Gegevensverwerking, PII en telemetrie

In een oogopslag

Deze pagina beschrijft hoe de core-engine gegevens verwerkt: wat deze leest, wat deze in het procesgeheugen houdt en wat deze wegschrijft; welke deterministische transformatie auditbundels ontdoet van persoonlijk identificeerbare informatie (PII); en hoe het opt-in telemetriepad werkt.

Grens. Deze pagina beschrijft het gedrag van de bibliotheek. De gegevenslocatie op deploymentniveau bepaalt in welke jurisdictie uw documenten worden verwerkt, waar tijdelijke bestanden worden opgeslagen, hoe lang uitvoer wordt bewaard en welke telemetrie- backend, indien aanwezig, spans ontvangt. Die keuzes zijn de verantwoordelijkheid van de integrator, niet van de bibliotheek. De engine biedt u fail-closed-standaardinstellingen en een transformatie voor gegevensverwijdering. De engine kan niet voor u beslissen over gegevenslocatie of rechtsgrond.

Installeren

composer require nextpdf/core:^3

De PII-scrubber en de telemetrie-interceptor zijn onderdeel van het core-package. Het telemetriepad blijft inactief, tenzij er een OpenTelemetry-SDK aanwezig is en de aanroeper de interceptor aansluit.

Conceptueel overzicht

De engine fungeert als verwerker voor de gegevens die u aanlevert, in de zin van ISO/IEC 29100 (iso_iec_29100#3.x56): deze bewerkt documentinhoud in opdracht van de integrator. De engine maakt geen uitgaande verbindingen, bewaart geen inhoud buiten de door u gevraagde uitvoer en verzendt geen documentinhoud naar enig door NextPDF beheerd eindpunt.

Er zijn drie gegevensvlakken van belang:

Document-input/output (I/O). De engine leest invoer uit het door u opgegeven pad of de door u opgegeven stream en schrijft uitvoer naar het door u opgegeven pad of de door u opgegeven stream. Tussenliggende buffers blijven tijdens het renderen in het procesgeheugen en worden vrijgegeven zodra het renderen is voltooid.
Auditbundels. Wanneer auditing is ingeschakeld, kan de engine een diagnostische bundel uitgeven. Vóór de serialisatie loopt die bundel door een deterministische PII-scrubber.
Telemetrie. Een optionele OpenTelemetry-interceptor kan spans en metrics uitgeven. Deze blijft uitgeschakeld tenzij de SDK is geïnstalleerd en de interceptor is aangemaakt; spankenmerken passeren een attribuut-sanitizer.

De privacyaanpak volgt het beginsel van AVG art. 32 dat pseudonimisering en minimalisering voorbeelden van waarborgen zijn. Het toepassen van die waarborgen is de verantwoordelijkheid van de verwerkingsverantwoordelijke (eu_gdpr#x50). De bibliotheek levert het scrubbingmechanisme. De verwerkingsverantwoordelijke bepaalt de rechtsgrond, de bewaartermijn en de gegevenslocatie.

API-oppervlak

Deze pagina documenteert de audit- of telemetrie-API’s niet opnieuw (zie /modules/core/audit/). De componenten die voor vertrouwen relevant zijn, zijn de standaard PII-sanitizer die op auditbundels wordt toegepast en de attribuut-sanitizer van de OpenTelemetry-interceptor. De onderstaande secties beschrijven hun effecten, niet hun signaturen.

Codevoorbeeld — Snelstart

Standaard verlaat niets het proces, tenzij u daarom vraagt. Er wordt geen netwerkuitvoer ingeschakeld; niets configureren is de standaard:

<?php

declare(strict_types=1);

require_once __DIR__ . '/vendor/autoload.php';

use NextPDF\Core\Document;

// Input read from disk, output written to disk. No telemetry SDK loaded,
// so the telemetry path completes in sub-microsecond no-ops. No content
// is transmitted anywhere.
$doc = Document::open('input.pdf');
$doc->save('output.pdf');

Codevoorbeeld — Productie

Wanneer er een auditbundel wordt geproduceerd, maskeert de deterministische PII-scrubber gangbare categorieën vóór de serialisatie. De transformatie is puur (geen klokwaarden, geen willekeur), zodat een bundel voor een gegeven invoer byte-stabiel is:

<?php

declare(strict_types=1);

require_once __DIR__ . '/vendor/autoload.php';

use NextPDF\Audit\DefaultPiiSanitiser;

$scrubber = new DefaultPiiSanitiser();
// E-mail → [EMAIL], IPv4 → [IPV4], IPv6 → [IPV6], X.500 DN attributes
// beyond CN → keyword preserved, value [REDACTED]. Deterministic.
$safe = $scrubber->sanitise($rawAuditField);

Randgevallen en valkuilen

De scrubber is een best-effortvoorziening, geen garantie. DefaultPiiSanitiser maskeert de categorieën die deze kent: e-mail volgens RFC 5321, IPv4/IPv6 en diverse distinguished name-attributen (DN) uit RFC 4514. Een vrijetekstveld dat een naam of een identificatie buiten die patronen bevat, wordt niet gemaskeerd. Beschouw de scrubber als een defense-in-depth-laag, niet als een nalevingscontrole die de beoordelingsplicht van de operator wegneemt.
Tijdelijke bestanden zijn een zaak van de deployment. De engine gebruikt veilige verwerking van tijdelijke bestanden. Waar uw TMPDIR zich bevindt en of TMPDIR in de juiste jurisdictie op versleutelde opslag staat, zijn deploymentbeslissingen. De bibliotheek kan gegevenslocatie niet afdwingen.
Telemetrie is opt-in en gesaneerd, niet risicovrij. Wanneer aangesloten, geeft de OpenTelemetry-interceptor spankenmerken door via een attribuut-sanitizer die een zero-trust-gegevensbeleid afdwingt. De backend waarnaar u exporteert, en de bewaartermijn en locatie daarvan, zijn volledig de keuze van de integrator.
Rechtsgrond is geen beslissing van de bibliotheek. De verwerkingsverantwoordelijke bepaalt of het verwerken van een bepaald document rechtmatig is, en op welke grond, onder de AVG / het lokale recht (eu_gdpr#x50); de bibliotheek heeft daar geen zicht op.

Prestaties

De PII-scrubber gebruikt pure regex-transformaties zonder I/O. De telemetrie-interceptor controleert bij constructie eenmalig of de SDK aanwezig is en slaat het resultaat in de cache op. Wanneer er geen SDK is geïnstalleerd, voltooit elke telemetrie-aanroep binnen submicroseconden, zodat de privacybeschermende standaard (telemetrie uit) ook de standaard zonder overhead is.

Beveiligingsopmerkingen

Voor reviewers zijn de grensregels voor gegevensverwerking als volgt:

Geen verborgen uitvoer. De engine verzendt geen documentinhoud naar enig door NextPDF beheerd eindpunt. Uitgaande netwerktoegang vindt alleen plaats bij expliciet ingeschakelde, schemabeperkte resource-fetches en bij geconfigureerde eindpunten voor de time-stamp authority (TSA), het Online Certificate Status Protocol (OCSP) en de certificate revocation list (CRL), telkens achter de bewaking tegen server-side request forgery (SSRF).
Deterministische, begrensde scrubbing. De PII-transformatie van de auditbundel is deterministisch en draait vóór de serialisatie. Het is een hulpmiddel voor minimalisering in de geest van AVG art. 32 (eu_gdpr#x50), geen certificering van anonimisering.
Gegevenslocatie is een zaak van de integrator. Inventarisatie en mapping van waar gegevens worden verwerkt, zijn organisatorische activiteiten conform het NIST Privacy Framework (nist_privacy_framework_1_1#x9.x1.p3); de bibliotheek stelt de controls beschikbaar en de integrator voert de mapping uit.
Rollen zijn extern. Of de deployment een verwerkingsverantwoordelijke of een verwerker is, en welke verplichtingen daaruit volgen, is een rolbepaling volgens ISO/IEC 29100 (iso_iec_29100#3.x56) die de bibliotheek niet kan maken.

Conformiteit

Dit is geen conformiteitsprofiel. Deze pagina verwijst naar AVG art. 32, ISO/IEC 29100 en het NIST Privacy Framework om de grens te bepalen tussen het gedrag van de bibliotheek en de verantwoordelijkheid van de verwerkingsverantwoordelijke. De pagina beweert geen naleving van de AVG, geen conformiteit met ISO/IEC 29100 en geen privacycertificering. De verwerkingsverantwoordelijke neemt die beslissingen op deploymentniveau, niet de bibliotheek.