Dies gilt übrigens nicht nur für die Dokumentation und die Sicherheitsüberprüfung der starken Authentifizierungsmechanismen (gem. Kapitel 2 des RTS), sondern auch für die Dokumentation und Überprüfung der Sicherheitsanforderungen an den Lebenszyklus personalisierter Sicherheitsmerkmale (gem. Kapitel 4 des RTS). Auch hier sind die zum Einsatz kommenden Verfahren zu dokumentieren und regelmäßig auf ihre Wirksamkeit hin zu überprüfen.
Um weniger risikobehaftete Zahlungen möglichst bequem abwickeln zu können, lässt der RTS aber auch Ausnahmen von der Verwendung der „starken Kundenauthentifizierung“ zu. So kann z.B. bei kontaktlos abgewickelten Zahlungen am POS unterhalb bestimmter Betragsgrenzen auf die Eingabe der PIN verzichtet werden. Gleiches gilt z.B. bei Online-Zahlungen an Zahlungsempfänger, die in einer „Whitelist“ gespeichert sind, bei niedrig-wertigen Zahlungen im Internet oder bei Zahlungen, bei denen im Rahmen einer Online durchgeführten Transaktionsanalyse ein geringes Risiko festgestellt wurde. Speziell für die Ausnahme von der starken Kundenauthentifizierung aufgrund einer Transaktionsanalyse gilt aber, dass dies nur so lange genutzt werden kann, wie die Missbrauchsrate nicht in zwei aufeinanderfolgenden Quartalen oberhalb einer im RTS festgelegten Grenze liegt.