logo-print

Τμήμα IIΙ - Πράξη 59/18.1.2016 Τράπεζας της Ελλάδος - Ειδικά μέτρα ελέγχου και ασφάλειας για τις πληρωμές μέσω διαδικτύου

ΗΜΕΡΟΜΗΝΙΑ ΙΣΧΥΟΣ:

11/02/2016

Κωδικοποιημένο
Τεχνητή νοημοσύνη, μεταφορές & ευθύνη των μεταφορέων στο Ελληνικό Δίκαιο
Το δίκαιο της ψηφιακής οικονομίας

ΕΜΠΟΡΙΚΟ ΔΙΚΑΙΟ / ΔΙΚΑΙΟ ΒΙΟΜΗΧΑΝΙΚΉΣ ΚΑΙ ΠΝΕΥΜΑΤΙΚΉΣ ΙΔΙΟΚΤΗΣΙΑΣ ΝΕΕΣ ΤΕΧΝΟΛΟΓΙΕΣ & ΔΙΚΑΙΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΕΙΔΙΚΟ ΔΙΟΙΚΗΤΙΚΟ ΔΙΚΑΙΟ / ΠΡΟΣΩΠΙΚΑ ΔΕΔΟΜΕΝΑ

ΙΩΑΝΝΗΣ ΙΓΓΛΕΖΑΚΗΣ

Α. Αρχική εξακρίβωση ταυτότητας πελάτη, ενημέρωση

1. Η ταυτότητα των πελατών εξακριβώνεται δεόντως σύμφωνα με την κείμενη ελληνική νομοθεσία για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες και επιβεβαιώνεται η βούληση των πελατών να προβούν σε πληρωμές μέσω διαδικτύου με χρήση των υπηρεσιών πριν από την παροχή πρόσβασης στις υπηρεσίες αυτές. Οι ΠΥΠ παρέχουν επαρκή προηγούμενη, τακτική ή, κατά περίπτωση ειδική ενημέρωση στον πελάτη σχετικά με τις αναγκαίες προϋποθέσεις (π.χ. εξοπλισμός, διαδικασίες) για την εκτέλεση ασφαλών πράξεων πληρωμής μέσω του διαδικτύου καθώς και σχετικά με τους εγγενείς κινδύνους.

2. Οι Π ΥΠ διασφαλίζουν ότι έχουν εφαρμοστεί όλες οι διαδικασίες δέουσας επιμέλειας ως προς τον πελάτη και ότι ο πελάτης έχει παράσχει επαρκή και γνήσια έγγραφα ταυτότητας (π.χ. διαβατήριο, εθνικό δελτίο ταυτότητας, προηγμένη ηλεκτρονική υπογραφή) και σχετικές πληροφορίες προτού χορηγηθεί σε αυτόν πρόσβαση στις υπηρεσίες πληρωμών μέσω διαδικτύου. Για τη διαδικασία πιστοποίησης και επαλήθευσης της ταυτότητας του πελάτη εφαρμόζονται οι ισχύουσες διατάξεις για την καταπολέμηση της νομιμοποίησης εσόδων από παράνομες δραστηριότητες και την καταπολέμηση της τρομοκρατίας περιλαμβανομένων των σχετικών κανονιστικών πράξεων της Τράπεζας της Ελλάδος.

3. Οι ΠΥΠ διασφαλίζουν ότι η προηγούμενη ενημέρωση που παρέχεται στον πελάτη πριν από τη σύναψη σύμβασης για την παροχή υπηρεσιών πληρωμών, πέραν των καθοριζόμενων στο άρθρο 39 του Ν. 3862/2010 πληροφοριών, περιλαμβάνει λεπτομερείς πληροφορίες που αφορούν ειδικά τις υπηρεσίες πληρωμών μέσω διαδικτύου. Στις πληροφορίες αυτές περιλαμβάνονται, κατά περίπτωση:

α) σαφείς πληροφορίες σχετικά με τυχόν απαιτήσεις όσον αφορά τον εξοπλισμό, το λογισμικό ή άλλα απαραίτητα εργαλεία που πρέπει να διαθέτει ο πελάτης (π.χ. λογισμικό προστασίας από ιούς, τείχη προστασίας),

β) οδηγίες για την ορθή και ασφαλή χρήση εξατομικευμένων διαπιστευτηρίων ασφάλειας,

γ) αναλυτική περιγραφή κάθε σταδίου της διαδικασίας για την υποβολή και την έγκριση πράξης πληρωμής από τον πελάτη και/ή τη λήψη πληροφοριών, συμπεριλαμβανομένων των συνεπειών κάθε ενέργειας,

δ) οδηγίες για την ορθή και ασφαλή χρήση κάθε υλισμικού και λογισμικού που παρέχεται στον πελάτη,

ε) οι διαδικασίες που ακολουθούνται σε περίπτωση απώλειας ή κλοπής των εξατομικευμένων διαπιστευτηρίων ασφάλειας ή του υλισμικού ή του λογισμικού του πελάτη για την είσοδο στον δικτυακό τόπο ή για την εκτέλεση πράξεων πληρωμής,

στ) οι διαδικασίες που ακολουθούνται εάν εντοπιστεί ή εγερθεί υπόνοια για κατάχρηση,

ζ) περιγραφή των αρμοδιοτήτων και των ευθυνών του ΠΥΠ και του πελάτη αντιστοίχως όσον αφορά τη χρήση της υπηρεσίας πληρωμών μέσω διαδικτύου.

4. Οι ΠΥΠ διασφαλίζουν ότι στη σύμβαση−πλαίσιο που συνάπτουν με τον πελάτη συμφωνείται ότι ο ΠΥΠ μπορεί να αρνείται προσωρινά την εκτέλεση συγκεκριμένης πράξης ή να αναστέλλει τη χρήση του μέσου πληρωμής σύμφωνα με τα οριζόμενα στο άρθρο 52 του Ν. 3862/2010 σχετικά με τους περιορισμούς της χρήσης του μέσου πληρωμών για λόγους ασφάλειας.

Στη σύμβαση προσδιορίζονται η μέθοδος και οι όροι ειδοποίησης του πελάτη καθώς και ο τρόπος με τον οποίο ο πελάτης μπορεί να επικοινωνεί με τον ΠΥΠ προκειμένου ο τελευταίος να άρει την προσωρινή άρνηση εκτέλεσης της πράξης ή της υπηρεσίας πληρωμής μέσω διαδικτύου, σύμφωνα με το Ν. 3862/2010.

Β. Ισχυρή ταυτοποίηση του πελάτη

1. Η έναρξη πληρωμών μέσω διαδικτύου καθώς και η πρόσβαση σε ευαίσθητα δεδομένα πληρωμών προστατεύεται μέσω της ισχυρής ταυτοποίησης των πελατών. Οι ΠΥΠ εφαρμόζουν διαδικασία ισχυρής ταυτοποίησης των πελατών σύμφωνα με τον ορισμό που παρέχεται στην παρούσα πράξη.

2. Για τη διενέργεια των υπηρεσιών μεταφοράς πίστωσης, ηλεκτρονικής εξουσιοδότησης και ηλεκτρονικού χρήματος, οι ΠΥΠ προβαίνουν σε ισχυρή ταυτοποίηση του πελάτη για την έγκριση των πράξεων πληρωμής μέσω διαδικτύου του πελάτη (συμπεριλαμβανομένων ομαδοποιημένων μεταφορών πίστωσης) και για την έκδοση ή την τροποποίηση ηλεκτρονικών εξουσιοδοτήσεων άμεσης χρέωσης. Ωστόσο, οι ΠΥΠ θα μπορούσαν να εξετάσουν το ενδεχόμενο θέσπισης εναλλακτικών μέτρων ταυτοποίησης των πελατών για:

α) εξερχόμενες πληρωμές σε έμπιστους δικαιούχους που περιλαμβάνονται σε προϋπάρχουσες λευκές λίστες για τον συγκεκριμένο πελάτη,

β) πράξεις μεταξύ δύο λογαριασμών πληρωμών του ίδιου πελάτη που τηρούνται στον ίδιο ΠΥΠ,

γ) μεταφορές εντός του ίδιου ΠΥΠ που δικαιολογούνται βάσει ανάλυσης του κινδύνου της συναλλαγής,

δ) πληρωμές μικρής αξίας, όπως προσδιορίζονται στην παράγραφο 1 του άρθρου 31 και στην παράγραφο 1 του άρθρου 50 του Ν. 3862/2010.

3. Για την απόκτηση πρόσβασης σε ευαίσθητα δεδομένα πληρωμών ή την τροποποίηση τους, συμπεριλαμβανομένης της δημιουργίας και της τροποποίησης λευκών λιστών, απαιτείται ισχυρή ταυτοποίηση του πελάτη. Στις περιπτώσεις όπου ένας ΠΥΠ προσφέρει αμιγώς συμβουλευτικές υπηρεσίες, χωρίς να εμφανίζονται ευαίσθητες πληροφορίες σχετικά με τον πελάτη ή τις πληρωμές, όπως δεδομένα καρτών πληρωμών, που θα μπορούσαν εύκολα να χρησιμοποιηθούν για να διαπραχθεί απάτη, ο ΠΥΠ μπορεί να προσαρμόζει τις απαιτήσεις ταυτοποίησης με βάση την αξιολόγηση του κινδύνου που διενεργεί.

4. Για τις πράξεις πληρωμών με κάρτα, όλοι οι ΠΥΠ που εκδίδουν κάρτες υποστηρίζουν συστήματα ισχυρής ταυτοποίησης του κατόχου της κάρτας. Όλες οι κάρτες που εκδίδονται είναι τεχνικά έτοιμες (καταχωρισμένες) για χρήση με διαδικασία ισχυρής ταυτοποίησης.

5. Οι ΠΥΠ οι οποίοι παρέχουν υπηρεσίες αποδοχής συναλλαγών με κάρτα υποστηρίζουν τεχνολογίες που επιτρέπουν στον εκδότη να εφαρμόζει διαδικασία ισχυρής ταυτοποίησης του κατόχου της κάρτας για τα σχήματα καρτών στα οποία συμμετέχει ο αποδέκτης.

6. Οι ΠΥΠ που προσφέρουν υπηρεσίες αποδοχής συναλλαγών με κάρτα απαιτούν από τις επιχειρήσεις ηλεκτρονικού εμπορίου να υποστηρίζουν λύσεις που επιτρέπουν στον εκδότη να διενεργεί ισχυρή ταυτοποίηση του κατόχου της κάρτας για συναλλαγές με κάρτα μέσω του διαδικτύου. Το ενδεχόμενο χρήσης εναλλακτικών μέτρων ταυτοποίησης θα μπορούσε να εξεταστεί για προκαθορισμένες κατηγορίες συναλλαγών χαμηλού κινδύνου, π.χ. βάσει ανάλυσης του κινδύνου της συναλλαγής ή για πράξεις που αφορούν πληρωμές μικρής αξίας, όπως αυτές προσδιορίζονται στην παράγραφο 1 του άρθρου 31 και στην παράγραφο 1 του άρθρου 50 του Ν. 3862/2010.

7. Για τα σχήματα καρτών πληρωμών που δέχεται η υπηρεσία, οι πάροχοι «λύσεων πορτοφολιού» απαιτούν ισχυρή ταυτοποίηση του πελάτη από τον εκδότη όταν ο νόμιμος κάτοχος καταχωρίζει για πρώτη φορά τα στοιχεία της κάρτας.

8. Οι πάροχοι «λύσεων πορτοφολιού» υποστηρίζουν τις διαδικασίες ισχυρής ταυτοποίησης του πελάτη όταν οι πελάτες εισέρχονται στους δικτυακούς τόπους των υπηρεσιών πληρωμών μέσω λύσεων πορτοφολιού ή προβαίνουν σε συναλλαγές με κάρτα μέσω του διαδικτύου. Το ενδεχόμενο χρήσης εναλλακτικών μέτρων ταυτοποίησης θα μπορούσε να εξεταστεί για προκαθορισμένες κατηγορίες συναλλαγών χαμηλού κινδύνου, π.χ. βάσει ανάλυσης του κινδύνου της συναλλαγής, ή για πράξεις που αφορούν πληρωμές μικρής αξίας, όπως αυτές προσδιορίζονται στην παράγραφο 1 του άρθρου 31 και στην παράγραφο 1 του άρθρου 50 του Ν. 3862/2010.

9. Για τις άυλες κάρτες, η αρχική καταχώριση πραγματοποιείται σε ασφαλές και αξιόπιστο περιβάλλον. Η ισχυρή ταυτοποίηση του πελάτη είναι υποχρεωτική για τη διαδικασία δημιουργίας των στοιχείων της άυλης κάρτας εάν η κάρτα εκδίδεται σε διαδικτυακό περιβάλλον. Ως διαδικτυακό περιβάλλον, για τη λειτουργία του οποίου έχει ευθύνη ο ΠΥΠ, στο οποίο διασφαλίζονται η επαρκής ταυτοποίηση του πελάτη και του ΠΥΠ που προσφέρει την υπηρεσία και η προστασία των εμπιστευτικών/ευαίσθητων πληροφοριών, θεωρούνται τα ακόλουθα:

α) οι εγκαταστάσεις του ΠΥΠ,

β) ο δικτυακός τόπος εκτέλεσης τραπεζικών εργασιών μέσω διαδικτύου ή άλλος ασφαλής δικτυακός τόπος, π.χ. στην περίπτωση όπου η αρχή διακυβέρνησης προσφέρει παρόμοια χαρακτηριστικά ασφάλειας, μεταξύ άλλων, όπως αυτά που ορίζονται στο Κεφάλαιο Δ του Τίτλου II,

γ) οι υπηρεσίες πληρωμών μέσω αυτόματων ταμειολογιστικών μηχανών, όπου απαιτείται ισχυρή ταυτοποίηση του πελάτη (π.χ. μέσω μικροεπεξεργαστή και προσωπικού κωδικού αναγνώρισης ή μικροεπεξεργαστή και βιομετρικών στοιχείων.

10. Οι ΠΥΠ διασφαλίζουν τη δέουσα διμερή ταυτοποίηση κατά την επικοινωνία τους με επιχειρήσεις ηλεκτρονικού εμπορίου για τους σκοπούς της έναρξης πληρωμών μέσω διαδικτύου και της πρόσβασης σε ευαίσθητα δεδομένα πληρωμών.

Γ. Εγγραφή σε εργαλεία και/ή λογισμικό ταυτοποίησης που παραδίδονται στον πελάτη και παροχή αυτών

1. Οι ΠΥΠ διασφαλίζουν ότι η εγγραφή του πελάτη σε εργαλεία ταυτοποίησης και η αρχική παροχή των εργαλείων αυτών, τα οποία απαιτούνται για τη χρήση της υπηρεσίας πληρωμών μέσω διαδικτύου και/ή η παράδοση λογισμικού σχετικού με τις πληρωμές στους πελάτες διεξάγεται με ασφαλή τρόπο.

2. Η εγγραφή σε εργαλεία ταυτοποίησης και/ή λογισμικό σχετικό με τις πληρωμές που παραδίδονται στον πελάτη και η παροχή αυτών πρέπει να πληρούν τις ακόλουθες προϋποθέσεις:

α) οι σχετικές διαδικασίες διενεργούνται σε ασφαλές και αξιόπιστο περιβάλλον, λαμβανομένων ταυτόχρονα υπόψη των πιθανών κινδύνων που απορρέουν από συσκευές που δεν υπόκεινται στον έλεγχο του ΠΥΠ,

β) εφαρμόζονται αποτελεσματικές και ασφαλείς διαδικασίες για την παράδοση εξατομικευμένων διαπιστευτηρίων ασφάλειας, του λογισμικού που σχετίζεται με τις πληρωμές και όλων των εξατομικευμένων συσκευών που σχετίζονται με τις πληρωμές μέσω διαδικτύου. Το λογισμικό που παραδίδεται μέσω του διαδικτύου πρέπει επίσης να φέρει την ψηφιακή υπογραφή του ΠΥΠ ώστε να παρέχεται η δυνατότητα στον πελάτη να εξακριβώνει τη γνησιότητα αυτού καθώς και ότι αυτό δεν έχει παραποιηθεί,

γ) για συναλλαγές με κάρτα, ο πελάτης έχει την δυνατότητα να εγγραφεί για ισχυρή ταυτοποίηση ανεξαρτήτως μιας συγκεκριμένης αγοράς μέσω διαδικτύου. Στις περιπτώσεις όπου προσφέρεται δυνατότητα ενεργοποίησης στο πλαίσιο αγορών μέσω διαδικτύου, αυτή πραγματοποιείται με ανακατεύθυνση του πελάτη σε ασφαλές και αξιόπιστο περιβάλλον.

3. Για συναλλαγές με κάρτα οι εκδότες ενθαρρύνουν ενεργά την εγγραφή του κατόχου της κάρτας για ισχυρή ταυτοποίηση και επιτρέπουν στους κατόχους κάρτας να παρακάμπτουν την εγγραφή μόνο σε περιορισμένο αριθμό εξαιρετικών περιπτώσεων όπου αυτό δικαιολογείται από τον κίνδυνο που συνδέεται με τη συγκεκριμένη συναλλαγή με κάρτα.

Δ. Απόπειρες σύνδεσης, χρονικό όριο σύνδεσης, διάρκεια ισχύος της ταυτοποίησης

1. Οι ΠΥΠ περιορίζουν τον αριθμό των προσπαθειών σύνδεσης ή ταυτοποίησης, ορίζουν κανόνες για το χρονικό όριο σύνδεσης στις υπηρεσίες πληρωμών μέσω διαδικτύου και θέτουν χρονικά όρια για τη διάρκεια ισχύος της ταυτοποίησης.

2. Όταν χρησιμοποιείται κωδικός αναγνώρισης μίας χρήσης για τους σκοπούς της ταυτοποίησης, οι ΠΥΠ διασφαλίζουν ότι η περίοδος ισχύος των εν λόγω κωδικών αναγνώρισης περιορίζεται αυστηρά στο ελάχιστο αναγκαίο.

3. Οι ΠΥΠ ορίζουν τον μέγιστο αριθμό αποτυχημένων προσπαθειών εισόδου ή ταυτοποίησης, μετά από τον οποίο η πρόσβαση στην υπηρεσία πληρωμών μέσω διαδικτύου αναστέλλεται (προσωρινά ή μόνιμα) και εφαρμόζουν ασφαλή διαδικασία για την εκ νέου ενεργοποίηση των υπηρεσιών πληρωμών μέσω διαδικτύου που έχουν ανασταλεί.

4. Οι ΠΥΠ ορίζουν τη μέγιστη χρονική περίοδο μετά το πέρας της οποίας οι αδρανείς συνδέσεις στις υπηρεσίες πληρωμών μέσω διαδικτύου τερματίζονται αυτομάτως.

Ε. Παρακολούθηση συναλλαγών

1. Οι μηχανισμοί παρακολούθησης των συναλλαγών που έχουν σχεδιαστεί για την πρόληψη, τον εντοπισμό και την προσωρινή άρνηση εκτέλεσης παράνομων πράξεων πληρωμής πρέπει να τίθενται σε λειτουργία πριν από την τελική έγκριση του ΠΥΠ. Οι συναλλαγές που θεωρούνται ύποπτες ή υψηλού κινδύνου πρέπει να υπόκεινται σε ειδική διαδικασία ελέγχου και αξιολόγησης. Ισοδύναμοι μηχανισμοί παρακολούθησης της ασφάλειας και έγκρισης εφαρμόζονται επίσης και για την έκδοση ηλεκτρονικών εξουσιοδοτήσεων.

2. Οι ΠΥΠ χρησιμοποιούν συστήματα ανίχνευσης και πρόληψης της απάτης για τον εντοπισμό ύποπτων συναλλαγών πριν από την τελική έγκριση των πράξεων ή των ηλεκτρονικών εξουσιοδοτήσεων από τον ΠΥΠ. Τα συστήματα αυτά βασίζονται, για παράδειγμα, σε παραμετροποιημένους κανόνες (όπως μαύρες λίστες με στοιχεία καρτών που έχουν διαρρεύσει ή κλαπεί) και παρακολουθούν ασυνήθιστα πρότυπα συμπεριφοράς του πελάτη ή της συσκευής πρόσβασης του πελάτη, όπως τυχόν αλλαγή της διεύθυνσης πρωτοκόλλου ίντερνετ (εφεξής διεύθυνση IP) ή αλλαγή της περιοχής διευθύνσεων IP κατά τη διάρκεια της σύνδεσης στην υπηρεσία πληρωμών μέσω διαδικτύου, η οποία ενίοτε εντοπίζεται μέσω ελέγχων για τον εντοπισμό της γεωγραφικής θέσης της διεύθυνσης IP, ασυνήθεις κατηγορίες επιχειρήσεων ηλεκτρονικού εμπορίου συγκεκριμένου πελάτη ή ασυνήθιστα δεδομένα συναλλαγών. Τα συστήματα αυτά πρέπει επίσης να είναι σε θέση να εντοπίζουν ενδείξεις προσβολής από κακόβουλο λογισμικό κατά τη διάρκεια της σύνδεσης (π.χ. αναγνώριση υποβολής στοιχείων μέσω αυτόματης δέσμης εντολών (script) αντί από άνθρωπο) καθώς και γνωστών σεναρίων απάτης. Η έκταση, η πολυπλοκότητα και η δυνατότητα προσαρμογής των λύσεων παρακολούθησης είναι ανάλογες με το αποτέλεσμα της αξιολόγησης του κινδύνου και σύμφωνες με τη σχετική νομοθεσία για την προστασία των δεδομένων.

3. Οι ΠΥΠ που αποδέχονται υπηρεσίες συναλλαγών με κάρτα εφαρμόζουν συστήματα εντοπισμού και πρόληψης της απάτης προκειμένου να παρακολουθούν τις δραστηριότητες των επιχειρήσεων ηλεκτρονικού εμπορίου.

4. Οι ΠΥΠ διεξάγουν οποιαδήποτε διαδικασία ελέγχου και αξιολόγησης της συναλλαγής εντός εύλογου χρονικού διαστήματος, προκειμένου να μην καθυστερούν αδικαιολόγητα την έναρξη και/ή την εκτέλεση της σχετικής υπηρεσίας πληρωμής.

5. Στις περιπτώσεις όπου ο ΠΥΠ, σύμφωνα με την πολιτική διαχείρισης κινδύνων που ακολουθεί, αποφασίζει την προσωρινή άρνηση εκτέλεσης μιας πράξης πληρωμής η οποία έχει εντοπιστεί ως πιθανώς παράνομη, ο ΠΥΠ διατηρεί την προσωρινή άρνηση για όσο το δυνατόν συντομότερο χρονικό διάστημα μέχρις ότου επιλυθούν τα ζητήματα ασφάλειας.

ΣΤ. Προστασία των ευαίσθητων δεδομένων πληρωμών

1. Τα ευαίσθητα δεδομένα πληρωμών προστατεύονται κατά την αποθήκευση, την επεξεργασία ή τη διαβίβαση τους, τηρούμενης της ισχύουσας σχετικής νομοθεσίας για την προστασία των προσωπικών δεδομένων.

2. Όλα τα δεδομένα που χρησιμοποιούνται για την αναγνώριση και την ταυτοποίηση των πελατών (π.χ. κατά την είσοδο, κατά την έναρξη πληρωμής μέσω διαδικτύου, καθώς και κατά την έκδοση, τροποποίηση ή ακύρωση ηλεκτρονικών εξουσιοδοτήσεων), όπως επίσης και η διεπαφή του πελάτη (δικτυακός τόπος ΠΥΠ ή επιχείρησης ηλεκτρονικού εμπορίου) προστατεύονται δεόντως από κλοπή, μη εξουσιοδοτημένη πρόσβαση ή τροποποίηση.

3. Οι ΠΥΠ διασφαλίζουν ότι, όταν ανταλλάσσονται ευαίσθητα δεδομένα πληρωμών μέσω του διαδικτύου, εφαρμόζεται ασφαλής διατερματική κρυπτογράφηση, ήτοι η κρυπτογράφηση που πραγματοποιείται εντός ή στο τερματικό σύστημα προέλευσης με την αντίστοιχη αποκρυπτογράφηση να πραγματοποιείται μόνο εντός ή στο τερματικό σύστημα προορισμού, μεταξύ των μερών που επικοινωνούν καθ’ όλη τη διάρκεια της σύνδεσης, προκειμένου να διασφαλίζονται η εμπιστευτικότητα και η ακεραιότητα των δεδομένων, με τη χρήση ισχυρών και ευρέως αναγνωρισμένων τεχνικών κρυπτογράφησης.

4. Οι ΠΥΠ που προσφέρουν υπηρεσίες αποδοχής συναλλαγών με κάρτα συστήνουν στις επιχειρήσεις ηλεκτρονικού εμπορίου με τις οποίες συνεργάζονται να μην αποθηκεύουν τυχόν ευαίσθητα δεδομένα πληρωμών. Στην περίπτωση που επιχειρήσεις ηλεκτρονικού εμπορίου διαχειρίζονται, δηλαδή αποθηκεύουν, επεξεργάζονται ή διαβιβάζουν ευαίσθητα δεδομένα πληρωμών, οι εν λόγω ΠΥΠ πρέπει βάσει σύμβασης να απαιτούν από τις επιχειρήσεις αυτές να εφαρμόζουν τα απαραίτητα μέτρα προστασίας των δεδομένων αυτών. Οι ΠΥΠ διενεργούν τακτικούς ελέγχους και, εάν ένας ΠΥΠ διαπιστώσει ότι επιχείρηση ηλεκτρονικού εμπορίου, η οποία διαχειρίζεται ευαίσθητα δεδομένα πληρωμών, δεν εφαρμόζει τα απαιτούμενα μέτρα ασφάλειας, προβαίνει σε ενέργειες για την επιβολή της συμβατικής αυτής υποχρέωσης ή καταγγέλλει τη σύμβαση.

Ποινικός Κώδικας Ι
Αοριστία και Νομική Αβασιμότητα της Αγωγής