A credit card esetén a túlfoglalás működhet, a debit card esetén meg nem, ha jól tudom.
Ha a kereskedő foglalásba tett 100 petákot, akkor arra kap egy "egyedi azonosítót", amivel a foglalás erejéig terhelést indíthat a kártyára. Azaz nem a kártyád adatait tárolja (ahhoz PCI-DSS megfelelés meg egy rakat egyéb "apróság" kellene), hanem az adott vásárlási tranzakció második feléhez szükséges adatokat - amiknek a felhasználásáért ő és csak ő felel. (Azaz ha elviszik tőle (meg mindazt az adatot, amivel terhelést tud rá indítani), akkor az az ő felelőssége).
Elektronikus fizetés esetén ez a két lépés (foglalás, terhelés) egymást követően, a felek számára "egy tranzakcióként" látszik, de ott is megvan a két lépés.