Artikel 22
Allgemeine Anforderungen
(1)
Die Zahlungsdienstleister gewährleisten die Vertraulichkeit und die Integrität der personalisierten Sicherheitsmerkmale des Zahlungsdienstnutzers, einschließlich Authentifizierungscodes, in jeder Phase der Authentifizierung.
(2)
Für die Zwecke des Absatzes 1 gewährleisten die Zahlungsdienstleister, dass alle folgenden Anforderungen erfüllt sind:
a)
Die personalisierten Sicherheitsmerkmale werden bei ihrer Anzeige verschleiert und sind nicht in ihrem gesamten Umfang lesbar, wenn sie vom Zahlungsdienstnutzer während der Authentifizierung eingegeben werden.
b)
Die personalisierten Sicherheitsmerkmale im Datenformat sowie das kryptografische Material im Zusammenhang mit der Verschlüsselung der personalisierten Sicherheitsmerkmale werden nicht im Klartext gespeichert.
c)
Das geheime kryptografische Material ist vor unbefugter Offenlegung geschützt.
(3)
Die Zahlungsdienstleister dokumentieren den Prozess zur Verwaltung des kryptografischen Materials, mit dem die personalisierten Sicherheitsmerkmale verschlüsselt oder auf andere Weise unlesbar gemacht werden, vollständig.
(4)
Die Zahlungsdienstleister gewährleisten die Verarbeitung und die Weiterleitung der personalisierten Sicherheitsmerkmale und der gemäß Kapitel II generierten Authentifizierungscodes in sicheren Umgebungen gemäß weithin anerkannten, strengen Branchenstandards.