商户从卡本身获取跟踪数据，包括卡号、有效期和持卡人姓名。

如果商家需要邮政编码验证，他们显然会得到您的邮政编码。

（无卡商家通常会出于计费/运输目的获取地址数据，但您询问了实体店......他们从客户那里获得，而不是卡本身。）

商家可以在他们的商店中跟踪使用该卡进行的购买，但不能跟踪在其他未连接的商店进行的购买。请注意，有时多个商店（例如 HomeGoods、TJ Maxx）实际上是同一个“商家”（TJX 公司）。

另一方面，处理器可以关联单个卡在多个商户之间的活动。他们通常没有交易细节（“你买了什么”），但他们确实有金额、类别、商家、时间，所有这些都可以根据要求提供给卡品牌（Visa、万事达卡……），或者根据传票执法。

每个处理器都有不同的视图。如果处理器 A 处理商家 A、B 和 C，而处理器 B 处理商家 D、E 和 F，那么处理器将拥有完全不相交的数据集来处理。一般来说，大多数商家使用单个处理器；跨多个处理器进行一些负载平衡以实现冗余和可用性，但大多数事务只能由一个处理器看到。

处理器进行大量数据分析以提供增值，但不会提供跨商家的个人持卡人详细信息。大多数此类数据分析是在大型匿名存储桶上完成的，但其他数据分析，如家庭，需要在分析中使用识别因素。

处理器、卡品牌和银行也可以根据商家类别代码(MCC)对您购买的商品做出松散的推断。这些不是很准确——埃克森加油站的那些咸花生可能被归类为“天然气”——但它们提供了一些指导。这些是公司发行的信用卡将用于阻止非工作交易的代码。

最后，卡片本身提供信息。商家可以区分预付卡和黑卡，并且可以根据持卡人的身份区别对待持卡人，例如向高价值持卡人提供折扣。这不仅在商家看到您的卡的实体店中是正确的；处理器也可以向无卡商家提供此类元数据。

（确定卡类型的能力不是处理器独有的；它基于 BIN（卡的前 6 位数字），您可以使用binlist.net等免费提供的工具进行查找。但是，由于列表更改随着时间的推移, 由于它只是指导的一部分, 这是处理器提供的最有用的服务. 例如, 任何人都可以判断一张卡是否是一张黑卡 - 但作为一个商人, 你可能会对待一张黑卡退款率与其他人不同。只有处理器可以集成该指南。）

至少，他们可以得到卡号。大多数收据上甚至会印有卡号的最后几位数字，但系统会在某个时候拥有完整的号码，并且很可能会保存 PCI 允许的卡号的标记化版本（想想看是一个随机值，可以通过令牌化服务链接回卡号）。由于同一张卡可能每次都给出相同的标记（从技术上讲，这是可选的，但由于它提供的信息比其他选择更多，因此在实践中更常见），他们可以去“这张卡在这些上也买了 X、Y 和 Z日期”。

但是，他们通常不能与其他商店交叉引用该数据 - 在合理设计的系统中，与商店 A 中给定卡关联的令牌与与商店 B 中给定卡关联的令牌完全无关。我不知道是否有任何标记化提供商汇集了来自多个客户的数据，但这可能是 GDPR 下的潜在噩梦，所以我认为不会，至少在欧洲是这样。

显然，开证行也可以看到正在进行的购买，但通常是基于每笔交易，而不是单个项目。这并不意味着他们不能对购买做出有根据的猜测（例如，如果您以 99 便士的价格向一家名为“99p Donuts”的企业付款，那么可以相当安全地猜测您购买了一个甜甜圈……），

补充一下前面的答案：除了结账时输入的明显数据外，您还可以从信用卡号的前 6 个数字中获取发卡行名称。通过银行名称，当您得到“中国银行”、“澳新银行”或“斯洛文尼亚国家银行”等结果时，您有时可以猜出发卡的国家/地区。

在订单发货前计算风险因素时，我在在线商店中使用了这种方法（以及其他方法），以消除或标记使用被盗信用卡号下达的订单。如果用户 IP、收货地址和银行卡都来自不同的国家/地区，那么您的订单将被搁置并标记为人工审核。