Ga naar inhoud
NextPDF

Het bedrijf achter NextPDF

Spec: ISO/IEC 27001:2022 Evidence: Mixed evidence

In het kort

Sectie met titel “In het kort”

NextPDF wordt gebouwd en onderhouden door PATEON Network Technology, een onafhankelijk softwaretechnologiebedrijf in Taipei, Taiwan. Voordat ook maar een deel van de code opensource was, draaide de engine jarenlang als productieproduct binnen dat bedrijf, ingezet voor B2B-documentworkflows waarin beveiliging en compliance centraal stonden.

De opensource core is die bewezen engine, vrijgegeven aan de community onder Apache-2.0. De edities Pro en Enterprise blijven het propriëtaire product van PATEON. Deze pagina legt uit wie achter de engine staat, onder welke beveiligingsdiscipline de engine is gebouwd en waarom die herkomst de moeite waard is om te kennen voordat u de engine in gebruik neemt.

Waarom dit ertoe doet

Sectie met titel “Waarom dit ertoe doet”

Wanneer u een PDF-engine kiest, kiest u een afhankelijkheid die dicht op gevoelig materiaal zit: contracten, facturen, ondertekende overeenkomsten en de privésleutels waarmee ze worden ondertekend. Voor een opensourcebibliotheek die met cryptografie en juridische artefacten te maken heeft, is “wie onderhoudt dit, en onder welke discipline?” geen sentimentele vraag. Het is een vraag over de toeleveringsketen.

Een zichtbare beheerder geeft u iets concreets om te beoordelen: wie eigenaar is van de code, wie verantwoordelijk is voor het onderhoud ervan en onder welke governance het team werkt. NextPDF beantwoordt die vragen onomwonden. Het is de open core van een commercieel product: het werk van een bedrijf met vaste bezetting, ontstaan in productie, nog steeds in bezit van en actief onderhouden door het team dat het bouwde, en bestuurd door een onafhankelijk gecertificeerd informatiebeveiligingsmanagementsysteem. De herkomst is verifieerbaar, en deze pagina laat zien hoe u dat zelf kunt controleren.

De korte versie

Sectie met titel “De korte versie”
  • De maker. PATEON Network Technology (handelend als pnt.) is een bedrijf in Taipei, Taiwan, dat geïntegreerde netwerktechnologie- en beveiligingsdiensten levert aan B2B-klanten.
  • Het team. Ongeveer 25 mensen, georganiseerd in een onafhankelijk R&D-team, een toegewijd securityonderzoeksteam en een netwerkoperatiecentrum (NOC) — geen nevenproject, maar een engineeringorganisatie met vaste bezetting.
  • De oorsprong. NextPDF Core begon als de interne engine van PATEON en is gedurende jaren van commercieel productiegebruik gehard voordat de engine werd geopend.
  • De discipline. PATEON beheert een ISO/IEC 27001:2022-gecertificeerd informatiebeveiligingsmanagementsysteem, onafhankelijk geaudit en onder actief toezicht.
  • De scheiding. Core is opensource (Apache-2.0) en beschikbaar voor de community; Pro en Enterprise blijven propriëtair, en hun inkomsten financieren het verdere onderhoud van de open core.

Hoe NextPDF het aanpakt

Sectie met titel “Hoe NextPDF het aanpakt”

NextPDF begon zijn bestaan niet als een marketingoefening. Het begon als een tool die een beveiligingsbedrijf nodig had voor zijn eigen klanten, en het draagt nog steeds de sporen van die oorsprong: een API die weigert te gissen, getypeerde fouten en een weigering om stilzwijgend af te zwakken. Dat zijn de gewoonten van software die is geschreven door mensen die haar voor betalende klanten moesten draaien, niet door mensen die haar één keer demonstreerden en verdergingen.

Het pad van een intern product naar een opensource-engine verliep in welbewuste fasen.

  1. Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
  2. Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
  3. Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
  4. Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
  5. Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.
Hoe NextPDF reisde van een intern product naar een opensource-engine — elke fase hardde de code die de volgende fase erfde.

Dit is wat commercieel gevalideerd in de praktijk betekent. De core-engine is geen optimistische 1.0-release die wacht op zijn eerste echte werklast — de engine werd jarenlang in productie ingezet, voor auditrelevante documenten en ondertekeningsworkflows met echte verplichtingen. De engine openen was een beslissing om een product te delen dat het werk al had gedaan, niet om een onafgemaakt product te crowdsourcen.

Dezelfde discipline verklaart waarom informatiebeveiliging en naleving van standaarden geen achteraf aangebouwde features zijn. Zij vormen de ruggengraat van het project. Een bedrijf waarvan de business uit beveiligingsdiensten bestaat, gaat niet achteloos om met een ondertekeningspijplijn. Die houding komt tot uiting in de manier waarop de documentatie is geschreven: gedragsclaims maken hun grenzen expliciet, en standaarden worden genoemd met hun exacte identifier. De redenering achter de fail-closed-houding van de engine wordt, met het bijbehorende bewijs, uiteengezet op de pagina over de ontwerpfilosofie — deze pagina wijst er alleen naar.

Het bedrijf, in verifieerbare feiten

Sectie met titel “Het bedrijf, in verifieerbare feiten”

PATEON Network Technology is een geregistreerde Taiwanese onderneming. De onderstaande identifiers zijn openbaar en onafhankelijk controleerbaar. De sectie over het zelf verifiëren van de herkomst laat zien hoe.

AttribuutWaarde
Geregistreerde naam (Engels)PATEON NETWORK TECHNOLOGY INCORPORATED
HandelsnaamPATEON NETWORK TECHNOLOGY (pnt.)
Geregistreerde naam (Chinees)拓宇網路資訊股份有限公司
RechtsgebiedTaiwan (R.O.C.)
Registratie-instantieTaipei City Government
Hoofdkantoor5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan
Geregistreerd kapitaalTWD 20.000.000 (ongeveer USD 650.000)
Bedrijfs-ID / btwTW-83211678
D-U-N-S-nummer657718207
Organisatie-identifierLEIXG-984500C5F04C2EF6C128
Toepasselijk rechtTaiwan / R.O.C.

Wat het bewijs zegt

Sectie met titel “Wat het bewijs zegt”

Deze pagina is Evidence: Mixed evidence : een redactioneel verslag van de oorsprong van het project, gestaafd door een met artefacten onderbouwde certificering en een reeks openbare bedrijfsregistraties. Ze vraagt u niet om het verhaal op goed vertrouwen aan te nemen. De maker is een geregistreerd bedrijf met een echt adres, een team met vaste bezetting en een beveiligingscertificering die u in een onafhankelijk register kunt bevestigen.

ISO/IEC 27001:2022 — een gecertificeerde informatiebeveiligingsdiscipline

Sectie met titel “ISO/IEC 27001:2022 — een gecertificeerde informatiebeveiligingsdiscipline”

Het centrale bewijs op deze pagina is dat het informatiebeveiligingsmanagementsysteem (ISMS) van PATEON is gecertificeerd volgens Spec: ISO/IEC 27001:2022 .

Een ISMS is, eenvoudig gezegd, een governanceframework voor het beheren van informatiebeveiligingsrisico: gedocumenteerd beleid, een expliciet proces voor risicobeoordeling en risicobehandeling, een gedefinieerde reeks beheersmaatregelen, toegewezen eigenaarschap, en een cyclus van interne audits en continue verbetering. ISO/IEC 27001 is de internationale standaard waartegen zo’n systeem onafhankelijk wordt geaudit; deze certificering geldt voor de revisie van 2022.

Certificering doet hier om drie concrete redenen ertoe:

  • Ze is onafhankelijk, geen eigen bewering. Een externe certificeringsinstantie heeft het managementsysteem tegen de standaard geaudit. De claim komt van hen, geen badge die het bedrijf zichzelf heeft toegekend.
  • Ze is doorlopend, geen eenmalige stempel. ISO/IEC 27001-certificering wordt onderhouden via periodieke surveillanceaudits en een meerjarige hercertificeringscyclus. Een actueel certificaat betekent dat de discipline opnieuw wordt getoetst, niet dat er ooit één keer een vakje is aangevinkt.
  • Ze bepaalt hoe risico rond uw gegevens wordt afgehandeld. Hetzelfde managementsysteem dat het certificaat dekt, brengt discipline aan in de manier waarop het team van PATEON omgaat met sleutels, broncode, klantmateriaal en het operationele oppervlak rondom het product.

De certificering is onafhankelijk verifieerbaar:

AttribuutWaarde
StandaardISO/IEC 27001:2022
CertificaatnummerQCC/B86F/1224
CertificeringsinstantieQuality Control Certification
IAF-verifieerbaar recordiafcertsearch.org

De IAF-link verwijst naar de vermelding van het certificaat in de IAF CertSearch-database — het register van certificeringen die zijn uitgegeven onder geaccrediteerde instanties van het International Accreditation Forum. Die controle scheidt een echte certificering van een claim: u kunt het bevestigen zonder iemand op zijn woord te hoeven geloven.

Praktijkvoorbeeld

Sectie met titel “Praktijkvoorbeeld”

Het verifiëren van de herkomst kost een paar minuten en geen speciale toegang. Alles wat u nodig hebt, is openbaar:

  1. Bevestig de certificering. Open het IAF CertSearch-record en controleer of het PATEON Network Technology en certificaat QCC/B86F/1224 vermeldt voor ISO/IEC 27001:2022.
  2. Bevestig het bedrijf. Controleer het D-U-N-S-nummer 657718207 en de Taiwanese bedrijfs-ID TW-83211678 tegen de openbare bedrijfsregisters. De organisatie-identifier LEIXG-984500C5F04C2EF6C128 volgt de indeling voor organisatie-identifiers van ETSI EN 319 412-1: het voorvoegsel LEIXG duidt een Legal Entity Identifier aan en 984500C5F04C2EF6C128 is de bijbehorende LEI van 20 tekens.
  3. Bevestig de code. De opensource-core is gelicentieerd onder Apache-2.0; de licentie, broncode en releasegeschiedenis ervan zijn openbaar. Het licentieoverzicht zet precies uiteen welke rechten de open core verleent en waar de propriëtaire edities beginnen.

Drie onafhankelijke bronnen — een register op accreditatieniveau, een bedrijfsregister en een openbare codelicentie — wijzen op dezelfde maker. Dat is hoe verifieerbare herkomst eruitziet.

Veelvoorkomend misverstand

Sectie met titel “Veelvoorkomend misverstand”

De meest voorkomende verkeerde lezing is dat opensource zonder ondersteuning impliceert: een bibliotheek die u op eigen risico in gebruik neemt, onderhouden door vrijwilligers in hun vrije tijd, met niemand die verantwoordelijk is wanneer het ertoe doet. NextPDF heeft de tegenovergestelde structuur. De core is de open editie van een commercieel product, onderhouden door het bedrijf dat de daarop gebouwde edities Pro en Enterprise verkoopt. De commerciële business is de reden dat de open core onderhouden blijft, geen bedreiging daarvoor.

Een tweede verkeerde lezing is dat een door een bedrijf ondersteunde engine daarom wel naar huis moet bellen of uw documenten moet zien. Dat doet de engine niet. NextPDF Core draait in uw eigen proces, op uw eigen infrastructuur; de engine heeft geen afhankelijkheid van de diensten van PATEON om zijn werk te doen. De relatie met het bedrijf gaat over wie de code bouwt en bestuurt, niet over waar uw documenten naartoe gaan. Wat de engine wel en niet verzamelt, is gedocumenteerd in Gegevensverwerking, op die pagina zelf.

Grenzen en beperkingen

Sectie met titel “Grenzen en beperkingen”

Deze pagina is een redactionele over-pagina. Ze vermeldt de oorsprong van het project en de geloofsbrieven van de maker; ze doet op zichzelf geen nieuwe gedragsclaim over de engine. Elke gedragsclaim over NextPDF staat op de onderwerppagina waar die claim thuishoort, met het bewijsniveau van die pagina.

Enkele grenzen moeten expliciet worden vermeld:

  • De certificering dekt het ISMS, geen productzegel per release. ISO/IEC 27001 certificeert het managementsysteem voor informatiebeveiliging van het bedrijf. Het is sterk bewijs van organisatorische discipline; het is geen regel-voor-regel-conformiteitscertificaat voor enige afzonderlijke NextPDF-release, en deze pagina presenteert het ook niet als zodanig.
  • Open core, propriëtaire premium. Apache-2.0 geldt voor de core-engine. De edities Pro en Enterprise zijn het propriëtaire werk van PATEON en maken geen deel uit van de opensource-licentieverlening. Waar de grens ligt, is gedocumenteerd in het licentieoverzicht.
  • Bedrijfsfeiten kunnen veranderen. Kapitaal, adres en registergegevens zijn actueel op de beoordelingsdatum van deze pagina. De gezaghebbende bron is altijd het openbare register, niet deze pagina.

Verwante documentatie

Sectie met titel “Verwante documentatie”

Verklarende woordenlijst

Sectie met titel “Verklarende woordenlijst”
  • PATEON Network Technology (pnt.) — het bedrijf in Taipei, Taiwan, dat NextPDF bouwt en onderhoudt; geregistreerd als PATEON NETWORK TECHNOLOGY INCORPORATED.
  • ISMS (Information-Security Management System) — een governanceframework van beleid, risicobehandeling, beheersmaatregelen en audit waarmee een organisatie informatiebeveiligingsrisico beheert.
  • ISO/IEC 27001:2022 — de editie van 2022 van de internationale standaard waartegen een ISMS onafhankelijk wordt geaudit en gecertificeerd.
  • IAF CertSearch — het openbare register van certificeringen die zijn uitgegeven onder geaccrediteerde certificeringsinstanties van het International Accreditation Forum; de plaats waar een certificaat onafhankelijk kan worden bevestigd.
  • NOC (Network Operations Center) — een functie met vaste bezetting die netwerk- en service-infrastructuur monitort en beheert.
  • Commercieel gevalideerd — bewezen in echt, betaald productiegebruik onder werkelijke verplichtingen, in plaats van alleen gedemonstreerd in een gecontroleerd voorbeeld.