Thiết kế hệ thống camera giám sát ngân hàng năm 2026: Phân vùng theo tiêu chuẩn EN 62676-4 Identify + GDPR DPIA + A ML + NDAA §889

Vì sao camera giám sát của ngân hàng không "bao phủ toàn bộ khu vực sảnh"?

Một chi nhánh bán lẻ trông giống như một không gian thương mại nhỏ. Cơ quan quản lý nhìn vào đó và thấy năm chế độ pháp lý chồng chéo nhau — rủi ro dữ liệu loại đặc biệt theo Điều 9 GDPR đối với mọi giao dịch, việc lưu giữ bằng chứng chống rửa tiền tại mọi quầy giao dịch, việc tái tạo thông tin khách hàng (KYC) để sàng lọc lệnh trừng phạt đối với mọi lần mở tài khoản, kiểm soát mua sắm theo Mục 889 NDAA đối với mọi thân máy ảnh, và bảo vệ chống sét EN 62305 đối với mọi máy ATM ngoài trời. Mỗi chế độ đó xác định một thông số khác nhau của cùng một máy ảnh: ống kính, cửa sổ lưu trữ, thương hiệu kiểu máy, thiết bị chống sét lan truyền. Sai sót một trong số đó, thiết kế sẽ không được chấp thuận. Sai sót hai trong số đó, thiết kế sẽ không được chấp thuận mua sắm.

Nằm dưới cả bốn chế độ pháp lý là EN 62676-4 — tiêu chuẩn kỹ thuật định nghĩa ý nghĩa thực sự của cụm từ "camera đã nhìn thấy khuôn mặt" bằng các con số. Tiêu chuẩn này thường bị đánh giá thấp trong các bản tóm tắt đấu thầu, đó là lý do tại sao rất nhiều thiết kế đáp ứng yêu cầu về số lượng camera nhưng lại không đạt ngưỡng số pixel trên mỗi mét. Bản sửa đổi tháng 10 năm 2025 giới thiệu khung OODPCVS (Tổng quan, Phác thảo, Phân biệt, Nhận thức, Mô tả, Xác thực, Kiểm tra kỹ lưỡng) như một hệ thống từ vựng chi tiết hơn được xếp lớp trên các cấp độ Phát hiện / Quan sát / Nhận dạng / Xác định ( DORI ) quen thuộc. Các ngưỡng không thay đổi; OODPCVS chỉ cung cấp cho các kiểm toán viên một ngôn ngữ chính xác hơn cho các trường hợp trung gian. Trong phần còn lại của bài viết này, chúng tôi sử dụng các con số DORI, với bảng đối chiếu OODPCVS ở bên dưới để tham khảo chéo.

DORI (phiên bản cũ)	px/m	OODPCVS (2025)	Sử dụng ngân hàng thông thường
Identification	250	Validate / Scrutinise	Teller face, ATM user, entry, vault axis, safe-deposit entry
Recognition	125	Characterise	Cash drawer, vault perimeter overlap, drive-through approach
Observation	62	Perceive / Discern	General lobby, car park sweep
Detection	25	Outline / Overview	Minimum to justify recording at all

Bài viết này sẽ đi sâu vào từng khu vực với các phép toán được trình bày rõ ràng. Chúng tôi dành sự chú ý đặc biệt cho phép tính số pixel trên mỗi mét vì, theo kinh nghiệm kiểm toán thiết kế chi nhánh của các ngân hàng tầm trung châu Âu, lý do lớn nhất khiến việc vận hành thất bại là do thiết kế đáp ứng yêu cầu về số lượng camera nhưng lại thiếu ngưỡng pixel/mét tại quầy giao dịch. Khu vực sảnh chờ thì ổn. Khu vực kho tiền cũng ổn. Nhưng quầy giao dịch – khu vực quan trọng nhất đối với hệ thống nhận dạng tự ML – lại thiếu 14% số lượng camera cần thiết. Đó chính là nguyên nhân gây ra lỗi dẫn đến việc phải thiết kế lại và trì hoãn sáu tháng.

Thẻ tham khảo. Nhận diện 250 px/m · Nhận biết 125 px/m · Quan sát 62 px/m · Phát hiện 25 px/m. Nhân viên giao dịch ngân hàng, người dùng ATM, lối vào, trục két sắt và lối vào két an toàn đều ở mức Nhận diện. Mọi thứ khác đều là bước giảm xuống có lý do chính đáng được ghi chép lại.

Khu vực 1 — Lối vào nhánh: mọi khuôn mặt, chồng lấp hai camera

Khu vực cửa ra vào chi nhánh là khu vực đơn giản nhất để thiết kế đúng cách và cũng là khu vực dễ bị thiết kế thiếu thông số kỹ thuật nhất. Mọi cơ quan quản lý đều yêu cầu phải có hình ảnh nhận dạng khuôn mặt ở cấp độ xác thực đối với mọi người lớn đi qua cửa – không có ngoại lệ. Trường hợp sử dụng là điều tra tiếp theo: khi gian lận, trộm cắp, cướp hoặc nhận dạng nghi phạm được hỗ trợ xuất hiện trong cảnh báo ML sau này, đoạn phim cửa ra vào sẽ cung cấp cho bạn mốc thời gian và hình ảnh khuôn mặt rõ nét đầu tiên. Khung hình cửa ra vào bị mờ là một trong những lý do phổ biến nhất khiến việc xử lý gian lận bị đình trệ.

Ví dụ minh họa — Camera 4MP, ống kính 4mm, khoảng cách 4m đến cửa ra vào

PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓

Khoảng không gian thông thoáng gấp 1,9 lần ngưỡng 250 ppm ở khoảng cách 4m có nghĩa là thiết kế này chịu được sự che khuất một phần, ánh sáng yếu vào buổi sáng mùa đông và những sai sót nhỏ về chiều cao lắp đặt mà không vi phạm tiêu chuẩn Nhận dạng. Vị trí 6m là phía sau tiền sảnh — sau cửa trong, nơi khách hàng chuyển từ không gian công cộng sang không gian do ngân hàng kiểm soát.

Tại sao lại là hai camera mà không phải một? Hệ thống hai camera ở cửa ra vào có khả năng chống phá hoại cũng như chống che khuất. Một camera duy nhất ở cửa ra vào là điểm yếu duy nhất: sơn xịt, mũ che khuất, ánh nắng chói từ góc độ không phù hợp, hoặc – trong trường hợp tồi tệ nhất – phá hoại vật lý ngay trong lúc vụ trộm xảy ra. Hai camera được lắp đặt đối xứng ở hai góc trần nhà sẽ quan sát lẫn nhau và lối vào cùng một lúc. Camera thứ hai cũng thu được góc mà camera thứ nhất bị che khuất bởi ô dù và mũ cao. Chi phí phần cứng chỉ là một thiết bị và vài trăm mét cáp Cat6 – nhỏ so với chi phí của một giấy tờ tùy thân bị tranh chấp.

Bảo mật theo thiết kế: camera cửa ra vào ghi lại hợp pháp mọi khách hàng ra vào vì cơ sở pháp lý là lợi ích chính đáng theo Điều 6(1)(f) GDPR — ngăn chặn tội phạm tài chính là một trong 49 trường hợp được công nhận — kết hợp với biển báo rõ ràng ở cửa. Đánh giá tác động bảo vệ dữ liệu (DPIA) của bạn cần ghi lại bài kiểm tra tính cần thiết (bạn có thể đạt được kết quả chứng cứ tương tự với ít dữ liệu hơn không?), bài kiểm tra tính tương xứng (việc chồng lấp hai camera có cần thiết hoặc quá mức không?) và cơ chế quyền của chủ thể. Câu trả lời tiêu chuẩn cho camera cửa ra vào là có, có và một quy trình liên hệ với Cán bộ bảo vệ dữ liệu (DPO) được công bố.

Để hiểu rõ hơn về cách tính toán mật độ điểm ảnh trên mỗi mét (pixel-per-metre) làm cơ sở cho các con số trên, vui lòng xem phần tiếp theo. DORI calculation walkthroughhoặc chuyển thẳng đến free DORI calculator Để xác nhận lựa chọn máy ảnh và ống kính cụ thể của bạn.

Khu vực 2 — Quầy giao dịch: mặt tiền mỗi quầy + ngăn kéo đựng tiền đặt trên vai

Quầy giao dịch là khu vực bị bỏ qua nhiều nhất trong thiết kế chi nhánh điển hình và là khu vực dễ bị lỗi nhất trong quá trình kiểm tra lại. Nhiều người thường có xu hướng lắp đặt một dome trên cao duy nhất bao quát toàn bộ quầy – hiệu quả, tiết kiệm chi phí và dễ đấu dây. Vấn đề là một thiết bị gắn trên cao duy nhất không thể đáp ứng đồng thời hai mục tiêu DORI khác nhau: nhận diện khách hàng (250 ppm) và nhận biết ngăn kéo tiền mặt (125 ppm). Một mục tiêu nằm ở ngang tầm mắt khi nhìn ngang; mục tiêu còn lại nằm ở ngang tầm tay khi nhìn dọc. Hình học của chúng hoàn toàn khác nhau.

Một lưu ý về lý do tại sao cùng một thông số kỹ thuật camera lại đạt tiêu chuẩn Entry nhưng không đạt tiêu chuẩn Teller. Một camera 4 MP / 4 mm / 1/2.8" ở khoảng cách nhìn thẳng 4 m cho độ phân giải khoảng 476 ppm trên khuôn mặt — dễ dàng nhận dạng. Cùng một thân máy nhưng cùng một ống kính, được gắn trên dome ở độ cao 2,7 m nhìn xuống khách hàng đang giao dịch tại quầy cách đó 4 m, hướng camera về phía khách hàng ở một góc nghiêng. Mặt phẳng khuôn mặt hiệu quả bị thu ngắn lại khoảng cos(35°) ≈ 0,82, và đường ngắm chéo gần 4,8 m hơn là 4 m. Độ phân giải ppm hiệu quả trên khuôn mặt gần hơn ~325 — vẫn cao hơn mức nhận dạng nhưng không có khoảng dự phòng cho phim chống chói, ánh sáng mùa đông hoặc khách hàng cao. Đó là lý do tại sao thiết kế quầy giao dịch sử dụng camera được gắn ở độ cao ngang mặt trên cột hoặc mặt trước quầy, chứ không phải là dome treo trên cao. Cùng thông số kỹ thuật, hình học khác nhau, kết quả khác nhau.

Ví dụ minh họa — Camera 6 MP, cảm biến 1/1.8" (chiều ngang 7.20 mm), ống kính 8 mm, gắn trên cột ở độ cao ngang tầm mặt khách hàng.

PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓

PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓

Sự kết hợp 6 MP / 8 mm / 1/1.8" là camera chủ lực dành cho quầy giao dịch. Khả năng xử lý trên 250 trang/phút là có chủ đích — nó bù đắp cho lớp phim chống chói trên quầy, ánh sáng môi trường yếu vào mùa đông, chiều cao khác nhau của khách hàng và sự dịch chuyển nhỏ không thể tránh khỏi của vị trí lắp đặt trong suốt 10 năm hoạt động. Con số 5 m là vị trí của khách hàng đứng cách quầy một bước, vẫn đang ở khu vực nhận dạng.

Camera phụ được gắn phía trên, phía sau giao dịch viên, hướng xuống ngăn kéo tiền mặt. Lựa chọn thông thường: 4MP với ống kính góc rộng 2,8mm ở khoảng cách 1,2m so với bề mặt ngăn kéo. Camera này ghi lại quá trình xử lý tiền mặt – đếm, đóng gói, phân loại – và là bằng chứng quan trọng cho bất kỳ tranh chấp tiền mặt nào. Nó không cần nhìn thấy khuôn mặt khách hàng (camera ở cửa sổ đã làm điều đó). Nó cần nhìn thấy rõ tay và tiền giấy, điều đó có nghĩa là cần ít nhất khả năng nhận diện khuôn mặt trong phạm vi ngăn kéo rộng khoảng 0,6m.

Giới hạn quyền riêng tư — Che giấu mã PIN. Cả hai camera đều không bao phủ phần bàn phím nhập mã PIN ở phía khách hàng. Hướng dẫn PCI nêu rõ rằng bất kỳ thiết bị nào ghi lại quá trình nhập mã PIN đều kích hoạt các biện pháp kiểm soát xử lý mã PIN — mã hóa dữ liệu khi lưu trữ, quản lý khóa và kiểm toán. Bạn không muốn hệ thống CCTV của mình kế thừa phạm vi tuân thủ PCI. Giải pháp thông thường là lắp đặt camera ở các góc mà về mặt vật lý không thể nhìn thấy mặt bàn phím (góc nhọn từ bên cạnh), hoặc che khuất vùng bàn phím trong phần mềm camera (hầu hết các camera ONVIF chuyên nghiệp đều hỗ trợ che khuất vùng riêng tư theo từng khu vực). Dù bằng cách nào, tài liệu thiết kế cũng cần nêu rõ phương pháp bạn đã sử dụng và lý do.

Mô hình lắp đặt camera theo từng quầy giao dịch có tỷ lệ tuyến tính: một quầy giao dịch 6 vị trí sẽ có 6 camera nhận diện khuôn mặt + 6 camera soi ngăn kéo tiền mặt = 12 thiết bị ở phía giao dịch viên. Con số này nghe có vẻ nhiều cho đến khi bạn so sánh nó với trường hợp một giao dịch tiền mặt bị tranh chấp mà không có bằng chứng và cuối cùng được chuyển đến người giám sát. Chi phí biên của hai camera mỗi vị trí thấp hơn nhiều so với chi phí của một vụ tranh chấp không có kết quả.

Khu vực 3 — ATM: Nhận diện khuôn mặt + hành vi trên màn hình + chu vi/biển số xe

Máy ATM cần có ba camera. Camera nhận diện khuôn mặt xác định người dùng. Camera màn hình ghi lại hành vi – che bàn phím, nhìn trộm màn hình, lừa đảo bằng thủ đoạn xã hội. Camera quan sát xung quanh bao quát khu vực tiếp cận và lối ra, và trên các máy ATM tự động, nó ghi lại biển số xe. Mỗi camera giải quyết một loại gian lận hoặc tấn công khác nhau: đánh cắp thông tin thẻ (nhận diện khuôn mặt + hành vi), bẫy thẻ (hành vi), trộm cắp bằng cách đánh lạc hướng (camera quan sát xung quanh), cướp tại điểm giao dịch tự động (camera quan sát xung quanh + biển số xe), và tái tạo dấu vết chiếm đoạt tài khoản (nhận diện khuôn mặt).

Ví dụ minh họa — cụm camera ATM ba camera

Camera nhận diện khuôn mặt — 4MP, 1/2.8", ống kính 6mm, khoảng cách lấy nét 1.5m hướng vào khuôn mặt người dùng:

PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)

Camera quan sát màn hình/hành vi — 4MP, 1/2.8", ống kính góc rộng 2.8mm, khoảng cách 1m đến khu vực bàn phím:

PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)

Camera nhận diện biển số xe khi lái xe qua quầy giao dịch — 8MP, 1/1.8", ống kính 12mm, khoảng cách từ 5–8m đến biển số:

PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night

Góc lái xe qua và giảm công suất cửa cuốn. Camera nhận diện biển số xe là nơi duy nhất trong chi nhánh mà phép tính vị trí tĩnh đánh giá thấp nhu cầu về ống kính. Một chiếc xe tiến đến máy ATM với tốc độ 5 km/h đang di chuyển với tốc độ xấp xỉ 1,4 m/s, và biển số xe hiếm khi vuông góc với trục camera — góc tiếp cận điển hình là 20°–35°. Độ phân giải hiệu quả trên các ký tự trên biển số bị giảm đi bởi cos(góc): ở 30° bạn mất khoảng 13%, ở 45° bạn mất khoảng 30%. Thêm vào đó, hiện tượng nhòe do chuyển động làm mờ các ký tự trừ khi tốc độ màn trập ≤ 1/500 s, điều này buộc phải sử dụng khẩu độ rộng hơn hoặc độ khuếch đại cao hơn trong điều kiện ban đêm. Quy tắc chung: gấp đôi tiêu cự bạn sẽ chọn cho việc chụp khuôn mặt tĩnh ở cùng khoảng cách. Đối với máy ATM ở khoảng cách 5 m, nên chọn 12 mm chứ không phải 6 mm. Xem thêm hướng dẫn về khoảng cách biển số xe và tiêu cự để tính toán đầy đủ khả năng đọc biển số.

ATM ngoài trời = khu vực chống sét. Tiêu chuẩn EN 62305 phân loại bất kỳ thiết bị nào được lắp đặt trên cột hoặc mái che ngoài trời là Vùng Chống Sét (LPZ), và danh sách linh kiện BOM phải bao gồm các thiết bị chống sét lan truyền trên cả đường dây nguồn và đường dây dữ liệu. Một camera PoE tiêu chuẩn không có thiết bị chống sét lan truyền (SPD) có thể bị hỏng chỉ sau một cơn giông bão — và xung điện thường làm hỏng cả cổng NVR. Bản thiết kế PDF của bạn cần liệt kê rõ ràng kiểu SPD cho mỗi camera ngoài trời, phân loại LPZ và cách nối đất với hệ thống chống sét của tòa nhà nếu có. Ngân sách PoE điển hình cho một camera ATM ngoài trời có bộ sưởi và SPD: 25–30 W mỗi điểm kết nối trên cổng chuyển mạch PoE+ (60 W). dome vòm trong nhà tiêu thụ 5–7 W. Hãy chọn kích thước bộ chuyển mạch và UPS cho phù hợp.

Khu vực 4 — Kho tiền và phòng chứa tiền: hệ thống camera kép chồng hình, liên kết với hệ thống kiểm soát ra vào.

Phòng két sắt và phòng đếm tiền là khu vực quan trọng nhất trong bất kỳ chi nhánh nào và cũng là nơi dễ bị trang bị quá mức cần thiết mà lại thiếu sót về mặt kỹ thuật. Trang bị quá mức cần thiết thể hiện ở việc lắp đặt bốn camera góc rộng 4K hướng vào cùng một bức tường. Thiếu sót về mặt kỹ thuật thể hiện ở việc chỉ sử dụng một camera độ phân giải cao mà không có góc quay thứ hai. Giải pháp đúng đắn là sử dụng hai camera có trường nhìn chồng chéo, được lắp đặt ở hai góc đối diện, mỗi camera có mật độ điểm ảnh ở mức nhận dạng dọc theo trục trung tâm của phòng.

Ví dụ minh họa — Cặp camera 4MP, ống kính 4mm, đặt ở hai góc đối diện, độ cao 2,7m.

PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

Mỗi camera bao phủ khu vực phòng từ một góc. Độ chồng lấp góc 30–40% dọc theo trục trung tâm có nghĩa là nếu một thiết bị bị can thiệp, thiết bị thứ hai vẫn sẽ đóng vai trò là nhân chứng độc lập, và khoảng dự trữ nhận dạng (~1,9 lần so với ngưỡng) giúp hấp thụ dung sai lắp đặt hợp lý và sự thay đổi ánh sáng.

Gắn thẻ video dựa trên sự kiện. Cần phải gắn thẻ đoạn phim từ kho tiền vào nhật ký sự kiện kiểm soát truy cập. Mỗi sự kiện mở cửa trong kho tiền sẽ tự động đính kèm đoạn video tương ứng từ cặp camera vào bản ghi sự kiện trong NVR. Đây chính là điều mà các kiểm toán viên ML đang tìm kiếm khi họ yêu cầu "xem các mục nhập kho tiền trong 90 ngày qua": không phải là một dòng thời gian dài của căn phòng trống, mà là một danh sách các sự kiện truy cập với một đoạn phim 2 phút được đính kèm sẵn cho mỗi sự kiện. Hầu hết các nền tảng NVR chuyên nghiệp đều hỗ trợ gắn thẻ video khi có sự kiện xảy ra — thiết kế chỉ cần chỉ định liên kết, quy tắc lưu giữ (thường là thời gian lưu giữ dài hơn giữa nhật ký truy cập và ML ), và khả năng tương thích với nhà cung cấp kiểm soát truy cập.

Thời gian lưu trữ đối với dữ liệu trong kho lưu trữ là dài nhất trong số các quy định liên quan. Tại EU, thông lệ được dịch theo luật ML là 6 tháng đối với quyền truy cập kho lưu trữ thông thường và vô thời hạn đối với các sự kiện được gắn cờ. Tại Mỹ, hướng dẫn của BSA/FFIEC khuyến nghị tối thiểu 1 năm đối với dữ liệu trong kho lưu trữ và 5 năm đối với bất kỳ dữ liệu nào liên quan đến Báo cáo Hoạt động Nghi ngờ (SAR). Một lưu ý về thời gian lưu trữ dài: Nguyên tắc giới hạn lưu trữ của GDPR (Điều 5(1)(e)) lại có quy định khác — việc lưu trữ vô thời hạn cần một yếu tố kích hoạt có thể kiểm toán được (cờ SAR, ID điều tra) liên kết mỗi phân đoạn được lưu giữ với mục đích hợp pháp của nó. Việc lưu trữ chung 5 năm mà không có lý do chính đáng ở cấp độ phân đoạn tự nó đã là một phát hiện. Hãy tham khảo ý kiến luật sư về các thiết kế xuyên biên giới. Công cụ tính toán lưu trữ của CCTVplanner sẽ thực hiện các phép tính tại đây. /máy tính/lưu trữ với khả năng lưu giữ dữ liệu trên mỗi camera được xem như một biến số riêng biệt cho từng khu vực.

Khu vực 5 — Hành lang két sắt: xác định lối vào, tuyệt đối không được chụp ảnh đồ bên trong.

Két an toàn là khu vực mà ranh giới về quyền riêng tư được xác định rõ ràng nhất và được pháp luật bảo hộ chặt chẽ nhất ở mọi quốc gia châu Âu. Khách hàng có kỳ vọng rõ ràng về quyền riêng tư liên quan đến nội dung bên trong két của họ. Việc lắp đặt camera quan sát ở hành lang là chấp nhận được — đôi khi là bắt buộc — nhưng việc ghi hình bên trong két hoặc thậm chí là sự tương tác của khách hàng với két đang mở của họ có thể bị thách thức theo Điều 8 của Công ước Châu Âu về Nhân quyền (ECHR) ở một số quốc gia. Mẫu thiết kế tiêu chuẩn là: che chắn lối vào hành lang, che chắn cửa phòng két từ bên trong, không bao giờ hướng camera vào chính giá để két.

Ví dụ minh họa — Camera 4MP / 4mm tại lối vào hành lang, độ sâu trường ảnh 3–5m

PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓

Khách hàng có thể được nhận dạng tại lối vào hành lang. Một camera thứ hai bên trong phòng chứa hộp bao phủ cửa ra vào nhưng được đặt góc sao cho giá để hộp nằm ngoài khung hình. Khách hàng được ghi hình khi vào và ra; nhưng tương tác của họ với hộp hàng của chính mình thì không.

Đây là mô hình thiết kế bảo mật rõ ràng nhất trong toàn bộ ngành và là mô hình được các giám sát viên đánh giá cao nhất trong quá trình xem xét DPIA. Bằng cách ghi lại giới hạn góc, sơ đồ trường nhìn của camera với giá đỡ hộp nằm ngoài mỗi khung hình và việc đào tạo người vận hành về chính sách không phóng to vào bên trong hộp, bạn biến một khu vực tiềm ẩn rủi ro thành một minh chứng tuân thủ rõ ràng. Tài PDF của dự án CCTVplanner bao gồm chú thích "phạm vi nội dung được ghi lại" cho mỗi camera, đặc biệt dành cho loại tài liệu hướng đến cơ quan quản lý này.

Kiến trúc mạng: VLAN, mặt phẳng quản lý, NDAA - phần mềm

Điều khoản §889 NDAA không chỉ dừng lại ở thân máy ảnh. Hướng dẫn thực thi năm 2023–2024 từ các cơ quan liên bang nêu rõ rằng phần mềm quản lý video, phần mềm nhúng NVR và các hệ thống quản lý đám mây từ các đơn vị thuộc phạm vi điều chỉnh cũng bị hạn chế tương tự. Một máy ảnh Hanwha hoặc Axis "tuân thủ" được kết nối với NVR Hikvision vẫn là vi phạm §889. Thiết kế của bạn cần chứng minh toàn bộ hệ thống: thân máy ảnh, thiết bị ghi hình, phần mềm quản lý video (VMS) và bất kỳ dịch vụ quản lý đám mây hoặc di động nào.

Phân đoạn mạng cũng không phải là tùy chọn. Mạng camera giám sát của ngân hàng là mục tiêu có giá trị cao — cả vì bản thân các camera là điểm quan sát đặc quyền đối với việc xử lý tiền mặt, và vì các bộ chuyển mạch PoE với thông tin đăng nhập mặc định là một đường dẫn xâm nhập ngang đã được ghi nhận vào mạng doanh nghiệp. Thiết kế tối thiểu:

VLAN camera riêng biệt, không định tuyến đến mạng LAN nội bộ công ty, không có kết nối internet ra ngoài ngoại trừ các điểm cuối đám mây của nhà cung cấp được cho phép.
Mặt phẳng quản trị trên một VLAN riêng biệt với xác thực đa yếu tố trên bảng điều khiển VMS.
Quy trình cập nhật firmware được ghi lại — cập nhật thủ công không kết nối mạng hoặc cập nhật tự động chỉ với firmware đã được ký số, không bao giờ sử dụng phương thức tải HTTP thông thường.
Thông tin đăng nhập mặc định đã bị xóa khi vận hành, được ghi lại trong biên bản bàn giao.

Đây là lớp giúp biến hệ thống camera giám sát từ một gánh nặng tuân thủ thành một tài sản tuân thủ. Các kiểm toán viên ngày càng yêu cầu sơ đồ mạng lưới bên cạnh lịch trình lắp đặt camera.

Tiêu chuẩn hóa đa chi nhánh tại hơn 10 địa điểm.

Một ngân hàng bán lẻ với 50 chi nhánh có cùng năm khu vực nhận diện ở mọi chi nhánh — nhưng các chi nhánh lại khác nhau về kích thước, bố cục và hình dạng đường phố. Việc thiết kế thủ công từng chi tiết từ đầu là nguyên nhân dẫn đến sự sai lệch về tuân thủ: chi nhánh 23 được lắp ống kính 6mm ở lối vào trong khi tất cả các chi nhánh khác đều dùng 4mm, vì người thiết kế hôm đó đã nhớ nhầm. Ba tháng sau, bộ phận kiểm định phát hiện ra rằng chi nhánh 23 gặp vấn đề về Nhận diện chứ không phải Xác định danh tính ở lối vào, và toàn bộ chi nhánh phải được thiết kế lại.

Mô hình tiêu chuẩn sử dụng ba mẫu điển hình — thường là nhỏ (2 giao dịch viên, một máy ATM, không có dịch vụ lái xe qua), trung bình (4 giao dịch viên, hai máy ATM, không có dịch vụ lái xe qua) và lớn (6+ giao dịch viên, dịch vụ lái xe qua, nhiều két sắt). Mỗi mẫu điển hình là một thiết kế EN 62676-4 được giải quyết hoàn chỉnh với số lượng camera, lựa chọn ống kính, chiều cao lắp đặt và các phép tính DORI được tích hợp sẵn. Mỗi chi nhánh thực tế bắt đầu như một nhánh của mẫu điển hình gần nhất, với các điều chỉnh cụ thể cho từng địa điểm về camera chu vi và hình dạng mặt bằng. Sự tuân thủ được duy trì; chỉ có hình dạng là khác nhau.

Mô hình dự án CCTVplanner được xây dựng theo mô hình này. Thao tác "nhân bản dự án" sao chép một nguyên mẫu với tất cả các khu vực, tất cả các phép tính DORI và tất cả siêu dữ liệu tuân thủ được giữ nguyên. Dự án được nhân bản sau đó chấp nhận một sơ đồ mặt bằng mới, một bản đồ vệ tinh mới và các điều chỉnh camera cho từng chi nhánh mà không làm mất đi tiêu chuẩn EN 62676-4 cơ bản. Mỗi chi nhánh tạo ra một PDF kiểm toán riêng, nhưng các quy tắc thiết kế cơ bản là giống hệt nhau và có thể được kiểm chứng lại.

BOM , kho lưu trữ và PDF kiểm toán viên

Bản thiết kế ngân hàng mà không tạo ra được sản phẩm hoàn chỉnh dưới dạng một tập tin duy nhất cho kiểm toán viên thì không phải là bản thiết kế hoàn chỉnh. Tập PDF chứa:

Sơ đồ mặt bằng với vị trí từng camera được đánh dấu.
Ma trận vùng với mức DORI cho mỗi camera trong mỗi vùng.
Lịch trình máy ảnh bao gồm model + ống kính + ngàm + nguồn điện
Đường dây cáp và ngân sách PoE cho mỗi tủ (thông thường: 25–30 W cho mỗi camera ATM ngoài trời, 5–7 W cho mỗi dome trong nhà)
NVR + dung lượng lưu trữ cho các khoảng thời gian lưu giữ dữ liệu theo từng vùng
Danh sách SPD cho các thiết bị LPZ ngoài trời
Cờ NDAA §889 cho mỗi camera, máy ghi hình và thành phần VMS
Sơ đồ kiến trúc mạng (VLAN, mặt phẳng quản lý, chính sách phần mềm)
Mẫu biểu mẫu đánh giá tác động bảo vệ dữ liệu (DPIA) theo Điều 35 GDPR

Mỗi phần trong đó đều trả lời một câu hỏi của cơ quan quản lý. Ma trận khu vực trả lời câu hỏi "Mọi khuôn mặt quan trọng đã được xác minh danh tính chưa?". Lịch trình camera trả lời câu hỏi "Có bất kỳ nhãn hiệu bị cấm nào hiện diện tại chi nhánh liền kề với khu vực quản lý liên bang không?". Bảng lưu giữ trả lời câu hỏi "Bạn có lưu giữ hình ảnh từ máy ATM đủ lâu để đáp ứng quy tắc 90 ngày của BSA và đủ ngắn để tuân thủ giới hạn lưu trữ GDPR không?". Bảng tính DPIA trả lời câu hỏi "Bạn đã áp dụng Điều 35 cho quá trình xử lý này chưa?". Một PDF duy nhất được lập trình rõ ràng để trả lời những câu hỏi đó sẽ rút ngắn cuộc phỏng vấn với cơ quan quản lý từ nửa ngày xuống còn nửa giờ.

Danh BOM được xuất riêng dưới dạng CSV cho quy trình mua sắm. Bản xuất DXF được gửi cho nhà thầu điện với các đường đi của cáp, vị trí lắp đặt và ngân sách PoE cho mỗi điểm kết nối. Cả hai tệp đều tham chiếu cùng một PDF chuẩn, do đó bộ phận mua sắm, người lắp đặt và người kiểm toán luôn xem cùng một nguồn thông tin chính xác. Đây là mô hình đa đầu ra giúp phân biệt một công cụ thiết kế chuyên nghiệp với một công cụ lập kế hoạch camera thông thường.

Những lỗi thường gặp cần tránh

Một dome duy nhất phía trên che phủ cả mặt tiền và ngăn kéo đựng tiền tại quầy giao dịch.
Các mục tiêu DORI khác nhau, hình học khác nhau, một thiết bị duy nhất không thể đáp ứng cả hai. Hệ thống kiểm toán ML sẽ chỉ ra lỗi cụ thể ở giao dịch viên — hầu hết các lỗi trong quá trình vận hành đều xảy ra ở đây.
Tích hợp thiết bị Hikvision hoặc Dahua vào BOM của chi nhánh liền kề với hệ thống liên bang — bao gồm cả NVR và VMS.
Điều khoản 889 NDAA bao trùm toàn bộ hệ thống. Việc sử dụng camera tuân thủ quy định trên thiết bị ghi hình không tuân thủ quy định vẫn là vi phạm. Hậu quả là nguồn tài trợ liên bang bị cắt giảm và phải đấu thầu lại.
Bỏ qua Điều 35 GDPR về đánh giá tác động bảo vệ dữ liệu (DPIA) đối với "thiết kế lại nhỏ"
Bất kỳ thay đổi nào về số lượng, cách lắp đặt hoặc lưu giữ camera tại một chi nhánh đều là thay đổi đối với hoạt động xử lý dữ liệu. Ngay cả một dự án "chúng tôi vừa bổ sung thêm hai camera" cũng cần phải cập nhật lại đánh giá tác động bảo vệ dữ liệu (DPIA). Các cơ quan giám sát đang ngày càng theo dõi sát sao vấn đề này.
Camera ATM ngoài trời không có thiết bị chống sét lan truyền.
Tiêu chuẩn EN 62305 yêu cầu phân loại LPZ + SPD cho mọi camera ngoài trời tiếp xúc trực tiếp với môi trường. Bão, sự cố máy biến áp hoặc sét đánh trực tiếp vào mái che có thể làm hỏng camera và thường cả cổng NVR. Chi phí lắp đặt SPD ban đầu khá nhỏ.
Máy ATM một camera không có camera dự phòng
Hành vi can thiệp hoặc che chắn camera duy nhất của máy ATM sẽ không để lại bằng chứng. Hệ thống ba camera của máy ATM (mặt trước + màn hình + viền) có khả năng chống can thiệp cũng như chống gian lận.
Thời gian lưu giữ được điều chỉnh theo khoảng thời gian ngắn nhất có thể áp dụng.
Một chi nhánh hoạt động trên khắp EU và Mỹ cần phải đáp ứng cả ML và BSA. Việc giới hạn dung lượng lưu trữ theo khung thời gian của EU trong khi BSA yêu cầu thời gian dài hơn là loại lỗi thiết kế có thể tránh được, thường chỉ được phát hiện trong cuộc phỏng vấn với cơ quan quản lý sáu tháng sau đó. Lỗi tương tự - lưu giữ dữ liệu vô thời hạn mà không có lý do chính đáng cho từng phân khúc - vi phạm giới hạn lưu trữ GDPR.
VLAN camera được kết nối trực tiếp với mạng LAN doanh nghiệp.
Các thiết bị chuyển mạch PoE và camera IP sử dụng thông tin đăng nhập mặc định được ghi lại như các đường dẫn di chuyển ngang. Phân đoạn mạng không phải là một tính năng "nên có".

Câu hỏi thường gặp

→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?

Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.

→What is the AML video retention window for ATM footage in the EU vs the US?

EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.

→Is Hikvision banned in every bank branch, or only federal-affiliated ones?

Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.

→How many cameras do I need at an ATM — one, two, or three?

Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.

→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?

At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.

→Do I need separate cameras for the teller's face and the teller's cash drawer?

Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.

→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?

Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.

→Can I reuse one branch's CCTV design across 50 sites?

Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.

→Does NDAA §889 cover the NVR and VMS or just the cameras?

The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.

Thiết kế hệ thống camera giám sát ngân hàng năm 2026: Máy ATM, két sắt, quầy giao dịch và lối vào chi nhánh — Mô phỏng chi tiết theo từng khu vực theo tiêu chuẩn EN 62676-4

Tóm lại — 5 điều cần làm đúng

Muc luc