Ci sono un paio di ragioni per cui Paypal (o più in generale, qualsiasi servizio di pagamento) può sapere se hai utilizzato la tua carta in più di un posto.
La tua carta di credito è assolutamente tracciabile ovunque possibile
La mia carta di credito non dovrebbe essere memorizzata con un hash solo nel mio account?
Se la tua carta viene mantenuta con hash, può essere facilmente confrontata tra gli account . Gli hash sono deterministici, quindi per un algoritmo di hashing fisso una data carta di credito darà sempre lo stesso hash. Pertanto, se stessero archiviando gli hash, potrebbero facilmente confrontare gli account e determinare se la carta era già archiviata altrove. Ciò può essere vantaggioso, poiché in questo caso viene utilizzato per prevenire le frodi (l'implicazione è che se la stessa carta viene aggiunta a più account, è probabile che sia dovuta a una frode). Una volta che hai un hash "sicuro" di una carta di credito, non c'è motivo non per controllarlo su diversi account. Paypal certamente può e lo fa.
Tuttavia, questa capacità non è limitata a Paypal e può essere facilmente disponibile per commercianti molto più piccoli. Ad esempio, con Stripe (un comune metodo di pagamento conforme allo standard PCI) il commerciante riceverà un identificatore univoco per ogni numero di carta di credito memorizzato su Stripe. Il commerciante non conserva (né vede) il numero della carta, ma può comunque confrontare l'hash fornito con altri hash della carta che sono stati utilizzati nei loro sistemi. Questo può (ed è) facilmente utilizzato per lo scopo meno altruistico di tenere traccia della cronologia degli acquisti di un utente su più account e transazioni anonime, pur mantenendo la conformità PCI.
Quindi, per essere chiari, la tua carta di credito viene tracciata assolutamente ovunque da quante più persone riescono a tenerci le mani sopra, anche se non conoscono da sole il numero della tua carta di credito.
Paypal conserva in archivio il numero effettivo della tua carta di credito, non solo un cancelletto
I commercianti più piccoli possono e devono assicurarsi di non archiviare, trasmettere o esaminare mai i dettagli della carta. Tuttavia, non vi è alcun requisito che vieti a qualsiasi commerciante di mantenere il numero effettivo della carta se lo desidera. In generale, tuttavia, qualsiasi commerciante che desidera conservare i numeri di carta in archivio e rimanere conforme allo standard PCI dovrà (teoricamente) passare attraverso una convalida più rigorosa, un controllo di sicurezza e dovrà effettivamente pagare un sacco di soldi in commissioni. I maggiori costi e responsabilità di mantenere i numeri di carta di credito in archivio pur rimanendo conformi allo standard PCI sono così grandi che qualsiasi piccola-media impresa moderatamente ben gestita non proverà mai.
Tuttavia, le grandi aziende possono e scelgono di fare altrimenti . La realtà è che qualcuno deve memorizzare i numeri di carta da qualche parte in modo che la tua carta possa essere fatturata. I processori di carte di credito più grandi (che Paypal è sicuramente) memorizzano certamente il numero completo della carta. Dovrebbero memorizzare i numeri utilizzando una crittografia avanzata e chiavi sicure / procedure di controllo degli accessi.
Per quanto riguarda i dettagli su come determinano effettivamente che un numero di carta di credito viene utilizzato due volte, alla fine solo Paypal può rispondere. Possono avere un metodo per confrontare direttamente i numeri di carta crittografata, ma molto probabilmente anche memorizzano un hash dei numeri di carta e li confrontano direttamente ( h / t Jory Geerts). Ad ogni modo, mantengono il numero della tua carta in archivio e possono confrontare i numeri delle carte con i conti.
Nota che questo non significa che stiano "mantenendo tutte le carte registrate in un unico grande file per riferimenti incrociati". La loro infrastruttura per l'archiviazione sicura delle carte è certamente molto più complicata di così. Tuttavia, hanno ovviamente una forte esigenza aziendale di poter confrontare le carte tra gli account e hanno configurato la loro infrastruttura in modo che possano sia memorizzare le tue carte in modo sicuro e anche verificare la presenza di duplicati tra gli account. Sono d'accordo con il commento collegato: immagino che stiano anche calcolando un hash sicuro del numero di carta di credito e lo utilizzino per facili confronti.