Podle mě PIN na kartě uložen sice je, ale "jednosměrně zakódovaný" tak, aby bylo možné kombinaci "číslo karty+PIN" ověřit, ale na druhou stranu aby nešlo z této kombinace zjistit samotný PIN.
(Jsem si vědom, že moje vysvětlení je pouze velmi hrubé přiblížení a že bych měl psát spíše "hashovaný" než "jednosměrně zakódovaný, ale to bychom se dostali zcela mimo rámec diskuse. Zájemce odkazuji na klíčová slova: cryptographic hash, AES.)