Compliance und Konformität
Auf einen Blick
Abschnitt betitelt „Auf einen Blick“Die Funktionen von NextPDF Premium sind darauf ausgelegt, anerkannte Dokument-, Signatur-, E-Invoicing- und Kryptografie-Standards zu erfüllen. Diese Seite legt dar, welchen Standard jede Funktion erfüllt, damit Ihre Auditoren und Käufer die Konformitätslage beurteilen können, bevor sie eine Entscheidung treffen.
Für alle folgenden Aussagen gilt eine klare Grenze: Artefakte zu erzeugen, die ein Standard verlangt, ist eine Fähigkeit, kein Urteil. NextPDF erstellt die Struktur, die ein Profil definiert; ob eine bestimmte Datei konform ist, entscheidet ein unabhängiger Validator, ein Konformitätsprüfer oder die empfangende Stelle. Der Abschnitt zur Konformität dokumentiert diese Abgrenzung vollständig, und der Open-Source-Kern folgt derselben Haltung für die Profile, die er adressiert.
Jede normative Aussage unten verweist auf das zuständige Normungsgremium und enthält eine stabile Referenz im Prüfkorpus. Es wird kein Normentext wiedergegeben; die Klauseln sind in den eigenen Worten von NextPDF zusammengefasst.
Konformität mit Dokumentstandards
Abschnitt betitelt „Konformität mit Dokumentstandards“NextPDF Enterprise ist auf das Archivprofil PDF/A-4 (ISO 19005-4) ausgerichtet, das PDF 2.0-Dateiformatprofil für die Langzeitarchivierung elektronischer Dokumente. Archivkonformität bedeutet, dass ein Dokument die Struktur enthält, die ein Archivierungsprofil verlangt — eingebettete Ressourcen, Identifizierungsmetadaten und die vom Profil definierten Farbmerkmale —, damit das Dokument auch in ferner Zukunft gleich dargestellt wird.
Eine konforme Datei deklariert ihr Profil über ein Standard-Identifizierungsschema in den Dokumentmetadaten. Diese Deklaration weist die Absicht des Erzeugers aus; sie macht die Datei aber nicht automatisch konform. Die Feststellung erfolgt durch einen Validierungsprozess außerhalb der erzeugenden Software, sodass ein sauberer Validatorlauf als Konformitätsnachweis dient und nicht als selbst ausgestelltes Zertifikat. Siehe die PDF/A-4-Konformitätsseite für die Open-Core-Haltung, auf der dies aufbaut.
| Funktion | Erfüllt | Edition |
|---|---|---|
| Archivdokumentprofil | PDF/A-4 (ISO 19005-4) Langzeitarchivierungsprofil | Enterprise |
Konformität bei Signatur und Vertrauen
Abschnitt betitelt „Konformität bei Signatur und Vertrauen“Die Signaturfunktionen von NextPDF folgen den PAdES-Baseline-Signaturprofilen, die ETSI EN 319 142-1 definiert. Der Standard definiert vier Baseline-Stufen, die auf Interoperabilität über den gesamten Lebenszyklus einer Signatur ausgelegt sind:
- Baseline (B-B). Stellt die Signatur mit ihrem grundlegenden Schutz her.
- Vertrauenswürdiger Zeitstempel (B-T). Bindet eine vertrauenswürdige Zeit an die Signatur, sodass ihr Zeitpunkt nachweisbar ist.
- Langfristig (B-LT). Enthält das Validierungsmaterial, das ein Prüfer benötigt, um die Signatur später zu prüfen.
- Langfristig mit Archiv-Zeitstempel (B-LTA). Zielt auf die langfristige Verfügbarkeit und Integrität des Validierungsmaterials, sodass die Signatur über Jahre prüfbar bleibt, auch wenn sich kryptografische Empfehlungen weiterentwickeln.
NextPDF Pro liefert die Baseline-Stufe; NextPDF Enterprise ergänzt die Stufen für vertrauenswürdige Zeitstempel und Langzeitarchivierung. Im europäischen Rahmen stützen diese Profile Signaturen mit Rechtswirkung: Nach der Verordnung (EU) 910/2014 (eIDAS) wird einer elektronischen Signatur die Rechtswirkung und die Zulässigkeit als Beweismittel nicht allein deshalb abgesprochen, weil sie in elektronischer Form vorliegt, und eine qualified electronic signature hat die Rechtswirkung einer handschriftlichen Unterschrift. NextPDF erzeugt Signaturen, die die Profile erfüllen. Der Rechtsstatus einer bestimmten Signatur hängt vom Zertifikat, vom Vertrauensdienst und von der Rechtsordnung ab, die jeweils außerhalb der Bibliothek liegen.
| Funktion | Erfüllt | Edition |
|---|---|---|
| Digitale Baseline-Signatur | PAdES B-B (ETSI EN 319 142-1) | Pro |
| Signatur mit vertrauenswürdigem Zeitstempel | PAdES B-T (ETSI EN 319 142-1) | Enterprise |
| Langfristige Signatur | PAdES B-LT (ETSI EN 319 142-1) | Enterprise |
| Langfristige Archivsignatur | PAdES B-LTA (ETSI EN 319 142-1) | Enterprise |
| Rahmen der rechtlichen Anerkennung | Verordnung (EU) 910/2014 (eIDAS) | Pro und Enterprise |
Konformität beim E-Invoicing
Abschnitt betitelt „Konformität beim E-Invoicing“NextPDF Pro erzeugt elektronische Rechnungen, die dem europäischen semantischen Modell für E-Invoicing folgen. EN 16931-1:2017 legt ein semantisches Datenmodell der Kernelemente einer elektronischen Rechnung fest, und eine konforme Rechnungsinstanz folgt diesem Kernmodell. Dieses Modell liegt den hybriden Rechnungsformaten ZUGFeRD und Factur-X zugrunde, die eine strukturierte Rechnung neben einem für Menschen lesbaren PDF einbetten, sodass sowohl Personen als auch Maschinen dasselbe Dokument lesen können. Siehe die ZUGFeRD-/Factur-X-Konformitätsseite für den hybriden Open-Core-Ansatz, auf dem dies aufbaut.
| Funktion | Erfüllt | Edition |
|---|---|---|
| Standardbasiertes E-Invoicing | EN 16931 (semantisches Kernmodell für Rechnungen); hybrides Format ZUGFeRD / Factur-X | Pro |
Kryptografische Zusicherung (FIPS)
Abschnitt betitelt „Kryptografische Zusicherung (FIPS)“Für Deployments mit Anforderungen an kryptografische Zusicherung nutzt die Signaturfunktion von NextPDF Enterprise FIPS-validierte kryptografische Module. FIPS 140-3 ist der US-Standard für die Sicherheitsanforderungen an kryptografische Module; er löst FIPS 140-2 ab und ist auf den internationalen Standard ISO/IEC 19790 abgestimmt. Die Verwendung eines validierten Moduls bedeutet, dass die Kryptografie hinter einer Signatur in einem Modul läuft, dessen Sicherheit unabhängig gegen einen anerkannten Standard getestet und validiert wurde, und nicht in ungeprüftem Code.
Die Seite zur HSM- und FIPS-Validierung behandelt die Hardware-Schlüsselverwahrung, die Klassen validierter und getesteter Module und die Validierungsnachweise, die Sie vor dem Kauf anfordern können.
| Funktion | Erfüllt | Edition |
|---|---|---|
| FIPS-validierte Kryptografie | FIPS 140-3 / ISO/IEC 19790 Zusicherung für kryptografische Module | Enterprise |