Ir al contenido
NextPDF

La empresa detrás de NextPDF

Spec: ISO/IEC 27001:2022 Evidence: Mixed evidence

De un vistazo

Sección titulada «De un vistazo»

NextPDF es desarrollado y mantenido por PATEON Network Technology, una empresa independiente de tecnología de software con sede en Taipéi, Taiwán. Antes de que una sola línea se publicara como código abierto, el motor pasó años como producto en producción dentro de esa empresa, utilizado en flujos de trabajo documentales B2B donde la seguridad y el cumplimiento eran relevantes.

El núcleo de código abierto es el motor que probó su solidez en ese trabajo, publicado para la comunidad bajo Apache-2.0. Las ediciones Pro y Enterprise siguen siendo el producto propietario de PATEON. Esta página explica quién respalda el motor, la disciplina de seguridad bajo la que se desarrolla y por qué conviene conocer esa procedencia antes de adoptarlo.

Por qué importa

Sección titulada «Por qué importa»

Al elegir un motor PDF, se elige una dependencia que estará muy cerca de material sensible: contratos, facturas, acuerdos firmados y las claves privadas que los firman. Para una biblioteca de código abierto que maneja criptografía y artefactos legales, «¿quién mantiene esto y bajo qué disciplina?» no es una pregunta sentimental. Es una pregunta de cadena de suministro.

Un responsable visible ofrece algo concreto que evaluar: quién es propietario del código, quién responde de su mantenimiento y bajo qué gobernanza trabaja. NextPDF responde a esas preguntas con claridad. Es el núcleo abierto de un producto comercial: el trabajo de una empresa con plantilla, nacido en producción, que sigue siendo propiedad del equipo que lo construyó y mantenido activamente por él, y gobernado por un sistema de gestión de la seguridad de la información certificado de forma independiente. La procedencia es verificable, y esta página muestra cómo comprobarla de forma independiente.

La versión breve

Sección titulada «La versión breve»
  • El fabricante. PATEON Network Technology (que opera bajo la marca pnt.) es una empresa de Taipéi, Taiwán, que presta servicios integrados de tecnología de redes y seguridad a clientes B2B.
  • El equipo. Alrededor de 25 personas, organizadas en un equipo de I+D independiente, un equipo dedicado de investigación en seguridad y un centro de operaciones de red (NOC); no es un proyecto secundario individual, sino una organización de ingeniería con plantilla.
  • El origen. NextPDF Core empezó como el motor interno de PATEON y se robusteció a lo largo de años de uso comercial en producción antes de abrirse.
  • La disciplina. PATEON opera un sistema de gestión de la seguridad de la información certificado conforme a ISO/IEC 27001:2022, auditado de forma independiente y bajo vigilancia activa.
  • La separación. El núcleo es de código abierto (Apache-2.0) y está disponible para la comunidad; Pro y Enterprise siguen siendo propietarias, y sus ingresos financian el mantenimiento continuado del núcleo abierto.

Cómo lo aborda NextPDF

Sección titulada «Cómo lo aborda NextPDF»

NextPDF no nació como un ejercicio de marketing. Empezó como una herramienta que una empresa de seguridad necesitaba para sus propios clientes, y conserva las marcas de ese origen: una API que se niega a adivinar, fallos tipados y la negativa a degradarse en silencio. Esos son los hábitos del software escrito por personas que tuvieron que operarlo ante clientes de pago, no mostrarlo una vez y seguir adelante.

El paso de producto interno a motor de código abierto transcurrió en etapas deliberadas.

  1. Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
  2. Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
  3. Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
  4. Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
  5. Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.
Cómo NextPDF recorrió el camino de un producto interno a un motor de código abierto: cada etapa endureció el código que heredaba la siguiente.

Esto es lo que significa validado comercialmente en la práctica. El motor núcleo no es una versión 1.0 optimista en busca de su primera carga de trabajo real: se ejercitó durante años en producción, con documentos relevantes para auditorías y flujos de firma asociados a obligaciones reales. Abrirlo fue la decisión de compartir un producto que ya había hecho el trabajo, no de trasladar a la comunidad uno sin terminar.

La misma disciplina explica por qué la seguridad de la información y el cumplimiento de los estándares no son funciones añadidas, sino la columna vertebral del proyecto. Una empresa cuyo negocio son los servicios de seguridad no trata a la ligera una canalización de firma. Esa postura se refleja en cómo está escrita la documentación: se espera que las afirmaciones sobre el comportamiento expongan sus límites, y los estándares se nombran por su identificador exacto. El razonamiento tras la postura fail-closed del motor se expone, con sus pruebas, en la página de filosofía de diseño; esta página solo remite a ella.

La empresa, en hechos verificables

Sección titulada «La empresa, en hechos verificables»

PATEON Network Technology es una sociedad taiwanesa registrada. Los identificadores que figuran a continuación son públicos y comprobables de forma independiente; la sección sobre cómo verificar la procedencia por uno mismo muestra cómo hacerlo.

AtributoValor
Nombre registrado (inglés)PATEON NETWORK TECHNOLOGY INCORPORATED
Nombre comercialPATEON NETWORK TECHNOLOGY (pnt.)
Nombre registrado (chino)拓宇網路資訊股份有限公司
JurisdicciónTaiwan (R.O.C.)
RegistradorTaipei City Government
Sede5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan
Capital registradoTWD 20,000,000 (aproximadamente USD 650,000)
ID de empresa / IVATW-83211678
Número D-U-N-S657718207
Identificador de organizaciónLEIXG-984500C5F04C2EF6C128
Ley aplicableTaiwan / R.O.C.

Qué dicen las pruebas

Sección titulada «Qué dicen las pruebas»

Esta página es Evidence: Mixed evidence : un relato editorial sobre el origen del proyecto, corroborado por una certificación respaldada por un artefacto y un conjunto de registros corporativos públicos. No pide aceptar la historia por fe. El fabricante es una empresa registrada con una dirección real, una organización con plantilla y una certificación de seguridad que se puede confirmar en un registro independiente.

ISO/IEC 27001:2022: una disciplina de seguridad de la información certificada

Sección titulada «ISO/IEC 27001:2022: una disciplina de seguridad de la información certificada»

El dato de mayor peso en esta página es que el sistema de gestión de la seguridad de la información (ISMS) de PATEON está certificado conforme a Spec: ISO/IEC 27001:2022 .

Un ISMS, dicho de forma sencilla, es un marco gobernado para gestionar el riesgo de seguridad de la información: políticas documentadas, un proceso explícito de evaluación y tratamiento del riesgo, un conjunto definido de controles, responsabilidades asignadas y un ciclo de auditoría interna y mejora continua. ISO/IEC 27001 es el estándar internacional frente al cual se audita de forma independiente un sistema de este tipo; esta certificación corresponde a su revisión de 2022.

La certificación importa aquí por tres razones concretas:

  • Es independiente, no autodeclarada. Un organismo de certificación externo auditó el sistema de gestión frente al estándar. La afirmación es suya, no un distintivo que la empresa se atribuyó a sí misma.
  • Es continua, no un sello puntual. La certificación ISO/IEC 27001 se mantiene mediante auditorías de vigilancia periódicas y un ciclo de recertificación de varios años. Un certificado vigente significa que la disciplina se revisa de forma recurrente, no que se marcó una casilla una sola vez.
  • Gobierna cómo se gestiona el riesgo en torno a los datos. El mismo sistema de gestión que cubre el certificado es lo que disciplina cómo trata el equipo de PATEON las claves, el código fuente, el material de los clientes y la superficie operativa que rodea al producto.

La certificación es verificable de forma independiente:

AtributoValor
EstándarISO/IEC 27001:2022
Número de certificadoQCC/B86F/1224
Organismo de certificaciónQuality Control Certification
Registro verificable en el IAFiafcertsearch.org

El enlace del IAF lleva a la entrada del certificado en la base de datos IAF CertSearch, el registro de certificaciones del International Accreditation Forum emitidas por organismos acreditados. Esa es la comprobación que distingue una certificación real de una mera afirmación: se puede consultar sin depender de la palabra de nadie.

Ejemplo práctico

Sección titulada «Ejemplo práctico»

Verificar la procedencia lleva unos minutos y no requiere ningún acceso especial. Toda la información necesaria es pública:

  1. Confirmar la certificación. Abrir el registro de IAF CertSearch y comprobar que nombra a PATEON Network Technology y el certificado QCC/B86F/1224 conforme a ISO/IEC 27001:2022.
  2. Confirmar la empresa. Cotejar el Número D-U-N-S 657718207 y el ID de empresa de Taiwán TW-83211678 con los registros mercantiles públicos. El identificador de organización LEIXG-984500C5F04C2EF6C128 sigue el formato de identificador de organización de ETSI EN 319 412-1: el prefijo LEIXG denota un Identificador de Entidad Jurídica y 984500C5F04C2EF6C128 es su LEI de 20 caracteres.
  3. Confirmar el código. El núcleo de código abierto está licenciado bajo Apache-2.0; su licencia, su código fuente y su historial de versiones son públicos. La descripción general de licencias detalla exactamente qué concede el núcleo abierto y dónde empiezan las ediciones propietarias.

Tres fuentes independientes —un registro de acreditación, un registro mercantil y una licencia de código público— coinciden en el mismo fabricante. Así se presenta una procedencia verificable.

Idea equivocada habitual

Sección titulada «Idea equivocada habitual»

La lectura errónea más común es que código abierto implica sin soporte: una biblioteca que se adopta por cuenta y riesgo de quien la usa, mantenida por voluntarios en su tiempo libre, sin nadie que responda cuando hace falta. NextPDF sigue el patrón opuesto. El núcleo es la edición abierta de un producto comercial, mantenido por la empresa que vende las ediciones Pro y Enterprise basadas en él. El negocio comercial es la razón por la que el núcleo abierto se mantiene, no una amenaza para él.

Una segunda lectura errónea es que un motor respaldado por una empresa debe, por tanto, llamar a casa o ver los documentos que procesa. No lo hace. NextPDF Core se ejecuta en el propio proceso y la propia infraestructura de quien lo despliega; no tiene ninguna dependencia de los servicios de PATEON para hacer su trabajo. La relación con la empresa se refiere a quién desarrolla y gobierna el código, no al destino de los documentos. Lo que el motor recopila y lo que no se documenta en Tratamiento de datos, en sus propios términos.

Límites y fronteras

Sección titulada «Límites y fronteras»

Esta página es una página editorial de presentación. Expone el origen del proyecto y las credenciales del fabricante; no formula por sí misma ninguna afirmación nueva sobre el comportamiento del motor. Cada afirmación sobre el comportamiento de NextPDF vive en la página temática que la posee, con el nivel de evidencia de esa página.

Conviene explicitar algunas fronteras:

  • La certificación cubre el ISMS, no un sello de producto por versión. ISO/IEC 27001 certifica el sistema de gestión de la seguridad de la información de la empresa. Es una prueba sólida de disciplina organizativa; no es un certificado de conformidad línea por línea de ninguna versión concreta de NextPDF, y esta página no lo presenta como tal.
  • Núcleo abierto, premium propietario. Apache-2.0 rige el motor núcleo. Las ediciones Pro y Enterprise son el trabajo propietario de PATEON y no forman parte de la concesión de código abierto. La descripción general de licencias documenta dónde se sitúa la frontera.
  • Los hechos corporativos pueden cambiar. El capital, la dirección y los datos registrales son los vigentes en la fecha de revisión de esta página. La fuente autorizada es siempre el registro público, no esta página.

Documentos relacionados

Sección titulada «Documentos relacionados»

Glosario

Sección titulada «Glosario»
  • PATEON Network Technology (pnt.) — la empresa de Taipéi, Taiwán, que desarrolla y mantiene NextPDF; registrada como PATEON NETWORK TECHNOLOGY INCORPORATED.
  • ISMS (sistema de gestión de la seguridad de la información) — un marco gobernado de políticas, tratamiento del riesgo, controles y auditoría mediante el cual una organización gestiona el riesgo de seguridad de la información.
  • ISO/IEC 27001:2022 — la edición de 2022 del estándar internacional contra el que se audita y certifica de forma independiente un ISMS.
  • IAF CertSearch — el registro público del International Accreditation Forum de certificaciones emitidas bajo organismos de certificación acreditados; el lugar donde un certificado puede confirmarse de forma independiente.
  • NOC (centro de operaciones de red) — una función dotada de personal que supervisa y opera la infraestructura de red y de servicios.
  • Validado comercialmente — probado en uso de producción real y de pago bajo obligaciones genuinas, a diferencia de una demostración limitada a un ejemplo controlado.