Articulo 22 Se complementa la Directiva (UE) 2015/2366 en lo relativo a normas para autenticación reforzada de clientes

1. Los proveedores de servicios de pago garantizarán la confidencialidad y la integridad de las credenciales de seguridad personalizadas del usuario de servicios de pago, incluidos los códigos de autenticación, durante todas las fases de su autenticación.

2. A efectos del apartado 1, los proveedores de servicios de pago velarán por el cumplimiento de todos los requisitos siguientes:

a) que las credenciales de seguridad personalizadas se enmascaren cuando se muestren y no sean legibles en su totalidad cuando sean introducidas por el usuario de servicios de pago durante la autenticación;

b) que las credenciales de seguridad personalizadas en formato de datos, así como los materiales criptográficos relacionados con el cifrado de las credenciales de seguridad personalizadas, no sean almacenados en formato de texto común;

c) que el material criptográfico secreto quede protegido de una divulgación no autorizada.

3. Los proveedores de servicios de pago documentarán exhaustivamente el proceso relacionado con la gestión del material criptográfico utilizado para cifrar o hacer ilegibles las credenciales de seguridad personalizadas.

4. Los proveedores de servicios de pago velarán por que el tratamiento y el encaminamiento de las credenciales de seguridad personalizadas y de los códigos de autenticación generados de conformidad con el capítulo II tengan lugar en entornos seguros en consonancia con estándares firmes y ampliamente reconocidos del sector.