Pular para o conteúdo
NextPDF

A empresa por trás do NextPDF

Spec: ISO/IEC 27001:2022 Evidence: Mixed evidence

Em resumo

Seção intitulada “Em resumo”

O NextPDF é criado e mantido pela PATEON Network Technology, uma empresa independente de tecnologia de software sediada em Taipei, Taiwan. Antes que qualquer parte do código fosse open source, o engine passou anos como produto em produção dentro da empresa — usado em fluxos de trabalho de documentos B2B nos quais segurança e conformidade eram centrais.

O core open source é esse engine comprovado, lançado para a comunidade sob a Apache-2.0. As edições Pro e Enterprise continuam sendo produtos proprietários da PATEON. Esta página explica quem está por trás do engine, a disciplina de segurança sob a qual ele é construído e por que vale a pena conhecer essa procedência antes de adotá-lo.

Por que isso importa

Seção intitulada “Por que isso importa”

Quando você escolhe um engine de PDF, escolhe uma dependência que fica perto de material sensível: contratos, faturas, acordos assinados e as chaves privadas que os assinam. Para uma biblioteca open source que lida com criptografia e artefatos legais, “quem mantém isto e sob qual disciplina?” não é uma pergunta sentimental. É uma pergunta de cadeia de suprimentos.

Um responsável visível oferece algo concreto para avaliar: quem é dono do código, quem responde por sua manutenção e sob qual governança essa equipe trabalha. O NextPDF responde a essas perguntas com clareza. É o core aberto de um produto comercial — o trabalho de uma empresa com equipe dedicada, nascido em produção, ainda pertencente à equipe que o construiu, mantido ativamente por ela e governado por um sistema de gestão de segurança da informação certificado de forma independente. A procedência é verificável, e esta página mostra como você pode verificá-la por conta própria.

A versão curta

Seção intitulada “A versão curta”
  • A criadora. A PATEON Network Technology (que atua como pnt.) é uma empresa de Taipei, Taiwan, que oferece serviços integrados de tecnologia de redes e segurança a clientes B2B.
  • A equipe. Cerca de 25 pessoas, organizadas em uma equipe independente de P&D, uma equipe dedicada de pesquisa em segurança e um network operations center (NOC) — não um projeto paralelo, mas uma organização de engenharia com time dedicado.
  • A origem. O NextPDF Core começou como o engine interno da PATEON e foi fortalecido ao longo de anos de uso comercial em produção antes de ser aberto.
  • A disciplina. A PATEON opera um sistema de gestão de segurança da informação certificado em ISO/IEC 27001:2022, auditado de forma independente e sob vigilância ativa.
  • A divisão. O Core é open source (Apache-2.0) e disponível para a comunidade; Pro e Enterprise permanecem proprietários, e a receita deles financia a manutenção contínua do core aberto.

Como o NextPDF aborda isso

Seção intitulada “Como o NextPDF aborda isso”

O NextPDF não nasceu como um exercício de marketing. Começou como uma ferramenta de que uma empresa de segurança precisava para seus próprios clientes, e ainda carrega as marcas dessa origem: uma API que se recusa a adivinhar, falhas tipadas e a recusa a degradar silenciosamente. Esses são os hábitos de um software escrito por pessoas que precisaram operá-lo para clientes pagantes, não apenas demonstrá-lo uma vez e seguir adiante.

O caminho de um produto interno até um engine open source percorreu etapas deliberadas.

  1. Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
  2. Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
  3. Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
  4. Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
  5. Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.
Como o NextPDF passou de um produto interno a um engine open source — cada etapa reforçou o código que a seguinte herdou.

É isso que validado comercialmente significa na prática. O engine core não é um lançamento 1.0 otimista à espera de sua primeira carga de trabalho real — ele foi exercitado por anos em produção, com documentos relevantes para auditoria e fluxos de trabalho de assinatura sujeitos a obrigações reais. Abri-lo foi uma decisão de compartilhar um produto que já havia feito o trabalho, e não de recorrer à comunidade para terminar um produto inacabado.

A mesma disciplina explica por que a segurança da informação e a conformidade com padrões não são recursos acrescentados depois. Elas são a espinha dorsal do projeto. Uma empresa cujo negócio são serviços de segurança não trata um pipeline de assinatura de forma descuidada. Essa postura se reflete na forma como a documentação é escrita: afirmações sobre comportamento declaram seus limites, e os padrões são nomeados por seu identificador exato. O raciocínio por trás da postura fail-closed do engine é apresentado, com suas evidências, na página de filosofia de design — esta página apenas aponta para ela.

A empresa, em fatos verificáveis

Seção intitulada “A empresa, em fatos verificáveis”

A PATEON Network Technology é uma corporação taiwanesa registrada. Os identificadores abaixo são públicos e podem ser verificados de forma independente. A seção sobre verificar a procedência você mesmo mostra como fazer isso.

AtributoValor
Razão social registrada (inglês)PATEON NETWORK TECHNOLOGY INCORPORATED
Nome comercialPATEON NETWORK TECHNOLOGY (pnt.)
Razão social registrada (chinês)拓宇網路資訊股份有限公司
JurisdiçãoTaiwan (R.O.C.)
Órgão de registroGoverno da Cidade de Taipei
Sede5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan
Capital social registradoTWD 20,000,000 (aproximadamente USD 650,000)
Business ID / VATTW-83211678
Número D-U-N-S657718207
Identificador de organizaçãoLEIXG-984500C5F04C2EF6C128
Lei aplicávelTaiwan / R.O.C.

O que as evidências dizem

Seção intitulada “O que as evidências dizem”

Esta página é Evidence: Mixed evidence : um relato editorial sobre a origem do projeto, corroborado por uma certificação respaldada por artefatos e por um conjunto de registros corporativos públicos. Ela não pede que você aceite a história por fé. A criadora é uma empresa registrada, com endereço real, uma organização com equipe dedicada e uma certificação de segurança que você pode confirmar em um registro independente.

ISO/IEC 27001:2022 — uma disciplina de segurança da informação certificada

Seção intitulada “ISO/IEC 27001:2022 — uma disciplina de segurança da informação certificada”

A evidência central desta página é que o sistema de gestão de segurança da informação (ISMS) da PATEON é certificado em Spec: ISO/IEC 27001:2022 .

Um ISMS, em termos simples, é um framework governado para gerenciar riscos de segurança da informação: políticas documentadas, um processo explícito de avaliação e tratamento de riscos, um conjunto definido de controles, responsabilidades atribuídas e um ciclo de auditoria interna e melhoria contínua. A ISO/IEC 27001 é o padrão internacional em relação ao qual esse sistema é auditado de forma independente; esta certificação é da revisão de 2022.

A certificação importa aqui por três motivos concretos:

  • É independente, não autodeclarada. Um organismo de certificação terceirizado auditou o sistema de gestão em relação ao padrão. A afirmação é deles, não um selo que a empresa imprimiu para si mesma.
  • É contínua, não um carimbo único. A certificação ISO/IEC 27001 é mantida por meio de auditorias periódicas de vigilância e de um ciclo de recertificação de vários anos. Um certificado vigente significa que a disciplina está sendo reavaliada, e não que uma caixa foi marcada uma única vez.
  • Ela governa como o risco é tratado em torno dos seus dados. O mesmo sistema de gestão coberto pelo certificado disciplina como a equipe da PATEON trata as chaves, o código-fonte, o material dos clientes e toda a superfície operacional em torno do produto.

A certificação é verificável de forma independente:

AtributoValor
PadrãoISO/IEC 27001:2022
Número do certificadoQCC/B86F/1224
Organismo de certificaçãoQuality Control Certification
Registro verificável no IAFiafcertsearch.org

O link do IAF leva ao registro do certificado no banco de dados IAF CertSearch — o registro do International Accreditation Forum para certificações emitidas por organismos acreditados. Essa consulta separa uma certificação real de uma simples afirmação: você pode confirmá-la sem precisar confiar apenas na palavra de alguém.

Exemplo prático

Seção intitulada “Exemplo prático”

Verificar a procedência leva alguns minutos e não exige acesso especial. Tudo que você precisa é público:

  1. Confirme a certificação. Abra o registro do IAF CertSearch e verifique que ele menciona a PATEON Network Technology e o certificado QCC/B86F/1224 em relação à ISO/IEC 27001:2022.
  2. Confirme a empresa. Compare o Número D-U-N-S 657718207 e o Business ID de Taiwan TW-83211678 com os registros empresariais públicos. O identificador de organização LEIXG-984500C5F04C2EF6C128 segue o formato de identificador de organização da ETSI EN 319 412-1: o prefixo LEIXG indica um Legal Entity Identifier, e 984500C5F04C2EF6C128 é o seu LEI de 20 caracteres.
  3. Confirme o código. O core open source é licenciado sob a Apache-2.0; sua licença, código-fonte e histórico de releases são públicos. A visão geral de licenciamento define exatamente o que o core aberto concede e onde começam as edições proprietárias.

Três fontes independentes — um registro de acreditação, um registro corporativo e uma licença de código pública — apontam para a mesma criadora. É assim que uma procedência verificável se apresenta.

Equívoco comum

Seção intitulada “Equívoco comum”

A leitura equivocada mais comum é a de que open source implica sem suporte: uma biblioteca que você adota por sua conta e risco, mantida por voluntários em seu tempo livre, sem ninguém responsável quando isso importa. O NextPDF tem a estrutura oposta. O core é a edição aberta de um produto comercial, mantida pela empresa que vende as edições Pro e Enterprise construídas sobre ele. O negócio comercial é a razão pela qual o core aberto continua mantido, não uma ameaça a ele.

Uma segunda leitura equivocada é a de que um engine respaldado por uma empresa precisa, por isso, enviar dados de volta (phone home) ou ver os seus documentos. Não precisa. O NextPDF Core roda no seu próprio processo, na sua própria infraestrutura; não depende de nenhum serviço da PATEON para realizar seu trabalho. A relação com a empresa diz respeito a quem cria e governa o código, não ao destino dos seus documentos. O que o engine coleta e o que não coleta está documentado em Tratamento de dados, em seus próprios termos.

Limites e fronteiras

Seção intitulada “Limites e fronteiras”

Esta página é uma página editorial sobre a empresa. Ela declara a origem do projeto e as credenciais da criadora; por si só, não faz nenhuma nova afirmação sobre o comportamento do engine. Toda afirmação sobre o comportamento do NextPDF reside na página de tópico que a contém, com o nível de evidência dessa página.

Vale a pena declarar diretamente algumas fronteiras:

  • A certificação cobre o ISMS, não um selo de produto por release. A ISO/IEC 27001 certifica o sistema de gestão de segurança da informação da empresa. É uma forte evidência de disciplina organizacional; não é um certificado de conformidade linha a linha para nenhum release específico do NextPDF, e esta página não o apresenta como tal.
  • Core aberto, premium proprietário. A Apache-2.0 rege o engine core. As edições Pro e Enterprise são trabalho proprietário da PATEON e não fazem parte da concessão open source. Onde fica essa fronteira está documentado na visão geral de licenciamento.
  • Fatos corporativos podem mudar. Capital, endereço e detalhes de registro estão atualizados até a data de revisão desta página. A fonte oficial é sempre o registro público, não esta página.

Documentação relacionada

Seção intitulada “Documentação relacionada”

Glossário

Seção intitulada “Glossário”
  • PATEON Network Technology (pnt.) — a empresa de Taipei, Taiwan, que cria e mantém o NextPDF; registrada como PATEON NETWORK TECHNOLOGY INCORPORATED.
  • ISMS (Information-Security Management System) — um framework governado de políticas, tratamento de riscos, controles e auditoria por meio do qual uma organização gerencia riscos de segurança da informação.
  • ISO/IEC 27001:2022 — a edição de 2022 do padrão internacional em relação ao qual um ISMS é auditado e certificado de forma independente.
  • IAF CertSearch — o registro público do International Accreditation Forum das certificações emitidas por organismos de certificação acreditados; o lugar onde um certificado pode ser confirmado de forma independente.
  • NOC (Network Operations Center) — uma função com equipe dedicada que monitora e opera a infraestrutura de rede e de serviços.
  • Validado comercialmente — comprovado em uso real e pago em produção sob obrigações genuínas, em contraste com o que é demonstrado apenas em um exemplo controlado.