Lewati ke konten
NextPDF

Penanganan data, PII, dan telemetri

Sekilas pandang

Bagian berjudul “Sekilas pandang”

Halaman ini menjelaskan cara mesin inti menangani data: data yang dibaca, data yang disimpan di memori proses, data yang ditulis, transformasi deterministik untuk membersihkan informasi yang dapat mengidentifikasi seseorang (PII) yang diterapkan pada bundel audit, serta jalur telemetri opt-in.

Batasan. Halaman ini menjelaskan perilaku pustaka. Residensi data di tingkat deployment mencakup yurisdiksi tempat dokumen Anda diproses, lokasi berkas sementara disimpan, berapa lama keluaran dipertahankan, dan backend telemetri mana, jika ada, yang menerima span. Pilihan tersebut menjadi tanggung jawab integrator, bukan pustaka. Mesin menyediakan pengaturan baku fail-closed dan transformasi pembersihan. Mesin tidak dapat menentukan residensi data atau dasar hukum untuk Anda.

Pemasangan

Bagian berjudul “Pemasangan”
Terminal window
composer require nextpdf/core:^3

Pembersih PII dan interseptor telemetri adalah bagian dari paket core. Jalur telemetri tetap nonaktif kecuali SDK OpenTelemetry tersedia dan pemanggil mengaitkan interseptor tersebut.

Tinjauan konseptual

Bagian berjudul “Tinjauan konseptual”

Mesin bertindak sebagai prosesor untuk data yang Anda serahkan kepadanya menurut ISO/IEC 29100 (iso_iec_29100#3.x56): mesin memproses konten dokumen berdasarkan instruksi integrator. Mesin tidak melakukan phone home, tidak menyimpan konten di luar keluaran yang Anda minta, dan tidak mengirimkan konten dokumen ke endpoint mana pun yang dioperasikan oleh NextPDF.

Ada tiga permukaan data yang penting:

  1. input/output (I/O) dokumen. Mesin membaca input dari path atau stream yang Anda berikan dan menulis output ke path atau stream yang Anda berikan. Buffer perantara tetap berada di memori proses selama proses render berlangsung dan dilepaskan setelah proses tersebut selesai.
  2. Bundel audit. Ketika audit diaktifkan, mesin dapat menghasilkan bundel diagnostik. Sebelum serialisasi, bundel tersebut melewati pembersih PII yang deterministik.
  3. Telemetri. Interseptor OpenTelemetry opsional dapat menghasilkan span dan metrik. Interseptor tetap nonaktif kecuali SDK terpasang dan interseptor dibuat; atribut span melewati sanitizer atribut.

Pendekatan privasi ini selaras dengan prinsip GDPR Pasal 32 bahwa pseudonimisasi dan minimisasi adalah contoh pengaman. Penerapan pengaman tersebut adalah tanggung jawab controller (eu_gdpr#x50). Pustaka menyediakan mekanisme pembersihan; controller menentukan dasar hukum, retensi, dan residensi.

Permukaan API

Bagian berjudul “Permukaan API”

Halaman ini tidak mendokumentasikan ulang API audit atau telemetri (lihat /modules/core/audit/). Komponen yang relevan untuk aspek kepercayaan adalah sanitizer PII standar yang diterapkan pada bundel audit dan sanitizer atribut milik interseptor OpenTelemetry. Bagian berikut menjelaskan efeknya, bukan signature-nya.

Contoh kode — Memulai cepat

Bagian berjudul “Contoh kode — Memulai cepat”

Secara baku, tidak ada apa pun yang meninggalkan proses kecuali Anda memintanya. Tidak ada kode yang mengaktifkan egress jaringan; ketiadaan kode tersebut adalah pengaturan bakunya:

<?php


declare(strict_types=1);


require_once __DIR__ . '/vendor/autoload.php';


use NextPDF\Core\Document;


// Input read from disk, output written to disk. No telemetry SDK loaded,
// so the telemetry path completes in sub-microsecond no-ops. No content
// is transmitted anywhere.
$doc = Document::open('input.pdf');
$doc->save('output.pdf');

Contoh kode — Produksi

Bagian berjudul “Contoh kode — Produksi”

Ketika bundel audit dihasilkan, pembersih PII yang deterministik menyamarkan kategori umum sebelum serialisasi. Transformasi ini bersifat murni (tanpa jam, tanpa keacakan), sehingga bundel stabil byte demi byte untuk input tertentu:

<?php


declare(strict_types=1);


require_once __DIR__ . '/vendor/autoload.php';


use NextPDF\Audit\DefaultPiiSanitiser;


$scrubber = new DefaultPiiSanitiser();
// E-mail → [EMAIL], IPv4 → [IPV4], IPv6 → [IPV6], X.500 DN attributes
// beyond CN → keyword preserved, value [REDACTED]. Deterministic.
$safe = $scrubber->sanitise($rawAuditField);

Kasus tepi & jebakan

Bagian berjudul “Kasus tepi & jebakan”
  • Pembersih ini bersifat upaya terbaik (best-effort), bukan jaminan. DefaultPiiSanitiser menyamarkan kategori yang dikenali: e-mail RFC 5321, IPv4/IPv6, dan beberapa atribut distinguished name (DN) RFC 4514. Bidang teks bebas yang berisi nama atau identifier di luar pola tersebut tidak disamarkan. Perlakukan pembersih ini sebagai lapisan defense-in-depth, bukan kontrol kepatuhan yang menghapus kewajiban peninjauan oleh operator.
  • Berkas sementara adalah urusan deployment. Mesin menggunakan penanganan berkas sementara yang aman. Lokasi TMPDIR dan apakah TMPDIR berada di penyimpanan terenkripsi pada yurisdiksi yang tepat adalah keputusan deployment. Pustaka tidak dapat menegakkan residensi data.
  • Telemetri bersifat opt-in dan disanitasi, bukan tanpa risiko. Ketika dikaitkan, interseptor OpenTelemetry melewatkan atribut span melalui sanitizer atribut yang menegakkan kebijakan data zero-trust. Backend tujuan ekspor Anda, beserta retensi dan lokasinya, sepenuhnya menjadi pilihan integrator.
  • Dasar hukum bukanlah keputusan pustaka. Controller menentukan apakah pemrosesan suatu dokumen sah, dan atas dasar apa, menurut GDPR / hukum setempat (eu_gdpr#x50); pustaka tidak memiliki visibilitas atas hal itu.

Kinerja

Bagian berjudul “Kinerja”

Pembersih PII menggunakan transformasi regex murni tanpa I/O. Interseptor telemetri memeriksa keberadaan SDK sekali saat konstruksi dan menyimpan hasilnya di cache. Ketika SDK tidak terpasang, setiap pemanggilan telemetri selesai dalam waktu di bawah satu mikrodetik, sehingga pengaturan baku yang menjaga privasi (telemetri nonaktif) juga menjadi pengaturan baku tanpa overhead.

Catatan keamanan

Bagian berjudul “Catatan keamanan”

Bagi peninjau, aturan batas untuk penanganan data adalah:

  1. Tidak ada egress terselubung. Mesin tidak mengirimkan konten dokumen apa pun ke endpoint mana pun yang dioperasikan oleh NextPDF. Akses jaringan keluar hanya terjadi pada pengambilan sumber daya yang diaktifkan secara eksplisit dan dibatasi skemanya, serta pada endpoint time-stamp authority (TSA), Online Certificate Status Protocol (OCSP), dan certificate revocation list (CRL) yang dikonfigurasi, masing-masing dengan perlindungan server-side request forgery (SSRF).
  2. Pembersihan yang deterministik dan terbatas. Transformasi PII pada bundel audit bersifat deterministik dan berjalan sebelum serialisasi. Ini adalah alat bantu minimisasi yang selaras dengan semangat GDPR Pasal 32 (eu_gdpr#x50), bukan sertifikasi anonimisasi.
  3. Residensi adalah urusan integrator. Inventarisasi dan pemetaan tempat data diproses adalah kegiatan organisasi menurut NIST Privacy Framework (nist_privacy_framework_1_1#x9.x1.p3); pustaka menyediakan kontrol tersebut, dan integrator melakukan pemetaan tersebut.
  4. Peran bersifat eksternal. Apakah deployment merupakan controller atau processor, dan kewajiban apa yang menyertainya, adalah penentuan peran ISO/IEC 29100 (iso_iec_29100#3.x56) yang tidak dapat dilakukan oleh pustaka.

Kesesuaian

Bagian berjudul “Kesesuaian”

Halaman ini bukan profil kesesuaian. Halaman ini merujuk pada GDPR Pasal 32, ISO/IEC 29100, dan NIST Privacy Framework untuk memperjelas batas antara perilaku pustaka dan tanggung jawab controller. Halaman ini tidak menyatakan kepatuhan GDPR, kesesuaian ISO/IEC 29100, atau sertifikasi privasi apa pun. Data controller-lah yang membuat penentuan tersebut di tingkat deployment, bukan pustaka.

Lihat juga

Bagian berjudul “Lihat juga”