SÉCURITÉ

Politique de sécurité v1.0 — Mars 2026

Dernière mise à jour : 29 mars 2026 Conforme à : EU Cyber Resilience Act (CRA) Règlement 2024/2847, Directive UE sur la responsabilité du fait des produits 2024/2853, exigences DNSC roumaines, lignes directrices ENISA

Ce document décrit les engagements de sécurité de SIBSTIL DOORS SRL pour l'application de bureau Typiq, notre processus de divulgation des vulnérabilités et la manière dont nous gérons les incidents de sécurité. Il s'applique à toutes les versions de Typiq.

1. Nos engagements en matière de sécurité

SIBSTIL DOORS SRL s'engage à respecter les normes de sécurité suivantes pour Typiq :

Sécurisé par conception : The application uses contextIsolation and sandboxed rendering (Electron security best practices). nodeIntegration is disabled. All IPC communication uses contextBridge.
Aucune collecte de données inutile : The application does not collect or transmit personal data during offline use.
Données locales uniquement : Progress data and settings are stored locally in the user's profile directory.
HTTPS uniquement : All network communication from the application and website uses HTTPS with valid certificates.
Gestion des dépendances : We monitor third-party dependencies (Electron, Node.js packages) for known vulnerabilities using automated tools.
Période de support de sécurité : Minimum 3 years from purchase date for Personal license holders.

2. Versions prises en charge

Version	Statut	Mises à jour de sécurité
1.x (actuelle)	✅ Active	Oui — support complet
Versions futures	À annoncer	Oui

Nous recommandons vivement de toujours utiliser la dernière version de Typiq pour bénéficier des correctifs de sécurité les plus récents.

3. Politique de divulgation des vulnérabilités

Nous accueillons favorablement la divulgation responsable des vulnérabilités de sécurité. Si vous découvrez un problème de sécurité dans Typiq, veuillez suivre la procédure ci-dessous.

Signaler une vulnérabilité : Email sibstil@gmail.com with subject line: [SECURITY] Typiq vulnerability report

Veuillez inclure dans votre rapport :

Description de la vulnérabilité
Version de Typiq concernée
Système d'exploitation et version
Étapes pour reproduire
Évaluation de l'impact potentiel (si connu)
Vos coordonnées (pour le suivi)

4. Notre processus de réponse

Délai	Action
Sous 48 heures	Accuser réception de votre rapport
Sous 7 jours	Évaluation initiale et classification de la gravité
Sous 30 jours	Développement et test du correctif (vulnérabilités critiques prioritaires)
Sous 45 jours	Publication de la version corrigée et divulgation publique (coordonnée avec le rapporteur)

Nous vous demandons de :

Ne pas divulguer publiquement la vulnérabilité avant la publication d'un correctif (divulgation coordonnée)
Ne pas exploiter la vulnérabilité au-delà de ce qui est nécessaire pour la preuve de concept
Ne pas accéder ni modifier les données des utilisateurs

Nous n'engagerons pas de poursuites contre les chercheurs qui agissent de bonne foi et respectent cette politique.

5. Réponse aux incidents de sécurité (CRA Art. 14)

Conformément à l'EU Cyber Resilience Act (Règlement 2024/2847) et au droit roumain applicable en matière de cybersécurité :

Security incidents affecting Typiq will be reported to DNSC (Directoratul Național de Securitate Cibernetică) within 24 heures of discovery.
Affected users will be notified within 72 heures of a breach confirmed to affect their data, in accordance with GDPR Art. 33-34.
Un rapport d'incident détaillé sera fourni dans un délai de 30 jours suivant l'incident.

6. Considérations de sécurité connues

Les utilisateurs doivent être conscients des points suivants :

Fichier de licence : The license file (license.json) is stored in your user profile directory. Do not manually modify this file. Unauthorized modification may result in license deactivation.
macOS Gatekeeper : On macOS, you may see a security warning on first launch. This is normal for applications not distributed through the Mac App Store. Go to System Preferences → Security & Privacy → Open Anyway.
Windows SmartScreen : Windows may show a SmartScreen warning. Click "More info" → "Run anyway." This occurs because the application is not yet code-signed with an EV certificate.
Connexion Internet : The application requires internet access only for license activation. Normal use is fully offline.

7. Dépendances tierces

Typiq utilise les principaux composants open source suivants. Nous surveillons les avis de sécurité les concernant :

Composant	Finalité	Surveillance de la sécurité
Electron v33	Framework d'application de bureau	GitHub Security Advisories
Node.js v22	Environnement d'exécution	Node.js Security Releases
node-machine-id	Empreinte matérielle	npm audit

8. Contact

Security reports: sibstil@gmail.com
Subject line: [SECURITY] Typiq vulnerability report
SIBSTIL DOORS SRL, Sibiu, România

9. Mises à jour de cette politique

Cette politique sera revue et mise à jour au moins une fois par an, ou à la suite de tout incident de sécurité significatif. La version actuelle est toujours disponible sur typiq-app.com/security.