Disons que j'achète quelque chose dans un magasin (physique) et que je paie avec une carte de crédit sur l'un de ces terminaux électroniques. Quelles informations les propriétaires de ce magasin obtiennent-ils sur moi (ou ma carte de crédit) de cette transaction?
Peuvent-ils savoir si plusieurs achats ont été payés avec la même carte de crédit?
De la carte elle-même, le commerçant obtient le track data , qui comprend le numéro de la carte, la date d'expiration et le nom du titulaire de la carte.
Si le marchand a besoin d'une vérification du code postal, il obtiendra évidemment votre code postal.
(Les marchands sans carte obtiennent souvent des données d'adresse à des fins de facturation/expédition, mais vous avez posé des questions sur les magasins physiques ... et ils l'obtiennent du client, pas de la carte elle-même.)
Le marchand peut suivre les achats effectués avec cette carte dans ses magasins, mais pas ceux effectués dans d'autres magasins non connectés. Sachez que parfois plusieurs magasins (par exemple HomeGoods, TJ Maxx) sont en fait le même "marchand" (sociétés TJX).
Le processeur, d'autre part, peut corréler l'activité d'une seule carte entre plusieurs marchands. Ils n'ont généralement pas les détails de la transaction ("ce que vous avez acheté") mais ils ont des montants, des catégories, des marchands, des heures, qui peuvent tous être fournies aux marques de cartes (Visa, Mastercard, ...) sur demande, ou à l'application de la loi sur assignation.
Chaque processeur aura une vue différente. Si le processeur A gère les marchands A, B et C et que le processeur B gère les marchands D, E et F, les processeurs auront des ensembles de données complètement disjoints avec lesquels travailler. En général, la plupart des marchands utilisent un seul processeur; un certain équilibre de charge sur plusieurs processeurs pour la redondance et la disponibilité, mais la plupart des transactions ne seront vues que par un seul processeur.
Les processeurs effectuent de nombreuses analyses de données pour apporter une valeur ajoutée, mais pas dans la mesure où ils fournissent des informations sur les titulaires de carte individuels aux marchands. La plupart de ces analyses de données sont effectuées sur de grands compartiments anonymes, mais d'autres, comme le ménage, nécessitent que des facteurs d'identification soient utilisés dans l'analyse.
Les processeurs, les marques de cartes et les banques peuvent également faire des déductions approximatives sur ce que vous achetez en fonction du Merchant Category Code (MCC). Ce ne sont pas très exacts - ces arachides salées de la station Exxon pourraient être classées comme "Gaz" - mais elles fournissent quelques conseils. Ce sont les codes que les cartes de crédit émises par l'entreprise utiliseront pour bloquer les transactions non professionnelles.
Enfin, les cartes elles-mêmes sont informatives. Les commerçants peuvent faire la différence entre une carte prépayée et une carte noire, et ils peuvent traiter le titulaire de la carte différemment en fonction de leur statut, par exemple en accordant des remises aux détenteurs de cartes de plus grande valeur. Cela est vrai non seulement dans un magasin physique, où le commerçant voit votre carte; Les processeurs peuvent également fournir ce type de métadonnées aux marchands sans carte.
(La capacité de déterminer le type de carte n'est pas unique aux processeurs; elle est basée sur le BIN (les 6 premiers chiffres de la carte) et vous pouvez la rechercher avec des outils librement disponibles comme binlist.net . Cependant, étant donné que la liste change au fil du temps et qu'il ne s'agit que d'une partie des conseils, il s'agit d'un service le plus utile fourni par un processeur. Par exemple, n'importe qui peut savoir si une carte est une carte noire, mais en tant que commerçant, vous pourriez traiter une carte noire avec un taux de rétrofacturation élevé différemment des autres. Seul le processeur peut intégrer ces instructions.)
À tout le moins, ils peuvent obtenir le numéro de carte. La plupart des reçus auront même les derniers chiffres du numéro de carte imprimés, mais le système aura eu le numéro complet à un moment donné, et pourrait bien contenir une version symbolisée du numéro de carte qui est autorisée sous PCI (pensez-y étant une valeur aléatoire qui peut être reliée au numéro de carte par le service de tokenisation). Étant donné que la même carte donne probablement le même jeton à chaque fois (techniquement, c'est facultatif, mais comme elle donne plus d'informations que l'alternative, c'est la plus courante dans la pratique), ils peuvent aller "cette carte a également acheté X, Y et Z sur ces Rendez-vous".
Cependant, ils ne peuvent généralement pas croiser ces données avec d'autres magasins - le jeton associé à une carte donnée du magasin A est complètement indépendant de celui associé à une carte donnée du magasin B, dans un système judicieusement conçu. Je ne sais pas si des fournisseurs de tokenisation mettent en commun les données de plusieurs clients, mais cela pourrait être un cauchemar potentiel sous le RGPD, donc je suppose que non, du moins en Europe.
La banque émettrice peut également voir les achats effectués, bien sûr, mais généralement par transaction, plutôt que par article. Cela ne signifie pas qu'ils ne peuvent pas faire de suppositions éclairées sur les achats (par exemple, si vous effectuez un paiement à une entreprise appelée "99p Donuts" pour 99p, c'est une supposition assez sûre que vous avez acheté un beignet ...),
Juste pour ajouter aux réponses précédentes: Outre les données évidentes qui sont entrées lors du paiement, vous pouvez également obtenir le nom de la banque émettrice à partir des 6 premiers chiffres du numéro de carte de crédit. Avec le nom de la banque, vous pouvez parfois deviner le pays où la carte a été émise lorsque vous obtenez un résultat comme "Bank of China", "ANZ" ou "Národná banka Slovenska".
J'ai utilisé cette méthode (avec d'autres) dans une boutique en ligne lors du calcul d'un facteur de risque avant l'expédition d'une commande, pour éliminer ou signaler les commandes passées avec des numéros de carte de crédit volés. Si l'adresse IP de l'utilisateur, l'adresse de livraison et la carte bancaire proviennent tous de pays différents, votre commande sera mise en attente et signalée pour examen manuel.