SICHERHEIT

Sicherheitsrichtlinie v1.0 — März 2026

Zuletzt aktualisiert: 29. März 2026 Konform mit: EU Cyber Resilience Act (CRA) Verordnung 2024/2847, EU-Produkthaftungsrichtlinie 2024/2853, Anforderungen der rumänischen DNSC, ENISA-Leitlinien

Dieses Dokument beschreibt die Sicherheitszusagen von SIBSTIL DOORS SRL für die Desktop-Anwendung Typiq, unseren Prozess zur Offenlegung von Schwachstellen und unseren Umgang mit Sicherheitsvorfällen. Es gilt für alle Versionen von Typiq.

1. Unsere Sicherheitszusagen

SIBSTIL DOORS SRL verpflichtet sich für Typiq zu folgenden Sicherheitsstandards:

Secure by Design: The application uses contextIsolation and sandboxed rendering (Electron security best practices). nodeIntegration is disabled. All IPC communication uses contextBridge.
Keine unnötige Datenerhebung: The application does not collect or transmit personal data during offline use.
Nur lokale Daten: Progress data and settings are stored locally in the user's profile directory.
Ausschließlich HTTPS: All network communication from the application and website uses HTTPS with valid certificates.
Abhängigkeitsverwaltung: We monitor third-party dependencies (Electron, Node.js packages) for known vulnerabilities using automated tools.
Sicherheits-Supportzeitraum: Minimum 3 years from purchase date for Personal license holders.

2. Unterstützte Versionen

Version	Status	Sicherheitsupdates
1.x (aktuell)	✅ Aktiv	Ja — voller Support
Zukünftige Versionen	Wird noch bekannt gegeben	Ja

Wir empfehlen dringend, immer die neueste Version von Typiq zu verwenden, um von den aktuellsten Sicherheitspatches zu profitieren.

3. Richtlinie zur Offenlegung von Schwachstellen

Wir begrüßen die verantwortungsvolle Offenlegung von Sicherheitslücken. Wenn Sie ein Sicherheitsproblem in Typiq entdecken, befolgen Sie bitte den unten beschriebenen Prozess.

Schwachstelle melden: Email sibstil@gmail.com with subject line: [SECURITY] Typiq vulnerability report

Bitte fügen Sie Ihrem Bericht Folgendes bei:

Beschreibung der Schwachstelle
Betroffene Typiq-Version
Betriebssystem und Version
Schritte zur Reproduktion
Einschätzung der potenziellen Auswirkungen (sofern bekannt)
Ihre Kontaktdaten (für Rückfragen)

4. Unser Reaktionsprozess

Zeitrahmen	Maßnahme
Innerhalb von 48 Stunden	Bestätigung des Eingangs Ihres Berichts
Innerhalb von 7 Tagen	Erste Bewertung und Einstufung des Schweregrads
Innerhalb von 30 Tagen	Entwicklung und Test des Patches (kritische Schwachstellen werden priorisiert)
Innerhalb von 45 Tagen	Veröffentlichung der gepatchten Version und öffentliche Offenlegung (in Abstimmung mit dem Melder)

Wir bitten Sie:

Die Schwachstelle nicht öffentlich offenzulegen, bevor wir einen Patch veröffentlicht haben (koordinierte Offenlegung)
Die Schwachstelle nicht über das für einen Proof of Concept Notwendige hinaus auszunutzen
Nicht auf Nutzerdaten zuzugreifen oder diese zu verändern

Wir werden keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, die in gutem Glauben handeln und diese Richtlinie befolgen.

5. Reaktion auf Sicherheitsvorfälle (CRA Art. 14)

In Übereinstimmung mit dem EU Cyber Resilience Act (Verordnung 2024/2847) und dem geltenden rumänischen Cybersicherheitsrecht:

Security incidents affecting Typiq will be reported to DNSC (Directoratul Național de Securitate Cibernetică) within 24 Stunden of discovery.
Affected users will be notified within 72 Stunden of a breach confirmed to affect their data, in accordance with GDPR Art. 33-34.
Innerhalb von 30 Tagen nach dem Vorfall wird ein detaillierter Vorfallbericht bereitgestellt.

6. Bekannte Sicherheitsaspekte

Nutzer sollten Folgendes beachten:

Lizenzdatei: The license file (license.json) is stored in your user profile directory. Do not manually modify this file. Unauthorized modification may result in license deactivation.
macOS Gatekeeper: On macOS, you may see a security warning on first launch. This is normal for applications not distributed through the Mac App Store. Go to System Preferences → Security & Privacy → Open Anyway.
Windows SmartScreen: Windows may show a SmartScreen warning. Click "More info" → "Run anyway." This occurs because the application is not yet code-signed with an EV certificate.
Internetverbindung: The application requires internet access only for license activation. Normal use is fully offline.

7. Abhängigkeiten von Drittanbietern

Typiq verwendet die folgenden wichtigsten Open-Source-Komponenten. Wir überwachen diese auf Sicherheitshinweise:

Komponente	Zweck	Sicherheitsüberwachung
Electron v33	Desktop-Anwendungs-Framework	GitHub Security Advisories
Node.js v22	Laufzeitumgebung	Node.js Security Releases
node-machine-id	Hardware-Fingerabdruck	npm audit

8. Kontakt

Security reports: sibstil@gmail.com
Subject line: [SECURITY] Typiq vulnerability report
SIBSTIL DOORS SRL, Sibiu, România

9. Aktualisierungen dieser Richtlinie

Diese Richtlinie wird mindestens jährlich oder nach jedem wesentlichen Sicherheitsvorfall überprüft und aktualisiert. Die aktuelle Version ist jederzeit unter typiq-app.com/security verfügbar.