Je connais pas beaucoup ce secteur, mais je ne pense pas que les règles aient changé sur ce point, d'ailleurs les normes relatives à la sécurité bancaire se sont durcies ces dernières années.

C'est vrai qu'il y a des trucs qui peuvent faire douter (par exemple, j'ai remarqué que l'écran principal affiche un X pour chaque chiffre du code qu'on tape), mais le lecteur de carte et son clavier sont bien séparés du reste. Je pense que le lecteur renvoie juste une info au reste du système pour dire qu'un chiffre a été tapé, mais sans préciser lequel ; il y a aussi un délai d'à peu près une seconde entre le moment où on appuie sur la touche et le moment où le X apparaît à l'écran, c'est peut-être un moyen d'éviter une side-channel attack basée sur les timings.