I. - Les prestataires de services de paiement veillent à la confidentialité et à l'intégrité des données de sécurité personnalisées de l'utilisateur de services de paiement, notamment des codes d'authentification, durant l'ensemble des phases de l'authentification.
II. - Pour l'application du I du présent article, les prestataires de services de paiement garantissent le respect de chacune des exigences suivantes :
1° Les données de sécurité personnalisées sont masquées lorsqu'elles sont affichées et ne sont pas lisibles dans leur intégralité lorsqu'elles sont entrées par l'utilisateur de services de paiement durant l'authentification ;
2° Les données de sécurité personnalisées en format de données ainsi que le matériel cryptographique lié au cryptage des données de sécurité personnalisées ne sont pas conservés en texte clair ;
3° Le matériel cryptographique secret est protégé de toute divulgation non autorisée.
III. - Les prestataires de services de paiement consignent intégralement par écrit le processus de gestion du matériel cryptographique utilisé pour crypter ou rendre illisibles d'une autre manière les données de sécurité personnalisées.
IV. - Les prestataires de services de paiement veillent à ce que le traitement et le routage des données de sécurité personnalisées et des codes d'authentification générés conformément au chapitre II aient lieu dans des environnements sécurisés suivant des normes sectorielles rigoureuses et largement reconnues.

Les prestataires de services de paiement veillent à ce que la création des données de sécurité personnalisées ait lieu dans un environnement sécurisé.
Ils réduisent les risques d'utilisation non autorisée des données de sécurité personnalisées ainsi que des dispositifs et du logiciel d'authentification à la suite de leur perte, vol ou copie avant leur livraison au payeur.

I. - Les prestataires de services de paiement veillent à ce que seul l'utilisateur de services de paiement soit associé, de manière sécurisée, aux données de sécurité personnalisées, aux dispositifs d'authentification et au logiciel.
II. - Pour l'application du I, les prestataires de services de paiement garantissent le respect de chacune des exigences suivantes :
1° L'association de l'identité de l'utilisateur de services de paiement avec les données de sécurité personnalisées et les dispositifs et le logiciel d'authentification a lieu dans des environnements sécurisés relevant de la responsabilité du prestataire de services de paiement, comprenant au moins les locaux du prestataire de services de paiement et l'environnement internet fourni par le prestataire de services de paiement, ou d'autres sites internet sécurisés similaires utilisés par ce dernier et par ses services de retrait à des distributeurs automatiques de billets, et tenant compte des risques liés aux dispositifs et composants sous-jacents utilisés au cours du processus d'association qui ne sont pas sous la responsabilité du prestataire de services de paiement ;
2° L'association, grâce à un moyen de communication à distance, de l'identité de l'utilisateur de services de paiement avec les données de sécurité personnalisées et les dispositifs ou le logiciel d'authentification est effectuée à l'aide d'une authentification forte du client.

I. - Les prestataires de services de paiement veillent à ce que la livraison des données de sécurité personnalisées ainsi que des dispositifs et du logiciel d'authentification à l'utilisateur de services de paiement soit effectuée d'une manière sécurisée qui permette de prévenir les risques liés à leur utilisation non autorisée à la suite de leur perte, vol ou copie.
II. - Pour l'application du I, les prestataires de services de paiement appliquent au moins chacune des mesures suivantes :
1° Des mécanismes de livraison efficaces et sécurisés garantissent que les données de sécurité personnalisées ainsi que les dispositifs et le logiciel d'authentification sont livrés à l'utilisateur de services de paiement légitime ;
2° Des mécanismes permettent au prestataire de services de paiement de vérifier l'authenticité du logiciel d'authentification livré à l'utilisateur de services de paiement grâce à l'internet ;
3° Des dispositions garantissent que, lorsque la livraison des données de sécurité personnalisées a lieu en dehors des locaux du prestataire de services de paiement ou grâce à un moyen de communication à distance :
a) Aucun tiers non autorisé ne peut obtenir plus d'un élément des données de sécurité personnalisées ou des dispositifs ou du logiciel d'authentification lorsque la livraison est effectuée grâce au même moyen de communication ;
b) Les données de sécurité personnalisées ou les dispositifs ou le logiciel d'authentification doivent être activés avant de pouvoir être utilisés ;
4° Des dispositions garantissent que, si les données de sécurité personnalisées ou les dispositifs ou le logiciel d'authentification doivent être activés avant leur première utilisation, cette activation est effectuée dans un environnement sécurisé conformément aux procédures d'association visées à l'article 24.

Les prestataires de services de paiement veillent à ce que le renouvellement ou la réactivation des données de sécurité personnalisées respecte les procédures applicables à la création, à l'association et à la livraison de ces données et des dispositifs d'authentification conformément aux articles 23, 24 et 25 du présent arrêté.

Les prestataires de services de paiement veillent à mettre en place des procédures efficaces en vue d'appliquer chacune des mesures de sécurité suivantes :
1° La destruction, la désactivation ou la révocation sécurisée des données de sécurité personnalisées et des dispositifs et du logiciel d'authentification ;
2° Lorsque le prestataire de services de paiement distribue des dispositifs et logiciels d'authentification réutilisables, la réutilisation sécurisée d'un dispositif ou logiciel est établie, décrite par écrit et mise en œuvre avant sa mise à disposition d'un autre utilisateur de services de paiement ;
3° La désactivation ou la révocation des informations liées aux données de sécurité personnalisées conservées dans les systèmes et bases de données du prestataire de services de paiement et, le cas échéant, dans des registres publics.