商家可以使用您的卡数据来审查或处理交易。这包括处理退货、调用登机牌等。他们不能用它来识别你，只能用来识别你以前的交易。我不确定这是某处的法律还是因为商人协议。

一旦您的购买完全结算，卡数据确实需要从记录中删除。为了方便起见，当您将卡数据保存到帐户时，这可能会有所不同。即使在这种情况下，如果您应该更换卡，则需要删除旧卡数据。

我非常怀疑有人对卡片进行单向散列，而且它相对没用。鉴于有 16 个数字，卡必须匹配一个校验码，并且可以从有限的列表中确定第一个数字，因此可以快速构建一个包含所有可能哈希值的数据库。我想数据是以加密方式存储和传输的。如果我在做评论，我会认为卡的单向哈希与以明文形式存储卡号相同。

我认为商家使用单独标识符（您的电话号码或会员卡）的原因与任何监管问题的关系不大，而是与实用性有关。

如果商家仅将您的身份与您的信用卡绑定，那么您将必须在您想要获得忠诚度积分的所有交易中出示该信用卡，无论您是否实际使用该卡进行这些购买。因此，如果您想使用其他信用卡、现金或礼品卡，您仍然需要出示和/或刷您的原始卡。

然后，考虑付款方式是备用信用卡或礼品卡的情况。您认为 Joe User 可能会混淆他刷卡的顺序并最终收取错误卡的可能性有多大？

对于他们来说，将您的奖励帐户与不依赖于您的付款方式的标识符相关联可能更简单（也更安全）。

他们没有使用磁条上的 PAN，只是名称。您不必使用购买机票时使用的同一张卡，它只是搜索您今天所在机场飞出的人的名字。所以是的，万一有你的名字的人在同一天从同一个机场飞出，它会为你提供他们的机票。这就是为什么一些系统会询问你的目的地城市，以减少错误匹配。

我不会假设他们如何存储您的数据。很多地方都做错了，系统越大，越难改变它以正确地做。他们唯一不能存储的是完整的轨道数据。因此，他们不应该存储您的加密 PIN 或 CVC2。

就您的信用卡而言，只要它在静止或过境时不能以纯文本形式读取，他们就可以将其与其他个人身份信息 (“PII”) 一起存储。你问了一个很大的问题，真的没有简单的答案。有很多方法可以存储信用卡数据，例如对其进行加密或用令牌替换它，通常是可以通过 Luhn 验证的一种，实际上您只是将数据的机密性卸载到密钥上。

使用您的信用卡来识别您的问题带来了他们对该客户忠诚度计划所需的控制的问题。因此，现在使用您的信用卡作为您的身份验证因素。该商店有效地将所有这些系统纳入 PCI 范围。让我们不要忘记 PCI 是什么，它是卡品牌赔偿并将违规成本转嫁给收单机构的一种方式，收单机构又将其转嫁给商家。