いくつかの(物理的な)店で何かを購入し、これらの電子端末の1つでクレジットカードを使用して支払うとしましょう。このストアの所有者は、このトランザクションから私(または私のクレジットカード)についてどのような情報を入手しますか?
同じクレジットカードを使用して複数の購入が支払われたかどうかを確認できますか?
カード自体から、マーチャントは トラックデータ を取得します。これには、カード番号、有効期限、およびカード所有者名が含まれます。
販売者が郵便番号の検証を必要とする場合は、明らかに郵便番号を取得します。
(Card-Not-Present Merchantsは、請求/配送の目的で住所データを取得することがよくありますが、実際の店舗について尋ねると、カード自体ではなく、顧客から取得します。)
販売者はそのカードでの購入を店舗内で追跡できますが、接続されていない他の店舗での購入は追跡できません。複数の店舗(HomeGoods、TJ Maxxなど)が実際には同じ「販売者」(TJX企業)である場合があることに注意してください。
一方、プロセッサは、1つのカードのアクティビティを複数のマーチャントに関連付けることができます。彼らは一般に取引の詳細(「あなたが買ったもの」)を持っていませんが、金額、カテゴリ、商人、時間を持っています要求に応じてカードブランド(Visa、Mastercardなど)、または召喚状の法執行機関に提供されます。
各プロセッサーには異なるビューがあります。プロセッサーAがマーチャントA、B、およびCを処理し、プロセッサーBがマーチャントD、E、およびFを処理する場合、プロセッサーは処理するデータの完全にばらばらなセットを持ちます。一般に、ほとんどのマーチャントは単一のプロセッサーを使用します。冗長性と可用性を実現するために複数のプロセッサ間で一部の負荷分散を行いますが、ほとんどのトランザクションは1つのプロセッサからしか見えません。
プロセッサーは多くのデータ分析を行って付加価値を提供しますが、加盟店全体の個々のカード所有者の詳細を提供するものではありません。このようなデータ分析のほとんどは、大きな匿名のバケットで行われますが、世帯のようなその他のデータ分析では、分析に使用する要素を特定する必要があります。
プロセッサ、カードブランド、および銀行も、 販売者カテゴリコード (MCC)に基づいて、購入しているものについて大まかな推論を行うことができます。これらはあまり正確ではありません-エクソンステーションからの塩漬けピーナッツは「ガス」に分類される可能性がありますが、それらはいくつかのガイダンスを提供します。これらは、会社が発行したクレジットカードが非業務トランザクションをブロックするために使用するコードです。
最後に、カード自体が参考になります。加盟店はプリペイドカードとブラックカードの違いを認識でき、割引をより価値の高いカード所有者に拡張するなど、ステータスに応じてカード所有者を異なる方法で扱うことができます。これは、商人があなたのカードを見る実店舗だけではありません。プロセッサは、この種のメタデータをCard-Not-Present Merchantsにも提供できます。
(カードのタイプを判別する機能はプロセッサーに固有のものではありません。これはBIN(カードの最初の6桁)に基づいており、自由に利用できる binlist.net 。ただし、リストは時間の経過とともに変化し、ガイダンスの一部にすぎないため、これはプロセッサによって最も効果的に提供されるサービスです。たとえば、カードがブラックカードであるかどうかはだれでも知ることができますが、マーチャントとしては、チャージバック率の高いブラックカードを他のカードとは異なる方法で処理します。そのガイダンスを統合できるのはプロセッサのみです。)
少なくとも、彼らはカード番号を取得できます。ほとんどの領収書にはカード番号の最後の数桁が印刷されていますが、システムはある時点で完全な番号を持ち、PCIで許可されているカード番号のトークン化されたバージョンを保持している可能性があります(考えてみてください)。トークン化サービスによってカード番号にリンクできるランダムな値です)。同じカードはおそらく毎回同じトークンを与えるので(技術的にはこれはオプションですが、代替よりも多くの情報を提供するため、実際にはより一般的です)、「このカードはこれらのX、Y、Zも購入しました」日付"。
彼らは通常、そのデータを他のストアと相互参照することはできません-賢明に設計されたシステムでは、ストアAの特定のカードに関連付けられたトークンは、ストアBの特定のカードに関連付けられたトークンとはまったく関係ありません。トークン化プロバイダーが複数のクライアントからデータをプールするかどうかはわかりませんが、それはGDPRの下では悪夢になる可能性があるため、少なくともヨーロッパではそうではないと思います。
発行銀行は、購入が行われているのを確認することもできますが、通常は個別のアイテムではなく、トランザクションごとに行われます。それは彼らが購入について教育を受けた推測をすることができないことを意味しません(たとえば、「99pドーナツ」と呼ばれるビジネスに99pの支払いをした場合、あなたがドーナツを購入したことはかなり安全な推測です...)、
前の回答に追加するだけです。チェックアウト中に入力される明白なデータは別として、クレジットカード番号の最初の6つの番号から発行銀行名を取得することもできます。銀行名を使用すると、「中国の銀行」、「ANZ」、または「Národnábanka Slovenska」などの結果が表示されたときに、カードが発行された国を推測できます。
盗まれたクレジットカード番号で行われた注文を排除またはフラグを付けるために、注文が送信される前にリスクファクターを計算するときに、オンラインストアでこの方法を(他のユーザーと共に)使用しました。ユーザーIP、配送先住所、銀行カードがすべて異なる国からのものである場合、注文は保留になり、手動による確認のフラグが付けられます。