การตรวจสอบความถูกต้อง

โดยสรุป

NextPDF Enterprise เรียกใช้การตรวจสอบเชิงโครงสร้างแบบอ่านอย่างเดียวภายในกระบวนการสำหรับนโยบายที่ระบุชื่อ ได้แก่ PDF/A-4 PAdES baseline ความสมบูรณ์ของ Long-Term Validation (LTV) ZUGFeRD U.S. Food and Drug Administration (FDA) 21 CFR Part 11 และ U.S. Securities and Exchange Commission (SEC) 17a-4 แล้วคืนค่าเป็นรายงานทางเทคนิคแบบมีโครงสร้าง รายงานนี้ไม่ใช่คำแนะนำทางกฎหมาย การรับรองการปฏิบัติตามข้อกำหนด หรือการออกใบรับรอง

การติดตั้ง

composer require nextpdf/enterprise:^3

ภาพรวมเชิงแนวคิด

Compliance คือจุดเริ่มต้นสำหรับการใช้งาน เรียก Compliance::assess($pdfBytes, $policy) (หรือใช้การฉีดอินสแตนซ์แล้วเรียก run()) เพื่อประเมินไบต์ PDF ด้วย CompliancePolicy หนึ่งรายการและรับ ComplianceReport กลับมา นโยบายเป็นตัวกำหนดงานที่ต้องทำ ส่วนรายงานให้ผลลัพธ์แบบมีโครงสร้าง

Policies มีโรงงานสร้างนโยบายสำเร็จรูปให้ ได้แก่ pdfA4() pdfA4e() pdfA4f() padesBaseline() eidasQualified() ltvHealth() zugferd($profile) fdaPart11() และตระกูล SEC 17a-4 (sec17a4() sec17a4Compatible() sec17a4Structural() sec17a4PreSign()) แต่ละโรงงานคืนค่า CompliancePolicy โดยเมท็อด validate() เป็นฟังก์ชันบริสุทธิ์ กล่าวคือรับไบต์ PDF เข้าและคืนผลการตรวจพบออกมา สถาปัตยกรรมนี้บังคับขอบเขตแบบอ่านอย่างเดียวอย่างเข้มงวด นโยบายจะไม่แก้ไขไบต์ PDF เลย ดังนั้นการตรวจสอบความถูกต้องจึงแยกจากพฤติกรรมแก้ไขอัตโนมัติใด ๆ

ComplianceReport จัดกลุ่มผลการตรวจพบตาม Severity (Error Warning Info) passes() คืนค่า true เมื่อไม่มีข้อผิดพลาด ส่วนคำเตือนไม่ทำให้รายงานไม่ผ่าน รายงานมีข้อความปฏิเสธความรับผิดทางกฎหมายในตัว (getDisclaimer()) ซึ่งระบุว่าผลลัพธ์เป็นเพียงการตรวจสอบโครงสร้างทางเทคนิคสำหรับใช้อ้างอิงเท่านั้น และให้ผู้เชี่ยวชาญด้านกฎหมายหรือการปฏิบัติตามข้อกำหนดที่มีคุณสมบัติเหมาะสมเป็นผู้ตัดสินขั้นสุดท้าย คุณต้องแสดงข้อความปฏิเสธความรับผิดดังกล่าวในเอาต์พุตที่ผู้ใช้มองเห็น

ประเด็นขอบเขตอีกข้อหนึ่งสำคัญสำหรับลายเซ็น LtvHealthCheck ตรวจสอบการมีอยู่เชิงโครงสร้างของ Document Security Store (DSS) ตาม ISO 32000-2:2020 §12.8.4.3 แต่ไม่ได้ตรวจสอบข้อมูล Online Certificate Status Protocol (OCSP) หรือ certificate revocation list (CRL) ที่ฝังไว้ในทางการเข้ารหัสลับ eidasQualified() ตรวจสอบโครงสร้าง PAdES ในระดับ PDF เท่านั้น การมีคุณสมบัติเป็น eIDAS จริงขึ้นอยู่กับ trust service provider (TSP) และใบรับรองที่มีคุณสมบัติเหมาะสม ซึ่งอยู่นอกขอบเขตของโมดูลนี้

ความหมายของ “การตรวจสอบความถูกต้อง” ในที่นี้

โมดูลนี้ ตรวจสอบแอตทริบิวต์เชิงโครงสร้างและรายงานผลการตรวจพบ โมดูลนี้ไม่ได้ออกใบรับรองให้เอกสารหรือรับประกันว่าเอกสารเป็นไปตามข้อกำหนดใด ๆ

การเป็นไปตามข้อกำหนดเป็นคุณสมบัติของ ไฟล์สุดท้ายร่วมกับเครื่องมือตรวจสอบ ไม่ใช่ของไลบรารีนี้ ISO 19005-4:2020 §5.2 กำหนดให้พิจารณาการเป็นไปตามข้อกำหนดเทียบกับข้อกำหนดเชิงบรรทัดฐานของมาตรฐานผ่านเครื่องมือตรวจสอบ ไม่ใช่ผ่านซอฟต์แวร์ที่สร้างไฟล์
รายงานที่ผ่านเป็นผลที่ตรวจสอบแล้วเทียบกับกฎที่แต่ละนโยบายนำมาใช้ รายงานนี้ไม่ใช่ใบรับรอง
นโยบาย FDA 21 CFR Part 11 และ SEC 17a-4 ตรวจสอบ แอตทริบิวต์เชิงโครงสร้าง ที่ข้อกำหนดเหล่านั้นกำหนดโดยนัย (การมีลายเซ็น เจตนาในการลงนาม เครื่องหมายร่องรอยการตรวจสอบ ข้อจำกัด write once, read many (WORM)) นโยบายเหล่านี้ไม่ได้สร้างการปฏิบัติตามข้อกำหนดทางกฎหมายตามข้อกำหนดเหล่านั้น ทีมการปฏิบัติตามข้อกำหนดของคุณเป็นผู้ตัดสินความเพียงพอทางกฎหมาย

การรองรับมาตรฐานไม่ใช่การเป็นไปตามมาตรฐานนั้น และการเป็นไปตามข้อกำหนดก็ไม่ใช่การออกใบรับรอง NextPDF ไม่ได้ถือใบรับรองใด ๆ และไม่ได้มอบใบรับรองใด ๆ

ขอบเขตของแต่ละระดับชั้น

NextPDF Core Compliance มาพร้อมเครื่องมือตรวจสอบสตรีมไบต์และการตรวจสอบไขว้ไวยากรณ์ ผลที่ไม่พบรายการใดเป็นผลที่ตรวจสอบแล้ว ไม่ใช่ใบรับรอง
NextPDF Pro Compliance (EInvoiceValidator) ตรวจสอบความถูกต้องของ EN 16931 / Factur-X / ZUGFeRD ภายในกระบวนการที่เลเยอร์ใบแจ้งหนี้อิเล็กทรอนิกส์
NextPDF Enterprise Validation (หน้านี้) เพิ่มนโยบายสำเร็จรูปสำหรับการตรวจสอบเชิงโครงสร้างด้านการเก็บถาวร ลายเซ็น LTV และอุตสาหกรรมที่มีการกำกับดูแล (FDA Part 11 SEC 17a-4) ด้วยรูปแบบรายงานเดียว โมดูล Enterprise Compliance เป็นพื้นผิวที่แยกต่างหากซึ่งมอบหมายงานไปยังไซด์คาร์ภายนอก ส่วนโมดูลนี้ทำงานภายในกระบวนการ

พื้นผิว API

คลาส	ความรับผิดชอบ
`Compliance`	จุดเริ่มต้นที่ใช้นโยบายหนึ่งรายการและคืนค่าเป็นรายงาน
`Policies`	โรงงานสำหรับอินสแตนซ์ `CompliancePolicy` สำเร็จรูป
`CompliancePolicy`	สัญญาที่กำหนด `validate()` เป็นฟังก์ชันบริสุทธิ์และคืนค่าผลการตรวจพบ
`ComplianceReport`	ผลการตรวจพบที่จัดกลุ่มตามระดับความรุนแรง พร้อมแนบข้อความปฏิเสธความรับผิดทางกฎหมาย
`ComplianceFinding`	ผลการตรวจพบหนึ่งรายการ ประกอบด้วยรหัสกฎ ข้อความ การอ้างอิงมาตรฐาน และการแก้ไข
`Severity`	ระดับความรุนแรง Error / Warning / Info
`PdfAPolicy`	นโยบายเชิงโครงสร้างของตระกูล PDF/A-4
`PadesValidator`	นโยบายเชิงโครงสร้างของ PAdES baseline / eIDAS
`LtvHealthCheck`	การตรวจสอบการมีอยู่เชิงโครงสร้างของ DSS (ISO 32000-2 §12.8.4.3)
`ZugferdValidator`	นโยบายระดับ PDF ของ ZUGFeRD / Factur-X
`FdaPart11Policy`	นโยบายสำหรับแอตทริบิวต์เชิงโครงสร้างของ FDA 21 CFR Part 11
`Sec17a4WormPolicy`	นโยบายเชิงโครงสร้าง WORM ของ SEC 17a-4 (เลือกระดับความเข้มงวดได้)

ตัวอย่างโค้ด — เริ่มต้นอย่างรวดเร็ว

use NextPDF\Enterprise\Validation\Compliance;
use NextPDF\Enterprise\Validation\Policies;

$report = Compliance::assess($pdfBytes, Policies::pdfA4());
$ok = $report->passes(); // no errors

ตัวอย่างโค้ด — การใช้งานจริง

$report = (new Compliance($clock))->run($pdfBytes, Policies::fdaPart11());

foreach ($report->errors as $finding) {
    $logger->warning('validation.error', [
        'rule'     => $finding->ruleId,
        'standard' => $finding->standardReference,
    ]);
}
$auditLine = $report->getDisclaimer(); // surface this in user-facing output

กรณีขอบเขตและข้อควรระวัง

คำเตือนไม่เคยทำให้รายงานไม่ผ่าน มีเพียงข้อผิดพลาดเท่านั้นที่ตั้งค่า passes() เป็น false รายงานที่ไม่พบปัญหาใด ๆ ยังคงหมายถึง “ตรวจสอบแล้วเทียบกับกฎที่นำมาใช้” ไม่ใช่ “เป็นไปตามข้อกำหนด”
LtvHealthCheck ยืนยันโครงสร้างของ DSS ไม่ใช่ความถูกต้องของข้อมูลการเพิกถอนทางการเข้ารหัสลับ
eidasQualified() ตรวจสอบโครงสร้างในระดับ PDF เท่านั้น การมีคุณสมบัติขึ้นอยู่กับ TSP และใบรับรอง
ตระกูล SEC 17a-4 ให้เลือกระดับความเข้มงวดได้ (Full / Compatible / Structural / PreSign) ให้เลือกระดับที่ตรงกับขั้นตอนเวิร์กโฟลว์ของคุณ

ประสิทธิภาพ

แต่ละนโยบายทำงานภายในกระบวนการบนไบต์ PDF ที่ให้มา ต้นทุนเพิ่มขึ้นตามขนาดเอกสารและจำนวนกฎ Compliance บันทึกระยะเวลาการรันไว้ในรายงาน

หมายเหตุด้านความปลอดภัย

นโยบายแยกวิเคราะห์ไบต์ PDF ภายในกระบวนการและไม่เรียกบริการภายนอก ให้ถือว่าไบต์ PDF จากแหล่งที่ไม่น่าเชื่อถือเป็นอันตราย สถาปัตยกรรมแบบอ่านอย่างเดียวบริสุทธิ์ป้องกันไม่ให้นโยบายเปลี่ยนแปลงอินพุต

ถิ่นที่อยู่ของข้อมูลและการลดความเสี่ยงด้าน PII

การตรวจสอบความถูกต้องทำงานภายในกระบวนการและในเครื่อง โดยไม่มี I/O ผ่านเครือข่าย เอกสารที่ลงนามและเมทาดาทาของร่องรอยการตรวจสอบอาจมีข้อมูลส่วนบุคคล ให้ใช้มาตรการควบคุมการเก็บรักษาและการลดข้อมูลของคุณเองกับรายงานและผลการตรวจพบ

การรายงานข้อมูลที่ปลอดภัยและการขัดล้างบันทึก

ผลการตรวจพบมีรหัสกฎ การอ้างอิงมาตรฐาน และข้อความ บางข้อความสะท้อนชื่อผู้ลงนามหรือสตริงเหตุผลที่ดึงมาจาก PDF ให้ล้างข้อมูลหรือปกปิดฟิลด์เหล่านั้นก่อนส่งต่อบันทึกไปยังปลายทางที่ใช้ร่วมกัน

การเป็นไปตามข้อกำหนด

พฤติกรรม	การอ้างอิง	สถานะ
การเป็นไปตามข้อกำหนดถูกกำหนดเทียบกับมาตรฐาน ไม่ใช่เทียบกับผู้ผลิต	ISO 19005-4:2020 §5.2	สะท้อนอยู่ในการออกแบบ (นโยบายแบบอ่านอย่างเดียว)
การมีอยู่เชิงโครงสร้างของ DSS สำหรับ LTV	ISO 32000-2:2020 §12.8.4.3	ตรวจสอบแล้ว (เฉพาะโครงสร้าง)
โครงสร้าง PAdES baseline	ETSI EN 319 142-1 §5.4.3	ตรวจสอบแล้ว (ระดับ PDF)
แบบจำลองเชิงความหมายของโปรไฟล์ EN 16931	Factur-X 1.08 (EN 16931)	การอ้างอิงสนับสนุน (ผู้ออกยังคงต้องรับผิดชอบ)
ข้อบังคับ FDA 21 CFR Part 11 / SEC 17a-4	การอ้างอิง 21 CFR Part 11 / 17 CFR 240.17a-4	ตรวจสอบแอตทริบิวต์เชิงโครงสร้างแล้ว ไม่ได้ตรวจสอบทางกฎหมาย

ตารางนี้บันทึกว่าแต่ละนโยบายตรวจสอบอะไรและข้อกำหนดเฉพาะใดอยู่เบื้องหลังนโยบายนั้น ตารางนี้ไม่ใช่คำแถลงเรื่องการออกใบรับรองหรือความเพียงพอเชิงการกำกับดูแล แถว FDA และ SEC เป็นเพียงการตรวจสอบแอตทริบิวต์เชิงโครงสร้างเท่านั้น มาตรฐานต้นทางเหล่านั้นไม่ได้อยู่ในคลังข้อมูลการตรวจสอบ และไม่มีการอ้างการเป็นไปตามข้อกำหนดแบบ Verified

พฤติกรรมในโหมด FIPS

นโยบายเหล่านี้ไม่ได้ลงนามหรือตรวจสอบความถูกต้องทางการเข้ารหัสลับ โมดูล Signature และ Security จัดการความถูกต้องของลายเซ็นเชิงการเข้ารหัสลับ การดูแลคีย์ และพฤติกรรมในโหมด Federal Information Processing Standards (FIPS)

แบบจำลองภัยคุกคาม

อินพุตหลักคือไบต์ PDF ที่ไม่น่าเชื่อถือ มาตรการลดความเสี่ยงรวมถึงนโยบายแบบอ่านอย่างเดียวบริสุทธิ์ (ไม่มีการแก้ไขและไม่มีการแก้ไขอัตโนมัติ) ไม่มี I/O ผ่านเครือข่าย และข้อความปฏิเสธความรับผิดทางกฎหมายที่ชัดเจนบนทุกรายงาน เพื่อไม่ให้ผลที่ผ่านถูกเข้าใจผิดว่าเป็นการออกใบรับรอง

บริบทเชิงพาณิชย์

NextPDF Enterprise เพิ่มนโยบายสำเร็จรูปด้านการเก็บถาวร ลายเซ็น LTV และอุตสาหกรรมที่มีการกำกับดูแล ด้วยรูปแบบรายงานเดียว เปรียบเทียบรุ่น

เกตของรุ่น

ฟีเจอร์นี้มีให้ใช้งานใน NextPDF Enterprise ขอรับสิทธิ์ใช้งาน

แฟล็กฟีเจอร์ของสิทธิ์ใช้งาน

ระดับชั้น enterprise เป็นเกตที่ควบคุมพื้นผิวนี้ ติดตั้งแพ็กเกจ Enterprise ไว้ข้างแพ็กเกจ Core โรงงานนโยบายและจุดเริ่มต้นการปฏิบัติตามข้อกำหนดจะถูกผูกเข้าขณะรันไทม์ผ่านสัญญาของ Core ดังนั้นโค้ดที่เรียกใช้จึงไม่เปลี่ยนแปลงเมื่อคุณอัปเกรดรุ่น

สัญญาพฤติกรรม

เมท็อด validate() ของแต่ละนโยบายเป็นฟังก์ชันบริสุทธิ์ กล่าวคือรับไบต์ PDF เข้าและคืนผลการตรวจพบออกมา ฟังก์ชันนี้ไม่เคยแก้ไขอินพุต สถาปัตยกรรมรักษาขอบเขตแบบอ่านอย่างเดียวอย่างเข้มงวดให้แยกจากพฤติกรรมแก้ไขอัตโนมัติใด ๆ
รายงานจัดกลุ่มผลการตรวจพบตามระดับความรุนแรง passes() คืนค่า true เมื่อไม่มีข้อผิดพลาด และคำเตือนไม่เคยทำให้รายงานไม่ผ่าน
ทุกรายงานแนบข้อความปฏิเสธความรับผิดทางกฎหมายในตัว ซึ่งระบุว่าผลลัพธ์เป็นเพียงการตรวจสอบโครงสร้างทางเทคนิคสำหรับใช้อ้างอิงเท่านั้น คุณต้องแสดงข้อความปฏิเสธความรับผิดดังกล่าวในเอาต์พุตที่ผู้ใช้มองเห็น
การตรวจสอบความสมบูรณ์ของ LTV ยืนยันการมีอยู่เชิงโครงสร้างของ DSS เท่านั้น โดยไม่ได้ตรวจสอบข้อมูล OCSP/CRL ที่ฝังไว้ในทางการเข้ารหัสลับ
นโยบาย eIDAS-qualified ตรวจสอบโครงสร้าง PAdES ในระดับ PDF เท่านั้น การมีคุณสมบัติจริงขึ้นอยู่กับ trust service provider และใบรับรอง ซึ่งอยู่นอกขอบเขตของโมดูลนี้

สถานะการสแกน NDA

หน้าสาธารณะนี้อธิบายเฉพาะพฤติกรรมที่สังเกตได้จากภายนอกเท่านั้น หน้านี้ไม่มีพาธเนมสเปซภายในนอกเหนือจากชื่อคลาสสาธารณะที่รองรับซึ่งระบุไว้แล้ว ไม่มีชื่อเทรตภายใน ไม่มีชื่อไฟล์ runbook และไม่มีคำนำหน้าหมายเลขทิกเก็ตภายใน รายละเอียดภายในของแต่ละนโยบายยังคงอยู่ในเอกสารอ้างอิงแบบมีเกตภายใต้ข้อตกลงไม่เปิดเผยข้อมูล (NDA)

ทางเลือกสำรองของ Core

NextPDF Core Compliance มาพร้อมเครื่องมือตรวจสอบสตรีมไบต์และการตรวจสอบไขว้ไวยากรณ์ ผลที่ไม่พบรายการใดเป็นผลที่ตรวจสอบแล้ว ไม่ใช่ใบรับรอง ไม่มีสิ่งเทียบเท่าในระดับชั้น Core สำหรับนโยบายสำเร็จรูปด้านการเก็บถาวร ลายเซ็น LTV และอุตสาหกรรมที่มีการกำกับดูแลพร้อมรูปแบบรายงานเดียว

ทางเลือกสำรองของ Pro

NextPDF Pro Compliance ตรวจสอบความถูกต้องของ EN 16931 / Factur-X / ZUGFeRD ภายในกระบวนการที่เลเยอร์ใบแจ้งหนี้อิเล็กทรอนิกส์ Pro ไม่มีนโยบายเชิงโครงสร้างสำเร็จรูปของ PDF/A-4 PAdES LTV FDA Part 11 หรือ SEC 17a-4 นโยบายเหล่านั้นมาในแพ็กเกจ nextpdf/enterprise เท่านั้น พื้นผิวไซด์คาร์ภายนอกของ Enterprise Compliance เป็นโมดูลที่แยกต่างหาก

หมายเหตุขอบเขตของ Enterprise

จุดเริ่มต้น โรงงานนโยบาย และรายงานได้รับการอธิบายในระดับพฤติกรรม รายละเอียดภายในของกฎแต่ละนโยบายและรายละเอียดการจำแนกประเภทภายในใด ๆ อยู่นอกขอบเขตของพื้นผิวสาธารณะ ความถูกต้องของลายเซ็นเชิงการเข้ารหัสลับจงใจไม่อยู่ในขอบเขตที่นี่ ฝั่งตรวจสอบของ การตรวจสอบลายเซ็น และโมดูล Security เป็นส่วนที่จัดการเรื่องนี้

ขอบเขตการปรับใช้

การตรวจสอบความถูกต้องทำงานภายในกระบวนการและในเครื่อง โดยไม่มี I/O ผ่านเครือข่าย นโยบายไม่สามารถเปลี่ยนแปลงอินพุตได้ ผู้ปฏิบัติงานต้องถือว่าไบต์ PDF จากแหล่งที่ไม่น่าเชื่อถือเป็นอันตราย แสดงข้อความปฏิเสธความรับผิดของรายงานในเอาต์พุตที่ผู้ใช้มองเห็น และเป็นเจ้าของมาตรการควบคุมการเก็บรักษาและการลดข้อมูลสำหรับรายงานและผลการตรวจพบ ซึ่งอาจมีข้อมูลส่วนบุคคลจากเอกสารที่ลงนามและเมทาดาทาของร่องรอยการตรวจสอบ

ขอบเขตการปฏิบัติตามข้อกำหนดทางกฎหมาย

หน้านี้ถูกทำเครื่องหมายเป็น export_control_class: legal-review-required ต้องมีการอนุมัติทางกฎหมายก่อนตั้งแฟล็ก publish การรองรับมาตรฐานไม่ใช่การเป็นไปตามมาตรฐานนั้น และการเป็นไปตามข้อกำหนดก็ไม่ใช่การออกใบรับรอง NextPDF ไม่ได้ถือใบรับรองใด ๆ และไม่ได้มอบใบรับรองใด ๆ นโยบาย FDA 21 CFR Part 11 และ SEC 17a-4 ตรวจสอบเฉพาะแอตทริบิวต์เชิงโครงสร้างเท่านั้น และไม่ได้สร้างการปฏิบัติตามข้อกำหนดทางกฎหมาย เอกสารนี้ไม่ใช่คำให้ความเห็นทางกฎหมาย ให้ปรึกษาทีมการปฏิบัติตามข้อกำหนดของคุณเกี่ยวกับความเพียงพอทางกฎหมาย

ดูเพิ่มเติม

Compliance — ไซด์คาร์เครื่องมือตรวจสอบภายนอก (พื้นผิวที่แยกต่างหาก)
Evidence — แพ็กเกจรายงานที่ผนึกและประทับเวลา
Core Compliance — เครื่องมือตรวจสอบสตรีมไบต์ในกระบวนการ
การตรวจสอบลายเซ็น — ฝั่งตรวจสอบ CMS เชิงการเข้ารหัสลับ / การประทับเวลา / สายโซ่การเก็บถาวร (แยกจากพื้นผิวเชิงโครงสร้างนี้)
ข้อกำหนดเฉพาะ: PDF/A-4 — มาตรฐานที่อ้างอิง
Validation — Deep Reference (เกต)