Articulo 35 Se complementa la Directiva (UE) 2015/2366 en lo relativo a normas para autenticación reforzada de clientes

1. Los proveedores de servicios de pago gestores de cuenta, los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas, los proveedores de servicios de información sobre cuentas y los proveedores de servicios de iniciación de pagos velarán por que, en el intercambio de datos a través de internet, se aplique un cifrado seguro entre las partes durante toda la sesión de comunicación respectiva, a fin de proteger la confidencialidad y la integridad de los datos, utilizando técnicas de cifrado reforzadas y ampliamente reconocidas.

2. Los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas, los proveedores de servicios de información sobre cuentas y los proveedores de servicios de iniciación de pagos deberán reducir al mínimo tiempo posible la duración de las sesiones de acceso ofrecidas por los proveedores de servicios de pago gestores de cuenta y poner término activo a estas sesiones tan pronto como se haya completado la acción solicitada.

3. A la hora de mantener las sesiones paralelas de red con el proveedor de servicios de pago gestor de cuenta, los proveedores de servicios de información sobre cuentas y los proveedores de servicios de iniciación de pagos se asegurarán de que estas sesiones están ligadas de forma segura a las sesiones pertinentes establecidas con el usuario o los usuarios de los servicios de pago a fin de evitar la posibilidad de que pueda desviarse el encaminamiento de cualquier mensaje o la información comunicada entre ellos.

4. Los proveedores de servicios de información sobre cuentas, los proveedores de servicios de iniciación de pagos y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas con el proveedor de servicios de pago gestor de cuenta incluirán referencias inequívocas a todos los puntos siguientes:

a) el usuario o los usuarios de servicios de pago y la correspondiente sesión de comunicación, a fin de distinguir las distintas solicitudes del mismo usuario o los mismos usuarios de servicios de pago;

b) para los servicios de iniciación de pagos, la operación de pago iniciada con una identificación única;

c) para la confirmación de la disponibilidad de fondos, la solicitud con una identificación única relacionada con la cantidad necesaria para la ejecución de la operación de pago con tarjeta.

5. Los proveedores de servicios de pago gestores de cuenta, los proveedores de servicios de información sobre cuentas, los proveedores de servicios de iniciación de pagos y los proveedores de servicios de pago que emitan instrumentos de pago basados en tarjetas garantizarán que, cuando comuniquen credenciales de seguridad personalizadas y códigos de autenticación, estos no sean legibles, ni directa ni indirectamente, por ningún miembro del personal en ningún momento.

En caso de pérdida de confidencialidad de las credenciales de seguridad personalizadas de su ámbito de competencia, esos proveedores informarán sin demora indebida al usuario de servicios de pago vinculado a ellas y al emisor de las credenciales de seguridad personalizadas.