Zum Inhalt springen
NextPDF

Das Unternehmen hinter NextPDF

Spec: ISO/IEC 27001:2022 Evidence: Mixed evidence

Auf einen Blick

Abschnitt betitelt „Auf einen Blick“

NextPDF wird von PATEON Network Technology entwickelt und gepflegt, einem unabhängigen Softwaretechnologieunternehmen mit Sitz in Taipeh, Taiwan. Bevor auch nur eine einzige Zeile davon als Open Source verfügbar war, lief die Engine jahrelang produktiv innerhalb dieses Unternehmens — eingesetzt für B2B-Dokumenten-Workflows, bei denen Sicherheit und Compliance entscheidend waren.

Der quelloffene Core ist genau die Engine, die sich in dieser Arbeit bewährt hat und unter Apache-2.0 für die Community freigegeben wurde. Die Editionen Pro und Enterprise bleiben das proprietäre Produkt von PATEON. Diese Seite erläutert, wer hinter der Engine steht, unter welcher Sicherheitsdisziplin sie entwickelt wird und warum es sich lohnt, diese Herkunft zu kennen, bevor Sie die Engine einsetzen.

Warum das wichtig ist

Abschnitt betitelt „Warum das wichtig ist“

Wenn Sie eine PDF-Engine wählen, wählen Sie eine Abhängigkeit, die sich nahe an sensiblem Material befindet: Verträge, Rechnungen, unterzeichnete Vereinbarungen und die privaten Schlüssel, mit denen diese Dokumente signiert werden. Für eine Open-Source-Bibliothek, die Kryptografie und rechtliche Artefakte berührt, ist die Frage „Wer pflegt sie, und unter welcher Disziplin?“ keine sentimentale Frage. Es ist eine Frage der Lieferkette.

Ein sichtbarer Verantwortlicher gibt Ihnen etwas Konkretes zur Bewertung an die Hand: wem der Code gehört, wer für seine Pflege verantwortlich ist und unter welcher Governance das Team arbeitet. NextPDF beantwortet diese Fragen unmissverständlich. Es ist der offene Core eines kommerziellen Produkts — entstanden in der Produktion, getragen von einem personell ausgestatteten Unternehmen, weiterhin im Besitz des Teams, das ihn gebaut hat, aktiv von diesem Team gepflegt und in ein unabhängig zertifiziertes Informationssicherheitsmanagementsystem eingebettet. Die Herkunft ist überprüfbar, und diese Seite zeigt Ihnen, wie Sie sie selbst überprüfen.

Die Kurzfassung

Abschnitt betitelt „Die Kurzfassung“
  • Der Hersteller. PATEON Network Technology (firmierend als pnt.) ist ein Unternehmen aus Taipeh, Taiwan, das B2B-Kunden integrierte Netzwerktechnologie- und Sicherheitsdienstleistungen bietet.
  • Das Team. Rund 25 Personen, gegliedert in ein unabhängiges F&E-Team, ein eigenes Sicherheitsforschungsteam und ein Network Operations Center (NOC) — kein bloßes Nebenprojekt, sondern eine personell ausgestattete Engineering-Organisation.
  • Der Ursprung. NextPDF Core begann als interne Engine von PATEON und wurde über Jahre im kommerziellen Produktiveinsatz gehärtet, bevor der Core geöffnet wurde.
  • Die Disziplin. PATEON betreibt ein nach ISO/IEC 27001:2022 zertifiziertes Informationssicherheitsmanagementsystem, das unabhängig auditiert wird und laufender Überwachung unterliegt.
  • Die Aufteilung. Der Core ist Open Source (Apache-2.0) und für die Community verfügbar; Pro und Enterprise bleiben proprietär, und ihre Erlöse finanzieren die kontinuierliche Pflege des offenen Core.

Wie NextPDF damit umgeht

Abschnitt betitelt „Wie NextPDF damit umgeht“

NextPDF begann nicht als Marketingübung. Es entstand als Werkzeug, das ein Sicherheitsunternehmen für seine eigenen Kunden benötigte, und es trägt die Spuren dieser Herkunft: eine API, die sich weigert zu raten, typisierte Fehler und die Weigerung, stillschweigend in einen schwächeren Modus zurückzufallen. Das sind die Gewohnheiten von Software, die von Menschen geschrieben wurde, die sie vor zahlenden Kunden betreiben mussten — und nicht von etwas, das man einmal vorführt und dann hinter sich lässt.

Der Weg von einem internen Produkt zu einer Open-Source-Engine verlief in bewussten Etappen.

  1. Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
  2. Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
  3. Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
  4. Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
  5. Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.
Wie NextPDF von einem internen Produkt zu einer Open-Source-Engine wurde — jede Etappe härtete den Code, den die nächste übernahm.

Das ist es, was kommerziell validiert in der Praxis bedeutet. Die Core-Engine ist kein 1.0-Hoffnungsträger, der erst noch seine erste echte Last sucht — sie wurde jahrelang in der Produktion mit auditrelevanten Dokumenten und Signatur-Workflows unter echten Verpflichtungen erprobt. Sie zu öffnen war die Entscheidung, ein Produkt zu teilen, das die Arbeit bereits geleistet hatte — und nicht, ein unfertiges Produkt per Crowdsourcing zu vervollständigen.

Dieselbe Disziplin erklärt, warum Informationssicherheit und Standardkonformität keine nachträglich aufgesetzten Funktionen sind, sondern das Rückgrat des Projekts. Ein Unternehmen, dessen Geschäft in Sicherheitsdienstleistungen besteht, geht mit einer Signatur-Pipeline nicht leichtfertig um. Diese Haltung spiegelt sich darin wider, wie die Dokumentation verfasst ist: Verhaltensaussagen müssen ihre Grenzen benennen, und Standards werden mit ihrer exakten Kennung genannt. Die Begründung für die Fail-Closed-Haltung der Engine ist mitsamt Belegen auf der Seite zur Designphilosophie dargelegt — diese Seite verweist nur darauf.

Das Unternehmen in überprüfbaren Fakten

Abschnitt betitelt „Das Unternehmen in überprüfbaren Fakten“

PATEON Network Technology ist eine eingetragene taiwanische Kapitalgesellschaft. Die nachstehenden Kennungen sind öffentlich und unabhängig überprüfbar — der Abschnitt zum selbstständigen Überprüfen der Herkunft zeigt, wie.

AttributWert
Eingetragener Name (Englisch)PATEON NETWORK TECHNOLOGY INCORPORATED
HandelsnamePATEON NETWORK TECHNOLOGY (pnt.)
Eingetragener Name (Chinesisch)拓宇網路資訊股份有限公司
GerichtsstandTaiwan (R.O.C.)
RegisterbehördeTaipei City Government
Hauptsitz5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan
StammkapitalTWD 20,000,000 (ungefähr USD 650.000)
Unternehmens-ID / USt-IdNr.TW-83211678
D-U-N-S-Nummer657718207
OrganisationskennungLEIXG-984500C5F04C2EF6C128
Maßgebliches RechtTaiwan / R.O.C.

Was die Belege sagen

Abschnitt betitelt „Was die Belege sagen“

Diese Seite ist Evidence: Mixed evidence : eine redaktionelle Schilderung der Herkunft des Projekts, untermauert durch eine belegbare Zertifizierung und eine Reihe öffentlicher Unternehmensregistrierungen. Sie verlangt nicht, dass Sie die Geschichte auf Treu und Glauben hinnehmen. Der Hersteller ist ein eingetragenes Unternehmen mit echter Anschrift, einer personell ausgestatteten Organisation und einer Sicherheitszertifizierung, die Sie in einem unabhängigen Register überprüfen können.

ISO/IEC 27001:2022 — zertifizierte Informationssicherheitsdisziplin

Abschnitt betitelt „ISO/IEC 27001:2022 — zertifizierte Informationssicherheitsdisziplin“

Der wichtigste belegbare Fakt auf dieser Seite ist, dass das Informationssicherheitsmanagementsystem (ISMS) von PATEON nach Spec: ISO/IEC 27001:2022 zertifiziert ist.

Ein ISMS ist, schlicht gesagt, ein geregelter Rahmen für das Management von Informationssicherheitsrisiken: dokumentierte Richtlinien, ein expliziter Prozess für Risikobewertung und Risikobehandlung, ein definierter Satz von Kontrollen, zugewiesene Verantwortlichkeiten und ein Zyklus aus internem Audit und kontinuierlicher Verbesserung. ISO/IEC 27001 ist der internationale Standard, gegen den ein solches System unabhängig auditiert wird; diese Zertifizierung bezieht sich auf seine Ausgabe von 2022.

Die Zertifizierung ist hier aus drei konkreten Gründen von Bedeutung:

  • Sie ist unabhängig, nicht selbst behauptet. Eine unabhängige Zertifizierungsstelle hat das Managementsystem gegen den Standard auditiert. Die Behauptung stammt von ihr, nicht von einem Abzeichen, das sich das Unternehmen selbst verliehen hat.
  • Sie ist fortlaufend, kein einmaliger Stempel. Die ISO/IEC 27001-Zertifizierung wird durch regelmäßige Überwachungsaudits und einen mehrjährigen Rezertifizierungszyklus aufrechterhalten. Ein aktuelles Zertifikat bedeutet, dass die Disziplin erneut geprüft wird, nicht, dass einmal ein Häkchen gesetzt wurde.
  • Sie regelt, wie mit Risiken rund um Ihre Daten umgegangen wird. Dasselbe Managementsystem, das das Zertifikat abdeckt, prägt und kontrolliert, wie das Team von PATEON mit Schlüsseln, Quellcode, Kundenmaterial und der operativen Angriffsfläche rund um das Produkt umgeht.

Die Zertifizierung ist unabhängig überprüfbar:

AttributWert
StandardISO/IEC 27001:2022
ZertifikatsnummerQCC/B86F/1224
ZertifizierungsstelleQuality Control Certification
IAF-überprüfbarer Eintragiafcertsearch.org

Der IAF-Link führt zum Eintrag des Zertifikats in der IAF-CertSearch-Datenbank — dem Register des International Accreditation Forum für Zertifizierungen, die von akkreditierten Stellen ausgestellt wurden. Das ist die Überprüfung, die eine echte Zertifizierung von einer bloßen Behauptung trennt: Sie können sie nachschlagen, ohne irgendjemandem aufs Wort glauben zu müssen.

Praktisches Beispiel

Abschnitt betitelt „Praktisches Beispiel“

Die Herkunft zu überprüfen dauert wenige Minuten und erfordert keinen besonderen Zugang. Alles Nötige ist öffentlich:

  1. Bestätigen Sie die Zertifizierung. Öffnen Sie den IAF-CertSearch-Eintrag und prüfen Sie, dass er PATEON Network Technology und das Zertifikat QCC/B86F/1224 gegen ISO/IEC 27001:2022 nennt.
  2. Bestätigen Sie das Unternehmen. Gleichen Sie die D-U-N-S-Nummer 657718207 und die taiwanische Unternehmens-ID TW-83211678 mit den öffentlichen Handelsregistern ab. Die Organisationskennung LEIXG-984500C5F04C2EF6C128 folgt dem Organisationskennungs-Format von ETSI EN 319 412-1: Das Präfix LEIXG kennzeichnet einen Legal Entity Identifier, und 984500C5F04C2EF6C128 ist sein 20-stelliger LEI.
  3. Bestätigen Sie den Code. Der quelloffene Core ist unter Apache-2.0 lizenziert; seine Lizenz, sein Quellcode und seine Release-Historie sind öffentlich. Die Lizenzübersicht legt genau dar, was der offene Core gewährt und wo die proprietären Editionen beginnen.

Drei unabhängige Quellen — ein Akkreditierungsregister, ein Handelsregister und eine öffentliche Code-Lizenz — verweisen auf denselben Hersteller. So sieht überprüfbare Herkunft aus.

Häufiges Missverständnis

Abschnitt betitelt „Häufiges Missverständnis“

Das häufigste Fehlverständnis ist, dass Open Source gleichbedeutend mit ohne Support sei: eine Bibliothek, die Sie auf eigenes Risiko einsetzen, in der Freizeit von Freiwilligen gepflegt, ohne dass jemand zur Verantwortung gezogen werden kann, wenn es darauf ankommt. Bei NextPDF ist es umgekehrt. Der Core ist die offene Edition eines kommerziellen Produkts, gepflegt von dem Unternehmen, das die darauf aufbauenden Editionen Pro und Enterprise verkauft. Das kommerzielle Geschäft ist der Grund, warum der offene Core gepflegt bleibt — keine Bedrohung für ihn.

Ein zweites Fehlverständnis ist, dass eine von einem Unternehmen getragene Engine deshalb nach Hause telefonieren oder Ihre Dokumente einsehen müsse. Das tut sie nicht. NextPDF Core läuft in Ihrem eigenen Prozess, auf Ihrer eigenen Infrastruktur; es ist für seine Arbeit auf keine Dienste von PATEON angewiesen. Die Unternehmensbeziehung betrifft, wer den Code entwickelt und unter welchen Regeln er gepflegt wird, nicht, wohin Ihre Dokumente gelangen. Was die Engine erhebt und was nicht, ist unter Datenverarbeitung aus Sicht der Engine dokumentiert.

Grenzen und Einschränkungen

Abschnitt betitelt „Grenzen und Einschränkungen“

Diese Seite ist eine redaktionelle Über-uns-Seite. Sie nennt die Herkunft des Projekts und die Referenzen des Herstellers; sie trifft von sich aus keine neue Verhaltensaussage über die Engine. Jede Verhaltensaussage über NextPDF findet sich auf der zugehörigen Themenseite, mit dem Evidenzniveau jener Seite.

Einige Grenzen sollten ausdrücklich benannt werden:

  • Die Zertifizierung deckt das ISMS ab, kein produktbezogenes Release-Siegel. ISO/IEC 27001 zertifiziert das Informationssicherheits-Managementsystem des Unternehmens. Es ist ein starker Beleg für organisatorische Disziplin; es ist kein zeilenweises Konformitätszertifikat für irgendein einzelnes NextPDF-Release, und diese Seite stellt es nicht als ein solches dar.
  • Offener Core, proprietäres Premium. Apache-2.0 regelt die Core-Engine. Die Editionen Pro und Enterprise sind die proprietäre Arbeit von PATEON und nicht Teil der Open-Source-Gewährung. Wo die Grenze verläuft, ist in der Lizenzübersicht dokumentiert.
  • Unternehmensfakten können sich ändern. Kapital, Anschrift und Registerangaben sind zum Prüfdatum dieser Seite aktuell. Die maßgebliche Quelle ist stets das öffentliche Register, nicht diese Seite.

Verwandte Dokumente

Abschnitt betitelt „Verwandte Dokumente“

Glossar

Abschnitt betitelt „Glossar“
  • PATEON Network Technology (pnt.) — das Unternehmen aus Taipeh, Taiwan, das NextPDF entwickelt und pflegt; eingetragen als PATEON NETWORK TECHNOLOGY INCORPORATED.
  • ISMS (Information Security Management System) — ein geregelter Rahmen aus Richtlinien, Risikobehandlung, Kontrollen und Audit, über den eine Organisation Informationssicherheitsrisiken managt.
  • ISO/IEC 27001:2022 — die Ausgabe von 2022 des internationalen Standards, gegen den ein ISMS unabhängig auditiert und zertifiziert wird.
  • IAF CertSearch — das öffentliche Register des International Accreditation Forum für Zertifizierungen, die unter akkreditierten Zertifizierungsstellen ausgestellt wurden; der Ort, an dem ein Zertifikat unabhängig bestätigt werden kann.
  • NOC (Network Operations Center) — eine personell besetzte Funktion, die Netzwerk- und Dienstinfrastruktur überwacht und betreibt.
  • Kommerziell validiert — erprobt im echten, bezahlten Produktiveinsatz unter realen Verpflichtungen, im Unterschied zu einer Demonstration nur in einem kontrollierten Beispiel.