Wenn eine Kundin/ein Kunde in Apple oder Google Pay ihre/seine Karte hinzufügt, erzeugt Apple bzw. Google automatisch eine neue Kartennummer (die Device PAN oder kurz DPAN) mit einem neuen Gültigkeitsdatum. Die DPAN hat nichts mit der tatsächlichen Kartennummer zu tun:

• Wenn Kundinnen und Kunden auf mehreren Geräten dieselbe Karte hinzufügen, wird jedes Mal eine andere DPAN erzeugt.
• Wird die Karte vom Gerät gelöscht, verliert die DPAN automatisch ihre Gültigkeit.
• Wird die Karte später erneut dem Gerät hinzugefügt, wird eine neue DPAN erzeugt.

Aussteller vergeben häufig für jede PAN-BIN eine in der Regel 8-stellige DPAN-BIN mit identischer Finanzierungsart, aber es gibt keine Gewähr für Einheitlichkeit.

Die Erzeugung ist für die Karteninhaber/innen nicht transparent und wird nicht explizit erläutert. Wenn Kundinnen und Kunden mit Apple oder Google Pay bezahlen, wird die DPAN an die Händler/innen bzw. Abwickler/innen gesendet, ohne dass diese die tatsächliche Kartennummer oder das tatsächliche Gültigkeitsdatum erfahren.

Ein Problem bei diesem Ablauf besteht darin, dass Händler/innen über die mit einem Kauf verknüpfte Karte andere Informationen als die tatsächliche Kartennummer abrufen können, da die Händler/innen stattdessen die letzten vier Stellen der DPAN sehen.

Apple und Google lösen dieses Problem, indem sie neben der DPAN auch die letzten vier Stellen der tatsächlichen Kartennummer versenden. Das bedeutet, dass wir zwar die Abbuchung über die DPAN vornehmen, aber die letzten vier Stellen der tatsächlichen Kartennummer über die last4-Eigenschaft in der API angeben. So können Händler/innen einfacher Details über die verwendete Karte melden. Darüber hinaus geben wir die letzten vier Stellen der DPAN in der dynamic_last4-Eigenschaft an, damit die Händler/innen Details über die DPAN für die Abbuchung bestätigen können. Beachten Sie, dass bei Apple Cards, die Apple Pay hinzugefügt werden, Apple die letzten 4 Ziffern der realen Kartennummer nicht anzeigt. In diesem Szenario beziehen sich last4 und dynamic_last4 auf die letzten 4 Ziffern der DPAN. Dies ist ein einzigartiger Fall, da Apple Cards mit Apple Pay verwendet werden soll.

Da wir die tatsächliche Kartennummer nicht haben, wird der Fingerabdruck-Wert auf der Grundlage der DPAN statt der tatsächlichen Kartennummer berechnet. Das bedeutet, dass eine Karte, die zwei Geräten hinzugefügt wurde, auf zwei verschiedene DPANs verweist und daher zu zwei unterschiedlichen Fingerabdrücken in der API bzw. im Dashboard führen würde.

Im Testmodus stimmt die Eigenschaft „last4“ weiterhin mit den letzten vier Stellen der tatsächlichen Kartennummer überein. Bei Apple Pay ignorieren wir jedoch die DPAN und verwenden automatisch die Testkartennummer 4242424242424242. Da es sich bei der Testkartennummer 4242 um eine Visa-Karte handelt, werden auf dem Dashboard und in der API als Kartenmarke „Visa“ und als Finanzierungsart „Kreditkarte“ angezeigt, auch wenn die tatsächlich verwendete Marke und Finanzierungsart anders lauten. Bei Google Pay ersetzt Google die DPAN mit einer der Testkartennummern aus dem Testpaket. Dadurch entsteht dasselbe Problem, das die Angaben nicht mit der tatsächlich verwendeten Karte übereinstimmen.