Chiffrement AES-256 de bout en bout
Chaque octet est chiffré en transit (TLS 1.3) et au repos (AES-256). Base de données, stockage de fichiers et sauvegardes : tout est chiffré.
Sécurité et conformité
Une sécurité de niveau bancaire pour vos immeubles, pas des promesses vagues.
Chaque compte PropOS est chiffré, audité et cloisonné par rôle, par défaut. La conformité avec la Loi 09-08 (Maroc), le RGPD (UE) et les obligations de conservation du Code de commerce est intégrée au produit, et non ajoutée a posteriori.
Contrôle d'accès basé sur les rôles, au niveau de la base
Le syndic voit ses immeubles. Le résident voit son lot. Appliqué par les règles de sécurité Firebase et revalidé à chaque action serveur.
Journal d'audit infalsifiable
Chaque modification d'état est enregistrée dans un journal d'audit avec l'auteur, l'horodatage et le détail avant/après. Le président de l'AG peut consulter l'intégralité de la piste.
IA côté serveur
Les appels d'IA transitent par notre back-end. Les noms, adresses et données financières de vos résidents n'apparaissent jamais dans les journaux d'opérateurs tiers.
Aucun traceur tiers
Aucun Google Analytics, aucun Meta Pixel, aucun Hotjar sur /pricing, /features et /contact. Uniquement des statistiques internes respectueuses de la vie privée.
Sauvegardes quotidiennes, conservation 30 jours
Base de données et stockage de fichiers sauvegardés quotidiennement, conservés 30 jours. RPO ≤ 24 h, RTO ≤ 4 h sur les plans Professional et SmartSyndic.
Cadre légal et réglementaire
Conformité, article par article.
PropOS est conçu par des ingénieurs marocains qui lisent les textes. Voici la correspondance entre chaque réglementation et une fonctionnalité concrète visible dans le produit.
Loi 09-08
Moroccan data protection
Article 7 right of access (one-click JSON export), Article 8 rectification, Article 9 erasure (30-day soft delete). Local CNDP registration in progress.
Loi 18-00
Moroccan condominium statute
AGM workflows, syndic election traceability, account-of-charges format, Mise en Demeure compliance with article 36 — built into the data model.
GDPR
EU data protection
For Moroccan buildings with EU residents or owners abroad: full GDPR rights (access, rectification, erasure, portability), DPA available on request, no transfer to non-adequacy countries.
Code de Commerce
Financial record retention
Accounting records (invoices, transactions, AGM minutes) retained for 10 years per Moroccan Code de Commerce. Audit log preserved separately even after a user requests account deletion.
Questions fréquentes
FAQ sécurité.
Where is my data hosted?
Firebase / Google Cloud, region europe-west1 (Belgium) by default. We can configure other regions on enterprise plans. No data leaves the EU/Morocco corridor unless you enable a third-party integration that requires it (and you control which).
Can your team see my building data?
No engineer or support agent can read raw database contents in normal operation. Production access requires a break-glass procedure that is logged and reviewed weekly. Customer support cases never include resident PII unless you explicitly share it.
What happens if I cancel?
Your data is yours. Export to JSON/CSV from /settings/security. We retain accounting records for 10 years (legal minimum) but PII is deleted within 30 days of cancellation. No lock-in.
Do you have a bug bounty?
Yes — responsible disclosure at security@propos.app. Critical vulnerabilities get a same-day acknowledgement. We publish CVE-style advisories for any incident affecting customer data.
How is my password stored?
PropOS uses Firebase Authentication; passwords are stored as scrypt hashes (industry-leading slow function), salted per user. We never see the cleartext password. Optional 2FA via TOTP.
Are AI prompts logged?
We log the action (which feature called the AI), the actor, and the timestamp — never the prompt content or response content. OpenAI/DeepSeek's own policies apply to what they store on their side; both offer zero-data-retention modes that we use by default on enterprise plans.
Signaler une vulnérabilité
Vous avez identifié une faille ?
Email security@propos.app with a description and reproduction steps. We acknowledge within 24 hours, fix critical issues within 7 days, and credit you in our public advisory log if you want.
Please do not file a public GitHub issue or contact support — security reports stay private until a fix is shipped.
What we consider in scope
- ✓ Authentication or authorization bypasses
- ✓ Database injection or data-leak vectors
- ✓ XSS, CSRF, SSRF in the web app
- ✓ Stripe webhook signature bypass
- ✓ AI prompt-injection that exfiltrates other users' data
Coordinated disclosure window: 90 days before public CVE.
Trust by design, not by promise.
See the security model in action. Start a free 30-day trial — no card.