Aller au contenu
NextPDF

L'entreprise derrière NextPDF

Spec: ISO/IEC 27001:2022 Evidence: Mixed evidence

En bref

Section intitulée « En bref »

NextPDF est conçu et maintenu par PATEON Network Technology, une entreprise indépendante de technologie logicielle établie à Taipei, à Taïwan. Avant qu’une seule ligne de son code ne soit publiée en open source, le moteur a servi pendant des années comme produit en production au sein de cette entreprise — utilisé dans des flux documentaires B2B où la sécurité et la conformité comptaient.

Le cœur open source correspond au moteur qui a fait ses preuves dans ce contexte, mis à disposition de la communauté sous licence Apache-2.0. Les éditions Pro et Enterprise restent le produit propriétaire de PATEON. Cette page explique qui se tient derrière le moteur, la discipline de sécurité qui encadre sa conception, et pourquoi cette provenance mérite d’être connue avant de l’adopter.

Pourquoi c’est important

Section intitulée « Pourquoi c’est important »

Lorsque tu choisis un moteur PDF, tu choisis une dépendance qui se trouvera au plus près d’éléments sensibles : contrats, factures, accords signés, ainsi que les clés privées qui les signent. Pour une bibliothèque open source qui touche à la cryptographie et aux artefacts juridiques, « qui maintient ce code, et sous quelle discipline ? » n’est pas une question sentimentale. C’est une question de chaîne d’approvisionnement.

Un responsable clairement identifié te donne quelque chose de concret à évaluer : qui détient le code, qui est responsable de sa maintenance, et quelle gouvernance encadre son travail. NextPDF répond clairement à ces questions. C’est le cœur open source d’un produit commercial : il provient d’une entreprise dotée d’une vraie équipe, il est né en production, il reste détenu et activement maintenu par l’équipe qui l’a construit, et il est régi par un système de management de la sécurité de l’information certifié de façon indépendante. La provenance est vérifiable, et cette page te montre comment la vérifier toi-même.

La version courte

Section intitulée « La version courte »
  • Le concepteur. PATEON Network Technology (qui exerce sous le nom pnt.) est une entreprise établie à Taipei, à Taïwan, qui fournit des services intégrés de technologie réseau et de sécurité à des clients B2B.
  • L’équipe. Une vingtaine de personnes, organisées autour d’une équipe R&D indépendante, d’une équipe dédiée à la recherche en sécurité et d’un centre d’exploitation réseau (NOC) — pas un simple projet annexe, mais une organisation d’ingénierie dotée de personnel.
  • L’origine. NextPDF Core a commencé comme le moteur interne de PATEON et a été durci au fil de plusieurs années d’utilisation commerciale en production avant son ouverture.
  • La discipline. PATEON exploite un système de management de la sécurité de l’information certifié ISO/IEC 27001:2022, audité de façon indépendante et sous surveillance active.
  • La répartition. Le cœur est open source (Apache-2.0) et disponible pour la communauté ; les éditions Pro et Enterprise restent propriétaires, et leurs revenus financent la maintenance continue du cœur open source.

L’approche de NextPDF

Section intitulée « L’approche de NextPDF »

NextPDF n’est pas né d’un exercice de marketing. Il a commencé comme un outil dont une entreprise de sécurité avait besoin pour ses propres clients, et il porte les marques de cette origine : une API qui refuse de deviner, des échecs typés et un refus de se dégrader silencieusement. Ce sont les habitudes d’un logiciel écrit par des gens qui devaient l’exploiter devant des clients payants, et non en faire la démonstration une seule fois avant de passer à autre chose.

Le passage d’un produit interne à un moteur open source s’est fait par étapes délibérées.

  1. Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
  2. Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
  3. Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
  4. Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
  5. Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.
Comment NextPDF a voyagé d'un produit interne vers un moteur open source — chaque étape a durci le code dont la suivante a hérité.

Voilà ce que signifie validé commercialement en pratique. Le cœur open source n’est pas une version 1.0 pleine d’espoir en quête de sa première vraie charge de travail — il a été éprouvé pendant des années en production, face à des documents ayant une valeur d’audit et à des flux de signature assortis d’obligations réelles. Le publier en open source était une décision de partager un produit qui avait déjà fait le travail, et non de confier à la foule la finition d’un produit inachevé.

La même discipline explique pourquoi la sécurité de l’information et la conformité aux normes ne sont pas des fonctionnalités ajoutées après coup, mais la colonne vertébrale du projet. Une entreprise dont le métier est de fournir des services de sécurité ne traite pas un pipeline de signature à la légère. Cette posture se reflète dans la manière dont la documentation est rédigée : les affirmations de comportement y énoncent leurs limites, et les normes sont nommées par leur identifiant exact. Le raisonnement derrière la posture fail-closed du moteur est exposé, preuves à l’appui, sur la page de philosophie de conception — cette page se contente de l’indiquer.

L’entreprise en faits vérifiables

Section intitulée « L’entreprise en faits vérifiables »

PATEON Network Technology est une société taïwanaise enregistrée. Les identifiants ci-dessous sont publics et vérifiables de façon indépendante — la section Exemple pratique montre comment vérifier cette provenance toi-même.

AttributValeur
Raison sociale (anglais)PATEON NETWORK TECHNOLOGY INCORPORATED
Nom commercialPATEON NETWORK TECHNOLOGY (pnt.)
Raison sociale (chinois)拓宇網路資訊股份有限公司
JuridictionTaiwan (R.O.C.)
GreffeTaipei City Government
Siège social5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan
Capital socialTWD 20,000,000 (environ USD 650,000)
Identifiant d’entreprise / TVATW-83211678
Numéro D-U-N-S657718207
Identifiant d’organisationLEIXG-984500C5F04C2EF6C128
Droit applicableTaiwan / R.O.C.

Ce que disent les preuves

Section intitulée « Ce que disent les preuves »

Cette page est Evidence: Mixed evidence  : un récit éditorial de l’origine du projet, corroboré par une certification fondée sur des artefacts et par un ensemble d’enregistrements d’entreprise publics. Elle ne te demande pas de croire cette histoire sur parole. Le concepteur est une entreprise enregistrée, avec une adresse réelle, une équipe constituée et une certification de sécurité de l’information que tu peux confirmer auprès d’un registre indépendant.

ISO/IEC 27001:2022 — une discipline de sécurité de l’information certifiée

Section intitulée « ISO/IEC 27001:2022 — une discipline de sécurité de l’information certifiée »

L’élément le plus déterminant de cette page est que le système de management de la sécurité de l’information (SMSI) de PATEON est certifié Spec: ISO/IEC 27001:2022 .

Pour faire simple, un SMSI est un cadre gouverné de gestion des risques liés à la sécurité de l’information : des politiques documentées, un processus explicite d’appréciation et de traitement du risque, un ensemble défini de mesures, des responsabilités attribuées, et un cycle d’audit interne et d’amélioration continue. ISO/IEC 27001 est la norme internationale par rapport à laquelle un tel système est audité de façon indépendante ; cette certification porte sur sa révision de 2022.

La certification compte ici pour trois raisons concrètes :

  • Elle est indépendante, et non auto-déclarée. Un organisme de certification tiers a audité le système de management au regard de la norme. L’affirmation vient de lui, ce n’est pas un badge que l’entreprise s’est imprimé elle-même.
  • Elle est continue, pas un simple tampon ponctuel. La certification ISO/IEC 27001 est maintenue par des audits de surveillance périodiques et un cycle de recertification pluriannuel. Un certificat en cours de validité signifie que la discipline est réévaluée, et non qu’une case a été cochée une fois.
  • Elle régit la manière dont le risque est géré autour de tes données. C’est ce même système de management, couvert par le certificat, qui discipline la manière dont l’équipe de PATEON traite les clés, le code source, les matériaux des clients et la surface opérationnelle autour du produit.

La certification est vérifiable de façon indépendante :

AttributValeur
NormeISO/IEC 27001:2022
Numéro de certificatQCC/B86F/1224
Organisme de certificationQuality Control Certification
Enregistrement vérifiable auprès de l’IAFiafcertsearch.org

Le lien IAF mène à la fiche du certificat dans la base IAF CertSearch — le registre de l’International Accreditation Forum recensant les certifications délivrées sous l’égide d’organismes accrédités. C’est la vérification qui distingue une vraie certification d’une simple affirmation : tu peux la consulter sans avoir à croire qui que ce soit sur parole.

Exemple pratique

Section intitulée « Exemple pratique »

Vérifier la provenance prend quelques minutes et n’exige aucun accès particulier. Tout ce dont tu as besoin est public :

  1. Confirme la certification. Ouvre la fiche IAF CertSearch et vérifie qu’elle nomme PATEON Network Technology et le certificat QCC/B86F/1224 par rapport à ISO/IEC 27001:2022.
  2. Confirme l’entreprise. Recoupe le numéro D-U-N-S 657718207 et l’identifiant d’entreprise taïwanais TW-83211678 avec les registres publics des entreprises. L’identifiant d’organisation LEIXG-984500C5F04C2EF6C128 suit le format d’identifiant d’organisation ETSI EN 319 412-1 : le préfixe LEIXG désigne un Legal Entity Identifier et 984500C5F04C2EF6C128 est son LEI de 20 caractères.
  3. Confirme le code. Le cœur open source est sous licence Apache-2.0 ; sa licence, son code source et son historique de versions sont publics. L’aperçu des licences précise exactement les droits que le cœur open source accorde et où commencent les éditions propriétaires.

Trois sources indépendantes — un registre d’accréditation, un registre des entreprises et une licence de code publique — convergent vers le même concepteur. Voilà à quoi ressemble une provenance vérifiable.

Idée reçue courante

Section intitulée « Idée reçue courante »

Le contresens le plus fréquent consiste à croire qu’open source implique sans support : une bibliothèque que tu adoptes à tes risques et périls, maintenue par des bénévoles sur leur temps libre, sans personne pour en répondre quand ça compte. NextPDF suit le modèle inverse. Le cœur est l’édition ouverte d’un produit commercial, maintenue par l’entreprise qui vend les éditions Pro et Enterprise qui reposent sur lui. L’activité commerciale est la raison pour laquelle le cœur open source reste maintenu, et non une menace pour lui.

Un second contresens consiste à croire qu’un moteur adossé à une entreprise doit donc contacter l’éditeur ou voir tes documents. Ce n’est pas le cas. NextPDF Core s’exécute dans ton propre processus, sur ta propre infrastructure ; il n’a aucune dépendance aux services de PATEON pour accomplir son travail. La relation avec l’entreprise porte sur qui conçoit et gouverne le code, pas sur l’endroit où vont tes documents. Ce que le moteur collecte ou ne collecte pas est documenté dans Gestion des données, selon ses propres termes.

Limites et frontières

Section intitulée « Limites et frontières »

Cette page est une page éditoriale de contexte. Elle énonce l’origine du projet et les références du concepteur ; elle ne formule à elle seule aucune nouvelle affirmation comportementale sur le moteur. Toute affirmation comportementale sur NextPDF figure sur la page thématique qui en a la responsabilité, avec le niveau de preuve de cette page.

Certaines frontières méritent d’être énoncées clairement :

  • La certification couvre le SMSI, pas un sceau produit par version. ISO/IEC 27001 certifie le système de management de la sécurité de l’information de l’entreprise. C’est une preuve solide de discipline organisationnelle ; ce n’est pas un certificat de conformité ligne par ligne pour une version donnée de NextPDF, et cette page ne le présente pas comme tel.
  • Cœur ouvert, premium propriétaire. Apache-2.0 régit le moteur du cœur. Les éditions Pro et Enterprise sont l’œuvre propriétaire de PATEON et ne font pas partie de ce qui est concédé en open source. L’emplacement de la frontière est documenté dans l’aperçu des licences.
  • Les faits relatifs à l’entreprise peuvent changer. Le capital, l’adresse et les détails du registre sont à jour à la date de révision de cette page. La source faisant autorité est toujours le registre public, et non cette page.

Documents liés

Section intitulée « Documents liés »

Glossaire

Section intitulée « Glossaire »
  • PATEON Network Technology (pnt.) — l’entreprise de Taipei, à Taïwan, qui conçoit et maintient NextPDF ; enregistrée sous le nom PATEON NETWORK TECHNOLOGY INCORPORATED.
  • SMSI (système de management de la sécurité de l’information) — un cadre gouverné qui rassemble des politiques, le traitement du risque, des mesures et l’audit par lesquels une organisation gère le risque lié à la sécurité de l’information.
  • ISO/IEC 27001:2022 — l’édition 2022 de la norme internationale par rapport à laquelle un SMSI est audité et certifié de façon indépendante.
  • IAF CertSearch — le registre public de l’International Accreditation Forum recensant les certifications délivrées sous l’égide d’organismes de certification accrédités ; l’endroit où un certificat peut être confirmé de façon indépendante.
  • NOC (centre d’exploitation réseau) — une fonction assurée par une équipe qui surveille et exploite l’infrastructure réseau et de services.
  • Validé commercialement — éprouvé dans un usage réel et payant en production, sous de véritables obligations, par opposition à démontré uniquement dans un exemple contrôlé.