บริษัทที่อยู่เบื้องหลัง NextPDF

Spec: ISO/IEC 27001:2022 Evidence: Mixed evidence

ภาพรวมโดยย่อ

NextPDF สร้างและดูแลโดย PATEON Network Technology บริษัทเทคโนโลยีซอฟต์แวร์อิสระที่ตั้งอยู่ในไทเป ไต้หวัน ก่อนที่โค้ดส่วนใดของเอนจินจะกลายเป็นโอเพนซอร์ส เอนจินนี้เคยเป็นผลิตภัณฑ์ระดับโปรดักชันภายในบริษัทมาหลายปี โดยใช้กับเวิร์กโฟลว์เอกสารแบบ B2B ที่ให้ความสำคัญสูงสุดกับความปลอดภัยและการปฏิบัติตามข้อกำหนด

ส่วน Core ที่เป็นโอเพนซอร์สคือเอนจินที่ผ่านการพิสูจน์แล้วนั้น ซึ่งเผยแพร่แก่ชุมชนภายใต้ Apache-2.0 ส่วนรุ่น Pro และ Enterprise ยังคงเป็นผลิตภัณฑ์กรรมสิทธิ์ของ PATEON หน้านี้อธิบายว่าใครอยู่เบื้องหลังเอนจิน วินัยด้านความปลอดภัยที่ใช้สร้างเอนจิน และเหตุใดที่มาดังกล่าวจึงควรค่าแก่การรับทราบก่อนนำไปใช้

เหตุใดเรื่องนี้จึงสำคัญ

เมื่อคุณเลือกเอนจิน PDF คุณกำลังเลือก dependency ที่แตะต้องเนื้อหาที่ละเอียดอ่อนโดยตรง ได้แก่ สัญญา ใบแจ้งหนี้ ข้อตกลงที่ลงนามแล้ว และคีย์ส่วนตัวที่ใช้ลงนามในเอกสารเหล่านั้น สำหรับไลบรารีโอเพนซอร์สที่เกี่ยวข้องกับการเข้ารหัสลับและสิ่งที่มีผลทางกฎหมาย คำถามที่ว่า “ใครเป็นผู้ดูแลสิ่งนี้ และภายใต้วินัยใด” ไม่ใช่คำถามเชิงความรู้สึก แต่เป็นคำถามเกี่ยวกับห่วงโซ่อุปทาน

ผู้ดูแลที่ระบุตัวตนได้ทำให้คุณมีสิ่งที่เป็นรูปธรรมให้ประเมิน ได้แก่ ใครเป็นเจ้าของโค้ด ใครรับผิดชอบในการดูแล และพวกเขาทำงานภายใต้การกำกับดูแลแบบใด NextPDF ตอบคำถามเหล่านั้นอย่างตรงไปตรงมา NextPDF คือ Core แบบเปิดของผลิตภัณฑ์เชิงพาณิชย์ ซึ่งเป็นผลงานของบริษัทที่มีพนักงานประจำ ถือกำเนิดจากการใช้งานระดับโปรดักชัน ยังคงอยู่ภายใต้ความเป็นเจ้าของและได้รับการดูแลอย่างจริงจังโดยทีมที่สร้างขึ้นมา และอยู่ภายใต้การกำกับดูแลของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่ได้รับการรับรองอย่างเป็นอิสระ ที่มานี้สามารถตรวจสอบได้ และหน้านี้จะแสดงวิธีตรวจสอบด้วยตนเอง

ฉบับย่อ

ผู้สร้าง PATEON Network Technology (ดำเนินกิจการในชื่อ pnt.) คือบริษัทในไทเป ไต้หวัน ที่ให้บริการเทคโนโลยีด้านเครือข่ายและความปลอดภัยแบบครบวงจรแก่ลูกค้า B2B
ทีมงาน มีบุคลากรราว 25 คน จัดโครงสร้างเป็นทีม R&D อิสระ ทีมวิจัยด้านความปลอดภัยโดยเฉพาะ และศูนย์ปฏิบัติการเครือข่าย (NOC) ไม่ใช่โครงการเสริม แต่เป็นองค์กรวิศวกรรมที่มีพนักงานประจำ
ที่มา NextPDF Core เริ่มต้นในฐานะเอนจินภายในของ PATEON และผ่านการเสริมความแข็งแกร่งตลอดหลายปีของการใช้งานระดับโปรดักชันเชิงพาณิชย์ ก่อนจะเปิดเป็นโอเพนซอร์ส
วินัย PATEON ดำเนินระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศที่ได้รับการรับรองตามมาตรฐาน ISO/IEC 27001:2022 ผ่านการตรวจประเมินอย่างเป็นอิสระและอยู่ภายใต้การเฝ้าระวังอย่างต่อเนื่อง
การแบ่งส่วน Core เป็นโอเพนซอร์ส (Apache-2.0) และเปิดให้ชุมชนใช้งานได้ ส่วน Pro และ Enterprise ยังคงเป็นกรรมสิทธิ์ และรายได้จากรุ่นเหล่านี้เป็นทุนสนับสนุนการดูแล Core แบบเปิดอย่างต่อเนื่อง

NextPDF ดำเนินการเรื่องนี้อย่างไร

NextPDF ไม่ได้เริ่มต้นจากกิจกรรมทางการตลาด เอนจินนี้เริ่มจากเครื่องมือที่บริษัทด้านความปลอดภัยจำเป็นต้องใช้กับลูกค้าของตนเอง และยังคงเห็นร่องรอยของที่มานั้น ได้แก่ API ที่ปฏิเสธการคาดเดา ความล้มเหลวที่มีการระบุชนิด และการปฏิเสธที่จะลดทอนคุณภาพแบบเงียบๆ สิ่งเหล่านี้คือนิสัยของซอฟต์แวร์ที่เขียนโดยผู้ที่ต้องดำเนินงานให้ลูกค้าที่จ่ายเงินจริง ไม่ใช่การสาธิตเพียงครั้งเดียวแล้วปล่อยผ่าน

เส้นทางจากผลิตภัณฑ์ภายในสู่เอนจินโอเพนซอร์สดำเนินไปเป็นขั้นตอนอย่างตั้งใจ

Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.

NextPDF เดินทางจากผลิตภัณฑ์ภายในสู่เอนจินโอเพนซอร์สอย่างไร โดยแต่ละขั้นตอนเสริมความแข็งแกร่งให้แก่โค้ดที่ขั้นตอนถัดไปรับช่วงต่อ

นี่คือความหมายของ การพิสูจน์แล้วในเชิงพาณิชย์ ในทางปฏิบัติ เอนจิน Core ไม่ใช่รุ่น 1.0 ที่ฝากความหวังไว้กับภาระงานจริงครั้งแรก แต่ผ่านการใช้งานระดับโปรดักชันมาเป็นเวลาหลายปี กับเอกสารที่เกี่ยวข้องกับการตรวจสอบและเวิร์กโฟลว์การลงนามที่มีพันธะผูกพันจริง การเปิดเอนจินนี้เป็นการตัดสินใจแบ่งปันผลิตภัณฑ์ที่ทำงานสำเร็จมาแล้ว ไม่ใช่การระดมความช่วยเหลือจากภายนอกเพื่อสร้างผลิตภัณฑ์ที่ยังไม่เสร็จ

วินัยเดียวกันนี้อธิบายว่าเหตุใดความมั่นคงปลอดภัยสารสนเทศและการปฏิบัติตามมาตรฐานจึงไม่ใช่คุณสมบัติเสริม แต่เป็นแกนหลักของโครงการ บริษัทที่มีธุรกิจเป็นบริการด้านความปลอดภัยย่อมไม่จัดการไปป์ไลน์การลงนามอย่างหละหลวม ท่าทีดังกล่าวสะท้อนอยู่ในวิธีเขียนเอกสาร นั่นคือ ข้อกล่าวอ้างด้านพฤติกรรมระบุขอบเขตของตนอย่างชัดเจน และมาตรฐานถูกอ้างด้วยตัวบ่งชี้ที่แม่นยำ เหตุผลเบื้องหลังจุดยืนแบบ fail-closed ของเอนจินถูกอธิบายไว้พร้อมหลักฐานในหน้าปรัชญาการออกแบบ หน้านี้เพียงชี้ไปยังหน้าดังกล่าวเท่านั้น

ข้อเท็จจริงเกี่ยวกับบริษัทที่ตรวจสอบได้

PATEON Network Technology เป็นนิติบุคคลที่จดทะเบียนในไต้หวัน ตัวบ่งชี้ด้านล่างนี้เปิดเผยต่อสาธารณะและสามารถตรวจสอบได้อย่างเป็นอิสระ หัวข้อการตรวจสอบที่มาด้วยตนเอง แสดงวิธีการ

คุณลักษณะ	ค่า
ชื่อจดทะเบียน (ภาษาอังกฤษ)	บริษัท PATEON NETWORK TECHNOLOGY INCORPORATED
ชื่อทางการค้า	บริษัท PATEON NETWORK TECHNOLOGY (pnt.)
ชื่อจดทะเบียน (ภาษาจีน)	拓宇網路資訊股份有限公司
เขตอำนาจศาล	ไต้หวัน (R.O.C.)
นายทะเบียน	รัฐบาลนครไทเป
สำนักงานใหญ่	ที่ตั้ง 5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan
ทุนจดทะเบียน	TWD 20,000,000 (ประมาณ USD 650,000)
เลขประจำตัวธุรกิจ / VAT	TW-83211678
D-U-N-S Number	657718207
ตัวบ่งชี้องค์กร	LEIXG-984500C5F04C2EF6C128
กฎหมายที่ใช้บังคับ	ไต้หวัน / R.O.C.

หลักฐานบอกอะไร

หน้านี้คือ Evidence: Mixed evidence กล่าวคือ เป็นบันทึกเชิงบรรณาธิการเกี่ยวกับที่มาของโครงการ ซึ่งได้รับการยืนยันด้วยการรับรองที่มีหลักฐานรองรับและชุดข้อมูลการจดทะเบียนนิติบุคคลที่เปิดเผยต่อสาธารณะ หน้านี้ไม่ได้ขอให้คุณเชื่อเรื่องราวนี้ด้วยศรัทธา ผู้สร้างเป็นบริษัทที่จดทะเบียนพร้อมที่อยู่จริง มีองค์กรที่มีพนักงานประจำ และมีการรับรองด้านความปลอดภัยที่คุณสามารถยืนยันได้ในทะเบียนอิสระ

ISO/IEC 27001:2022 — วินัยด้านความมั่นคงปลอดภัยสารสนเทศที่ได้รับการรับรอง

หลักฐานสำคัญในหน้านี้คือ ระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) ของ PATEON ได้รับการรับรองตาม Spec: ISO/IEC 27001:2022 แล้ว

โดยสรุป ISMS คือกรอบการทำงานที่มีการกำกับดูแลสำหรับการบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ ได้แก่ นโยบายที่จัดทำเป็นเอกสาร กระบวนการประเมินและจัดการความเสี่ยงที่ชัดเจน ชุดมาตรการควบคุมที่กำหนดไว้ การมอบหมายความรับผิดชอบ และวงจรของการตรวจสอบภายในและการปรับปรุงอย่างต่อเนื่อง ISO/IEC 27001 คือมาตรฐานสากลที่ใช้เป็นเกณฑ์ในการตรวจประเมินระบบดังกล่าวอย่างเป็นอิสระ การรับรองนี้เป็นไปตามฉบับปรับปรุงปี 2022

การรับรองมีความสำคัญในที่นี้ด้วยเหตุผลที่เป็นรูปธรรมสามประการ

เป็นการรับรองอย่างเป็นอิสระ ไม่ใช่การกล่าวอ้างด้วยตนเอง หน่วยรับรองภายนอกได้ตรวจประเมินระบบบริหารจัดการเทียบกับมาตรฐาน ข้อกล่าวอ้างเป็นของหน่วยรับรองนั้น ไม่ใช่ตราที่บริษัทจัดทำขึ้นเอง
เป็นการรับรองที่ดำเนินต่อเนื่อง ไม่ใช่ตราประทับเพียงครั้งเดียว การรับรอง ISO/IEC 27001 ได้รับการรักษาไว้ผ่านการตรวจเฝ้าระวังเป็นระยะและวงจรการรับรองใหม่หลายปี ใบรับรองที่เป็นปัจจุบันหมายความว่าวินัยนี้กำลังได้รับการตรวจสอบซ้ำ ไม่ใช่การทำเครื่องหมายถูกในช่องเพียงครั้งเดียว
เป็นเกณฑ์ในการกำกับวิธีจัดการความเสี่ยงรอบๆ ข้อมูลของคุณ ระบบบริหารจัดการเดียวกันกับที่ใบรับรองครอบคลุมคือสิ่งที่กำกับวินัยในการที่ทีมของ PATEON จัดการกับคีย์ ซอร์ส เนื้อหาของลูกค้า และพื้นผิวการดำเนินงานรอบๆ ผลิตภัณฑ์

การรับรองนี้สามารถตรวจสอบได้อย่างเป็นอิสระ

คุณลักษณะ	ค่า
มาตรฐาน	ISO/IEC 27001:2022
หมายเลขใบรับรอง	QCC/B86F/1224
หน่วยรับรอง	หน่วยรับรอง Quality Control Certification
บันทึกที่ตรวจสอบได้ผ่าน IAF	iafcertsearch.org

ลิงก์ IAF นำไปยังรายการใบรับรองในฐานข้อมูล IAF CertSearch ซึ่งเป็นทะเบียนการรับรองที่ออกภายใต้หน่วยงานที่ได้รับการรับรองระบบงานของ International Accreditation Forum การค้นหานั้นแยกแยะการรับรองจริงออกจากการกล่าวอ้าง คุณสามารถยืนยันได้โดยไม่ต้องเชื่อคำพูดของผู้ใด

ตัวอย่างเชิงปฏิบัติ

การตรวจสอบที่มาใช้เวลาเพียงไม่กี่นาทีและไม่ต้องการสิทธิ์เข้าถึงพิเศษใดๆ ทุกสิ่งที่คุณต้องใช้เปิดเผยต่อสาธารณะ

ยืนยันการรับรอง เปิดบันทึก IAF CertSearch และตรวจสอบว่าระบุชื่อ PATEON Network Technology และใบรับรอง QCC/B86F/1224 ตาม ISO/IEC 27001:2022 ตามที่ระบุไว้
ยืนยันบริษัท ตรวจสอบ D-U-N-S Number 657718207 และ Business ID ของไต้หวัน TW-83211678 เทียบกับทะเบียนธุรกิจสาธารณะ ตัวบ่งชี้องค์กร LEIXG-984500C5F04C2EF6C128 เป็นไปตามรูปแบบตัวบ่งชี้องค์กรของ ETSI EN 319 412-1 โดยคำนำหน้า LEIXG หมายถึง Legal Entity Identifier และ 984500C5F04C2EF6C128 คือ LEI ขนาด 20 ตัวอักษรขององค์กร
ยืนยันโค้ด Core แบบโอเพนซอร์สได้รับอนุญาตภายใต้ Apache-2.0 โดยสัญญาอนุญาต ซอร์ส และประวัติการเผยแพร่เปิดเผยต่อสาธารณะ ภาพรวมการอนุญาตใช้สิทธิ์ ระบุไว้อย่างชัดเจนว่า Core แบบเปิดให้สิทธิ์อะไรบ้างและรุ่นกรรมสิทธิ์เริ่มต้นที่จุดใด

แหล่งข้อมูลอิสระสามแหล่ง ได้แก่ ทะเบียนการรับรองระบบงาน ทะเบียนนิติบุคคล และสัญญาอนุญาตโค้ดสาธารณะ ต่างชี้ไปยังผู้สร้างรายเดียวกัน นั่นคือลักษณะของที่มาที่ตรวจสอบได้

ความเข้าใจผิดที่พบบ่อย

การตีความผิดที่พบบ่อยที่สุดคือการมองว่า โอเพนซอร์ส หมายถึง ไม่มีการสนับสนุน นั่นคือ ไลบรารีที่คุณนำมาใช้โดยรับความเสี่ยงเอง ดูแลโดยอาสาสมัครในเวลาว่าง และไม่มีผู้ใดรับผิดชอบเมื่อเกิดเหตุสำคัญ NextPDF มีโครงสร้างที่ตรงกันข้าม Core คือรุ่นเปิดของผลิตภัณฑ์เชิงพาณิชย์ ดูแลโดยบริษัทที่จำหน่ายรุ่น Pro และ Enterprise ที่สร้างขึ้นบนรุ่นนี้ ธุรกิจเชิงพาณิชย์คือเหตุผลที่ทำให้ Core แบบเปิดได้รับการดูแลต่อไป ไม่ใช่ภัยคุกคามต่อ Core

การตีความผิดประการที่สองคือการมองว่าเอนจินที่ได้รับการสนับสนุนจากบริษัทจะต้อง ส่งข้อมูลกลับ หรือเห็นเอกสารของคุณ ซึ่งไม่เป็นเช่นนั้น NextPDF Core ทำงานในกระบวนการของคุณเอง บนโครงสร้างพื้นฐานของคุณเอง โดยไม่มี dependency ต่อบริการของ PATEON ในการทำงาน ความสัมพันธ์กับบริษัทเกี่ยวข้องกับว่าใครเป็นผู้สร้างและกำกับดูแลโค้ด ไม่ใช่ว่าเอกสารของคุณจะไปที่ใด สิ่งที่เอนจินเก็บและไม่เก็บถูกบันทึกไว้ในการจัดการข้อมูล ตามเงื่อนไขของเอกสารนั้นเอง

ข้อจำกัดและขอบเขต

หน้านี้เป็นหน้าเชิงบรรณาธิการประเภท เกี่ยวกับ หน้านี้ระบุที่มาของโครงการและคุณสมบัติของผู้สร้าง โดยไม่ได้กล่าวอ้างเชิงพฤติกรรมใหม่ใดๆ เกี่ยวกับตัวเอนจินเอง ข้อกล่าวอ้างเชิงพฤติกรรมทุกประการเกี่ยวกับ NextPDF อยู่ในหน้าหัวข้อที่รับผิดชอบข้อกล่าวอ้างนั้น พร้อมระดับหลักฐานของหน้านั้น

มีขอบเขตบางประการที่ควรระบุไว้โดยตรง

การรับรองครอบคลุม ISMS ไม่ใช่ตราประทับผลิตภัณฑ์รายรุ่น ISO/IEC 27001 รับรอง ระบบบริหารจัดการ ความมั่นคงปลอดภัยสารสนเทศของบริษัท เป็นหลักฐานที่หนักแน่นของวินัยขององค์กร แต่ไม่ใช่ใบรับรองความสอดคล้องแบบบรรทัดต่อบรรทัดสำหรับ NextPDF รุ่นใดรุ่นหนึ่ง และหน้านี้ก็ไม่ได้นำเสนอในลักษณะนั้น
Core แบบเปิด พรีเมียมแบบกรรมสิทธิ์ Apache-2.0 กำกับดูแลเอนจิน Core ส่วนรุ่น Pro และ Enterprise เป็นผลงานกรรมสิทธิ์ของ PATEON และไม่เป็นส่วนหนึ่งของการให้สิทธิ์แบบโอเพนซอร์ส ตำแหน่งของขอบเขตถูกบันทึกไว้ในภาพรวมการอนุญาตใช้สิทธิ์ อย่างชัดเจน
ข้อเท็จจริงของนิติบุคคลอาจเปลี่ยนแปลงได้ ทุน ที่อยู่ และรายละเอียดทะเบียนเป็นข้อมูลปัจจุบัน ณ วันที่ทบทวนหน้านี้ แหล่งข้อมูลที่ถือเป็นหลักเสมอคือทะเบียนสาธารณะ ไม่ใช่หน้านี้

เอกสารที่เกี่ยวข้อง

ปรัชญาการออกแบบของ NextPDF — หลักการทางวิศวกรรมที่เติบโตขึ้นจากที่มาเชิงพาณิชย์นี้
ภูมิทัศน์ของมาตรฐาน — มาตรฐานที่เอนจินติดตาม และวิธีที่ข้อกำหนดกลายเป็นพฤติกรรม
เอกสารในฐานะผลิตภัณฑ์ — วินัยเดียวกันที่ใช้กับเอกสารที่คุณกำลังอ่านอยู่
การจัดการข้อมูล — สิ่งที่เอนจินเก็บและไม่เก็บ

อภิธานศัพท์

PATEON Network Technology (pnt.) — บริษัทในไทเป ไต้หวัน ที่สร้างและดูแล NextPDF จดทะเบียนในชื่อ PATEON NETWORK TECHNOLOGY INCORPORATED
ISMS (Information-Security Management System) — กรอบการทำงานภายใต้การกำกับดูแล ซึ่งประกอบด้วยนโยบาย การจัดการความเสี่ยง มาตรการควบคุม และการตรวจสอบ ที่องค์กรใช้บริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ
ISO/IEC 27001:2022 — มาตรฐานสากลฉบับปี 2022 ที่ใช้เป็นเกณฑ์ในการตรวจประเมินและรับรอง ISMS อย่างเป็นอิสระ
IAF CertSearch — ทะเบียนสาธารณะของ International Accreditation Forum สำหรับการรับรองที่ออกภายใต้หน่วยรับรองที่ได้รับการรับรองระบบงาน เป็นที่ที่สามารถยืนยันใบรับรองได้อย่างเป็นอิสระ
NOC (Network Operations Center) — หน้าที่งานที่มีบุคลากรประจำซึ่งเฝ้าติดตามและดำเนินการโครงสร้างพื้นฐานของเครือข่ายและบริการ
การพิสูจน์แล้วในเชิงพาณิชย์ — การพิสูจน์ผ่านการใช้งานระดับโปรดักชันที่มีการจ่ายเงินจริงภายใต้พันธะที่แท้จริง ซึ่งแตกต่างจากการสาธิตเฉพาะในตัวอย่างที่ควบคุมไว้เท่านั้น