Firma MasterCard postanowiła odnieść się do zarzutów o możliwości sczytania danych z karty przez osoby niepowołane, np. numeru konta czy daty ważności karty. Zdaniem MasterCard taka ilość danych jest bezużyteczna.

• Z takimi danymi nie można dokonać zakupów przez internet lub telefon. Sprzedawca w celu zakończenia transakcji poprosi o kod CVC2 (3-cyfrowy kod weryfikujący znajdujący się na tyle karty). Ten kod nie jest zawarty w danych na karcie PayPass. Coraz więcej sprzedawców z branży e-commerce stosuje system weryfikacji MasterCard SecureCode, aby zakończyć transakcje wykonane przy użyciu karty. Zapewnia to dodatkową ochronę dla posiadacza karty i wymaga przedstawienia kodu lub hasła do zaakceptowania transakcji.
• Nie można wyprodukować nowej fałszywej karty magnetycznej z paskiem bez danych CVC1 zapisanych na pasku magnetycznym.
• Nie można wyprodukować nowej fałszywej karty PayPass ani fałszywej karty z mikroprocesorem bez kluczy przechowywanych bezpiecznie w mikroprocesorze PayPass, które są stosowane do zapisania danych transakcji i/lub stworzenia dynamicznego kryptogramu po każdej transakcji.

MasterCard informuje ponadto, że mikroprocesor zainstalowany w karcie PayPass wykorzystuje te same techniki szyfrowania dla transakcji z wykorzystaniem technologii PayPass oraz standardowych kart z mikroprocesorem. Tworzy podpisy i/lub dynamiczne kryptogramy unikalne dla każdej transakcji, sprawiając, że skopiowanie karty lub "odtworzenie" transakcji jest praktycznie niemożliwe.

Dla każdej transakcji dokonanej kartą MasterCard PayPass jest generowany podpis i/lub kryptogram, który zmienia się po każdej transakcji. Jest to możliwe tylko w przypadku prawdziwej karty, a próba odtworzenia podpisu i/lub kryptogramu zostałaby wykryta.

Czytaj: Ochrona prywatności przeszkadza w zwalczaniu botnetów?