Können Geschäfte Kartenzahlungen verwenden, um Kunden zu verfolgen/zu profilieren?

Können Geschäfte Zahlungsinformationen verwenden, wenn Sie mit einer Debit- oder Kreditkarte bezahlen, um das Kaufverhalten eines Kunden zu verfolgen?

Mit anderen Worten, kann ein Ladenbesitzer verschiedene Einkäufe zu unterschiedlichen Zeiten in seinem Geschäft miteinander verknüpfen, wenn sie mit derselben Karte getätigt oder von demselben Bankkonto bezahlt wurden?

Mit „kann“ meine ich sowohl technisch als auch rechtlich. Der rechtliche Teil hängt natürlich von der Gerichtsbarkeit und möglicherweise von den Bedingungen des Zahlungsanbieters ab. Bitte geben Sie dies gegebenenfalls in Ihrer Antwort an.

Ich weiß, dass Banken die Zahlungen verfolgen, die mit einer Karte getätigt werden, ich frage mich, ob Geschäfte dies auch tun können.

Technisch ist der einfache Teil. Rechtlich und vertraglich scheint es einige Einschränkungen zu geben. Mein Verständnis, obwohl ich noch nie etwas Maßgebliches zu diesem Thema gesehen habe, ist, dass Geschäfte den Kartennamen abkratzen können, der zusammen mit der angeforderten Postleitzahl (in Kalifornien illegal) korreliert werden kann, um viele Personen eindeutig zu identifizieren. Ich habe gehört, möchte aber eine verbindliche Bestätigung, dass US-Geschäfte die Kartennummer (selbst wenn sie dann gehasht oder umgewandelt wird) nicht für andere Zwecke als die vorliegende Transaktion abkratzen können.
Ich weiß genau, dass dies in Großbritannien regelmäßig gemacht wird, das ist einer der Gründe, warum ich dazu neige, mit Bargeld zu bezahlen

Antworten (2)

Ich weiß genau, dass dies geschieht, da ich bei der Implementierung einer solchen Lösung für einen Händler mit mehreren Marken geholfen habe.

Für das eine, an dem ich gearbeitet habe, wurden keine echten Kreditkartennummern verwendet, sondern Tokens, die Kreditkartennummern darstellen. Ohne auf zu viel Sicherheitskram einzugehen, es war eine Einbahnstraße . Die Kreditkartennummer eines Kunden würde immer zu demselben Token führen, aber der umgekehrte Weg war so gut wie unmöglich. Selbst wenn die Token gestohlen würden, wären sie für Diebe nutzlos.

Die meisten Unternehmen, die diese Lösungen implementieren, sind nur an gezieltem Marketing interessiert. Beispielsweise könnte eine Restaurantkette zeigen, dass der Inhaber einer bestimmten Kreditkarte für die meisten Mahlzeiten vegetarische Optionen bestellt hat. Es wäre eine Verschwendung und vielleicht sogar beleidigend, einem solchen Kunden einen Gutschein über 5 $ Rabatt auf ein Steak-Dinner zu schicken.

Ich würde auch sagen, dass die meisten dieser Unternehmen daran interessiert sind, die Identität ihrer Kunden zu schützen, und eine tokenartige Methode verwenden würden, selbst wenn sie keine Compliance-Probleme riskieren würden.

Pete, ich habe einen Link zu Einwegfunktionen hinzugefügt. Ich hoffe, Sie haben nichts dagegen. Genau so hätte ich sowas umgesetzt. :)
Zufälligerweise habe ich bemerkt, dass Home Depot so etwas zu tun scheint. Immer wenn ich etwas mit meiner Karte bei Home Depot kaufe, kennt es meine E-Mail-Adresse und fragt, ob ich eine Quittung per E-Mail haben möchte. Wenn sie meine Karte (oder einen Hash/Token davon) nicht aufbewahren würden, hätten sie keine Möglichkeit zu wissen, wer ich bin, um mir meine E-Mail-Adresse zu zeigen.
Der naive Suchraum ist 10^15 + 10^14 (wenn Sie 15-stellige Kartennummern zulassen, hauptsächlich AmEx; die 10% Differenz sind aber wirklich nicht so groß), weil die letzte Ziffer immer eine Prüfziffer ist. Ungefähr ein 2^50-Suchraum und obendrein einfach inkrementell zu durchsuchen. Nicht so schwer für einen entschlossenen Angreifer, es sei denn, Sie führen einige ernsthafte Hash-Iterationen durch.
@MichaelKjörling Vergessen Sie, dass jede vernünftige Person, die einen Hash für Kreditkartennummern verwendet, auch ein Salz verwenden würde? Daher gilt Ihre Berechnung für die Größe des Suchraums für jedes Token, nicht für alle Token. Darüber hinaus würden Unternehmen, die sich um Sicherheit sorgen, wahrscheinlich einen Algorithmus wie Bcrypt verwenden, der viel schwieriger zu brutalisieren wäre als beispielsweise MD5 oder SHA1.
@ChrisCirefice, für alle, die kein Sicherheitsexperte sind, sehen Salted Bcrypt und MD5 gleich aus - sie sind beide Einwegfunktionen.
Um mit dem Home Depot-Beispiel fortzufahren: Wenn Sie keine Quittung, aber die Kreditkarte haben, die Sie zum Kauf des Artikels verwendet haben, können sie die Verkaufsunterlagen nachschlagen.
@ChrisCirefice: Der Zweck von Salt besteht darin, es unmöglich zu machen, festzustellen, ob zwei Passwörter übereinstimmen. Der Zweck der beschriebenen Tokens besteht darin, festzustellen, ob zwei Transaktionen mit derselben Karte durchgeführt wurden. Wie könnte man die Token salzen, ohne sie unbrauchbar zu machen?
@supercat Sie salzen die Token nicht. Die Token sind nach meinem Verständnis das Ergebnis des Hashs. Sie würden Salt + die Kartennummer verwenden. Auf diese Weise konnten Sie nicht jede Kartennummer durch den Hash-Algorithmus iterieren, um übereinstimmende Hashes zu erhalten. Die Hashes wären aufgrund des Salzes nicht die gleichen. Aber das Salz wird gespeichert, sodass bei der nächsten Transaktion, wenn Sie Salz + Kartennummer eingeben, der gleiche Hash generiert wird.
@supercat: Obwohl die Antwort hier "Schutz der Identität ihres Kunden" lautet, heißt es auch "gezieltes Marketing", wofür Sie den Namen und die Adresse des Kunden benötigen. Also gehe ich auf die Beine und schätze, dass Sie den Namen auf der Kreditkarte verwenden könnten, um ein Salz nachzuschlagen (oder zufällig bei der ersten Verwendung zu generieren), und dann dieses Salz verwenden könnten, um die Kartennummer zu einem Token zu hashen. Es würde bedeuten, dass es nur ein Salz pro Kunde (Name) statt ein Salz pro Karte gibt, aber das könnte ein wenig verfeinert werden. Ich bin kein Compliance-Beauftragter für die Kreditkartenverarbeitung und meine Meinung sollte nicht als Ratschlag verstanden werden ;-)
@SteveJessop „da steht auch „gezieltes Marketing“, wofür man den Namen und die Adresse des Kunden braucht.“ Nicht unbedingt. Mein Stamm-Supermarkt druckt Coupons für Sonderangebote an den Kassen aus. Einige von ihnen zielen offensichtlich auf die Kaufhistorie im Laufe der Zeit ab, nicht nur auf den aktuellen Warenkorb.
@ChrisCirefice Was Mark über Salted Bcrypt und MD5 gesagt hat. Außerdem brauchen Sie immer nur eine Kreditkartennummer auf einmal...
@SteveJessop: Ich hatte nicht die Möglichkeit in Betracht gezogen, die Kontonummer mit dem verschlüsselten Namen zu kombinieren, um ein gehashtes Token zu erstellen, was den Suchraum so weit vergrößern würde, dass das Reverse-Engineering der Token unpraktisch wäre. Ich bin mir jedoch nicht sicher, wie man mit Leuten umgehen würde, die ihren Namen ändern.
@supercat: Wenn Sie den Namen und die Kartennummer zusammenhashen, um ein Token zu erhalten, und alles von diesem Token abtrennen, haben Sie bereits akzeptiert, dass Sie den Überblick verlieren und von vorne beginnen, wenn sich die Kartennummer ändert. Ich würde es nicht als Problem ansehen, dasselbe zu tun, wenn sich der Name ändert. Schließlich handelt es sich hier um ein eher lässiges Tracking, es handelt sich nicht um ein Konto, das der Benutzer kontrolliert, und wir versuchen auch nicht, Leute daran zu hindern, uns auszuweichen (was sie leicht tun können, indem sie beispielsweise bar bezahlen, wenn sie wirklich daran interessiert sind).
Mit allen verfügbaren Informationen auf einer Kreditkarte und einer guten langsamen Hashing-Funktion wie bcrypt oder Skript sollte es sehr schwierig sein, solche Hash-Token rückgängig zu machen, aber angesichts der Erfolgsgeschichte der Passwortspeicherung in Unternehmen würde ich nicht darauf wetten, dass viele Unternehmen dies tun in diesem Fall das kryptografisch Richtige.

Es gab eine Geschichte von einem Geschäft, Target, das anfing, einem 16-17-jährigen Mädchen Werbung zu schicken, die auf eine schwangere Frau ausgerichtet war. Der Vater war aufgebracht und sprach mit dem örtlichen Filialleiter. Schließlich war sie schwanger . Aber trotzdem, gruselige Geschichte. Sie profilierten sie anhand von Einkäufen.

(Siehe Bens Kommentar unten, mit Link zur Geschichte. Ich erinnerte mich ziemlich gut an die Anekdote.)

Hier ist ein Artikel darüber im Time Magazine ; Der Artikel besagt ausdrücklich, dass Target eine ID-Nummer verwendet hat, die sie mit der Kreditkarte des Mädchens verknüpft haben, um ihre Einkäufe zu verfolgen. Andere Artikel, die dieselbe Geschichte behandeln, sagen ähnliche Dinge.
Können Geschäfte Kartenzahlungen verwenden, um Kunden zu verfolgen/zu profilieren?
AntwortenHierDatenschutz-Bestimmungen1y, 0v