Hamza/Siro
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
72fa97477baa9b3f2fa15fe65582355760b91770
Siro/SIRO_COMPLETE_REPORT_AR.md
Hamza-Ayed 72fa97477b Update: 2026-06-17 18:22:52
2026-06-17 18:22:52 +03:00

849 lines
49 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters
This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
<div dir="rtl">
# سِيرُو (Siro) — التقرير التسويقي والأمني الشامل
> **منصة النقل الذكي المتكاملة — الرائدة في سوريا، الأردن، ومصر**
>
> *نظام بيئي رقمي متكامل يربط الركاب بالسائقين عبر 4 تطبيقات ذكية، مع بنية تحتية أمنية متعددة الطبقات وتقنيات ذكاء اصطناعي متقدمة*
---
## 📋 فهرس المحتويات
1. [نظرة عامة عن المنصة](#نظرة-عامة-عن-المنصة)
2. [التطبيقات الأربعة](#التطبيقات-الأربعة)
3. [أنواع المركبات](#أنواع-المركبات)
4. [طرق الدفع](#طرق-الدفع)
5. [التكاملات الخارجية](#التكاملات-الخارجية)
6. [الميزات التقنية المتقدمة](#الميزات-التقنية-المتقدمة)
7. [الأمان متعدد الطبقات](#الأمان-متعدد-الطبقات)
8. [الذكاء الاصطناعي](#الذكاء-الاصطناعي)
9. [الإضافات المميزة](#الإضافات-المميزة)
10. [البنية التحتية](#البنية-التحتية)
11. [المقارنة التنافسية](#المقارنة-التنافسية)
12. [فرص النمو والتوسع](#فرص-النمو-والتوسع)
13. [الخلاصة](#الخلاصة)
---
## 🚀 نظرة عامة عن المنصة
**Siro (سِيرُو)** هي منصة متكاملة لخدمات النقل والتوصيل الذكية، تعمل في **3 دول** هي **سوريا، الأردن، ومصر**. المنصة ليست مجرد تطبيق نقل عادي، بل هي **نظام بيئي رقمي متكامل** (Digital Ecosystem) يغطي كامل رحلة العميل من لحظة طلب الرحلة إلى ما بعد اكتمالها.
### 📊 المنصة بالأرقام
| المقياس | القيمة |
|---------|--------|
| عدد التطبيقات المتصلة | 4 تطبيقات |
| الدول المدعومة | 3 دول (سوريا، الأردن، مصر) |
| أنواع المركبات | 12 نوعاً |
| طرق الدفع | 7 خيارات |
| خدمات التكامل الخارجي | 15+ خدمة |
| ملفات PHP في الخادم الخلفي | 395+ ملفاً |
| قواعد البيانات | 3 قواعد بيانات رئيسية |
| سيرفرات WebSocket | 2 (Driver + Passenger) |
| عدد وحدات لوحة التحكم الإدارية | 15+ وحدة |
| محركات الذكاء الاصطناعي | 3 محركات (Azure + OpenAI + Llama) |
### 🎯 الرؤية
تقديم تجربة نقل ذكية وآمنة ومتكاملة تنافس كبرى منصات النقل العالمية (أوبر، كريم، Bolt) بميزات محلية مبتكرة تفهم احتياجات السوق العربي.
### 🌍 الدول المدعومة
| الدولة | الحالة | الميزات الخاصة |
|--------|--------|----------------|
| 🇸🇾 **سوريا** | 🟢 نشط | MTN Cash، Syriatel Cash، خوادم محلية |
| 🇯🇴 **الأردن** | 🟢 نشط | PayMob، خوادم إقليمية |
| 🇪🇬 **مصر** | 🟢 نشط | E-Cash، SMS Kazumi، خوادم إقليمية |
---
## 📱 التطبيقات الأربعة (رباعية التطبيقات المترابطة)
### 1⃣ تطبيق الراكب (Siro Rider) — تجربة الركوب الذكية
تطبيق الراكب هو واجهة المستخدم الأساسية، مصمم لتجربة سلسة وسريعة.
**الميزات الرئيسية:**
| الميزة | الوصف |
|--------|-------|
| 🗺️ **واجهة خرائط مدمجة** | Google Maps + Here Maps + Map SaaS للبحث والتوجيه |
| 🔍 **بحث ذكي عن الوجهة** | اقتراحات تلقائية للأماكن مع تكامل متعدد لمزودي الخرائط |
| 💰 **عرض السعر التقديري** | حساب التكلفة قبل تأكيد الرحلة مع شفافية كاملة |
| 🚙 **اختيار نوع المركبة** | 12 نوع مركبة مختلفة تناسب كل الاحتياجات |
| 📍 **تتبع السائق المباشر** | تحديث موقع السائق كل 3-5 ثوانٍ عبر WebSocket |
| 💳 **دفع إلكتروني** | 7 طرق دفع مختلفة (نقدي، بطاقة، محفظة، جوال) |
| ⭐ **تقييم السائق** | نظام تقييم مزدوج بالنجوم والتعليقات |
| 🆘 **زر الطوارئ (SOS)** | إشارة طوارئ فورية مع إرسال الموقع الحي |
| 💬 **دردشة داخلية** | تواصل مع السائق دون مشاركة أرقام الهواتف |
| 🎫 **أكواد خصم وعروض** | نظام ترويجي متكامل مع كود دعوة |
---
### 2⃣ تطبيق السائق (Siro Driver) — منصة الكابتن الاحترافية
تطبيق متطور يمكّن السائقين من إدارة الرحلات بكفاءة عالية.
**الميزات الرئيسية:**
| الميزة | الوصف التقني |
|--------|--------------|
| 🎯 **عروض الرحلات عبر التراكب المباشر (Overlay)** | نظام Android System Overlay يعرض تفاصيل الرحلة فوق أي تطبيق — حتى لو كان الهاتف مقفلاً |
| 🗺️ **ملاحة صوتية (Turn-by-Turn)** | إرشادات TTS خطوة بخطوة مع تحديث المسار تلقائياً |
| 🔄 **وضع الخدمة (Online/Offline)** | تشغيل تلقائي في الخلفية عبر Android Foreground Service 24/7 |
| 📊 **إحصائيات الأرباح اللحظية** | عرض فوري للرحلات اليومية، الإجمالي، العمولات |
| ⏱️ **مؤقت 15 ثانية للقبول** | قبول تلقائي أو رفض مع صوت تنبيه مخصص |
| 🔊 **صوت تنبيه مخصص** | ملف "ding.wav" مشغل عبر MediaPlayer |
| 🚗 **تحديث الموقع في الخلفية** | Foreground Service مع تحديث GPS كل 3 ثوانٍ |
| 🛑 **كشف الانحراف عن المسار** | تنبيه إذا انحرف السائق عن المسار بأكثر من 50 متراً |
---
### 3⃣ تطبيق الإدارة (Siro Admin) — لوحة تحكم شاملة (PWA)
لوحة تحكم إدارية متكاملة مبنية بـ Flutter Web (PWA) مع 15+ وحدة إدارية.
**الوحدات الإدارية:**
| الوحدة | الوظيفة |
|--------|---------|
| 📈 **لوحة التحكم (Dashboard)** | إحصائيات فورية مع رسوم بيانية متقدمة |
| 👨‍✈️ **إدارة الكباتن** | قبول/رفض، توثيق، حظر، مراجعة ملفات السائقين |
| 👤 **إدارة الركاب** | تفاصيل كاملة، سجل الرحلات، حظر وإلغاء حظر |
| 🚗 **إدارة الرحلات** | تتبع مباشر، سجل كامل، بحث متقدم، مراقبة حية |
| 💰 **الإدارة المالية** | تقارير الأرباح، العمولات، التسويات المالية |
| 📊 **التحليلات المتقدمة** | مؤشرات الأداء، التقارير الشهرية والسنوية |
| 🔒 **الأمان والرقابة** | سجلات التدقيق (Audit Logs)، مكافحة الاحتيال |
| 🎯 **نظام العمولات (Kazan)** | تحرير نسب العمولات ونماذج الأسعار |
| 🏷️ **العروض الترويجية** | إنشاء وإدارة أكواد الخصم والعروض |
| 👥 **إدارة الموظفين** | صلاحيات الأدوار، موافقات التسجيل |
| ⭐ **مراقبة الجودة** | بطاقات أداء السائقين، القوائم السوداء |
| 🖥️ **مراقبة الخوادم** | حالة السيرفرات، الأداء، وقت التشغيل |
| 📄 **إدارة الفواتير** | إنشاء وطباعة الفواتير |
| 🔄 **أدوات ترحيل البصمة** | إعادة تعيين بصمة الجهاز للمستخدمين |
| 📝 **إدارة الشكاوى** | متابعة وحل شكاوى المستخدمين |
---
### 4⃣ تطبيق الخدمة الميدانية (Siro Service) — منصة تسجيل السائقين
تطبيق متخصص لموظفي الخدمة الميدانية لتسجيل وتوثيق السائقين الجدد.
**الميزات:**
| الميزة | الوصف |
|--------|-------|
| 📸 تصوير المستندات | تصوير الهوية ورخصة القيادة وأوراق السيارة مباشرة من الكاميرا |
| 🤖 **استخراج بيانات تلقائي بالذكاء الاصطناعي** | Azure OCR + OpenAI GPT + Llama AI لاستخراج البيانات |
| ✅ التحقق الميداني | التحقق من السيارة والسائق في الموقع |
| 📝 رفع الصور | رفع مباشر للخادم مع ضغط تلقائي |
| ⏱️ تسجيل فوري | تقليل وقت التسجيل من أيام إلى دقائق |
---
## 🚙 أنواع المركبات المتاحة (12 نوعاً)
| النوع | الرمز | الوصف |
|-------|-------|-------|
| ⚡ **سرعة (Speed)** | Speed | الرحلات القياسية — السيارات العادية |
| 🌟 **راحة (Comfort)** | Comfort | رحلات فاخرة بسيارات مريحة |
| 👨‍👩‍👧‍👦 **عائلية (Family)** | Family | سيارات عائلية كبيرة الحجم |
| 📦 **توصيل (Delivery)** | Delivery | توصيل الطرود والطلبات |
| 💸 **اقتصادي (Free/Blash)** | Blash | رحلات اقتصادية بأسعار مخفضة |
| 🌙 **ليلية (Late)** | Late | رحلات خارج أوقات الذروة |
| 🚛 **نقل ثقيل (Heavy)** | Heavy | نقل البضائع والأغراض الثقيلة |
| 🏔️ **طبيعة (Nature)** | Nature | رحلات الطرق الخلابة والمناطق الوعرة |
| 🔌 **كهربائي (Electric)** | Electric | سيارات كهربائية صديقة للبيئة |
| 🏍️ **دراجة وردية (Pink Bike)** | PinkBike | دراجات نارية للتنقل السريع |
| 🚐 **فان (Van)** | Van | حافلات صغيرة للمجموعات |
| 👩 **سائقة (Female Driver)** | FemalDriver | سائقات نساء — خيار خاص للسيدات |
> ✅ جميع أنواع المركبات مدعومة في الدول الثلاث: سوريا، الأردن، مصر
---
## 💳 طرق الدفع المتعددة (7 خيارات)
| طريقة الدفع | التوفر | التقنية المستخدمة |
|-------------|--------|-------------------|
| 💵 **نقدي (Cash)** | جميع الدول | دفع يدوي عند الوصول |
| 💳 **بطاقة فيزا/ماستركارد** | سوريا، الأردن، مصر | PayMob Payment Gateway |
| 👛 **محفظة إلكترونية (Wallet)** | جميع الدول | خادم محفظة مخصص (WalletIntaleq) |
| 📱 **MTN موبايل موني** | سوريا | MTN Cash API |
| 📱 **سيريتل موبايل موني** | سوريا | Syriatel Cash API |
| 🔄 **E-Cash** | مصر | خدمة E-Cash المصرية |
| 🌐 **Stripe** | دولي | Stripe Payment Gateway |
### 💼 المحفظة الإلكترونية (Wallet System)
نظام المحفظة هو نظام دفع داخلي متكامل يتكون من:
- **محفظة الراكب**: شحن رصيد، دفع للرحلات، استرداد أموال
- **محفظة السائق**: استلام الأرباح، سحب الأموال
- **التحويل بين المحافظ**: تحويل رصيد بين المستخدمين
- **سجل المعاملات الكامل**: تتبع جميع الحركات المالية
- **نظام البقشيش (Tips)**: إضافة بقشيش للسائق بعد الرحلة
---
## 🔗 التكاملات الخارجية (شركاء الخدمة)
### 🗺️ الخرائط والملاحة
| الخدمة | الوظيفة | نوع التكامل |
|--------|---------|-------------|
| **Google Maps** | عرض الخرائط، الترميز الجغرافي، التوجيه | API Key |
| **Here Maps** | البحث والاقتراح التلقائي للأماكن | API Key |
| **Map SaaS** (خاص) | توجيه مخصص، ترميز جغرافي عكسي، بحث الأماكن | x-api-key |
| **OpenStreetMap (OSRM)** | توجيه عبر مسارات — خادم مخصص لكل دولة | Internal API |
### 📱 التواصل والإشعارات
| الخدمة | الوظيفة |
|--------|---------|
| **Firebase (FCM)** | إشعارات لحظية، تحليلات، Crashlytics |
| **Twilio** | التحقق عبر SMS (OTP) |
| **WhatsApp Cloud API** | إرسال كود التحقق عبر واتساب |
| **SMS Kazumi** | مزود SMS في مصر |
### 🤖 الذكاء الاصطناعي
| الخدمة | الوظيفة |
|--------|---------|
| **Azure OCR** | مسح ضوئي للمستندات واستخراج النصوص |
| **OpenAI GPT-3.5** | تحليل وفهم بيانات المستندات |
| **Llama AI** | نموذج ذكاء اصطناعي بديل لاستخراج البيانات (Fallback) |
### 📞 الاتصالات
| الخدمة | الوظيفة |
|--------|---------|
| **Agora** | مكالمات صوتية وفيديو داخل التطبيق |
| **WebRTC** | خدمة الإشارات للاتصالات المباشرة |
---
## ⚙️ الميزات التقنية المتقدمة
### 🎯 نظام التوزيع الذكي (Smart Dispatching)
نظام التوزيع هو قلب المنصة، وهو المسؤول عن مطابقة الركاب مع السائقين بأقل وقت استجابة.
**المكونات:**
| المكون | التقنية | الوصف |
|--------|---------|-------|
| **WebSocket مزدوج** | PHP WebSocket (Socket.IO) | سيرفر مستقل للسائقين (port 2020) وآخر للركاب (port 3030) |
| **بحث مكاني (GIS Query)** | MySQL SPATIAL INDEX | استخدام GEOMETRY و SRID=4326 للبحث عن السائقين الأقرب |
| **توزيع فوري** | Redis GEOADD + GEORADIUS | تخزين مواقع السائقين في Redis مع تحديث كل 500ms |
| **نظام انتظار ذكي** | Event Buffer + Redis Pipeline | تجميع الأحداث وإرسالها دفعة واحدة كل 500ms |
| **تجميع الأحداث (Event Buffering)** | $eventBuffer في الذاكرة | تجاهل التحديثات إذا لم يتغير الموقع بأكثر من 10 أمتار |
| **Forward غير متزامن** | Async HTTP Forward | إرسال موقع السائق إلى سيرفر الراكب مع Throttle (3 ثوانٍ، 15 متراً) |
**سير العمل:**
```
1. الراكب يطلب رحلة → بحث في Redis عن أقرب السائقين → إرسال عرض للسائق
2. السائق يقبل → WebSocket يرسل ride_accepted للراكب
3. تتبع مباشر → Driver Socket → Forward → Passenger Socket → الراكب
4. إعادة حساب المسار → OSRM Routing → Map SaaS → عرض المسار على الخريطة
5. انتهاء الرحلة → خصم المبلغ من المحفظة → تقييم متبادل
```
### 🗺️ نظام الخرائط الحية (Real-time Tracking)
| الميزة | الوصف التقني |
|--------|--------------|
| تحديث موقع السائق | كل 3-5 ثوانٍ عبر WebSocket مع Smooth Animation |
| تتبع المسار المباشر | تحديث زاوية السيارة حسب الاتجاه باستخدام تحديثات GPS |
| **كشف الانحراف** | تنبيه إذا انحرف السائق عن المسار بأكثر من 50 متراً |
| إعادة التوجيه التلقائي | إعادة حساب المسار عبر OSRM إذا لزم الأمر |
| حساب وقت الوصول (ETA) | خوارزميات محلية دقيقة لحساب الوقت المتبقي |
| Polling Fallback | التبديل التلقائي للاقتراع كل 4 ثوانٍ عند فقدان WebSocket |
### 💬 المحادثة الفورية (In-App Chat)
- 🗨️ **دردشة داخلية** بين السائق والراكب دون مشاركة أرقام الهواتف
- 🔒 **حماية الخصوصية** — لا يرى الراكب رقم السائق والعكس
- 📱 تدعم الوسائط والنصوص
- 🚫 **سجل المحادثة** مشفر ومحمي
### 🆘 نظام الطوارئ (Emergency/SOS)
- 🚨 إشارة طوارئ مباشرة إلى فريق الدعم
- 📹 إرسال الموقع الحي لفريق الطوارئ
- 🎥 تكامل مع Agora لمكالمات الفيديو الفورية
- 📞 تكامل مع WebRTC للاتصالات المباشرة
- 👮 إشعارات للسلطات المحلية (حسب الدولة)
### 🔄 إعادة الاتصال الذكي (Auto-Reconnect)
| الطبقة | الآلية | التفاصيل |
|--------|--------|----------|
| WebSocket | 20 محاولة مع تأخير تصاعدي | 2-10 ثوانٍ بين المحاولات |
| Polling Fallback | تبديل تلقائي | كل 4 ثوانٍ كحد أقصى |
| مؤقت الصحة | Heartbeat كل 15 ثانية | التأكد من استقرار الاتصال |
| كشف القطع | isSocketHealthy() | تحقق من آخر تحديث (< 20 ثانية) |
| Auto-refresh JWT | عند استقبال 401 | تجديد التوكين تلقائياً |
---
## 🛡️ الأمان متعدد الطبقات (Multi-Layer Security)
> هذا القسم يغطي بنية الأمان الكامنة في المنصة من منظور تقني وتسويقي
### 🏗️ طبقات الأمان الخمس
```
┌─────────────────────────────────────────────────────────┐
│ Layer 1: 🔑 المصادقة (Authentication) │
│ JWT + بصمة الجهاز + MFA + OTP │
├─────────────────────────────────────────────────────────┤
│ Layer 2: 🚪 التفويض (Authorization) │
│ Role-based + Ownership Check + Rate Limiting │
├─────────────────────────────────────────────────────────┤
│ Layer 3: 🔐 حماية البيانات (Data Protection) │
│ AES-256-CBC + IV عشوائي + HTTPS/TLS + Certificate Pin │
├─────────────────────────────────────────────────────────┤
│ Layer 4: 🧱 سلامة البيانات (Integrity) │
│ Prepared Statements + Input Validation + HMAC-SHA256 │
├─────────────────────────────────────────────────────────┤
│ Layer 5: 👁️ المراقبة والكشف (Detection) │
│ Audit Logs + Rate Limiting + Security Logging + Alerts │
└─────────────────────────────────────────────────────────┘
```
### 🔑 الطبقة الأولى: المصادقة (Authentication)
| الآلية | التقنية | الوصف |
|--------|---------|-------|
| **JWT Tokens** | مخصص (custom) | توكنات JWT تصدر عند تسجيل الدخول، تتحقق في كل طلب |
| **بصمة الجهاز (Fingerprint)** | SHA-256 + HMAC | بصمة جهاز فريدة مربوطة بجهاز المستخدم |
| **المصادقة متعددة العوامل (MFA)** | بصمة + OTP + Token | الحماية بعاملين على الأقل |
| **SMS OTP** | Twilio + WhatsApp | إرسال رمز تحقق عبر SMS أو واتساب |
| **Google/Apple Sign-In** | Firebase Auth | تسجيل دخول بحسابات التواصل الاجتماعي |
| **التسجيل ببصمة الجهاز** | hash_equals | التحقق من البصمة مع مقارنة آمنة زمنياً (Timing-safe) |
**إدارة التوكنات:**
| النوع | التخزين | مدة الصلاحية | آلية التجديد |
|-------|---------|---------------|--------------|
| JWT (رئيسي) | GetStorage (مشفر) | 1 ساعة | Auto-refresh عند 401 |
| JWT (محفظة) | GetStorage (مشفر) | 1 ساعة | Auto-refresh منفصل |
| FCM Token | GetStorage + DB | حسب Firebase | عند بدء التطبيق |
| Refresh Token | FlutterSecureStorage | طويل المدى | عند تسجيل الدخول |
| Server Token | قاعدة البيانات | جلسة واحدة | مع توقيع HMAC |
### 🚪 الطبقة الثانية: التفويض (Authorization)
| الآلية | الوصف التقني |
|--------|--------------|
| **Role-based Access** | أدوار (Passenger, Driver, Admin, Service) مع صلاحيات محددة |
| **Device Binding** | X-Device-FP header مقابل JWT fingerprint claim |
| **Wallet Auth** | JWT منفصل + HMAC لعمليات الدفع |
| **Ownership Verification** | التحقق من أن المستخدم يملك المورد المطلوب |
| **Admin Authorization** | التحقق من دور المسؤول مع صلاحيات دقيقة |
### 🔐 الطبقة الثالثة: حماية البيانات (Data Protection)
**تشفير AES-256-CBC مع IV عشوائي:**
```
قبل الإصلاح: IV ثابت → نفس النص = نفس التشفير ← ثغرة 🔴
بعد الإصلاح: IV عشوائي لكل تشفير ← كل مرة تشفير مختلف ← آمن ✅
سير العمل الآمن:
1. توليد IV عشوائي (16 بايت) باستخدام openssl_random_pseudo_bytes
2. تشفير البيانات بـ AES-256-CBC
3. ضم IV مع النص المشفر
4. تشفير بـ base64
5. عند فك التشفير: استخراج IV من أول 16 بايت
```
**البيانات المشفرة:**
| نوع البيانات | مستوى التشفير |
|--------------|---------------|
| أرقام الهواتف | AES-256-CBC + IV عشوائي |
| بطاقات الهوية | AES-256-CBC + IV عشوائي |
| معلومات الدفع | AES-256-CBC + HMAC |
| كلمات المرور | bcrypt/Argon2ID (hash) |
| مفاتيح API | AES-256-CBC |
| توقيعات HMAC | SHA-256 |
**SSL/TLS:**
- ✅ جميع اتصالات API عبر HTTPS
- ✅ تثبيت الشهادة (Certificate Pinning) على تطبيقات Flutter
- ✅ التحقق من SSL في كل طلب (CURLOPT_SSL_VERIFYPEER)
- ✅ HSTS (Strict-Transport-Security)
- ❌ تمت إزالة نقاط نهاية HTTP (تم الاستبدال بـ HTTPS)
### 🧱 الطبقة الرابعة: سلامة البيانات (Integrity)
| الإجراء | الوصف |
|---------|--------|
| **Prepared Statements** | جميع استعلامات SQL تستخدم Prepared Statements (PDO) |
| **Input Validation** | التحقق من جميع المدخلات (القوائم البيضاء، الفلاتر) |
| **Output Encoding** | ترميز المخرجات لمنع XSS |
| **HMAC-SHA256** | توقيع جميع طلبات الدفع بين الخوادم |
| **Anti-Replay** | Timestamp + Nonce لمنع إعادة تشغيل الطلبات |
| **Idempotency Key** | منع معالجة نفس الطلب مرتين (الدفع، إنشاء الرحلة) |
| **Race Condition Guards** | حراس التكرار في دورة حياة الرحلة |
### 👁️ الطبقة الخامسة: المراقبة والكشف (Detection)
| الإجراء | الآلية |
|---------|--------|
| **Audit Logging** | تسجيل جميع العمليات الحساسة (تسجيل دخول، معاملات مالية، تعديلات) |
| **Rate Limiting** | تحديد عدد الطلبات لكل مستخدم/عنوان IP |
| **Login Monitoring** | تسجيل محاولات تسجيل الدخول الفاشلة والناجحة |
| **Fraud Detection** | كشف الأنماط المشبوهة في المعاملات المالية |
| **Error Logging** | تسجيل الأخطاء بدون كشف معلومات حساسة |
| **Server Monitoring** | مراقبة أداء الخوادم ووقت التشغيل |
| **Alerting** | تنبيهات في الوقت الفعلي للأنشطة المشبوهة |
### 🔐 حماية نظام الدفع (Payment Security)
نظام الدفع في سيرو مبني على بنية S2S (Server-to-Server) آمنة:
```
تطبيق Flutter ←→ API Server (JWT + HMAC) ←→ Wallet Server (HMAC + Timestamp + Backend ID)
```
| الإجراء | الوصف |
|---------|--------|
| JWT إجباري | لا يمكن تنفيذ أي معاملة مالية بدون JWT صالح |
| HMAC-SHA256 | توقيع جميع الطلبات بمفتاح سري مشترك بين الخوادم |
| Timestamp + Nonce | منع هجمات إعادة التشغيل (Replay Attacks) |
| Backend ID | تعريف الخادم المُصدر للطلب |
| Rate Limiting | حد أقصى للمعاملات لكل مستخدم |
| التحقق من المبلغ | التحقق من أن المبلغ ضمن الحدود المسموحة (1-10,000) |
| Idempotency | منع معالجة نفس طلب الدفع مرتين |
| Audit Trail | تسجيل جميع المعاملات المالية مع التفاصيل الكاملة |
### 🛡️ رؤوس الأمان (Security Headers)
| الرأس | القيمة | الغرض |
|-------|--------|-------|
| Strict-Transport-Security | max-age=31536000 | فرض HTTPS |
| X-Frame-Options | DENY | منع Clickjacking |
| X-Content-Type-Options | nosniff | منع MIME sniffing |
| Content-Security-Policy | سياسة مقيدة | منع XSS |
| X-XSS-Protection | 1; mode=block | حماية عبر المتصفح |
| Referrer-Policy | strict-origin-when-cross-origin | حماية الإحالات |
### 📱 أمن تطبيقات الهاتف (Mobile Security)
| الإجراء | الوصف |
|---------|-------|
| **تثبيت الشهادة** | Certificate Pinning في تطبيقات Flutter |
| **التخزين الآمن** | FlutterSecureStorage (Keychain/Keystore) للبيانات الحساسة |
| **أذونات محدودة** | تم تقليل الأذونات إلى الحد الأدنى المطلوب |
| **GetStorage مشفر** | تخزين محلي مشفر للبيانات |
| **Android Foreground Service** | خدمة خلفية دائمة مع وصول محدود |
| **No Debug Code** | إزالة جميع أكواد التصحيح من الإنتاج |
### 🔄 المصادقة بين الخوادم (S2S Authentication)
```
API Server → Wallet Server:
Header: X-Signature (HMAC-SHA256)
Header: X-Timestamp (Unix Time)
Header: X-Backend-ID (معرف فريد)
Header: X-Nonce (رقم عشوائي لمرة واحدة)
Body: JSON (JWT + Data)
Wallet Server → تحقق:
1. التحقق من Timestamp (ضمن 60 ثانية)
2. التحقق من Backend ID
3. التحقق من HMAC Signature
4. التحقق من Nonce (لم يتم استخدامه من قبل)
5. التحقق من JWT Payload
```
### 📊 تقييم الأمان العام
| المجال | التقييم | الحالة |
|--------|---------|--------|
| 🔑 المصادقة | ⭐⭐⭐⭐⭐ | MFA + JWT + بصمة + OTP |
| 🔐 التشفير | ⭐⭐⭐⭐⭐ | AES-256-CBC + IV عشوائي |
| 🛡️ حماية API | ⭐⭐⭐⭐⭐ | Rate Limiting + Validation |
| 💳 أمن المدفوعات | ⭐⭐⭐⭐⭐ | S2S + HMAC + Audit Trail |
| 📱 أمن التطبيقات | ⭐⭐⭐⭐ | Certificate Pinning + تشفير |
| 🗄️ أمن قاعدة البيانات | ⭐⭐⭐⭐⭐ | SQL Injection محمي |
| 🌐 أمن الشبكة | ⭐⭐⭐⭐⭐ | HTTPS + HSTS + CSP |
| 👁️ المراقبة | ⭐⭐⭐⭐ | Audit Logs + تنبيهات |
---
## 🤖 الذكاء الاصطناعي (AI Features)
### 📄 توثيق السائقين بالذكاء الاصطناعي
نظام توثيق متكامل يستخدم 3 محركات ذكاء اصطناعي لاستخراج بيانات المستندات تلقائياً:
**سير العمل:**
```
1. تصوير المستند ← Azure OCR (استخراج النص)
2. النص المستخرج ← OpenAI GPT-3.5 (تحليل وفهم)
3. في حالة فشل: Llama AI (نموذج بديل)
4. التحقق التلقائي ← مطابقة البيانات مع القواعد
5. تسجيل فوري ← من أيام إلى دقائق
```
| المحرك | الوظيفة | الميزة |
|--------|---------|--------|
| **Azure OCR** | مسح ضوئي | استخراج النصوص من صور المستندات |
| **OpenAI GPT-3.5** | تحليل ذكي | فهم وتصنيف بيانات المستندات |
| **Llama AI** | نموذج بديل | Fallback في حال فشل OpenAI |
---
## 🎁 الإضافات المميزة (Value-Added Features)
### 🏷️ نظام العروض الترويجية (Promotions)
- 🎫 **أكواد خصم** للمستخدمين الجدد والحاليين
- 🆕 **كود دعوة أول رحلة**: خصم على أول رحلة لكل مستخدم جديد
- 📩 إرسال العروض المخصصة عبر الإشعارات
- 📊 تقارير أداء العروض الترويجية
### 👫 نظام الإحالة (Referral System)
- 🔗 **رمز إحالة موحد** لكل مستخدم (سائق أو راكب)
- 🎁 **مكافآت دعوة الأصدقاء**: رصيد مجاني لكل شخص يدعوه
- 📊 تتبع الإحالات — عدد المسجلين والأرباح
- 💰 مكافآت مزدوجة (للداعي والمدعو)
### ⭐ نظام التقييم المزدوج (Dual Rating)
| التقييم | من | إلى | الغرض |
|---------|----|-----|-------|
| ⭐ نجوم | الراكب | السائق | جودة الخدمة |
| ⭐ سلوك | السائق | الراكب | سلوك الراكب ونظافته |
| 📊 مؤشر الجودة | تلقائي | المستخدم | متوسط جميع التقييمات |
| 🚫 القائمة السوداء | إداري | المستخدم | حظر ذوي التقييم المنخفض |
### 💰 نظام العمولات الذكي (Kazan)
- 📊 **نسبة عمولة متغيرة** حسب نوع المركبة
- 🌍 **أسعار مختلفة حسب كل دولة**: سوريا، الأردن، مصر
- ⚙️ **قابل للتعديل** من لوحة التحكم الإدارية
- 💹 **شفافية كاملة**: السائق يعرف نسبة العمولة قبل قبول الرحلة
### 💵 نظام البقشيش (Tips)
- 💵 إضافة بقشيش للسائق بعد الرحلة
- 📱 عبر المحفظة الإلكترونية أو نقداً
- ⭐ تشجيع للسائقين على تقديم خدمة ممتازة
---
## 🖥️ البنية التحتية (Infrastructure)
### 🏗️ معمارية النظام
```
┌──────────────────────────────────────────────────────────────┐
│ تطبيقات Flutter │
│ ┌──────────┐ ┌──────────┐ ┌──────────┐ ┌────────────┐ │
│ │ siro_rider│ │siro_driver│ │siro_admin│ │siro_service│ │
│ └────┬─────┘ └────┬─────┘ └────┬─────┘ └─────┬──────┘ │
└───────┼──────────────┼──────────────┼──────────────┼─────────┘
│ │ │ │
▼ ▼ ▼ ▼
┌──────────────────────────────────────────────────────────────┐
│ API Gateway (Nginx) │
│ Load Balancer + SSL Termination │
└──────────────────────────┬───────────────────────────────────┘
┌───────────────┼───────────────┐
▼ ▼ ▼
┌──────────────────┐ ┌──────────┐ ┌──────────────────┐
│ API Server 1 │ │API Server│ │ Socket Server │
│ (8 Core/16GB) │ │ 2 │ │ (8 Core/16GB) │
│ PHP-FPM + Nginx│ │ (Mirror) │ │ Driver+Passenger│
└────────┬─────────┘ └────┬─────┘ └────────┬─────────┘
│ │ │
└────────────────┼────────────────┘
┌──────────────┼──────────────┐
▼ ▼ ▼
┌──────────────────┐ ┌──────────┐ ┌──────────────────┐
│ MySQL Server │ │ Redis │ │ OSRM Server │
│ (16 Core/64GB) │ │ 8Core/32G│ │ (16 Core/32GB) │
│ 1TB NVMe + 10GbE│ │ 10GbE │ │ Syria OSM Map │
└──────────────────┘ └──────────┘ └──────────────────┘
┌──────────┴──────────┐
│ Wallet Server │
│ (4 Core/8GB) │
│ Payment Gateway │
└─────────────────────┘
```
### 📊 مواصفات الخوادم المقترحة
| السيرفر | المعالج | الرام | التخزين | الشبكة | العدد |
|---------|---------|-------|---------|--------|-------|
| Load Balancer | 2 Core | 4 GB | 50 GB SSD | 1 Gbps | 1 |
| API Server | 8 Core | 16 GB | 100 GB NVMe | 1 Gbps | 2 |
| MySQL | 16 Core | 64 GB | 1 TB NVMe | 10 Gbps | 1 |
| Redis | 8 Core | 32 GB | 100 GB NVMe | 10 Gbps | 1 |
| Socket Server | 8 Core | 16 GB | 50 GB SSD | 1 Gbps | 1 |
| Wallet Server | 4 Core | 8 GB | 50 GB SSD | 1 Gbps | 1 |
| OSRM Server | 16 Core | 32 GB | 200 GB NVMe | 1 Gbps | 1 |
| **التكلفة الشهرية** | | | | | **$900-1,890** |
### 🌐 طوبولوجيا الشبكة
```
┌──────────────┐
│ Internet │
└──────┬───────┘
┌──────┴───────┐
│ Firewall │
│ (iptables) │
└──────┬───────┘
┌──────┴───────┐
│Load Balancer │
│ Public IP │
└──────┬───────┘
┌─────────────────┼─────────────────┐
│ │ │
┌──────┴───────┐ ┌─────┴───────┐ ┌──────┴───────┐
│ API SRV 1 │ │ API SRV 2 │ │ Socket SV │
│ 10.0.1.10 │ │ 10.0.1.11 │ │ 10.0.1.20-21 │
└──────┬───────┘ └─────┬───────┘ └──────┬───────┘
└────────────────┼─────────────────┘
┌────────────────┼─────────────────┐
│ │ │
┌──────┴───────┐ ┌────┴───────┐ ┌──────┴───────┐
│ MySQL DB │ │ Redis │ │ OSRM │
│ 10.0.1.30 │ │ 10.0.1.31 │ │ 10.0.1.40 │
└──────────────┘ └────────────┘ └──────────────┘
┌──────────────┐ ┌────────────┐
│ Wallet SV │ │ Map SaaS │
│ 10.0.1.50 │ │ 10.0.1.60 │
└──────────────┘ └────────────┘
```
### 🔒 الإجراءات الأمنية للبنية التحتية
| الإجراء | الوصف |
|---------|-------|
| **Firewall** | فتح المنافذ: 80/443 (عام) + 2020/3030 (WebSocket) + 22 (SSH مقيّد) |
| **Fail2ban** | حماية SSH و API من هجمات القوة الغاشمة |
| **UFW/iptables** | حجب جميع المنافذ غير المستخدمة على كل سيرفر |
| **VPN** | وصول آمن للإدارة عبر Tailscale أو WireGuard |
| **SSL/TLS** | جميع الاتصالات الخارجية مشفرة |
| **Internal VLAN** | شبكة داخلية خاصة (10.0.1.0/24) بين جميع الخوادم |
| **MySQL Access** | مستخدم مخصص بصلاحيات محدودة من API Servers فقط |
| **Redis Password** | requirepass + rename-command FLUSHALL |
| **.env Permissions** | صلاحيات 600 لملف .env |
---
## 📊 المقارنة التنافسية (Competitive Analysis)
| الميزة | **Siro (سِيرُو)** | أوبر (Uber) | كريم (Careem) | Bolt |
|--------|-------------------|-------------|---------------|------|
| 🌍 التوسع الإقليمي | سوريا، الأردن، مصر | عالمي | إقليمي | عالمي |
| 🚙 أنواع المركبات | **12 نوعاً** | 5 أنواع | 6 أنواع | 4 أنواع |
| 💳 طرق الدفع المحلية | **7 طرق** (MTN, Syriatel, E-Cash) | 4 طرق | 5 طرق | 3 طرق |
| 👩 سائقات نساء | ✅ **نعم** | ✅ نعم | ✅ نعم | ❌ لا |
| 📱 تطبيقات متصلة | **4 تطبيقات** | تطبيقان | تطبيقان | تطبيقان |
| 🤖 ذكاء اصطناعي للتوثيق | **Azure + OpenAI + Llama** | أساسي | أساسي | ❌ لا |
| 🎯 تراكب الأندرويد | **نعم — فوق أي تطبيق** | لا | لا | لا |
| 🗺️ خريطة مخصصة | **Map SaaS خاص** | Google فقط | Google فقط | Google فقط |
| 📊 لوحة تحكم إدارية | **ويب كامل — 15+ وحدة** | محدود | محدود | محدود |
| 💬 دردشة بدون رقم | ✅ نعم | ✅ نعم | ✅ نعم | ❌ لا |
| 🆘 زر طوارئ + فيديو | ✅ **Agora + WebRTC** | SOS فقط | SOS فقط | ❌ لا |
| 💰 محفظة إلكترونية | ✅ راكب + سائق | محدود | ✅ نعم | ❌ لا |
| 🏷️ نظام إحالة متكامل | ✅ راكب + سائق | ✅ | ✅ | ✅ |
| 🔒 بصمة جهاز + JWT | ✅ **أمان متعدد الطبقات** | أساسي | أساسي | أساسي |
| 📦 توصيل طلبات (Delivery) | ✅ نعم | ✅ نعم | ✅ نعم | ❌ لا |
| ⚡ تطبيق إدارة ميداني | ✅ **Siro Service** | لا | لا | لا |
---
## 📈 فرص النمو والتوسع
### على المدى القصير (3-6 أشهر)
| الفرصة | الوصف | التأثير المتوقع |
|--------|-------|----------------|
| 🌍 التوسع لدول جديدة | دول الخليج، شمال أفريقيا | 5x قاعدة المستخدمين |
| 🚚 خدمات لوجستية | نقل بضائع، شحن، توصيل طرود | إيرادات إضافية 30%+ |
| 🛵 توصيل طلبات للمطاعم | Siro Food - مشابه لـ Uber Eats | إيرادات إضافية 50%+ |
| 🤖 تحسين التنبؤ بالطلب | AI Demand Forecasting | تقليل وقت الانتظار 40% |
### على المدى المتوسط (6-12 شهراً)
| الفرصة | الوصف |
|--------|-------|
| 💳 إضافة بوابات دفع جديدة | المزيد من خيارات الدفع المحلية |
| 🎯 برامج ولاء متقدمة | نقاط مكافآت، خصومات مخصصة |
| 🚗 تأجير السيارات | Siro Rent - خدمة تأجير السيارات |
| 🏢 خدمات النقل للشركات | B2B Corporate Transport Solutions |
| 🔐 برنامج مكافآت الأخطاء | Bug Bounty Program لتعزيز الأمان |
### على المدى الطويل (12-24 شهراً)
| الفرصة | الوصف |
|--------|-------|
| 🤖 قيادة ذاتية | Autonomous Vehicle Integration |
| 🛸 توصيل بالطائرات المسيرة | Drone Delivery Services |
| 🌍 منصة مفتوحة (Open Platform) | API عام لمطوري الطرف الثالث |
| 💳 بنك رقمي | Siro Fintech - خدمات مالية رقمية |
---
## 🎓 نقاط القوة الرئيسية — لماذا Siro؟
### 1⃣ 🏗️ بنية تحتية مرنة ومخصصة
- **خوادم مخصصة لكل دولة**: routing مختلف لسوريا، الأردن، مصر
- **خريطة خاصة (Map SaaS)**: لا تعتمد كلياً على Google Maps — استقلالية تامة
- **WebSockets مزدوجة**: فصل تام بين اتصالات السائق والراكب لتجنب الازدحام
- **Redis Pipeline**: تجميع الأحداث كل 500ms لتقليل الحمل
- **Auto-scaling**: بنية قابلة للتوسع الأفقي
### 2⃣ 🧠 ذكاء اصطناعي مدمج
- **توثيق آلي** للسائقين الجدد — يقلل وقت التسجيل من أيام إلى دقائق
- **Azure + OpenAI + Llama**: ثلاث محركات ذكاء اصطناعي تعمل معاً لضمان أعلى دقة مع Fallback تلقائي
- قابلية التوسع لإضافة حالات استخدام AI جديدة
### 3⃣ 💳 حلول دفع محلية مبتكرة
- دعم **MTN و Syriatel** في سوريا (حلول دفع محلية فريدة)
- دعم **E-Cash** في مصر
- **PayMob** للبطاقات الائتمانية
- **Stripe** للدفع الدولي
- **محفظة إلكترونية** مزدوجة للراكب والسائق مع تحويلات داخلية
- بنية S2S آمنة مع HMAC + JWT
### 4⃣ 🎯 تجربة سائق فريدة
- **تراكب Android** يعرض الطلبات حتى فوق التطبيقات الأخرى — لا يفوت السائق أي طلب
- **خدمة خلفية دائمة (Foreground Service)** — الموقع محدث 24/7
- **توجيه صوتي (Voice Navigation)** مع إرشادات مفصلة TTS
- **مؤقت انتظار أوتوماتيكي** للركاب مع 15 ثانية للقبول
- **إحصائيات الأرباح** لحظية مع تقارير مالية شاملة
### 5⃣ 📊 إدارة شاملة
- **15+ وحدة إدارية** في لوحة التحكم (أكثر من أي منافس)
- **تحليلات متقدمة** وتقارير مالية فورية
- **إدارة السائقين والركاب** بكفاءة مع مراقبة الجودة
- **القوائم السوداء** و **بطاقات أداء السائقين**
- **سجلات التدقيق (Audit Logs)** للأمان والمساءلة
### 6⃣ 🌍 دعم متعدد اللغات والعملات
- دعم اللغة العربية والإنكليزية كامل
- واجهات مترجمة بالكامل للتطبيقات الأربعة
- محتوى مترجم للدول المختلفة
- دعم العملات المتعددة (ليرة سورية، دينار أردني، جنيه مصري)
### 7⃣ 🔒 أمان عالي المستوى — ميزة تنافسية
- **JWT مع بصمة الجهاز الفريدة** — أمان متعدد الطبقات
- **HMAC لطلبات الدفع** — حماية S2S
- **تشفير AES-256-CBC مع IV عشوائي** — حماية البيانات الحساسة
- **Auto-refresh JWT** — منع قطع الجلسة مع أمان مستمر
- **Rate Limiting** — تحديد معدل المحاولات والحماية من الهجمات
- **Certificate Pinning** — منع هجمات الوسيط (MITM)
- **Audit Logging** — سجل تدقيق شامل لجميع العمليات
### 8⃣ 🚚 تنوع خدمات النقل
- من التوصيل السريع بالدراجة النارية إلى النقل العائلي والفان
- **سائقات نساء** — خيار خاص يحترم خصوصية السيدات (ميزة نادرة)
- **سيارات كهربائية** — خيار صديق للبيئة (استباقي)
- **12 نوع مركبة** — أكبر تنوع مقارنة بالمنافسين
---
## ✅ الخلاصة والتقرير النهائي
### لماذا Siro هي الخيار الأفضل؟
| المعيار | التقييم |
|---------|---------|
| **التغطية الإقليمية** | ⭐⭐⭐⭐⭐ 3 دول مع دعم محلي كامل |
| **تنوع الخدمات** | ⭐⭐⭐⭐⭐ 12 نوع مركبة + 4 تطبيقات |
| **طرق الدفع** | ⭐⭐⭐⭐⭐ 7 طرق دفع محلية وعالمية |
| **الأمان** | ⭐⭐⭐⭐⭐ 5 طبقات أمان متكاملة |
| **الذكاء الاصطناعي** | ⭐⭐⭐⭐⭐ 3 محركات AI للتوثيق التلقائي |
| **لوحة التحكم** | ⭐⭐⭐⭐⭐ 15+ وحدة إدارية |
| **البنية التحتية** | ⭐⭐⭐⭐⭐ خوادم مخصصة لكل دولة |
| **تجربة السائق** | ⭐⭐⭐⭐⭐ Android Overlay + Voice Nav |
| **الدعم المحلي** | ⭐⭐⭐⭐⭐ فهم عميق لاحتياجات السوق العربي |
### 📊 الأرقام النهائية
| المقياس | القيمة |
|---------|--------|
| دول التشغيل | 3 |
| تطبيقات متصلة | 4 |
| أنواع المركبات | 12 |
| طرق الدفع | 7 |
| خدمات التكامل | 15+ |
| ملفات PHP | 395+ |
| قواعد بيانات | 3 |
| خوادم مخصصة | 10+ |
| طبقات أمان | 5 |
| محركات AI | 3 |
| وحدات إدارية | 15+ |
| التكلفة الشهرية للبنية | $900-1,890 |
| السعة الاستيعابية | 10,000+ مستخدم متزامن |
### 🎯 الرسالة التسويقية الأساسية
> **Siro (سِيرُو) ليست مجرد تطبيق نقل — إنها منصة متكاملة للنقل الذكي تجمع بين:**
>
> ✅ **4 تطبيقات متصلة** تغطي كل احتياجات النقل
> ✅ **12 نوع مركبة و 7 طرق دفع** لتغطية جميع احتياجات المستخدمين
> ✅ **ذكاء اصطناعي متقدم** لتسريع التوثيق وتحسين الخدمة
> ✅ **نظام توزيع ذكي** مع خرائط حية وتتبع مباشر
> ✅ **لوحة تحكم إدارية** بمستوى مؤسسي (15+ وحدة)
> ✅ **5 طبقات أمان** لحماية البيانات والمعاملات المالية
> ✅ **حلول دفع محلية** مبتكرة تفهم احتياجات السوق
> ✅ **بنية تحتية** بتكلفة تشغيل $900-1,890 شهرياً
### 🔐 الأمان كعلامة تجارية
في عالم تتصدر فيه خروقات البيانات عناوين الأخبار، **Siro تضع الأمان في صميم منتجها**:
- **5 طبقات أمان متكاملة** — من المصادقة إلى المراقبة
- **تشفير AES-256-CBC مع IV عشوائي** — معيار صناعي
- **JWT + بصمة جهاز + MFA** — أمان متعدد العوامل
- **HMAC + S2S للمدفوعات** — حماية مالية على مستوى المؤسسات
- **سجل تدقيق شامل** — مساءلة وشفافية كاملة
- **اختبارات اختراق منتظمة** — تحسين مستمر
> **Siro — وجهتك الذكية لكل رحلة** 🚀
>
> *النقل الذكي | الأمان أولاً | حلول محلية | تقنيات عالمية*
---
*تم إعداد هذا التقرير ليكون دليلاً تسويقياً وأمنياً شاملاً لمنصة Siro (سِيرُو)*
*جميع المعلومات المذكورة تستند إلى الكود المصدري والتوثيق الفني للمنصة*
**تاريخ التقرير:** 17 يونيو 2026
**الإصدار:** 1.0
**التصنيف:** 📋 تقرير تسويقي وأمني شامل
</div>
Reference in New Issue View Git Blame Copy Permalink