SICUREZZA

Politica di sicurezza v1.0 — Marzo 2026

Ultimo aggiornamento: 29 marzo 2026 Conforme a: EU Cyber Resilience Act (CRA) Regolamento 2024/2847, Direttiva UE 2024/2853 sulla responsabilità per danno da prodotti, requisiti DNSC rumeni, linee guida ENISA

Questo documento descrive gli impegni di sicurezza di SIBSTIL DOORS SRL per l'applicazione desktop Typiq, il nostro processo di divulgazione delle vulnerabilità e come gestiamo gli incidenti di sicurezza. Si applica a tutte le versioni di Typiq.

1. I nostri impegni di sicurezza

SIBSTIL DOORS SRL si impegna a rispettare i seguenti standard di sicurezza per Typiq:

Sicurezza by design: The application uses contextIsolation and sandboxed rendering (Electron security best practices). nodeIntegration is disabled. All IPC communication uses contextBridge.
Nessuna raccolta di dati non necessaria: The application does not collect or transmit personal data during offline use.
Solo dati locali: Progress data and settings are stored locally in the user's profile directory.
Solo HTTPS: All network communication from the application and website uses HTTPS with valid certificates.
Gestione delle dipendenze: We monitor third-party dependencies (Electron, Node.js packages) for known vulnerabilities using automated tools.
Periodo di supporto di sicurezza: Minimum 3 years from purchase date for Personal license holders.

2. Versioni supportate

Versione	Stato	Aggiornamenti di sicurezza
1.x (attuale)	✅ Attiva	Sì — supporto completo
Versioni future	Da annunciare	Sì

Raccomandiamo vivamente di utilizzare sempre l'ultima versione di Typiq per beneficiare delle patch di sicurezza più recenti.

3. Politica di divulgazione delle vulnerabilità

Accogliamo con favore la divulgazione responsabile delle vulnerabilità di sicurezza. Se scopri un problema di sicurezza in Typiq, segui la procedura indicata di seguito.

Segnala una vulnerabilità: Email sibstil@gmail.com with subject line: [SECURITY] Typiq vulnerability report

Includi nella tua segnalazione:

Descrizione della vulnerabilità
Versione di Typiq interessata
Sistema operativo e versione
Passaggi per riprodurre
Valutazione del potenziale impatto (se nota)
I tuoi dati di contatto (per follow-up)

4. Il nostro processo di risposta

Tempistiche	Azione
Entro 48 ore	Conferma di ricezione della tua segnalazione
Entro 7 giorni	Valutazione iniziale e classificazione della gravità
Entro 30 giorni	Sviluppo e test della patch (vulnerabilità critiche prioritarie)
Entro 45 giorni	Rilascio della versione corretta e divulgazione pubblica (coordinata con il segnalatore)

Ti chiediamo di:

Non divulgare pubblicamente la vulnerabilità prima che abbiamo rilasciato una patch (divulgazione coordinata)
Non sfruttare la vulnerabilità oltre quanto necessario per la prova di concetto
Non accedere né modificare i dati degli utenti

Non intraprenderemo azioni legali contro i ricercatori che agiscono in buona fede e seguono questa politica.

5. Risposta agli incidenti di sicurezza (CRA Art. 14)

In conformità con l'EU Cyber Resilience Act (Regolamento 2024/2847) e la legge rumena applicabile sulla cybersecurity:

Security incidents affecting Typiq will be reported to DNSC (Directoratul Național de Securitate Cibernetică) within 24 ore of discovery.
Affected users will be notified within 72 ore of a breach confirmed to affect their data, in accordance with GDPR Art. 33-34.
Un report dettagliato dell'incidente sarà fornito entro 30 giorni dall'incidente.

6. Considerazioni di sicurezza note

Gli utenti devono essere consapevoli di quanto segue:

File di licenza: The license file (license.json) is stored in your user profile directory. Do not manually modify this file. Unauthorized modification may result in license deactivation.
macOS Gatekeeper: On macOS, you may see a security warning on first launch. This is normal for applications not distributed through the Mac App Store. Go to System Preferences → Security & Privacy → Open Anyway.
Windows SmartScreen: Windows may show a SmartScreen warning. Click "More info" → "Run anyway." This occurs because the application is not yet code-signed with an EV certificate.
Connessione Internet: The application requires internet access only for license activation. Normal use is fully offline.

7. Dipendenze di terze parti

Typiq utilizza i seguenti principali componenti open-source. Li monitoriamo per gli avvisi di sicurezza:

Componente	Finalità	Monitoraggio della sicurezza
Electron v33	Framework per applicazioni desktop	GitHub Security Advisories
Node.js v22	Runtime	Node.js Security Releases
node-machine-id	Hardware fingerprint	npm audit

8. Contatti

Security reports: sibstil@gmail.com
Subject line: [SECURITY] Typiq vulnerability report
SIBSTIL DOORS SRL, Sibiu, România

9. Aggiornamenti di questa politica

Questa politica sarà rivista e aggiornata almeno annualmente, o a seguito di qualsiasi incidente di sicurezza significativo. La versione corrente è sempre disponibile su typiq-app.com/security.