Le présent arrêté fixe les exigences auxquelles les prestataires de services de paiement autorisés en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna doivent satisfaire pour mettre en œuvre les mesures de sécurité leur permettant d'effectuer les actions suivantes :
1° Appliquer la procédure d'authentification forte du client conformément à l'article L. 133-44 du code monétaire et financier ;
2° Déroger à l'application des exigences de sécurité relatives à l'authentification forte du client, sous réserve de conditions bien définies et limitées fondées sur le niveau de risque, le montant et le caractère récurrent de l'opération de paiement et le moyen utilisé pour l'exécuter ;
3° Protéger la confidentialité et l'intégrité des données de sécurité personnalisées de l'utilisateur de services de paiement ;
4° Etablir des normes sécurisées de communication entre les prestataires de services de paiement gestionnaires de comptes, les prestataires de services d'initiation de paiement, les prestataires de services d'information sur les comptes, les payeurs, les bénéficiaires et d'autres prestataires de services de paiement en ce qui concerne la prestation et l'utilisation de services de paiement en application du chapitre III du titre III du livre Ier du code monétaire et financier.

I. - Les prestataires de services de paiement mettent en place des mécanismes de contrôle des opérations qui leur permettent de déceler les opérations de paiement non autorisées ou frauduleuses aux fins de la mise en œuvre des mesures de sécurité visées aux 1° et 2° de l'article arrêté.
Ces mécanismes sont fondés sur l'analyse d'opérations de paiement tenant compte d'éléments qui sont propres à l'utilisateur de services de paiement dans des conditions d'utilisation normale des données de sécurité personnalisées.
II. - Les prestataires de services de paiement veillent à ce que les mécanismes de contrôle des opérations tiennent au moins compte des éléments suivants :
1° Les listes d'éléments d'authentification volés ou détournés ;
2° Le montant de chaque opération de paiement ;
3° Les scénarios connus de fraude lors de la prestation de services de paiement ;
4° Les signes d'infection par un logiciel malveillant lors de sessions d'application de la procédure d'authentification ;
5° Si le dispositif d'accès ou le logiciel est fourni par le prestataire de services de paiement, un registre d'utilisation du dispositif d'accès ou du logiciel fourni à l'utilisateur de services de paiement, et l'utilisation anormale du dispositif ou du logiciel.

I. - La mise en œuvre des mesures de sécurité visées à l'article 1er du présent arrêté est décrite par écrit, testée régulièrement, évaluée et contrôlée, conformément aux dispositions du code monétaire et financier applicable au prestataire de services de paiement, par des auditeurs possédant une expertise dans le domaine de la sécurité informatique et des paiements électroniques et indépendants, sur le plan opérationnel, du prestataire de services de paiement.
II. - Le délai entre les audits visés à l'alinéa précédent est déterminé compte tenu du cadre comptable et du contrôle légal des comptes correspondant qui est applicable au prestataire de services de paiement.
Toutefois, les prestataires de services de paiement qui font usage de la dérogation visée à l'article 18 du présent arrêté font l'objet au moins une fois par an d'un audit portant sur la méthodologie, le modèle et les taux de fraude notifiés. L'auditeur qui réalise cet audit possède une expertise dans le domaine de la sécurité informatique et des paiements électroniques et est indépendant de celui-ci sur le plan opérationnel. Au cours de la première année où il est fait usage de la dérogation visée à l'article 18, et au moins tous les trois ans ensuite, ou plus fréquemment si l'autorité compétente le demande, cet audit est réalisé par un auditeur externe indépendant et qualifié.
III. - Cet audit évalue et rend compte de la conformité des mesures de sécurité du prestataire de services de paiement avec les exigences fixées par le présent règlement.
L'intégralité du rapport est mise à la disposition des autorités compétentes à la demande de celles-ci.