Überprüfbar ist relativ. Die Beteiligten sind verpflichtet durch PCI-DSS (https://de.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard) und das wird auch auditiert und zertifiziert.

Ich hab in dem Bereich schon zu tun gehabt, nicht als Terminalhersteller, aber als Integrator, und auch dort müssen die Geräte am Ende die Einhaltung der Standards nachweisen. Und solche Dinge wie die Pseudonymisierung der Kartennummer gehört da klar mit dazu und das wird bereits durch das Kartenterminal gemacht, die echte Nummer verlässt niemals das Terminal in verwertbaren Form.

Natürlich sind die meisten Hersteller in dem Bereich nicht Open Source unterwegs, aber bzgl. der Überprüfbarkeit halte ich OSS eh für überbewertet, denn realistisch werden nur die wenigsten Codeteile jemals von mehr als einer handvoll Leuten angeschaut.

Wie gesagt, es wird auch nicht anonymisiert, es bleibt also immer ein Restrisiko. Aber die oft befürchtete Annahme, dass jeder Händler, bei dem man seine Karte in den Schlitz steckt, sofort alle persönlichen Daten bekommt, ist einfach nicht richtig.