I. - Les prestataires de services de paiement gestionnaires de comptes, les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte, les prestataires de services d'information sur les comptes et les prestataires de services d'initiation de paiement veillent à ce que, lors de l'échange de données par l'internet, un cryptage sécurisé soit utilisé entre les parties communicantes tout au long de la session de communication concernée afin de préserver la confidentialité et l'intégrité des données, à l'aide de techniques de cryptage performantes et largement reconnues.
II. - Les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte, les prestataires de services d'information sur les comptes et les prestataires de services d'initiation de paiement font en sorte que les sessions d'accès proposées par les prestataires de services de paiement gestionnaires de comptes soient aussi brèves que possible et mettent activement fin à toute session de ce type dès que l'action demandée a été menée à bien.
III. - Lorsqu'ils maintiennent des sessions de réseau parallèles avec le prestataire de services de paiement gestionnaire du compte, les prestataires de services d'information sur les comptes et les prestataires de services d'initiation de paiement veillent à ce que ces sessions soient liées de manière sécurisée aux sessions correspondantes établies avec l'utilisateur ou les utilisateurs de services de paiement, afin d'éviter que des messages ou des informations qu'ils se communiquent puissent être détournés.
IV. - Les prestataires de services d'information sur les comptes, les prestataires de services d'initiation de paiement et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte avec le prestataire de services de paiement gestionnaire du compte indiquent des références claires à chacun des éléments suivants :
1° L'utilisateur ou les utilisateurs de services de paiement et la session de communication correspondante, afin d'opérer une distinction entre plusieurs demandes émanant du ou des mêmes utilisateurs de services de paiement ;
2° Pour les services d'initiation de paiement, l'opération de paiement initiée, identifiée de manière unique ;
3° Pour la confirmation de la disponibilité des fonds, la demande identifiée de manière unique portant sur le montant nécessaire pour l'exécution de l'opération de paiement liée à une carte.
V. - Les prestataires de services de paiement gestionnaires de comptes, les prestataires de services d'information sur les comptes, les prestataires d'initiation de paiement et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte veillent à ce que, lorsqu'ils communiquent des données de sécurité personnalisées et des codes d'authentification, ceux-ci ne soient à aucun moment lisibles, directement ou indirectement, par un membre du personnel.
En cas de perte de confidentialité des données de sécurité personnalisées relevant de leur compétence, ces prestataires informent sans délai l'utilisateur de services de paiement qui leur est associé, ainsi que l'émetteur des données de sécurité personnalisées.