Dla każdej transakcji dokonanej kartą MasterCard PayPass jest generowany podpis i/lub kryptogram, który zmienia się po każdej transakcji. Jest to możliwe tylko w przypadku oryginalnej karty, a każda próba odtworzenia podpisu i/lub kryptogramu zostałby wykryta.
Odpowiadając na zarzuty, o możliwości sczytania danych z karty przez osoby niepowołane np.: numeru konta, daty ważności warto podkreślić, że taka ilość danych jest bezużyteczna, gdyż:
- Używając ich nie można dokonać zakupów przez Internet lub telefon. W celu zakończenia transakcji sprzedawca poprosi bowiem o kod CVC2 (kod weryfikujący kartę – 3-cyfrowy kod znajdujący się na tyle karty). Nie jest on zawarty w danych na karcie PayPass. Dodatkowo aby zakończyć transakcje wykonane przy użyciu karty coraz więcej sprzedawców z branży eCommerce stosuje system weryfikacji MasterCard SecureCode,. Zapewnia on dodatkową ochronę dla posiadacza karty gdyż wymaga przedstawienia kodu lub hasła do zaakceptowania transakcji.
- Nie można wyprodukować nowej fałszywej karty magnetycznej z paskiem nie posiadając danych CVC1 zapisanych na pasku magnetycznym.
- Nie można wyprodukować nowej fałszywej karty PayPass ani fałszywej karty z mikroprocesorem bez znajomości kluczy przechowywanych bezpiecznie w mikroprocesorze PayPass. Są one stosowane do zapisania danych transakcji i/lub stworzenia dynamicznego kryptogramu po każdej transakcji.