中东移动支付系列文章移动支付,是中东零售业以及互联网发展的关键。过去很长一段时间,ePanda都在积极寻找真正了解当地移动支付发展情况的从业者,给读者带来最有价值的信息。
本文作者Ben为国内知名跨境支付公司 iPayLinks 的全球业务合作 VP。主要负责中东及东南亚区域的业务拓展及银行合作,搭建针对中国电商客户的跨境支付解决方案。期间从0到1搭建中东团队并成功拓展当地合作,对中东支付境况非常了解。 

沙特人自从发现石油开始,就开始过着点美元抽水烟的日子了。现金在这个伊斯兰教发源国,占据着除古兰经以外的重要的强权地位(甚至更甚,在沙特办事都要雁过拔毛)。

而作为新兴的电商市场,其高单价、高利润一直吸引着外来玩家的重点关注。不管是类似 Souq,Fordeal 的零售电商,还是数字娱乐类的 Tiktok,Bigo Live,沙特市场一直都是重中之重。究其原因,还是因为沙特人的有钱、肯花和匮乏(不管是货品还是精神上的)。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图1)

引用本文:周君平,钟博.非银行支付机构电子支付系统密码应用[J].信息安全与通信保密,2019(04):67-76.

摘 要

但是,“现金为王”明显已经阻碍了沙特人进一步享受更佳的购物体验。因此随着VISION 2030的“无现金社会”愿望,以及沙特央行的种种措施,电子支付被推上了重点发展的国家方针上。




非银行支付机构的商用密码应用,是贯彻执行国务院关于金融领域密码应用的指导意见,是加强电子支付领域尤其是移动支付领域商用密码应用规模化发展的重要举措。本文围绕非银行支付机构的电子支付系统模型与基本构成,调研各主流非银行支付机构的密码应用需求,提出密码应用保障框架,研究电子支付过程中采用商用密码技术实现的安全保障措施,形成一套成熟的第三方电子支付系统密码应用方案,可引导、带动其他非银行支付机构的商用密码应用推进工作。

1


非银行支付机构的安全电子支付


1.1 电子支付基本概念电子支付,指采用数字化方式在电子终端、信息传输通道以及相关系统的支持下进行支付的行为,是金融活动的一种新兴支付方式。相较于传统支付,电子支付具有操作方便、及时快捷、成本低廉等特点,为人们的工作及生活提供了便利,并呈现出良好的发展势头。电子支付的基本活动由电子支付收款方、电子支付付款方、电子支付服务方、电子支付服务支撑方构成。付款方与收款方交互,提出付款申请;受理方将获取的支付请求发送到电子支付服务方;电子支付服务方完成相应的支付服务,并在必要时通过受理方转交或通知收款方。电子支付支撑方提供账户管理、账务核算、安全措施与管理等功能。电子支付的概念如图 1 所示。图 1 电子支付概念图非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图2)其中,付款方一般映射为支付客户;收款方一般映射为收款客户或商户;收款受理方可看成一个实体,一般映射支付终端;电子支付服务方一般映射支付服务的电子支付平台或支付系统,当其通过银行进行支付时,需要通过支付网关进行支付请求;电子支付支撑方一般映射连接银行的金融渠道,以及提供安全基础支撑的认证中心。1.2 第三方电子支付系统模型电子支付系统,是指通过通信、计算机和信息安全技术,在商家和银行间建立连接,从而实现从消费者到金融渠道及商家间货币支付、现金流转、资金清算、查询统计的支付平台。非银行支付机构是指依法取得《支付业务许可证》,获准为支付客户办理互联网支付、移动***支付(远程支付)业务的非银行机构。非银行支付机构基于客户的银行账户或按照《非银行支付机构网络支付业务管理办法》规定为客户开立支付账户提供网络支付服务。非银行支付机构的电子支付系统,也称为第三方电子支付系统。第三方电子支付系统模型参见图 2。图 2 第三方电子支付系统模型非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图3)从系统模型来看,由支付前置、支付处理、渠道前置等核心功能组成的电子支付服务系统,为第三方电子支付系统的内部关键系统;支付终端、金融渠道系统分别为其外部关键系统。网络支付客户通过支付客户端发起支付指令,对接电子支付服务系统,通过支付前置、支付处理、渠道前置,转发金融渠道,处理支付交易请求,最终完成一套完整的支付流程。1.3 关键业务流程第三方电子支付的关键业务流程,指不同支付交易类型的支付服务在电子支付系统的全流程实现,如账户充值、提现、转账、查询、消费等支付服务。主要包括支付交易发起与完成、支付处理、支付服务接入金融渠道三个关键环节。1.3.1 支付交易发起与完成该环节是指支付终端应用的个人用户或商户系统与电子支付服务系统的支付前置间发生的系统通信与数据处理。支付交易发起,指支付客户从支付终端应用发起支付交易请求,支付交易请求发送至支付前置处理;支付完成,指支付请求已被完成支付处理,形成支付处理结果,并由支付前置通知支付用户。1.3.2 支付处理该环节是指电子支付服务系统内部各主要实体间发生的系统通信与数据处理,如支付指令交换、支付清分结算等处理。内部各实体主要指支付前置、支付处理及渠道前置三部分,支付处理的支付清分结算,是指资金变动在系统内部的支付处理环节进行处理。1.3.3 支付服务接入金融渠道该环节是指电子支付服务系统与金融渠道间发生的系统间通信与数据处理,金融渠道的接入由渠道前置来完成。1.4 安全电子支付非银行支付机构的安全电子支付,是以商用密码应用为核心,保障第三方电子支付关键业务流程安全的一种方法或方案,核心是支撑安全支付的各项密码技术的应用,如用于电子支付的密码算法、数字证书、密钥管理、密码协议、实现密码功能的各项密码技术以及密码基础设施等应用。

2

iPayLinks 作为国内首家深耕中东市场的跨境支付公司,2018年起就成立中东项目组,在沙特首都利雅得和阿联酋迪拜两地驻扎深耕。接下来我们就为大家分享沙特当地支付的现状与发展。


电子支付系统商用密码应用需求分析


2.1 商用密码应用背景近年来,与第三方支付机构安全要求相关的政策法规主要有中国人民银行发布的《非金融机构支付服务管理办法》《非金融机构支付服务管理办法实施细则》《非金融机构支付服务业务系统检测认证管理规定》《非银行支付机构网络支付业务管理办法意见稿》等管理办法,国办发 [2014]4 号《关于加强重要领域密码应用的重要意见》、国办 [2014]6 号《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》,以及中华人民共和国发布的《中华人民共和国电子商务法》。经过总结提炼,针对非银行支付机构及其电子支付系统在网络支付业务中的关键安全要素有如下几个方面:(1)非银行支付机构纳入国家监管体系,拥有了合法的身份。(2)第三方电子支付系统应符合网络安全等级保护第三级安全保护等级的基本要求。(3)为贯彻执行国务院关于金融领域密码应用的指导意见,中国人民银行发布了非银行支付机构关于数字证书应用的要求,其中规定支付机构采用数字证书、电子签名作为验证要素的,数字证书及生成电子签名的过程应符合《中华人民共和国电子签名法》《金融电子认证规范》以及国家密码管理局等有关规定,确保数字证书的唯一性、完整性及交易的不可抵赖性。(4)第三方电子支付系统针对电子支付安全的基本要素包括身份识别、交易验证、交易信息保护、支付指令保护。其中身份识别,指客户在发起支付指令进行支付交易之前,需先对客户身份进行识别,针对支付账户的客户实行实名制管理;交易验证指按规定采取客户支付指令的验证措施;交易信息保护,是指电子支付系统应当确保交易信息的真实性、完整性、可追溯性以及在支付全流程中的一致性,不得篡改或者隐匿交易信息;支付指令保护是指电子支付系统应当确保电子支付指令的完整性、一致性、可跟踪稽核和不可篡改。这些安全要素的实现需应用密码技术。(5)国办发 [2014]4 号文件要求加强我国能源、交通、金融等涉及国计民生和基础信息资源重要信息系统的商用密码应用,其中包括了第三方支付系统商密应用的要求。国办 [2014]6号文件要求紧紧围绕在金融 IC 卡、网上银行、移动支付、网上证券、电子保单等重点领域中应用商用密码。综上政策法规规定的各项安全要素,意在促进作为电子支付服务提供者的非银行支付机构建立起完整的、以商用密码技术应用为核心的网络信息安全保障机制,增强抵御外界风险的能力。因此,如何有效促进第三方电子支付系统在互联网支付、移动支付等应用场景的商用密码规模化应用,满足行业监管要求,成为非银行支付机构迫切需要解决的问题。2.2 电子支付系统面临的安全风险在网络支付服务业务中,第三方电子支付的关键业务流程体现了支付客户从支付交易发起、支付处理到支付服务接入金融渠道、支付交易完成等支付活动在电子支付系统的资金流转移全过程。研究发现,客户在网络支付过程中由于木马、钓鱼网站和账户、密码被盗原因带来资金损失所占的比例最高,比如资金在转移过程中出现丢失、诈骗、盗用等风险。资金转移全过程的核心支撑平台是第三方电子支付系统,因此网络支付过程的风险主要指电子支付系统的风险,其安全风险分析参见表 1。非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图4)非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图5)上述安全风险点的安全保障措施,通过在电子支付关键业务流程的各关键环节采用密码技术来实现。采用密码技术等手段提升第三方电子支付系统安全,加强政府对非银行支付机构的监管,成为保障客户利益、维护金融安全的当务之急。2.3 商用密码应用需求依据《非银行支付机构支付业务设施密码应用技术要求》(草案),第三方电子支付系统受保护的关键数据为身份鉴别数据、支付交易数据、用户个人敏感数据等。第三方电子支付系统商用密码应用需求,即指如何实现非银行支付机构的安全电子支付,如何采用密码技术应用等安全保障措施,保护电子支付关键数据的安全,包括实现针对支付各方身份进行身份真实性鉴别,针对交易关键数据进行信息保护如数据机密性、完整性、不可否认性。本文针对上述电子支付系统面临的安全风险点,总结得出实现安全的电子支付所需商用密码应用的几个重点安全要素。(1)支付接入安全,即参与支付过程的各关联方均须向彼此表明身份。(2)支付交易认证,即非银行支付机构须确认支付发起方就是支付账户的所有者,或由支付账户所有者授权。(3)支付过程中敏感信息安全,即保证敏感信息的机密性和完整性。(4)支付指令防抵赖,即指令的发出必须经过账户所有者的(签名)确认,或经过其明确授权由被授权人发出且被授权人须对此进行(签名)确认。(5)支付数据通信安全,即保证支付数据的机密性和完整性。2.4 主流第三方电子支付系统商密应用现状主流非银行支付机构以支付宝、财付通为代表,其他包括安付通、网付通、快钱、百度钱包、拉卡拉等,小规模的非银行支付机构有摩宝、易极付、现代金服、联付通、国付宝等。主流第三方电子支付系统安全现状总体来看,各家支付系统均有良好的网络安全防护措施;均配备了风控措施与监管机制;在电子支付安全环节中,均支持了登录、支付密码的独立应用,均实现了 SSL 安全传输通道,在数字证书使用方面,支付宝率先采用了合规的客户数字证书实现客户交易报文数字签名,使其支付操作不可否认;在密码模块合规性方面,大部分支付机构采用了合规的服务端密码模块,但使用合规的终端密码模块的支付机构仍是少数。从第三方电子支付系统的商用密码应用来看,早于 2016 年支付宝就在支付交易环节采用了基于商用密码的 PKI/CA 数字证书认证方案;2017 年起,支付宝、财付通纳入商密应用试点单位,建立以密码技术为核心的商密改造规划。支付宝还参与到相关安全支付的国家重大研发计划研究及密码行业标准的制定中,积极推进电子支付系统的商密应用技术与标准的研究工作。以支付宝、财付通为代表的主流支付机构,通过有序开展商用密码应用改造,将形成一套成熟的第三方电子支付系统密码应用方案,同时,也必将引导、带动其他非银行支付机构推进商用密码的规模化应用。

3


第三方电子支付系统密码应用方案

沙特的营商环境和钱庄的兴起非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图6)

在我们分享沙特支付之前,不得不提下沙特特殊的营商环境。

出于保护沙特人利益的角度,《沙特商业代理法》明确指出,所有的商业代理必须由沙特人控股公司或个人来进行,外资或外籍不得参与。这便是沙特保人制度的由来。

iPayLinks 在调查中发现,大部分企业在沙特经商,其实就是沙特人联合外国资源,代理倒卖汽车、磨具、其他一切货品,以及自然资源。

中国很多人去沙特也是从事线下贸易,因此少不了与保人打交道。保人失信、黑钱的事情屡见不鲜,因此这种模式下的关键就是寻到靠谱的保人,但风险总是有的,无法彻底避免。

在银行账户拥有权属于保人的情况下,大多数商人会选择收取现金,然后通过钱庄汇回国内,钱庄因此大行其道。幸而里亚尔(SAR)和美金为锁定汇率,汇损较小,对做贸易的伙伴来说也还算便利。但总体来说一直存在偷税漏税和收现金汇钱的繁琐问题。

近年来,沙特为了鼓励外资投资,成立了SAGIA(沙特外资投资管理局),来统筹外资设立公司,经营业务所需要的事宜。总的来说,方向是对的,招商引资用以扩大事业群种类,提高就业率以及寻找石油之外的潜力经济支柱。


3.1 密码应用保障框架第三方电子支付系统密码应用保障框架建立在电子支付系统模型之上,依据电子支付的商用密码应用需求进行设计,为电子支付服务系统提供认证管理服务、密码基础服务、密钥管理服务等功能。保障框架分为支付终端侧、支付平台侧、金融渠道三个部分,其中支付平台侧由商密应用改造后的电子支付服务系统与密码服务系统组成;支付终端侧由商密应用改造后的支付服务系统客户端与终端密码服务模块组成,保障框架示意图参见图 3。图 3 电子支付系统密码应用保障框架示意图非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图7)3.2 证书应用电子支付系统采用双证书认证体系,即签名证书与加密证书。签名证书用于数字签名验证,加密证书用于密钥协商。其证书种类及用途如表 2 所示。表 2 证书种类及用途非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图8)3.3 密钥管理支付系统的密钥管理,包括支付过程关联的所有密钥种类,其密钥种类及用途如表 3所示。表 3 支付系统的密钥种类及用途非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图9)3.4 商密应用改造方案3.4.1 支付终端侧商密改造支付终端需应用数字签名与加密技术,在通信和交易过程中使用的加解密算法采用SM4算法,数字签名算法采用 SM2 算法,摘要算法采用 SM3算法。支付终端密码应用商密改造内容如表4所示。表 4 支付终端商密改造内容非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图10)3.4.2 支付平台侧商密改造支付服务系统需要应用数字签名与加密技术,在通信过程中使用的加解密算法采用 SM4算法,数字签名算法采用 SM2 算法,摘要算法采用 SM3 算法。支付平台侧密码应用改造内容如表 5 所示。表 5 支付平台侧商密改造内容非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图11)3.5 密码应用方案部署依据商用密码应用需求分析与总体框架,密码应用方案部署分为支付终端侧密码服务模块部署与支付平台侧密码服务系统部署,其基本要求如表 6。表 6 支付平台侧商密改造内容非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图12)非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图13)3.6 非银机构安全电子支付的推广研究全面使用商用密码应用技术及相关产品,在第三方支付行业是一种密码应用创新,极大提升了电子支付系统的安全性和规范性,满足国家“大力推进重点领域网络信息系统密码应用”的战略目标。鉴于移动支付新兴支付方式的崛起,非银机构安全电子支付的推广应重点研究以下几个方面。3.6.1 推广支付终端采用商用密码软件密码模块实现的技术方案目前,在第三方支付系统的支付交易环节建立基于商用密码的 PKI/CA 数字证书认证方案,用户在***终端的交易签名作为第三方支付服务系统判断交易合法的主要因素。但考虑在移动互联网业务发展的背景下,基于硬件的传统数字证书技术路线在现阶段很难覆盖支付系统海量的用户需求,因此可大力发展既符合国家密码管理相关要求,又符合移动互联网业务特点的软件密码模块实现技术方案。3.6.2 推广支付平台采用高性能商用密码服务系统实现的技术方案高性能商用密码服务系统,用于满足电子支付系统大用户量高并发交易环境下对高性能密码服务的需求。可通过支付服务的高性能签名验证技术、分布式密码服务技术、密码服务设备集群调度与负载均衡技术、高性能并行计算技术等关键技术的研究来提升密码服务能力及密码运算能力。3.6.3 商密 SSL 服务器证书的普遍采用指日可期SSL 服务器证书用于各种网站的证书需要被大众信任,目前众多重要信息系统均采用国内品牌的证书,如沃通 SSL 证书,自主可控能支持所有浏览器和移动终端,可满足多域名、多服务器、负载均衡等不同应用场景。商密 SSL服务器证书的使用,要求对客户端浏览器须采用支持商密算法的安全浏览器,但鉴于我国SM2、SM3 算法刚刚纳入国际标准,常用的客户端浏览器并不支持商密算法,因此在电子支付系统中,SSL 服务器证书应用目前是推荐

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图14)

但具体的投资门槛却还是比较高。依据相应的经营范围,外资设立公司需投资50万-3000万沙币不等。而且还有沙化率要求,以及实操中的较长设立周期,都是阻碍外资意愿的绊脚石。

早期的沙特华为、和后来的电商执御,都在这条路上蹚过很多坑。

沙特的银行体系非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图6)

沙特的本地银行一共有13家,其中发卡量排名靠前的有SABB(汇丰合资银行)、Al Rajhi Bank 和 NCB。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图16)

Alinma Bank、Riyadh Bank 和 ANB 以中型体量的便捷和创新突出,各自推出了各种名字的 PAY 和 Mobile APP。

新晋的BSF、GIB、SAIB 都在切入垂直领域尝试发力。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图17)

而外资银行JP morgan、德意志则拥有当地分行,中国的工行也有分行,中行利雅得分行也即将落成。渣打很早之前拿到了沙特央行授权,但一直未落地分行。

当然,其他GCC国家的银行也会在各自国家各有分行,像阿联酋的Emirates NBD,卡塔尔的QNB。但这些银行在当地也就是方便取个款,方便下本国的居民出境需求而已。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图18)

当地很多华侨通过保人,大部分在ANB、Alinma Bank 等等的银行开出了账户,而 SABB/ARB这样的银行,由于严格的 KYC 审查,甚至拒绝私贸企业的开户申请。华为,中兴等当然不在其列,甚至因为各种摩擦,曾经停止过合作。

当地银行高层肯定是沙特人担任,中层有部分印度人、欧美籍人士经常作为顾问,一线门面雇佣一部分工作动力不足、教育水平有限的沙特或GCC国家人,打杂的仆人一般都是印巴人民。这便是当地银行的人群画像。

而银行系统则一般外包,给到约旦或者印度的技术公司。因此,当地银行系统真的很烂,很多功能开发延期和宕机是一种正常现象。

当地转账,并不像现在中国国内一般实时免费到账,而存在一定的延时和收费。一般下午2点以前,可以当天到账(具体小时时效各家银行不同),2点以后,则要第二天到账了。

往国外转账,因为走的都是 SWIFT 汇款,一般都需要等个3-4天。之前,因为银行间系统几乎可以认为是0作用,因此当地人更多是操作现金支付;而随着那些中大型银行的集体系统发展和SPAN网络搭建完毕,APP操作也日益方便,只是偶尔坑个爹。

笔者带领iPayLinks本地化团队合作当地银行时,最多的感受就是不守时,不管是实际银行系统,还是沙特人特有的随意性。

沙特的清算系统和MADA卡非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图6)

沙特有3大重要清算系统,SAIRE、SPAN(更名为MADA)和SADAD。接下来简要介绍下这3位哥分别是干什么的。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图20)

SAIRE:Saudi Arabian Riyal Interbank Express。其实就是银行间里亚尔快速清算系统,主要负责清结算银行间转账交易作用。其费用规定也构成了银行转账费用的基础。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图21)

SPAN(新名为MADA):Saudi Payment Network。在1990年启用,主要负责联通所有POS、ATM机。随着发展,也承担其线上电子交易清结算的职责。也就是沙特MADA卡的名称来源。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图22)

SADAD:沙特央行(SAMA,Saudi Arabian Monetary Authority)发起建立,主要负责所有电子账单支付和交易清结算。主要用于企业和企业,个人与企业的国家类账单支付,比如水电煤、税、罚金、政府缴纳金等。

每个个人开户时,一般自动附有一个sadad号码,企业也同样如此。在如今的mobile app 中也能看到转账 SADAD 支付的选项。但由于线上支付的发展迅速,SADAD据说将会慢慢合并到 MADA 当中。

随着电子支付的统一化发展,沙特央行 SAMA 单独成立了 Saudi Payment 这家国有控股公司,专门统一处理支付相关系统和产品管理,旗下管理 MADA 和 SADAD 以及创新产品。也联合了迪拜金融管理局 DFSA,签署 MOU,联合加强银行和保险体系的互赢合作。

而目前,由于所有的 POS/ATM,甚至将要大力推广的线上支付都联通着 MADA 网关(然而 MADA 网关的建设其实也是通过借助 VISA /万事达的 Sybersource和 MPGS 网关作为初期支持搭建起来的,因此很多基础功能接口通用),MADA 已经实质上成为了当地的“银联”,为消费者提供便利。所有当地银行发行的 MADA 卡都具备 MADA 标识,是一种借记卡。

目前,MADA发卡量在3000多万张,其中2200万张都是和VISA/万事达联合的双标卡,剩余的800多万张则是单标卡(经常发给底层劳工)。而那些非底层人士,有一定经济基础的,则可以申请信用卡,一般为VISA/万事达单标信用卡。申请标准要月工资高于3000里亚尔,2017年的数据表明大概有800多万张本地信用卡签发。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图23)

本地银行签发的单标信用卡VISA/万事达

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图24)

本地银行签发的双标MADA卡

沙特的支付法律与沙盒探索非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图6)

iPayLinks 在2018年初刚进驻沙特时,发现当地还并无任何金融科技以及支付相关的政策法规,自从央行 SAMA 开始着手大力监管和鼓励金融科技发展后,相应的部门和法规陆续研究和出台。

首先,SAMA 组建了 Fintech Saudi 这一组织,协助指导本地金融科技企业的发展;与此同时,成立了 Sandbox(沙盒计划)来接受本地以及国外的成熟金融科技做本地化申请。

从 Sandbox 的愿景来看,是希望看到国内外的技术为沙特带来直接的价值,符合 VISION2030 的宗旨。

但截至到目前为止,沙盒已经试行超过接近1年时间里,全部都是本地企业,其被允许的4类申请者资质中,也规定的是本地银行和金融科技企业(大家可参见名单及其企业申报的方向,金融牌照是有不同种类的,诸如电子钱包,收单,汇兑汇款,信用金融等等),原定应是6个月的沙盒试验期,但目前都已延长。

当然,沙盒计划于1月15日之前最新一批开放的窗口中,虽然还是要求为本地注册企业,但是对外资背景已经稍有开放。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图26)

而沙特央行 SAMA 从1年前便开始酝酿支付监管法规细则,一直延迟到现在,目前已经出台了 Oversight Framework of Payment System(拟定的框架性支付结算法规),具体的细则在2020年Q1有望正式发布。iPayLinks作为中国跨境支付公司代表,也一直在与当地监管保持密切地沟通中。

2020年1月31日,沙特刚给两家公司颁布了Fintech License,分别是STCPAY(电子钱包方向)和 GIDEA(线下支付服务方向),目前沙特就这两家拿到央行的正式牌照了。

沙特的新兴电子支付非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图6)

如果你去沙特市中心的咖啡馆喝一杯,能够看到点单台前的各种PAY的牌子(类似支付宝微信),但却是本地版“支付宝”。

在沙特,目前拿到正式牌照的有一家,STC Pay,获得央行授权许可(沙盒计划)有两家,分别是 Halala Pay 和 Bayan Pay。

STC Pay 是沙特电信旗下的产品,依托垄断式的***用户提供充值等便利应用,也因其国有背景,目前在大力拓展使用场景,据说目前使用用户量在3万左右。

而 Halala Pay,Bayan PAY其创始团队和公司背景也都是从银行和央行背景出身。可以说,目前的这些PAY都是官方资源投入,并非纯正的民营企业出身,也符合沙特一向从上到下的推广和改革方式。

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图28)

非银行支付机构电子支付系统密码应用一文读懂沙特电子支付:银行体系、清算系统、法律法规、电子钱包……(图29)

以上这些“支付宝”基本同质化,充值,转账,扫码支付,MADA Pay 功能,以及国际汇款等等。更多未来的差异化竞争更多会依赖于各自的集团背景和资源。而其中目前以 STCPAY 占据领先,由于大部分的垄断化资源支持,其可拓展的应用场景和资源度更深厚一些。

当然,这些PAY目前都不算成功,离推进无现金化还差很远。阻碍不仅来源于系统技术 IT 本地程序员的缺乏,也来自于其本身官僚化风格的通病,还有民众使用现金的惯性。但iPayLinks相信未来已来,这些PAY必然有一天会成长起来,沙特的电子支付也会像中国一样飞速发展。

沙特电子支付的发展,离不开监管的开放和技术的升级,目前SAMA已经携手Fintech Saudi、SAGIA 等部门正在不断开放,也通过Sandbox这样的计划,来了解国外先进技术以及如何监管。

而技术方面缺因为缺少本地的IT人员,一直属于外包状态。因此,本地金融科技企业一直