他们能否确定是否使用同一张信用卡支付了多次购买交易?
#1 楼
商家会从卡本身获取跟踪数据,其中包括卡号,有效期和持卡人姓名。如果商家需要邮政编码验证,显然他们会获得您的邮政编码。
(不存在卡的商家通常会出于帐单/运输目的而获取地址数据,但是您询问了实体商店的情况,而他们是从客户那里而不是卡本身获取的。) />
商户可以在其商店中跟踪使用该卡进行的购买,但不能跟踪在其他未关联的商店中进行的购买。请注意,有时多个商店(例如HomeGoods,TJ Maxx)实际上是同一个“商人”(TJX公司)。 。他们通常没有交易明细(“您购买了什么”),但确实有金额,类别,商户,时间,所有这些都可以根据要求提供给卡品牌(Visa,Mastercard等),或者传票上的法律执行。
每个处理者都有不同的看法。如果处理器A处理商人A,B和C,而处理器B处理商人D,E和F,则处理器将具有完全不相交的数据集。通常,大多数商家使用单个处理器。多个处理器之间存在一些负载平衡,以实现冗余和可用性,但大多数事务只能由一个处理器看到。提供各商户的个人持卡人详细信息。大多数此类数据分析都是在大型匿名存储桶上进行的,但是其他数据存储(例如住户)则需要在分析中使用识别因素。
处理器,卡品牌和银行也可以根据商家类别代码(MCC)对您所购买的商品做出宽松的推断。这些不是很准确-埃克森美孚站的咸花生可能被归类为“气体”-但它们提供了一些指导。这些是企业发行的信用卡将用于阻止非工作交易的代码。
最后,卡本身就是信息丰富的。商家可以说出预付卡和黑卡之间的区别,并且可以根据持卡人的身份来区别对待持卡人,例如,向具有更高价值的持卡人提供折扣。这不仅在商户看到您的卡的实体商店中是真实的;处理器也可以向不存在卡的商家提供这种元数据。
(确定卡类型的能力并非处理器所独有;它基于BIN(前6位数字)卡)),您可以使用binlist.net之类的免费工具进行查找。但是,由于列表会随着时间的推移而变化,并且它只是指南的一部分,因此该服务是处理器最有用的服务。 ,任何人都可以分辨出一张卡是否为黑卡-但作为商家,您可能会以不同的方式对待具有较高退款率的黑卡。只有处理器才能整合该指南。)
评论
等等,即使进行EMV交易,商家仍然可以获取卡数据?因此,它仅可防止POS终端遭到掠夺攻击,而在交易处理或数据存储系统中没有其他保护?
–菲尔·米勒(Phil Miller)
19年4月11日在21:41
@PhilMiller是的,PAN在EMV上并且可读。 EMV旨在减少欺诈和克隆,而不是防止泄露-我的意思是,数字仍然印在卡上!
– gowenfawr
19年4月11日在21:48
危险地对卡进行假设,白金和金实际上是“隐身”黑卡。也许是品牌卡。
–mckenzm
19年4月12日在0:01
“ [[处理器]通常没有交易数据”,需要引用。并阅读有关3级交易数据的信息。
– Ben Voigt
19年4月12日在6:51
@BenVoigt引用是个人经验(我为大型处理器工作)。谁想要将其详细信息上载到一个平台,该平台不允许进行数据挖掘甚至是基础的,复杂程度不高的分析?正如您的链接所指出的那样,级别3数据是Corporate,B2B和B2G的,这是少数派,这些数据是推动该数据增长的主要因素。
– gowenfawr
19年4月12日在8:52
#2 楼
至少,他们可以获得卡号。大多数收据甚至会在卡上印有卡号的最后几位,但是系统在某个时候会具有完整的卡号,并且很可能会持有PCI允许的卡号的令牌化版本(请考虑一下)是可以通过令牌化服务链接回卡号的随机值)。由于同一张卡可能每次都给出相同的令牌(从技术上讲这是可选的,但由于它提供的信息比替代的要多,因此在实践中更为常见),因此他们可以选择“该卡还购买了X,Y和Z日期”。设计合理的系统。我不知道是否有任何代币化提供商会从多个客户那里收集数据,但这可能是GDPR的潜在噩梦,所以我认为至少在欧洲不是。可以看到,显然是在进行购买,但是通常是基于每个交易而不是单个项目。这并不意味着他们无法对购买做出有根据的猜测(例如,如果您以99便士的价格向一家名为“ 99p甜甜圈”的公司付款,则可以肯定地说您购买了甜甜圈...) />评论
磁条交易和EMV交易之间的可用数据是否存在差异(或者,抄袭!)?我会(天真的,不知不觉地)假设是这样吗?
– gsnedders
19年4月11日在14:29
有点儿。卡号在这三个字段中都存在,同时还有到期日期和名称(请参阅@gowenfawr答案)。主要区别在于卡的验证-具有复本,即有人检查签名。通过磁条检查,可以将人员检查和在线验证(未将该卡标记为被盗)混合使用。使用芯片时,理想的情况是检查出示卡的人是否知道PIN(可能与在线验证结合使用)。差异不影响跟踪购买的能力。
–马修
19年4月11日在14:46
因此,行业术语是“令牌”,并且有“令牌提供程序”?似乎简单的哈希算法就可以解决问题-不确定提供程序的位置。
–JPhi1618
19年4月11日在17:39
@ JPhi1618通常,商家将卡号发送给处理器(由其处理),但处理器通常会交出令牌,而商家会忘记卡号。这降低了它们的PCI范围和要求。这个问题真的没有影响。处理者总是拥有令牌和卡,并且商家可以使用令牌而不是卡号来访问信息。
– gowenfawr
19年4月11日在17:44
您不希望进行哈希运算,因为这样您就有冒数据库泄漏泄露实际卡号的风险-您知道输入格式(12-18位数字,适合Luhn支票),因此可以大大减少搜索空间。如果数据库还存储最后4位数字,并且您知道前6位(发行者代码)的有效值,则可以进一步削减它。
–马修
19年4月11日在17:44
#3 楼
只是要添加到先前的答案中:除了在结帐过程中输入的明显数据之外,您还可以从信用卡号的前6个数字中获得发卡行的名称。使用银行名称,当您得到诸如“中国银行”,“ ANZ”或“Národnábanka Slovenska”之类的结果时,有时可以猜测发卡的国家。我使用了这种方法(以及其他)在网上购物时,在发货之前计算风险因素时,可以消除或标记带有信用卡号码被盗的订单。
如果用户IP,送货地址和银行卡都来自不同的国家,那么您的订单将被保留并标记为手动审核。
评论
大提示!直到现在我还没有听说过这种方法,但是我敢肯定,它在许多情况下都可能会有所帮助,在这种情况下,卡处理器不会提供反欺诈措施(尽管我确信如今大多数人都在使用更好的技术和超出此方法的算法)。
–西蒙东
20年7月19日在9:41
评论
我有反面信息的第一手经验。具体来说,我用信用卡在沃尔玛购物,后来,该卡公司向我询问了该产品。我不知道他们会见过,只有总数,日期等。@donjuedo好奇,那是沃尔玛品牌的卡吗?我的商店品牌信用卡在商店中确实具有该信息。除了这种关系之外,还可以将信息向上传递,但这不是特别常见。
@gowenfawr,这不是沃尔玛品牌的卡。我通常会使用Chase来获取飞行里程。这是另一张卡的可能性很小。
由于隐私法,答案会因国家/地区而异。您应该指定位置。
如果涉及任何类型的忠诚计划,请参阅细则。您可能已经同意将您的数据收集/汇总并用于研究和/或营销。当他们(或他们的分析)弄错了这个问题时,有时会引起欢喜。