Zum Inhalt springen
NextPDF

Datenverarbeitung, PII und Telemetrie

Auf einen Blick

Abschnitt betitelt „Auf einen Blick“

Diese Seite beschreibt, wie die Core-Engine mit Daten umgeht: was sie liest, was sie im Prozessspeicher hält, was sie schreibt, welche deterministische PII-Bereinigung sie auf Audit-Bundles anwendet und wie der optionale Telemetrie-Pfad funktioniert.

Abgrenzung. Diese Seite beschreibt das Verhalten der Bibliothek. Datenresidenz auf Deployment-Ebene — also in welcher Rechtsordnung Ihre Dokumente verarbeitet werden, wo temporäre Dateien landen, wie lange die Ausgabe aufbewahrt wird und welches Telemetrie- Backend (falls vorhanden) Spans empfängt — liegt in der Verantwortung des Integrators, nicht der Bibliothek. Die Engine liefert Ihnen fail-closed-Standardwerte und eine Bereinigungs- transformation; sie kann keine Entscheidung über Datenresidenz oder Rechtsgrundlage für Sie treffen.

Installation

Abschnitt betitelt „Installation“
Terminal-Fenster
composer require nextpdf/core:^3

Der PII-Scrubber und der Telemetrie-Interceptor sind Teil des Core-Pakets; der Telemetrie-Pfad bleibt inaktiv, solange kein OpenTelemetry-SDK vorhanden ist und der Interceptor nicht vom Aufrufer verdrahtet wurde.

Konzeptioneller Überblick

Abschnitt betitelt „Konzeptioneller Überblick“

Die Engine ist ein Auftragsverarbeiter für die Daten, die Sie ihr übergeben, im Sinne von ISO/IEC 29100 (iso_iec_29100#3.x56): Sie verarbeitet Dokumentinhalte auf Anweisung des Integrators. Sie funkt nicht nach Hause, speichert keine Inhalte über die von Ihnen angeforderte Ausgabe hinaus und überträgt keine Dokumentinhalte an einen von NextPDF betriebenen Endpunkt.

Drei Datenoberflächen sind relevant:

  1. Dokument-I/O. Die Eingabe wird aus dem von Ihnen angegebenen Pfad oder Stream gelesen; die Ausgabe wird in den von Ihnen angegebenen Pfad oder Stream geschrieben. Zwischenpuffer verbleiben für die Dauer des Renderns im Prozessspeicher und werden freigegeben, sobald es abgeschlossen ist.
  2. Audit-Bundles. Wenn das Auditing aktiviert ist, kann die Engine ein diagnostisches Bundle ausgeben. Vor der Serialisierung durchläuft dieses Bundle einen deterministischen PII-Scrubber.
  3. Telemetrie. Ein optionaler OpenTelemetry-Interceptor kann Spans und Metriken ausgeben. Er ist deaktiviert, solange das SDK nicht installiert und der Interceptor nicht konstruiert ist; Span-Attribute durchlaufen einen Attribut-Sanitizer.

Die Datenschutzhaltung folgt dem Grundsatz aus DSGVO Art. 32, wonach Pseudonymisierung und Minimierung beispielhafte Schutzmaßnahmen sind. Die Anwendung dieser Schutzmaßnahmen liegt in der Verantwortung des Verantwortlichen (eu_gdpr#x50). Die Bibliothek stellt den Bereinigungsmechanismus bereit. Der Verantwortliche entscheidet über Rechtsgrundlage, Aufbewahrung und Residenz.

API-Oberfläche

Abschnitt betitelt „API-Oberfläche“

Diese Seite dokumentiert die Audit- oder Telemetrie-APIs nicht erneut (siehe /modules/core/audit/). Die vertrauensrelevanten Komponenten sind der standardmäßige PII-Sanitizer, der auf Audit-Bundles angewendet wird, und der Attribut-Sanitizer des OpenTelemetry-Interceptors; unten wird ihr Verhalten anhand der Wirkung beschrieben, nicht anhand der Signatur.

Codebeispiel — Schnelleinstieg

Abschnitt betitelt „Codebeispiel — Schnelleinstieg“

Standardmäßig verlässt nichts den Prozess, solange Sie es nicht ausdrücklich anfordern. Kein Code aktiviert einen Netzwerk-Egress; die Abwesenheit von Code ist der Standard:

<?php


declare(strict_types=1);


require_once __DIR__ . '/vendor/autoload.php';


use NextPDF\Core\Document;


// Input read from disk, output written to disk. No telemetry SDK loaded,
// so the telemetry path completes in sub-microsecond no-ops. No content
// is transmitted anywhere.
$doc = Document::open('input.pdf');
$doc->save('output.pdf');

Codebeispiel — Produktion

Abschnitt betitelt „Codebeispiel — Produktion“

Wenn ein Audit-Bundle erzeugt wird, maskiert der deterministische PII-Scrubber die gängigen Kategorien vor der Serialisierung. Die Transformation ist rein (keine Uhren, keine Zufälligkeit), sodass ein Bundle für eine gegebene Eingabe bytegenau stabil ist:

<?php


declare(strict_types=1);


require_once __DIR__ . '/vendor/autoload.php';


use NextPDF\Audit\DefaultPiiSanitiser;


$scrubber = new DefaultPiiSanitiser();
// E-mail → [EMAIL], IPv4 → [IPV4], IPv6 → [IPV6], X.500 DN attributes
// beyond CN → keyword preserved, value [REDACTED]. Deterministic.
$safe = $scrubber->sanitise($rawAuditField);

Grenzfälle & Fallstricke

Abschnitt betitelt „Grenzfälle & Fallstricke“
  • Der Scrubber arbeitet nach dem Best-Effort-Prinzip, er ist keine Garantie. DefaultPiiSanitiser maskiert die Kategorien, die er kennt (RFC 5321-E-Mail, IPv4/IPv6, mehrere RFC 4514-DN-Attribute). Ein Freitextfeld, das einen Namen oder einen Bezeichner enthält, den die Muster nicht erfassen, wird nicht maskiert. Behandeln Sie ihn als Defense-in-Depth-Schicht, nicht als Compliance-Kontrolle, die die Prüfpflicht des Betreibers aufhebt.
  • Temporäre Dateien sind Sache des Deployments. Die Engine geht sicher mit temporären Dateien um. Wo Ihr TMPDIR liegt und ob TMPDIR auf verschlüsseltem Speicher in der richtigen Rechtsordnung liegt, ist eine Deployment-Entscheidung. Die Bibliothek kann keine Datenresidenz erzwingen.
  • Telemetrie ist optional und bereinigt, aber nicht risikofrei. Wenn er verdrahtet ist, leitet der OpenTelemetry-Interceptor die Span-Attribute durch einen Attribut-Sanitizer, der eine Zero-Trust-Datenrichtlinie durchsetzt. Das Backend, in das Sie exportieren, sowie dessen Aufbewahrung und Standort sind ausschließlich die Wahl des Integrators.
  • Die Rechtsgrundlage ist keine Entscheidung der Bibliothek. Ob die Verarbeitung eines bestimmten Dokuments rechtmäßig ist und auf welcher Grundlage, bestimmt der Verantwortliche nach DSGVO / lokalem Recht (eu_gdpr#x50); die Bibliothek hat darin keinen Einblick.

Performance

Abschnitt betitelt „Performance“

Der PII-Scrubber ist eine Sammlung reiner Regex-Transformationen ohne I/O. Die SDK-Präsenzprüfung des Telemetrie-Interceptors wird einmal bei der Konstruktion durchgeführt und zwischengespeichert. Wenn kein SDK installiert ist, wird jeder Telemetrie-Aufruf in Sub-Mikrosekunden abgeschlossen, sodass der datenschutzwahrende Standard (Telemetrie aus) zugleich der Standard ohne Overhead ist.

Sicherheitshinweise

Abschnitt betitelt „Sicherheitshinweise“

Regeln zur Abgrenzung der Datenverarbeitung, für Prüfer noch einmal zusammengefasst:

  1. Kein verdeckter Egress. Die Engine überträgt keine Dokumentinhalte an irgendeinen von NextPDF betriebenen Endpunkt. Ausgehender Netzwerkzugriff findet nur bei explizit aktivierten, schema-beschränkten Ressourcen-Abrufen und bei konfigurierten TSA-/OCSP-/CRL-Endpunkten statt, jeweils hinter dem SSRF-Guard.
  2. Deterministische, begrenzte Bereinigung. Die PII-Transformation des Audit-Bundles ist deterministisch und wird vor der Serialisierung angewendet; sie ist eine Minimierungshilfe im Geist von DSGVO Art. 32 (eu_gdpr#x50), keine Zertifizierung der Anonymisierung.
  3. Die Residenz liegt beim Integrator. Die Inventarisierung und Zuordnung, wo Daten verarbeitet werden, ist gemäß dem NIST Privacy Framework eine organisatorische Tätigkeit (nist_privacy_framework_1_1#x9.x1.p3); die Bibliothek stellt die Kontrollen bereit, der Integrator führt die Zuordnung durch.
  4. Rollen sind extern. Ob das Deployment ein Verantwortlicher oder ein Auftragsverarbeiter ist und welche Pflichten daraus folgen, ist eine Rollenbestimmung nach ISO/IEC 29100 (iso_iec_29100#3.x56), die die Bibliothek nicht treffen kann.

Konformität

Abschnitt betitelt „Konformität“

Kein Konformitätsprofil. Die Seite verweist auf DSGVO Art. 32, ISO/IEC 29100 und das NIST Privacy Framework, um die Grenze zwischen dem Verhalten der Bibliothek und der Verantwortung des Verantwortlichen zu verorten; sie behauptet keine DSGVO-Konformität, keine ISO/IEC 29100-Konformität und keine Datenschutzzertifizierung. Diese Festlegungen werden auf Deployment-Ebene vom Verantwortlichen getroffen, nicht von der Bibliothek.

Siehe auch

Abschnitt betitelt „Siehe auch“