Compliance e conformidade normativa
Visão geral
Seção intitulada “Visão geral”Os recursos do NextPDF Premium são projetados para estar em conformidade com padrões reconhecidos de documentos, assinaturas, faturamento eletrônico e criptografia. Esta página mostra com quais padrões cada recurso está em conformidade, para que você, auditores e compradores entendam a postura de conformidade antes de tomar uma decisão.
Há um limite para cada afirmação abaixo: produzir os artefatos que um padrão exige é um recurso, não um veredito. O NextPDF cria a estrutura definida por um perfil; um validador independente, uma ferramenta de verificação de conformidade ou a autoridade receptora decide se um arquivo específico está em conformidade. A seção de conformidade documenta esse limite em detalhes, e o núcleo open source adota a mesma postura para os perfis que implementa.
Cada afirmação normativa abaixo cita o respectivo organismo de normalização com uma referência estável no corpus de verificação. Nenhum texto de normas é reproduzido; o NextPDF resume as cláusulas em suas próprias palavras.
Conformidade com padrões de documento
Seção intitulada “Conformidade com padrões de documento”O NextPDF Enterprise adota o perfil de arquivamento PDF/A-4 (ISO 19005-4), o perfil do formato de arquivo Portable Document Format (PDF) 2.0 para preservação de longo prazo de documentos eletrônicos. A conformidade de arquivamento significa que um documento inclui a estrutura exigida por um perfil de preservação: recursos incorporados, metadados de identificação e as características de cor definidas pelo perfil, de modo que o documento seja renderizado da mesma forma no futuro distante.
Um arquivo em conformidade declara o perfil por meio de um esquema de identificação padrão nos metadados do documento. Essa declaração expressa a intenção do produtor; ela, sozinha, não torna o arquivo conforme. Um processo de validação externo ao software que produziu o arquivo faz essa determinação, portanto uma execução limpa do validador é evidência de conformidade, não um certificado emitido pelo próprio produtor. Consulte a página de conformidade do PDF/A-4 para conhecer a postura do open core que serve de base para isso.
| Recurso | Em conformidade com | Edição |
|---|---|---|
| Perfil de documento de arquivamento | Perfil de preservação de longo prazo PDF/A-4 (ISO 19005-4) | Enterprise |
Conformidade de assinatura e confiança
Seção intitulada “Conformidade de assinatura e confiança”O recurso de assinatura do NextPDF segue os perfis de assinatura baseline PDF Advanced Electronic Signatures (PAdES) definidos pelo European Telecommunications Standards Institute (ETSI) EN 319 142-1. O padrão define quatro níveis baseline de interoperabilidade ao longo de todo o ciclo de vida de uma assinatura:
- Baseline (B-B). Estabelece a assinatura e a proteção básica associada a ela.
- Carimbo de tempo confiável (B-T). Vincula um momento confiável à assinatura para que o horário dela possa ser comprovado.
- Longo prazo (B-LT). Inclui o material de validação de que um verificador precisa para conferir a assinatura posteriormente.
- Longo prazo com carimbo de tempo de arquivamento (B-LTA). Tem como objetivo a disponibilidade e a integridade de longo prazo do material de validação, de modo que a assinatura permaneça verificável por anos à medida que as recomendações criptográficas evoluem.
O NextPDF Pro fornece o nível baseline; o NextPDF Enterprise acrescenta os níveis de carimbo de tempo confiável e de arquivamento de longo prazo. Esses perfis dão suporte a assinaturas no marco europeu de reconhecimento legal: nos termos do Regulamento (UE) 910/2014 (identificação eletrônica, autenticação e serviços de confiança, conhecido como eIDAS), uma assinatura eletrônica não tem seu efeito legal ou sua admissibilidade como prova negados apenas por ser eletrônica, e uma qualified electronic signature tem efeito legal equivalente ao de uma assinatura manuscrita. O NextPDF produz assinaturas que estão em conformidade com os perfis. O status legal de qualquer assinatura depende do certificado, do serviço de confiança e da jurisdição, que ficam fora do escopo da biblioteca.
| Recurso | Em conformidade com | Edição |
|---|---|---|
| Assinatura digital baseline | PAdES B-B (ETSI EN 319 142-1) | Pro |
| Assinatura com carimbo de tempo confiável | PAdES B-T (ETSI EN 319 142-1) | Enterprise |
| Assinatura de longo prazo | PAdES B-LT (ETSI EN 319 142-1) | Enterprise |
| Assinatura de arquivamento de longo prazo | PAdES B-LTA (ETSI EN 319 142-1) | Enterprise |
| Marco de reconhecimento legal | Regulamento (UE) 910/2014 (eIDAS) | Pro e Enterprise |
Conformidade de faturamento eletrônico
Seção intitulada “Conformidade de faturamento eletrônico”O NextPDF Pro produz faturas eletrônicas que seguem o modelo semântico europeu de faturamento eletrônico. A EN 16931-1:2017 especifica o modelo de dados semântico para os elementos centrais de uma fatura eletrônica, e uma instância de fatura em conformidade segue esse modelo central. Esse modelo é a base dos formatos híbridos de fatura ZUGFeRD e Factur-X, que incorporam uma fatura estruturada junto de um PDF legível por humanos, de modo que tanto pessoas quanto máquinas possam ler o mesmo documento. Consulte a página de conformidade do ZUGFeRD / Factur-X para conhecer a implementação híbrida do open core que serve de base para isso.
| Recurso | Em conformidade com | Edição |
|---|---|---|
| Faturamento eletrônico baseado em padrões | EN 16931 (modelo semântico central de fatura); formato híbrido ZUGFeRD / Factur-X | Pro |
Garantia criptográfica (FIPS)
Seção intitulada “Garantia criptográfica (FIPS)”Para implantações com requisitos de garantia criptográfica, a assinatura do NextPDF Enterprise usa módulos criptográficos validados segundo os Federal Information Processing Standards (FIPS). O FIPS 140-3 é o padrão dos Estados Unidos para requisitos de segurança de módulos criptográficos; ele substitui o FIPS 140-2 e se alinha ao padrão internacional ISO/IEC 19790. Um módulo validado significa que a criptografia por trás de uma assinatura é executada dentro de um módulo cuja segurança foi testada e validada de forma independente em relação a um padrão reconhecido, em vez de em código não verificado.
A página de validação de hardware security module (HSM) e FIPS aborda a custódia de chaves em hardware, as classes de módulos validados e testados e as evidências de validação que você pode solicitar antes de comprar.
| Recurso | Em conformidade com | Edição |
|---|---|---|
| Criptografia validada por FIPS | Garantia de módulo criptográfico FIPS 140-3 / ISO/IEC 19790 | Enterprise |