SEGURIDAD

Política de Seguridad v1.0 — Marzo de 2026

Última actualización: 29 de marzo de 2026. Cumple con: Ley de Ciberresiliencia de la UE (CRA) Reglamento 2024/2847, Directiva de Responsabilidad por Productos de la UE 2024/2853, requisitos del DNSC rumano, directrices de ENISA

Este documento describe los compromisos de seguridad de SIBSTIL DOORS SRL para la aplicación de escritorio Typiq, nuestro proceso de divulgación de vulnerabilidades y cómo gestionamos los incidentes de seguridad. Se aplica a todas las versiones de Typiq.

1. Nuestros compromisos de seguridad

SIBSTIL DOORS SRL se compromete con los siguientes estándares de seguridad para Typiq:

Seguridad por diseño: The application uses contextIsolation and sandboxed rendering (Electron security best practices). nodeIntegration is disabled. All IPC communication uses contextBridge.
Sin recopilación innecesaria de datos: The application does not collect or transmit personal data during offline use.
Solo datos locales: Progress data and settings are stored locally in the user's profile directory.
Solo HTTPS: All network communication from the application and website uses HTTPS with valid certificates.
Gestión de dependencias: We monitor third-party dependencies (Electron, Node.js packages) for known vulnerabilities using automated tools.
Período de soporte de seguridad: Minimum 3 years from purchase date for Personal license holders.

2. Versiones compatibles

Versión	Estado	Actualizaciones de seguridad
1.x (actual)	✅ Activo	Sí — soporte completo
Versiones futuras	Por anunciar	Sí

Recomendamos encarecidamente utilizar siempre la versión más reciente de Typiq para beneficiarse de los parches de seguridad más recientes.

3. Política de divulgación de vulnerabilidades

Damos la bienvenida a la divulgación responsable de vulnerabilidades de seguridad. Si descubre un problema de seguridad en Typiq, siga el proceso que se indica a continuación.

Reportar una vulnerabilidad: Email sibstil@gmail.com with subject line: [SECURITY] Typiq vulnerability report

Por favor, incluya en su informe:

Descripción de la vulnerabilidad
Versión de Typiq afectada
Sistema operativo y versión
Pasos para reproducirla
Evaluación del impacto potencial (si se conoce)
Su información de contacto (para seguimiento)

4. Nuestro proceso de respuesta

Plazo	Acción
En 48 horas	Confirmar la recepción de su informe
En 7 días	Evaluación inicial y clasificación de la gravedad
En 30 días	Desarrollo y prueba del parche (las vulnerabilidades críticas tienen prioridad)
En 45 días	Publicación de la versión corregida y divulgación pública (coordinada con el informante)

Le pedimos que:

No divulgue públicamente la vulnerabilidad antes de que hayamos publicado un parche (divulgación coordinada)
No explote la vulnerabilidad más allá de lo necesario para la prueba de concepto
No acceda ni modifique los datos de los usuarios

No emprenderemos acciones legales contra investigadores que actúen de buena fe y sigan esta política.

5. Respuesta a incidentes de seguridad (CRA Art. 14)

De conformidad con la Ley de Ciberresiliencia de la UE (Reglamento 2024/2847) y la legislación rumana aplicable en materia de ciberseguridad:

Security incidents affecting Typiq will be reported to DNSC (Directoratul Național de Securitate Cibernetică) within 24 horas of discovery.
Affected users will be notified within 72 horas of a breach confirmed to affect their data, in accordance with GDPR Art. 33-34.
Se proporcionará un informe detallado del incidente en un plazo de 30 días desde el incidente.

6. Consideraciones de seguridad conocidas

Los usuarios deben tener en cuenta lo siguiente:

Archivo de licencia: The license file (license.json) is stored in your user profile directory. Do not manually modify this file. Unauthorized modification may result in license deactivation.
macOS Gatekeeper: On macOS, you may see a security warning on first launch. This is normal for applications not distributed through the Mac App Store. Go to System Preferences → Security & Privacy → Open Anyway.
Windows SmartScreen: Windows may show a SmartScreen warning. Click "More info" → "Run anyway." This occurs because the application is not yet code-signed with an EV certificate.
Conexión a internet: The application requires internet access only for license activation. Normal use is fully offline.

7. Dependencias de terceros

Typiq utiliza los siguientes componentes principales de código abierto. Supervisamos avisos de seguridad sobre ellos:

Componente	Finalidad	Supervisión de seguridad
Electron v33	Framework de aplicación de escritorio	GitHub Security Advisories
Node.js v22	Runtime	Node.js Security Releases
node-machine-id	Huella digital del hardware	npm audit

8. Contacto

Security reports: sibstil@gmail.com
Subject line: [SECURITY] Typiq vulnerability report
SIBSTIL DOORS SRL, Sibiu, România

9. Actualizaciones de esta política

Esta política se revisará y actualizará al menos anualmente, o tras cualquier incidente de seguridad significativo. La versión actual está siempre disponible en typiq-app.com/security.