Archiviazione e PDF/A

Spec: ISO 19005-4:2020, PDF/A-4 Spec: ISO 19005-2, PDF/A-2 Evidence: Standard-backed

In sintesi

PDF/A è il formato a cui ricorrere quando un documento deve restare leggibile e fedele tra decenni, su software che ancora non esiste. Questa pagina spiega che cosa copre davvero quella garanzia, come NextPDF produce un file conforme e il passaggio che spesso sorprende i team. Produrre PDF/A e dimostrare che un file è PDF/A sono due lavori distinti. Il secondo resta a carico del team.

Perché è importante

Gli obblighi di archiviazione sono silenziosamente inflessibili. Oggi il file sembra a posto, quindi viene archiviato. Il difetto — un font non incorporato, un colore dipendente dal dispositivo, un trailer cifrato — emerge anni dopo, quando l’ambiente originale non esiste più e nessuno può ricostruire l’aspetto che il documento avrebbe dovuto avere. A quel punto il costo non è una nuova resa: è un record di cui non ci si può più fidare.

PDF/A esiste proprio per eliminare questa classe di guasti. Ma «abbiamo usato una libreria PDF/A» non equivale a «questo file è conforme». Confondere le due cose è il modo in cui gli archivi accumulano documenti solo apparentemente conservati.

La versione breve

Lo scopo di PDF/A è una riproduzione fedele, autonoma e indipendente dal dispositivo nel tempo — preserva l’aspetto visivo statico di un documento indipendentemente dagli strumenti che lo hanno creato (ISO 19005-2 Introduzione).
Ciò richiede vincoli concreti: tutti i font incorporati, colore indipendente dal dispositivo (direttamente o tramite un output intent; ISO 19005-4 §6.2.4.1) e nessuna cifratura nel trailer.
NextPDF produce PDF/A tramite una modalità esplicita e a sottoscrizione che rifiuta le operazioni incompatibili anziché emettere un file che silenziosamente non è conforme.
La conformità è determinata da uno strumento di verifica, non asserita dal produttore. Persino il successo dello standard stesso dipende dall’ambiente e dalle procedure di archiviazione circostanti (ISO 19005-4 Introduzione). Validare l’output resta comunque un passaggio necessario.

Come lo affronta NextPDF

NextPDF tratta PDF/A come una modalità del documento, non come un filtro di post-elaborazione. La modalità è a sottoscrizione. Una volta attiva, protegge attivamente il documento dalle operazioni che ne romperebbero la conformità. Il principio di progettazione è il fail-fast: meglio rifiutare esplicitamente una richiesta di PDF/A cifrato che restituire un file che sembra archivistico ma non lo è.

Lo scenario ha quattro fasi, e la terza è quella che i team tendono a saltare.

Compose for permanence Embed every font, use device-independent colour or an output intent, and avoid features the chosen PDF/A part forbids.
Enable the PDF/A mode Opt in explicitly to the target conformance level. The mode now guards the document against incompatible operations.
Validate independently Run a conformance checker. A passing report — not the producing library — is the evidence the archive needs.
Preserve with procedure Store under records-management policy. The standard itself notes archival success depends on the environment, not the file alone.

Lo scenario archivistico dall'inizio alla fine: il motore produce un candidato conforme e rifiuta le operazioni che romperebbero la conformità; un validatore indipendente emette il verdetto che conta davvero per un archivio.

La sottoscrizione è una vera protezione, non un semplice flag. Quando la modalità PDF/A è attiva e si tenta un’operazione incompatibile — attivando AES-GCM o il gestore di cifratura standard — il motore solleva un errore di incompatibilità tipizzato. La protezione funziona in entrambi gli ordini: attivare PDF/A e poi richiedere la cifratura, oppure richiedere la cifratura e poi attivare PDF/A. In ogni caso, il risultato è un rifiuto netto. ISO 19005 vieta la chiave Encrypt nel trailer di un file conforme, e il motore lo considera vincolante anziché consultivo.

La modalità mantiene coerente anche il proprio stato. Attivare PDF/A per una parte specifica (per esempio un livello byte-fedele PDF/A-3 rispetto a PDF/A-4) imposta di conseguenza il discriminante di conformità del documento. I gate lato writer che dipendono dalla parte vedono quindi il valore corretto anziché un valore predefinito obsoleto. È il tipo di coerenza interna che può determinare l’esito positivo della validazione.

Che cosa dicono le evidenze

Questa pagina è fondata sullo standard in ogni sua parte. Evidence: Standard-backed

Lo scopo è fissato dallo standard. Spec: ISO 19005-2 afferma che lo scopo primario di PDF/A è un meccanismo per rappresentare i documenti elettronici in modo che il loro aspetto visivo statico sia preservato nel tempo, indipendentemente dagli strumenti e dai sistemi usati. I vincoli discendono da ciò: Spec: ISO 19005-4:2020, §6.2.4.1 richiede che il colore sia specificato in modo indipendente dal dispositivo, direttamente o tramite l’output intent PDF/A. Il requisito sui font è rafforzato dal formato di base — Spec: ISO 32000-2:2020, §9 osserva che il rendering più prevedibile e affidabile si ottiene quando tutti i font sono incorporati, esattamente la proprietà di cui un archivio non può fare a meno.

Anche il confine è nello standard, non solo una cautela editoriale. Spec: ISO 19005-4:2020 afferma nella sua Introduzione che la corretta implementazione a fini archivistici dipende dall’ambiente di archiviazione dell’organizzazione, dalle politiche di records management e da ulteriori condizioni di persistenza aggiuntive. La conformità è giudicata da uno strumento di verifica rispetto ai requisiti normativi dello standard, non dichiarata dal produttore.

Il comportamento del motore è fondato sul codice: Evidence: Code-backed Document::enablePdfA() è una sottoscrizione esplicita che solleva un errore di incompatibilità tipizzato quando cifratura e PDF/A vengono combinati in qualsiasi ordine, e mantiene il discriminante di conformità del documento allineato alla parte selezionata.

Esempio pratico

Il codice seguente mostra il comportamento di protezione nel punto di integrazione. La modalità PDF/A in sé è una funzionalità di livello Premium. La verifica di conformità è un passaggio separato e indipendente.

<?php

declare(strict_types=1);

use NextPDF\Contracts\PdfDocumentInterface;
use NextPDF\Security\Exception\IncompatiblePdfAModeException;

/**
 * Produce an archival candidate, then prove it independently.
 *
 * The engine refuses conformance-breaking combinations; it does NOT
 * certify the result. A validator does that.
 *
 * @param PdfDocumentInterface $doc       A document with all fonts embedded
 * @param object               $pdfaLevel The target PDF/A version (Premium enum)
 *
 * @return string The archival candidate's bytes — not yet a verified PDF/A
 */
function buildArchivalCandidate(
    PdfDocumentInterface $doc,
    object $pdfaLevel,
): string {
    try {
        // Opt in explicitly. From here the mode guards the document.
        $doc->enablePdfA($pdfaLevel);
    } catch (IncompatiblePdfAModeException $e) {
        // e.g. encryption was already requested — refused, not silently
        // downgraded into a non-conforming "archival" file.
        throw new \RuntimeException(
            'PDF/A and encryption are mutually exclusive for a conforming '
            . 'file; resolve before archiving.',
            previous: $e,
        );
    }

    $bytes = $doc->getPdfData();

    // The step teams skip: this is a CANDIDATE. Run an independent
    // conformance validator before treating it as a preserved record.
    return $bytes;
}

Il commento sul valore di ritorno è la lezione. Il nome della funzione dice candidate di proposito. Il motore ha prodotto qualcosa che dovrebbe essere conforme. Solo un validatore trasforma quel «dovrebbe» in evidenza.

Un equivoco diffuso

Un equivoco riempie gli archivi di documenti non davvero conservati: «la libreria dice PDF/A, quindi il file è PDF/A.» Non spetta alla libreria emettere quel verdetto. Un produttore può emettere un file destinato a essere conforme e mancare comunque un requisito normativo. La conformità è determinata rispetto allo standard da uno strumento di validazione. È su quella determinazione che si basano un revisore o un futuro lettore. Trattare l’intenzione della libreria produttrice come prova è l’errore fondamentale.

Una seconda trappola, più sottile: presumere che PDF/A da solo conservi il documento. Lo standard stesso lega il successo dell’archiviazione all’ambiente e alle procedure circostanti. Un file conforme in un repository non governato resta comunque a rischio. Il formato è necessario, non sufficiente.

Limiti e confini

NextPDF produce un candidato conforme; non certifica la conformità. Occorre eseguire un validatore indipendente. L’evidenza è un report che supera la verifica, non la libreria produttrice.
Le modalità di conformità PDF/A sono una funzionalità di livello Premium. Core emette un semplice PDF 2.0 e segnala un percorso di upgrade attuabile. Non fornisce garanzie PDF/A. Vedere il confine più sotto.
PDF/A e cifratura si escludono a vicenda in un file conforme. Il motore rifiuta la combinazione in qualsiasi ordine anziché degradare silenziosamente.
Il motore non può incorporare font che non gli vengono forniti, né correggere il colore dipendente dal dispositivo fornito in ingresso. Comporre per la permanenza — font incorporati, colore indipendente dal dispositivo — è una responsabilità a monte.
La durabilità archivistica dipende dal processo, non dal solo file. ISO 19005 rende la conservazione organizzativa e le procedure di records management parte di una conservazione riuscita.
Questa pagina è fondata sullo standard e a livello di comportamento sulla superficie Premium. Non asserisce alcuna certificazione e non ne concede nessuna.

PDF/A archival conformance — edition availability
Edition	Availability
Core	Core produce esclusivamente un semplice PDF 2.0. `enablePdfA()` solleva un errore di upgrade attuabile che punta al pacchetto commerciale. Non esiste alcuna garanzia PDF/A solo-Core.
Pro	Sono disponibili le modalità di conformità PDF/A (inclusi i livelli byte-fedeli PDF/A-3 e PDF/A-4), con la protezione di incompatibilità della cifratura.
Enterprise	Aggiunge una policy strutturale di conformità PDF/A e un report (sempre una verifica strutturale, non una certificazione — la determinazione finale spetta a un validatore e al team di conformità).

Documenti correlati

Font: la parte difficile — perché un font dall’aspetto corretto può comunque rendere un file non conforme o non ricercabile.
Test golden-file — come un output di riferimento fissato intercetti la deriva di byte che rompe silenziosamente le garanzie archivistiche.
Fatture e fatturazione elettronica — il vicino più prossimo: un contenitore ibrido di fattura è esso stesso un file PDF/A.

Glossario

PDF/A — la famiglia ISO 19005: un profilo PDF vincolato per la conservazione a lungo termine, progettato per riprodurre nel tempo l’aspetto statico di un documento indipendentemente dagli strumenti che lo hanno prodotto.
Livello / parte di conformità — la specifica variante PDF/A (per esempio PDF/A-2, PDF/A-3, PDF/A-4 e i suoi sotto-livelli); ciascuna vincola quali funzionalità PDF possono essere usate.
Output intent — un profilo di caratterizzazione del colore incorporato che consente di interpretare in modo indipendente dal dispositivo il colore dipendente dal dispositivo.
Colore indipendente dal dispositivo — colore specificato in modo da riprodursi in maniera coerente indipendentemente dal dispositivo di rendering, un requisito PDF/A.
Conformance checker / validatore — software indipendente che giudica un file rispetto ai requisiti normativi dello standard; la fonte del verdetto di conformità.
Candidato archivistico — un file prodotto con l’intenzione di essere conforme, prima che un validatore indipendente abbia confermato che lo è davvero.