I. - Les prestataires de services de paiement veillent à la confidentialité et à l'intégrité des données de sécurité personnalisées de l'utilisateur de services de paiement, notamment des codes d'authentification, durant l'ensemble des phases de l'authentification.
II. - Pour l'application du I du présent article, les prestataires de services de paiement garantissent le respect de chacune des exigences suivantes :
1° Les données de sécurité personnalisées sont masquées lorsqu'elles sont affichées et ne sont pas lisibles dans leur intégralité lorsqu'elles sont entrées par l'utilisateur de services de paiement durant l'authentification ;
2° Les données de sécurité personnalisées en format de données ainsi que le matériel cryptographique lié au cryptage des données de sécurité personnalisées ne sont pas conservés en texte clair ;
3° Le matériel cryptographique secret est protégé de toute divulgation non autorisée.
III. - Les prestataires de services de paiement consignent intégralement par écrit le processus de gestion du matériel cryptographique utilisé pour crypter ou rendre illisibles d'une autre manière les données de sécurité personnalisées.
IV. - Les prestataires de services de paiement veillent à ce que le traitement et le routage des données de sécurité personnalisées et des codes d'authentification générés conformément au chapitre II aient lieu dans des environnements sécurisés suivant des normes sectorielles rigoureuses et largement reconnues.