do espaço público para o espaço controlado pelo banco.

Porquê duas câmaras e não uma? O sistema de entrada com duas câmaras serve tanto para evitar adulterações como para evitar obstruções. Uma única câmara de entrada representa um único ponto de falha: tinta em spray, obstrução por chapéu, reflexo do sol num ângulo inadequado ou — no pior dos casos — adulteração física durante o próprio roubo. Duas câmaras, instaladas em lados opostos do teto, observam-se mutuamente e a entrada em simultâneo. A segunda câmara também capta o ângulo que a primeira perde devido aos guarda-chuvas e chapéus altos. O custo marginal do hardware resume-se a um dispositivo e a algumas centenas de metros de cabo Cat6 — um valor pequeno em comparação com o custo de uma identificação contestada.

Privacidade por design: a câmara de entrada grava legalmente todos os clientes que entram, pois a base legal é o interesse legítimo, conforme o Artigo 6(1)(f) GDPR — a prevenção de crimes financeiros é um dos casos reconhecidos no considerando 49 —, combinado com sinalização explícita na porta. A sua Avaliação de Impacto na Proteção de Dados (AIPD) necessita de documentar o teste de necessidade (seria possível obter o mesmo resultado probatório com menos dados?), o teste de proporcionalidade (a sobreposição de duas câmaras é necessária ou excessiva?) e o mecanismo de direitos do titular dos dados. A resposta padrão para as câmaras de entrada é sim, sim, e um procedimento de contacto com o Encarregado de Proteção de Dados (DPO) devidamente afixado.

Para uma explicação completa do cálculo de pixéis por metro que fundamenta os números acima, consulte o DORI calculation walkthroughou saltar diretamente para o free DORI calculator para validar a sua escolha específica de câmara e objetiva.

Zona 2 — Fila de caixa: frente por guiché + gaveta de dinheiro sobre o ombro

O guiché do caixa é a zona mais negligenciada no projeto típico de uma agência bancária e a que tem maior probabilidade de falhar uma nova medição durante o comissionamento. A tentação é instalar uma única dome suspensa que ilumine todo o balcão — eficiente, barata e fácil de instalar. O problema é que um único dispositivo suspenso não consegue servir dois objetivos distintos DORI em simultâneo: o rosto do cliente na Identificação (250 ppm) e a gaveta de dinheiro no Reconhecimento (125 ppm). Um está aproximadamente à altura dos olhos, olhando na horizontal; o outro está à altura das mãos, olhando na vertical. A geometria é fundamentalmente diferente.

Uma nota sobre o porquê de a mesma especificação de câmara passar na etapa de Entrada, mas falhar na etapa de Caixa. Uma câmara de 4 MP / 4 mm / 1/2,8" a 4 m de distância, em linha reta, capta aproximadamente 476 ppm de um rosto — o suficiente para identificação. O mesmo corpo, com a mesma lente, montado numa dome a 2,7 m de altura, apontando para um cliente na caixa a 4 m de distância, do outro lado do balcão, está posicionado num ângulo oblíquo. O plano facial efetivo é encurtado em aproximadamente cos(35°) ≈ 0,82, e a diagonal da linha de visão está mais próxima de 4,8 m dome que de 4 m. diferente.

Exemplo prático — câmara de 6 MP, sensor de 1/1,8" (7,20 mm na horizontal), lente de 8 mm, montada numa coluna à altura do rosto do cliente.

PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓

PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓

A combinação de 6 MP / 8 mm / 1/1,8" é a câmara padrão para caixas multibanco. A margem de segurança de mais de 250 ppm é intencional — compensa o reflexo da película antirreflexo no balcão, a baixa luminosidade ambiente no inverno, as variações de altura dos clientes e a inevitável pequena deriva da posição de montagem ao longo de 10 anos de vida útil. O número de 5 m indica a posição de um cliente a um passo do balcão, ainda na área de identificação.

A câmara auxiliar está instalada acima, atrás do caixa, apontando para a gaveta do dinheiro. A configuração típica: 4MP com lente grande angular de 2,8mm a uma distância de 1,2m em linha reta com a superfície da gaveta. Esta câmara regista o manuseamento das notas — contagem, embalagem, separação — e serve de prova em caso de disputa relacionada com dinheiro. Ela não precisa de captar o rosto do cliente (a câmara da janela faz isso). Necessita, sim, de captar claramente as mãos e as notas, o que significa, no mínimo, reconhecimento facial numa área de aproximadamente 0,6m de largura em redor da gaveta.

Limite de privacidade — Ocultação do teclado PIN. Nenhuma das câmaras cobre o teclado do terminal PIN do lado do cliente. As diretrizes do PCI são explícitas ao afirmar que qualquer dispositivo que grave a introdução do PIN aciona os controlos de manipulação do PIN — encriptação em repouso, custódia da chave e auditoria. Não quer que o seu sistema de CCTV herde o escopo do PCI. A solução padrão é instalar as câmaras em ângulos que fisicamente não permitam a visualização da face do teclado (ângulos agudos laterais) ou mascarar a região do teclado no firmware da câmara (a maioria das câmaras ONVIF profissionais suportam o mascaramento de privacidade por zona). De qualquer forma, o documento de projeto deve especificar qual o método utilizado e o motivo.

O padrão de câmaras por guiché escala linearmente: uma fila de 6 caixas recebe 6 câmaras faciais + 6 câmaras nas gavetas de dinheiro = 12 dispositivos do lado da caixa. Isto parece muito até se comparar com a alternativa de uma transação em dinheiro contestada, sem provas, que acaba por ser encaminhada para o supervisor. O custo marginal de duas câmaras por posição é muito inferior ao custo de uma contestação inconclusiva.

Zona 3 — ATM: reconhecimento facial + comportamento no ecrã + perímetro/placa

Cada ATM deve ter três câmaras. A câmara facial identifica o utilizador. A câmara do ecrã regista o comportamento — como cobrir o teclado, observar o utilizador por cima do ombro ou utilizar técnicas de engenharia social. A câmara perimetral cobre a aproximação e a saída, e, nos ATM com acesso para veículos, capta a matrícula do veículo. Cada câmara é responsável por uma categoria diferente de fraude ou ataque: clonagem de cartões (reconhecimento facial + comportamento), captura de cartões (comportamento), roubo por distração (perímetro), roubo em caixas multibanco com acesso para veículos (perímetro + matrícula) e reconstrução de contas roubadas (reconhecimento facial).

Exemplo prático — conjunto de três câmaras num caixa automático

Câmara frontal — 4 MP, lente de 1/2,8", 6 mm a 1,5 m do rosto do utilizador:

PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)

Câmara de ecrã/comportamento — 4MP, lente grande angular de 1/2,8", 2,8 mm a 1 m da área do teclado:

PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)

Câmara para impressão de matrículas em drive-thru — 8MP, lente de 1/1,8", 12mm a 5–8m da matrícula:

PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night

Ângulo de passagem e redução da potência do obturador. As câmaras de placa são o único caso em que a aritmética de posição estática subestima a lente necessária. Um veículo que se aproxima do ATM a 5 km/h está a mover-se a aproximadamente 1,4 m/s, e a placa de matrícula raramente está perpendicular ao eixo da câmara — o ângulo de aproximação típico é de 20° a 35°. A resolução efectiva em ppm dos caracteres da placa é reduzida pelo coseno do ângulo: a 30°, perde-se cerca de 13%, a 45°, cerca de 30%. Além disso, o efeito tremido de movimento desfoca os caracteres, a menos que a velocidade do obturador seja ≤ 1/500 s, o que exige uma abertura maior ou um ganho mais elevado em condições noturnas. Regra prática: duplique a distância focal que escolheria para captar um rosto estático à mesma distância. Para um drive-thru de 5 m, utilize 12 mm em vez de 6 mm. Veja o guia de distância e distância focal da placa de matrícula para o cálculo completo da legibilidade da placa.

Caixa multibanco exterior = zona de proteção contra raios. A norma EN 62305 classifica qualquer dispositivo exterior montado num poste exposto ou cobertura como Zona de Proteção contra Raios (LPZ), e a BOM deve incluir dispositivos de proteção contra surtos tanto na linha de energia como na linha de dados. Uma câmara PoE padrão sem DPS (Dispositivo de Proteção contra Surtos) pode ser danificada por uma única tempestade com raios — e o surto geralmente danifica a porta NVR Receptor de Vídeo Nuclear). O seu projeto PDF deve listar explicitamente o modelo de DPS para cada câmara exterior, a classificação LPZ e a ligação ao sistema de proteção contra raios do edifício, se existir. O consumo típico PoE para uma câmara ATM externa com aquecedor e DPS é de 25 a 30 W por ponto numa porta de comutação PoE+ (60 W). dome internas consomem 5 a 7 W. Dimensione o switch e o UPS (UPS) do armário em conformidade.

Zona 4 — Cofre e sala do dinheiro: sobreposição de câmaras duplas, ligadas ao controlo de acessos.

A sala do cofre e da contagem de dinheiro é a zona de maior risco em qualquer agência bancária e, ao mesmo tempo, a mais fácil de sobredimensionar e subdimensionar. Sobredimensionar significa utilizar quatro câmaras 4K grande-angulares a apontar para a mesma parede. Subdimensionar significa utilizar uma única câmara de alta resolução sem um segundo ângulo. O padrão correto consiste em duas câmaras com campos de visão sobrepostos, montadas em cantos opostos, cada uma com uma densidade de pixéis de nível de identificação ao longo do eixo central da sala.

Exemplo prático — par de câmaras de 4MP, lente de 4mm, cantos opostos a 2,7m de altura.

PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

Cada câmara cobre a sala a partir de um canto. A sobreposição angular de 30 a 40% ao longo do eixo central significa que uma tentativa de adulteração num dispositivo deixa o segundo dispositivo como testemunha independente, e a margem de identificação (aproximadamente 1,9 vezes acima do limite) absorve tolerâncias razoáveis de montagem e variações de iluminação.

Marcação de vídeo acionada por eventos. As imagens do cofre necessitam de ser associadas ao registo de eventos do sistema de controlo de acessos. Cada evento de abertura de porta no cofre deve anexar automaticamente o segmento de vídeo correspondente ao par de câmaras ao registo de eventos no NVR. É isto que os auditores de ML procuram quando solicitam "ver as entradas do cofre dos últimos 90 dias": não uma longa linha do tempo de salas vazias, mas uma lista de eventos de acesso com um clipe de 2 minutos pré-anexado para cada evento. A maioria das plataformas profissionais NVR suporta a marcação de vídeo acionada por eventos — o projeto apenas necessita de especificar a ligação, a regra de retenção (normalmente a mais longa entre as janelas de retenção do registo de acesso e da ML ) e a compatibilidade com o fornecedor do sistema de controlo de acesso.

A retenção de gravações de cofres de câmaras é a mais longa entre os regimes que a abrangem. Na UE, uma prática traduzida pela ML D estabelece 6 meses para o acesso geral ao cofre e retenção indefinida para eventos sinalizados. Nos EUA, as diretrizes da BSA/FFIEC recomendam um mínimo de 1 ano para gravações de cofres e 5 anos para qualquer gravação ligada a um Relatório de Atividade Suspeita. Uma observação sobre a longa retenção: o princípio da limitação de armazenamento GDPR (Artigo 5(1)(e)) tem a direção oposta — a retenção indefinida precisa de um gatilho auditável (a sinalização do SAR, o ID da investigação) que vincule cada segmento preservado à sua finalidade legal. A retenção indefinida de 5 anos sem justificação ao nível do segmento constitui, por si só, uma constatação. Consulte um advogado para projetos transfronteiriços. A calculadora de armazenamento do CCTVplanner faz os cálculos em [link para a calculadora de armazenamento]. /calculadora/armazenamento com a retenção por câmara como variável por zona.

Zona 5 — Corredor de cofres: identifique a entrada, nunca capture o conteúdo.

O cofre é a área onde o limite da privacidade é mais nítido e mais sustentado pela jurisprudência em todas as jurisdições europeias. O cliente tem uma expectativa explícita de privacidade em relação ao conteúdo do seu cofre. O circuito fechado de TV (CCTV) no corredor é aceitável — por vezes obrigatório —, mas a cobertura do interior do cofre ou mesmo da interação do cliente com o cofre aberto pode ser contestada com base no artigo 8.º da Convenção Europeia dos Direitos Humanos (CEDH) em várias jurisdições. O padrão de projeto é: cobrir a entrada do corredor, cobrir a porta da sala dos cofres por dentro e nunca apontar uma câmara para o próprio compartimento dos cofres.

Exemplo prático — 4MP / 4mm à entrada do corredor, profundidade de visão de 3 a 5m

PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓

O cliente é identificável à entrada do corredor. Uma segunda câmara dentro da sala de caixas cobre a porta, mas está inclinada de forma a que a estante de caixas fique fora do enquadramento. O cliente é gravado a entrar e a sair; a sua interação com a própria caixa não o é.

Este é o padrão de privacidade por design mais explícito em toda a área e o que os supervisores mais valorizam nas avaliações de impacto sobre a proteção de dados (DPIA). Ao documentar a restrição de ângulo, o diagrama de campos de visão da câmara com o bastidor de equipamento fora de cada fotograma e a formação do operador sobre a política de não fazer zoom na área de equipamento, transforma uma zona de risco numa demonstração clara de conformidade. O PDF do projeto CCTVplanner inclui uma anotação de "escopo do conteúdo captado" por câmara, específica para este tipo de documentação dirigida às entidades reguladoras.

Arquitetura de rede: VLAN, plano de gestão, NDAA de software

A Secção 889 da Lei de Autorização de NDAA não se limita ao corpo da câmara. As diretrizes de fiscalização de 2023-2024 das agências federais deixam claro que o software de gestão de vídeo, o firmware NVR e os sistemas de gestão na nuvem das entidades abrangidas pela lei também estão sujeitos a restrições. Uma câmara Hanwha ou Axis "em conformidade" ligada a um NVR Hikvision constitui ainda uma violação da Secção 889. O seu projeto precisa de comprovar a abrangência completa: corpo da câmara, gravador, VMS e qualquer serviço de gestão na nuvem ou móvel.

A segmentação de rede também não é opcional. Uma rede de CCTV bancária é um alvo de alto valor — tanto porque as próprias câmaras oferecem uma visão privilegiada do manuseamento de dinheiro, como porque os switches PoE com credenciais padrão representam um caminho documentado de movimentação lateral para a rede empresarial. O projeto mínimo:

VLAN dedicada para câmaras, sem encaminhamento para a LAN empresarial, sem saída para a internet, exceto para os endpoints de cloud de fornecedores autorizados.
Plano de gestão numa VLAN separada com autenticação multifator na consola do VMS.
Processo de atualização de firmware documentado — atualização manual isolada da internet ou atualização automática apenas com firmware assinado, nunca através de um simples pull via HTTP.
As credenciais padrão foram removidas durante o comissionamento e documentadas na transferência de responsabilidade.

Esta é a camada que transforma um sistema de CCTV de um passivo de conformidade num ativo de conformidade. Os auditores solicitam cada vez mais o diagrama da rede juntamente com a programação das câmaras.

Estandardização em várias filiais em mais de 10 locais.

Um banco de retalho com 50 agências tem as mesmas cinco zonas em todas elas — mas as agências diferem no tamanho, no layout e na geometria das ruas. A criação manual de cada projeto a partir do zero é como começa o desvio de conformidade: a agência 23 recebe uma lente de 6 mm à entrada, enquanto todas as outras usam 4 mm, porque o projetista desse dia se confundiu. Três meses depois, a equipa de comissionamento descobre que a agência 23 utiliza o Reconhecimento em vez da Identificação à entrada, e toda a agência precisa de ser redesenhada.

O modelo normalizado utiliza três arquétipos — tipicamente pequeno (2 caixas, um ATM, sem drive-thru), médio (4 caixas, dois ATM, sem drive-thru) e grande (6 ou mais caixas, drive-thru, vários cofres). Cada arquétipo é um projeto EN 62676-4 totalmente resolvido, com a quantidade de câmaras, a escolha das objetivas, as alturas de montagem e os cálculos DORI incorporados. Cada agência real começa como uma ramificação do arquétipo mais próximo, com adaptações específicas para as câmaras de perímetro e a geometria da planta. A conformidade é mantida; apenas a geometria varia.

O modelo de projeto do CCTVplanner foi desenvolvido para este padrão. A ação "duplicar projeto" clona um arquétipo com todas as zonas, todos os cálculos DORI e todos os metadados de conformidade intactos. O projeto duplicado aceita então uma nova planta, um novo mapa de satélite e ajustes de câmaras por filial sem perder a linha de base da EN 62676-4. Cada filial gera o seu próprio PDF de auditoria, mas as regras de projeto subjacentes são idênticas e podem ser verificadas novamente.

BOM , armazenamento de retenção e o PDF do auditor

Um projeto bancário que não gere um ficheiro único para o auditor não é considerado um projeto finalizado. O PDF contém:

Planta com todas as câmaras marcadas
Matriz de zonas com nível DORI por câmara por zona
Cronograma da câmara com modelo + lente + suporte + alimentação
Consumo de cabos e orçamento PoE por armário (típico: 25–30 W por câmara ATM exterior, 5–7 W por dome interior)
Dimensionamento de armazenamento e NVR para janelas de retenção por zona
Lista SPD para dispositivos LPZ externos
Sinalizador NDAA §889 por câmara, gravador e componente VMS
Diagrama da arquitetura de rede (VLAN, plano de gestão, política de firmware)
Modelo de folha de cálculo para a Avaliação de Impacto na Proteção de Dados (AIPD) do artigo 35.º GDPR

Cada uma destas secções responde a uma pergunta do organismo regulador. A matriz de zonas responde à questão "foram identificados todos os indivíduos relevantes?". O cronograma das câmaras responde à pergunta "existe alguma marca proibida presente numa agência adjacente à jurisdição federal?". A tabela de retenção responde à pergunta "mantém as imagens do ATM durante o tempo suficiente para cumprir a regra dos 90 dias da Lei do Segredo Bancário (BSA) e durante o tempo suficiente para respeitar a limitação de armazenamento GDPR ?". A folha de trabalho de Avaliação de Impacto sobre a Proteção de Dados (DPIA) responde à questão "aplicou o Artigo 35 a este tratamento?". Um único PDF que mapeie claramente estas questões reduz a entrevista com a entidade reguladora de meio dia para meia hora.

A BOM é exportada separadamente como CSV para o fluxo de trabalho de compras. A exportação em DXF é enviada para o instalador elétrico com as rotas dos cabos, posições de montagem e orçamento PoE por ponto. Ambos os ficheiros fazem referência ao mesmo PDF padrão, garantindo que o setor de compras, o instalador e o auditor consultam sempre a mesma fonte de informação fidedigna. Este padrão de múltiplas saídas é o que diferencia uma ferramenta de projeto de nível bancário de um planeador de câmaras genérico.

Erros comuns a evitar

Uma única dome suspensa cobre tanto a frente como a gaveta de dinheiro no guiché da caixa.
Alvos DORI diferentes, geometria diferente, um único dispositivo não consegue atender a ambos. Uma auditoria de ML sinaliza especificamente o ATM — a maioria das falhas de comissionamento ocorre aqui.
Misturar Hikvision ou Dahua numa BOM de uma filial federal adjacente — incluindo NVR e VMS —
A Secção 889 NDAA abrange toda a cadeia de valor. Uma câmara compatível ligada a um gravador não compatível constitui ainda uma violação. Isto resulta no corte do financiamento federal e numa nova licitação.
Ignorar a Avaliação de Impacto sobre a Proteção de Dados (AIPD) do artigo 35.º GDPR numa "remodelação menor"
Qualquer alteração na quantidade, instalação ou retenção de câmaras numa filial representa uma alteração na atividade de processamento. Mesmo um projeto do tipo "apenas adicionámos duas câmaras" requer a atualização da Avaliação de Impacto na Proteção de Dados (AIPD). As autoridades de supervisão estão a monitorizar isto cada vez mais.
Ausência de dispositivo de proteção contra picos de tensão nas câmaras exteriores dos ATM.
A norma EN 62305 exige a classificação LPZ + SPD em todas as câmaras exteriores expostas. Um tufão, uma avaria no transformador ou um raio que atinja diretamente a cobertura danificam a câmara e, frequentemente, a porta NVR. O investimento inicial num SPD é pequeno.
Caixa multibanco com uma única câmara e sem câmara de marcha-atrás.
Uma tentativa de adulteração ou obstrução na única câmara do ATM não deixa vestígios. O sistema de três câmaras do ATM (frontal + ecrã + perímetro) é tão eficaz contra a adulteração como contra a fraude.
Retenção dimensionada para a janela aplicável mais curta.
Uma filial que opere na UE e nos EUA necessita de cumprir os requisitos da Lei Anti-Lavagem de Dinheiro ( ML -D) e da Lei do Segredo Bancário (BSA). Dimensionar o armazenamento para o período exigido pela UE quando a BSA requer um período mais longo é o tipo de erro de conceção evitável que acaba por vir à tona na entrevista com a entidade reguladora seis meses depois. O erro oposto — retenção indefinida e indiscriminada sem justificação por segmento — viola as limitações de armazenamento GDPR.
VLAN da câmara com LAN empresarial
Os switches PoE com credenciais padrão e as câmaras IP são caminhos de movimentação lateral documentados. A segmentação não é um "recurso desejável".

Perguntas frequentes

→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?

Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.

→What is the AML video retention window for ATM footage in the EU vs the US?

EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.

→Is Hikvision banned in every bank branch, or only federal-affiliated ones?

Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.

→How many cameras do I need at an ATM — one, two, or three?

Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.

→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?

At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.

→Do I need separate cameras for the teller's face and the teller's cash drawer?

Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.

→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?

Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.

→Can I reuse one branch's CCTV design across 50 sites?

Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.

→Does NDAA §889 cover the NVR and VMS or just the cameras?

The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.

Projeto de CCTV Bancário 2026: Caixa Automático, Cofre, Caixa e Entrada da Agência — Análise Zona a Zona EN 62676-4

Resumindo: as 5 coisas que tem de fazer bem.

Índice