SEGURANÇA

Política de Segurança v1.0 — Março de 2026

Última atualização: 29 de março de 2026 Em conformidade com: Regulamento Cyber Resilience Act (CRA) da UE 2024/2847, Diretiva Europeia de Responsabilidade do Produto 2024/2853, requisitos do DNSC romeno, orientações da ENISA

Este documento descreve os compromissos de segurança da SIBSTIL DOORS SRL relativos à aplicação Typiq, o nosso processo de divulgação de vulnerabilidades e a forma como tratamos incidentes de segurança. Aplica-se a todas as versões do Typiq.

1. Os Nossos Compromissos de Segurança

A SIBSTIL DOORS SRL compromete-se com os seguintes padrões de segurança para o Typiq:

Seguro por conceção: The application uses contextIsolation and sandboxed rendering (Electron security best practices). nodeIntegration is disabled. All IPC communication uses contextBridge.
Sem recolha desnecessária de dados: The application does not collect or transmit personal data during offline use.
Apenas dados locais: Progress data and settings are stored locally in the user's profile directory.
Apenas HTTPS: All network communication from the application and website uses HTTPS with valid certificates.
Gestão de dependências: We monitor third-party dependencies (Electron, Node.js packages) for known vulnerabilities using automated tools.
Período de suporte de segurança: Minimum 3 years from purchase date for Personal license holders.

2. Versões Suportadas

Versão	Estado	Atualizações de Segurança
1.x (atual)	✅ Ativa	Sim — suporte completo
Versões futuras	A anunciar	Sim

Recomendamos vivamente que utilize sempre a versão mais recente do Typiq para beneficiar das correções de segurança mais atuais.

3. Política de Divulgação de Vulnerabilidades

Acolhemos a divulgação responsável de vulnerabilidades de segurança. Se descobrir um problema de segurança no Typiq, siga o processo abaixo.

Reportar uma vulnerabilidade: Email sibstil@gmail.com with subject line: [SECURITY] Typiq vulnerability report

Inclua no seu relatório:

Descrição da vulnerabilidade
Versão do Typiq afetada
Sistema operativo e versão
Passos para reproduzir
Avaliação do impacto potencial (se conhecido)
Os seus dados de contacto (para acompanhamento)

4. O Nosso Processo de Resposta

Prazo	Ação
No prazo de 48 horas	Acusar a receção do seu relatório
No prazo de 7 dias	Avaliação inicial e classificação de gravidade
No prazo de 30 dias	Desenvolvimento e teste da correção (vulnerabilidades críticas têm prioridade)
No prazo de 45 dias	Lançamento da versão corrigida e divulgação pública (coordenada com quem reportou)

Pedimos-lhe que:

Não divulgue publicamente a vulnerabilidade antes de termos lançado uma correção (divulgação coordenada)
Não explore a vulnerabilidade para além do necessário para a prova de conceito
Não aceda nem modifique dados de utilizadores

Não tomaremos ações legais contra investigadores que atuem de boa-fé e respeitem esta política.

5. Resposta a Incidentes de Segurança (CRA Art. 14.º)

Em conformidade com o Cyber Resilience Act da UE (Regulamento 2024/2847) e a legislação romena aplicável em matéria de cibersegurança:

Security incidents affecting Typiq will be reported to DNSC (Directoratul Național de Securitate Cibernetică) within 24 horas of discovery.
Affected users will be notified within 72 horas of a breach confirmed to affect their data, in accordance with GDPR Art. 33-34.
Será disponibilizado um relatório detalhado do incidente no prazo de 30 dias após o mesmo.

6. Considerações de Segurança Conhecidas

Os utilizadores devem ter em atenção o seguinte:

Ficheiro de licença: The license file (license.json) is stored in your user profile directory. Do not manually modify this file. Unauthorized modification may result in license deactivation.
macOS Gatekeeper: On macOS, you may see a security warning on first launch. This is normal for applications not distributed through the Mac App Store. Go to System Preferences → Security & Privacy → Open Anyway.
Windows SmartScreen: Windows may show a SmartScreen warning. Click "More info" → "Run anyway." This occurs because the application is not yet code-signed with an EV certificate.
Ligação à Internet: The application requires internet access only for license activation. Normal use is fully offline.

7. Dependências de Terceiros

O Typiq utiliza os seguintes principais componentes de código aberto. Monitorizamos os mesmos quanto a alertas de segurança:

Componente	Finalidade	Monitorização de Segurança
Electron v33	Framework de aplicação de ambiente de trabalho	GitHub Security Advisories
Node.js v22	Runtime	Node.js Security Releases
node-machine-id	Impressão digital de hardware	npm audit

8. Contacto

Security reports: sibstil@gmail.com
Subject line: [SECURITY] Typiq vulnerability report
SIBSTIL DOORS SRL, Sibiu, România

9. Atualizações a Esta Política

Esta política será revista e atualizada pelo menos anualmente, ou na sequência de qualquer incidente de segurança relevante. A versão atual está sempre disponível em typiq-app.com/security.