تشفير AES-256 شامل
كل بايت مشفّر أثناء النقل (TLS 1.3) وأثناء التخزين (AES-256). قاعدة البيانات، وتخزين الملفات، والنسخ الاحتياطية، كلها مشفّرة.
الأمان والامتثال
أمان بمستوى المصارف لعماراتك، لا وعود مبهمة.
كل حساب PropOS مشفّر ومراقَب ومقسّم حسب الأدوار بشكل افتراضي. الامتثال للقانون 09-08 (المغرب) واللائحة RGPD (الاتحاد الأوروبي) ومدد الحفظ المنصوص عليها في مدوّنة التجارة مُدمَج في المنتج، لا مُضاف لاحقا.
صلاحيات حسب الدور، على مستوى قاعدة البيانات
السنديك يرى عماراته. الساكن يرى شقته. مُطبَّق بقواعد الأمان الخاصة بـ Firebase، ومُعاد التحقق منه في كل عملية على الخادم.
سجل تدقيق غير قابل للتزوير
كل تعديل في الحالة يُسجَّل في سجل تدقيق مع اسم الفاعل والوقت والحالة قبل/بعد. يمكن لرئيس الجمع العام مراجعة المسار الكامل.
الذكاء الاصطناعي من جهة الخادم
تمر استدعاءات الذكاء عبر الخادم الخاص بنا. أسماء سكانك وعناوينهم وبياناتهم المالية لا تظهر أبدا في سجلات أطراف ثالثة.
لا متتبعات طرف ثالث
لا Google Analytics ولا Meta Pixel ولا Hotjar على /pricing و /features و /contact. تحليلات داخلية فقط تحترم الخصوصية.
نسخ احتياطية يومية، مدتها 30 يوما
قاعدة البيانات وتخزين الملفات يُنسخان يوميا، ويُحفظان لمدة 30 يوما. RPO ≤ 24 ساعة، RTO ≤ 4 ساعات في خطط Professional و SmartSyndic.
الإطار القانوني والتنظيمي
الامتثال، مع تطابق الفصول.
يُبنى PropOS من قِبل مهندسين مغاربة يقرؤون النصوص القانونية. هذه هي العلاقة بين كل قانون وميزة ملموسة في المنتج.
Loi 09-08
Moroccan data protection
Article 7 right of access (one-click JSON export), Article 8 rectification, Article 9 erasure (30-day soft delete). Local CNDP registration in progress.
Loi 18-00
Moroccan condominium statute
AGM workflows, syndic election traceability, account-of-charges format, Mise en Demeure compliance with article 36 — built into the data model.
GDPR
EU data protection
For Moroccan buildings with EU residents or owners abroad: full GDPR rights (access, rectification, erasure, portability), DPA available on request, no transfer to non-adequacy countries.
Code de Commerce
Financial record retention
Accounting records (invoices, transactions, AGM minutes) retained for 10 years per Moroccan Code de Commerce. Audit log preserved separately even after a user requests account deletion.
أسئلة شائعة
الأسئلة المتداولة حول الأمان.
Where is my data hosted?
Firebase / Google Cloud, region europe-west1 (Belgium) by default. We can configure other regions on enterprise plans. No data leaves the EU/Morocco corridor unless you enable a third-party integration that requires it (and you control which).
Can your team see my building data?
No engineer or support agent can read raw database contents in normal operation. Production access requires a break-glass procedure that is logged and reviewed weekly. Customer support cases never include resident PII unless you explicitly share it.
What happens if I cancel?
Your data is yours. Export to JSON/CSV from /settings/security. We retain accounting records for 10 years (legal minimum) but PII is deleted within 30 days of cancellation. No lock-in.
Do you have a bug bounty?
Yes — responsible disclosure at security@propos.app. Critical vulnerabilities get a same-day acknowledgement. We publish CVE-style advisories for any incident affecting customer data.
How is my password stored?
PropOS uses Firebase Authentication; passwords are stored as scrypt hashes (industry-leading slow function), salted per user. We never see the cleartext password. Optional 2FA via TOTP.
Are AI prompts logged?
We log the action (which feature called the AI), the actor, and the timestamp — never the prompt content or response content. OpenAI/DeepSeek's own policies apply to what they store on their side; both offer zero-data-retention modes that we use by default on enterprise plans.
الإبلاغ عن ثغرة
هل اكتشفت مشكلة أمنية؟
Email security@propos.app with a description and reproduction steps. We acknowledge within 24 hours, fix critical issues within 7 days, and credit you in our public advisory log if you want.
Please do not file a public GitHub issue or contact support — security reports stay private until a fix is shipped.
What we consider in scope
- ✓ Authentication or authorization bypasses
- ✓ Database injection or data-leak vectors
- ✓ XSS, CSRF, SSRF in the web app
- ✓ Stripe webhook signature bypass
- ✓ AI prompt-injection that exfiltrates other users' data
Coordinated disclosure window: 90 days before public CVE.
Trust by design, not by promise.
See the security model in action. Start a free 30-day trial — no card.