Vos écoles gèrent des données sensibles : identités d'enfants, dossiers santé, paiements, communications parents. SIRAJ traite votre sécurité comme votre banque traite la sienne.
Loi 09-08 CNDP
Protection données personnelles
Loi 18-07
Échange électronique données juridiques
Code pénal Art. 218-2
Cybersécurité
RGPD-aligned
Référentiel européen compatible
TLS 1.3 pour toutes connexions navigateur ↔ serveur. Postgres at-rest encryption via pgcrypto pour colonnes sensibles. Mots de passe hashés bcrypt (cost 12).
Serveurs physiques au Maroc (Hetzner FR datacenter cible UE et MA selon plan). Option BYOD : votre propre PostgreSQL dans votre infra. Aucun transfert hors-Maroc dans le plan défaut.
Chaque action sensible (login, mutation, export, accès données) écrite dans AuditLog. Pas de delete possible — seulement append. Consultable depuis /school/[id]/audit-log.
Auth.js v5 + bcrypt + session JWT. Email-OTP 2FA disponible pour platform-admins. Lockout après 5 tentatives, rate-limiting sur /login.
Rôles configurables par école (directeur, secrétariat, prof, comptable, parent, élève). Chaque rôle voit uniquement les données auxquelles il a légalement droit (Moudawana automatic).
Backups Postgres dump nocturnes conservés 30 jours. Pour Enterprise : sauvegardes horaires + rétention 1 an + restauration ponctuelle.
Defense in depth
Plusieurs couches indépendantes (firewall, app-auth, db-isolation, audit-log). Si l'une est compromise, les autres protègent.
Least privilege
Chaque user/rôle a uniquement les droits strictement nécessaires. Aucun bypass admin caché.
Open by inspection
Architecture documentée publiquement (cette page). Pas de security through obscurity. Code source partageable sous NDA pour audit.
No data lock-in
Export CSV/JSON disponible à tout moment. Pas de pénalité à sortir. Vos données restent vos données.
Souveraineté maximale : hébergez SIRAJ sur votre propre PostgreSQL. SBPT n'accède jamais à vos données — seulement à la couche application.
🇲🇦 Option 1 : Cloud SBPT au Maroc
Hébergement sur nos serveurs au Maroc (Hetzner FR pour Enterprise EU-region disponible). Sauvegardes incluses, monitoring 24/7.
🏢 Option 2 : Self-hosted (Enterprise)
Vous hébergez Postgres + un volume binary (documents/photos) chez vous. SIRAJ accède via Database-URL. Conforme aux exigences les plus strictes.
Vous avez identifié une vulnérabilité ou un comportement suspect ? Écrivez àinfo.siraj@tazaghine.com. Réponse sous 24h ouvrées. Programme de divulgation responsable : chercheurs reçoivent une reconnaissance publique (avec accord) + accès gratuit Pro pendant 12 mois.