NextPDF'in arkasındaki şirket
Spec: ISO/IEC 27001:2022 ISO/IEC 27001:2022 Evidence: Mixed evidence
Genel bakış
“Genel bakış” başlıklı bölümNextPDF, Tayvan’ın Taipei kentinde yerleşik bağımsız bir yazılım teknolojisi şirketi olan PATEON Network Technology tarafından geliştirilir ve sürdürülür. Kodun herhangi bir bölümü açık kaynak olarak yayımlanmadan önce, motor yıllarca bu şirket içinde bir üretim ürünü olarak kullanıldı; güvenliğin ve uyumluluğun merkezde olduğu B2B belge iş akışlarında çalıştı.
Açık kaynaklı core, topluluğa Apache-2.0 kapsamında sunulan bu kanıtlanmış motordur. Pro ve Enterprise sürümleri PATEON’un tescilli ürünleri olarak kalır. Bu sayfa, motorun arkasında kimin durduğunu, hangi güvenlik disiplini altında geliştirildiğini ve onu benimsemeden önce bu kökeni bilmenin neden değerli olduğunu açıklar.
Bunun neden önemli olduğu
“Bunun neden önemli olduğu” başlıklı bölümBir PDF motoru seçtiğinizde, hassas materyallerin çok yakınına yerleşen bir bağımlılık seçersiniz: sözleşmeler, faturalar, imzalı anlaşmalar ve onları imzalayan özel anahtarlar. Kriptografiye ve hukuki belgelere dokunan açık kaynaklı bir kütüphane için “bunu kim sürdürüyor ve hangi disiplin altında?” sorusu duygusal bir soru değildir. Bu, bir tedarik zinciri sorusudur.
Görünür bir sorumluluk, değerlendirebileceğiniz somut bir dayanak sunar: kodun sahibinin kim olduğu, onu sürdürmekten kimin sorumlu olduğu ve hangi yönetişim altında çalıştığı. NextPDF bu soruları açıkça yanıtlar. Bu, ticari bir ürünün açık çekirdeğidir: üretimde doğmuş, kadrolu bir şirketin çalışmasıdır; hâlâ onu geliştiren ekibin mülkiyetindedir, etkin biçimde sürdürülmektedir ve bağımsız olarak sertifikalandırılmış bir bilgi güvenliği yönetim sistemiyle yönetilir. Köken doğrulanabilirdir ve bu sayfa size onu kendiniz nasıl doğrulayacağınızı gösterir.
Kısa özet
“Kısa özet” başlıklı bölüm- Geliştirici. PATEON Network Technology (pnt. ticari adıyla), B2B müşterilerine bütünleşik ağ teknolojisi ve güvenlik hizmetleri sunan, Tayvan’ın Taipei kentinde yerleşik bir şirkettir.
- Ekip. Yaklaşık 25 kişi; bağımsız bir Ar-Ge ekibi, adanmış bir güvenlik araştırma ekibi ve bir ağ operasyon merkezi (NOC) olarak yapılandırılmıştır; yan bir proje değil, kadrolu bir mühendislik organizasyonudur.
- Köken. NextPDF Core, PATEON’un dahili motoru olarak başladı ve açık kaynak olarak yayımlanmadan önce yıllarca süren ticari üretim kullanımıyla sağlamlaştırıldı.
- Disiplin. PATEON, bağımsız olarak denetlenen ve aktif gözetim altında sürdürülen, ISO/IEC 27001:2022 sertifikalı bir bilgi güvenliği yönetim sistemi işletir.
- Ayrım. Core açık kaynaklıdır (Apache-2.0) ve topluluk tarafından erişilebilirdir; Pro ve Enterprise tescilli kalır ve gelirleri açık çekirdeğin sürdürülmesini finanse eder.
NextPDF buna nasıl yaklaşır
“NextPDF buna nasıl yaklaşır” başlıklı bölümNextPDF bir pazarlama çalışması olarak hayata başlamadı. Bir güvenlik şirketinin kendi müşterileri için ihtiyaç duyduğu bir araç olarak başladı ve hâlâ bu kökenin izlerini taşır: tahmin yürütmeyi reddeden bir API, tiplendirilmiş hatalar ve sessizce gerilemeyi reddetme. Bunlar, onu bir kez gösterip kenara koymak yerine ücretli müşteriler için işletmek zorunda kalan kişilerce yazılmış yazılımın alışkanlıklarıdır.
Dahili bir üründen açık kaynaklı bir motora giden yol, kasıtlı aşamalarla ilerledi.
- Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
- Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
- Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
- Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
- Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.
Uygulamada Ticari olarak doğrulanmış ifadesinin anlamı budur. Çekirdek motor, ilk gerçek iş yükünü bekleyen beklenti düzeyinde bir 1.0 sürümü değildir; yıllarca üretimde, denetim belgeleriyle ve gerçek yükümlülükler taşıyan imzalama iş akışlarıyla çalıştırıldı. Onu açmak, bitmemiş bir ürünü kitle kaynaklı hâle getirmek değil, zaten işi yapmış bir ürünü paylaşma kararıydı.
Aynı disiplin, bilgi güvenliğinin ve standartlara uyumun neden sonradan eklenen özellikler olmadığını açıklar. Bunlar projenin omurgasıdır. İşi güvenlik hizmetleri sunmak olan bir şirket, bir imzalama hattını gelişigüzel ele almaz. Bu duruş, belgelerin nasıl yazıldığına yansır: davranışsal iddialar sınırlarını belirtir ve standartlar tam tanımlayıcılarıyla adlandırılır. Motorun başarısızlığa kapanma (fail-closed) duruşunun ardındaki gerekçe, kanıtlarıyla birlikte tasarım felsefesi sayfasında ortaya konur; bu sayfa yalnızca ona işaret eder.
Doğrulanabilir gerçeklerle şirket
“Doğrulanabilir gerçeklerle şirket” başlıklı bölümPATEON Network Technology, Tayvan’da tescilli bir şirkettir. Aşağıdaki tanımlayıcılar kamuya açıktır ve bağımsız olarak denetlenebilir. Kökeni kendiniz doğrulama bölümü bunun nasıl yapılacağını gösterir.
| Öznitelik | Değer |
|---|---|
| Tescilli ad (İngilizce) | PATEON NETWORK TECHNOLOGY INCORPORATED |
| Ticari ad | PATEON NETWORK TECHNOLOGY (pnt.) |
| Tescilli ad (Çince) | 拓宇網路資訊股份有限公司 |
| Yargı yetkisi | Tayvan (R.O.C.) |
| Sicil makamı | Taipei Şehri Yönetimi |
| Genel merkez | 5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan |
| Tescilli sermaye | TWD 20,000,000 (yaklaşık USD 650,000) |
| İşletme kimliği / VAT | TW-83211678 |
| D-U-N-S Numarası | 657718207 |
| Organizasyon tanımlayıcısı | LEIXG-984500C5F04C2EF6C128 |
| Geçerli hukuk | Tayvan / R.O.C. |
Kanıtların gösterdiği
“Kanıtların gösterdiği” başlıklı bölümBu sayfa Evidence: Mixed evidence niteliğindedir: projenin kökenine ilişkin editöryel bir anlatımdır ve belgeyle desteklenen bir sertifikasyon ile bir dizi kamuya açık kurumsal kayıtla doğrulanmıştır. Bu anlatıyı inanç meselesi olarak kabul etmenizi istemez. Geliştirici, gerçek bir adresi, kadrolu bir organizasyonu ve bağımsız bir sicilde doğrulayabileceğiniz bir güvenlik sertifikasına sahip tescilli bir şirkettir.
ISO/IEC 27001:2022 — sertifikalı bir bilgi güvenliği disiplini
“ISO/IEC 27001:2022 — sertifikalı bir bilgi güvenliği disiplini” başlıklı bölümBu sayfadaki temel kanıt, PATEON’un bilgi güvenliği yönetim sisteminin (BGYS) Spec: ISO/IEC 27001:2022 ISO/IEC 27001:2022 standardına göre sertifikalandırılmış olmasıdır.
BGYS, sade bir ifadeyle, bilgi güvenliği riskini yönetmek için işletilen bir çerçevedir: belgelenmiş politikalar, açık bir risk değerlendirme ve risk işleme süreci, tanımlanmış bir kontrol kümesi, atanmış sorumluluklar ve iç denetim ile sürekli iyileştirme döngüsü. ISO/IEC 27001, böyle bir sistemin bağımsız olarak denetlendiği uluslararası standarttır; bu sertifikasyon standardın 2022 revizyonuna yöneliktir.
Sertifikasyon burada üç somut nedenle önemlidir:
- Bağımsızdır, kendi beyanına dayalı değildir. Üçüncü taraf bir sertifikasyon kuruluşu, yönetim sistemini standarda göre denetlemiştir. Bu iddia üçüncü tarafın doğrulamasına dayanır; şirketin kendisi için bastığı bir rozet değildir.
- Süreklidir, tek seferlik bir damga değildir. ISO/IEC 27001 sertifikasyonu, periyodik gözetim denetimleri ve çok yıllı bir yeniden sertifikasyon döngüsüyle sürdürülür. Güncel bir sertifika, bir kutunun bir kez işaretlendiğini değil, disiplinin yeniden denetlendiğini gösterir.
- Verilerinizin çevresinde riskin nasıl ele alındığını yönetir. Sertifikanın kapsadığı yönetim sistemi, PATEON ekibinin anahtarları, kaynağı, müşteri materyalini ve ürünün çevresindeki operasyonel yüzeyi nasıl ele aldığını disipline eden yapıdır.
Sertifikasyon bağımsız olarak doğrulanabilir:
| Öznitelik | Değer |
|---|---|
| Standart | ISO/IEC 27001:2022 |
| Sertifika numarası | QCC/B86F/1224 |
| Sertifikasyon kuruluşu | Quality Control Certification |
| IAF üzerinden doğrulanabilir kayıt | iafcertsearch.org |
IAF bağlantısı, sertifikanın IAF CertSearch veritabanındaki kaydına yönlendirir; bu, Uluslararası Akreditasyon Forumu’nun akredite kuruluşlar tarafından verilen sertifikasyonlara ilişkin sicilidir. Bu doğrulama, gerçek bir sertifikasyonu bir iddiadan ayırır: kimsenin sözüne güvenmeden onu doğrulayabilirsiniz.
Pratik örnek
“Pratik örnek” başlıklı bölümKökeni doğrulamak birkaç dakika alır ve özel erişim gerektirmez. İhtiyacınız olan her şey kamuya açıktır:
- Sertifikasyonu doğrulayın. IAF CertSearch kaydını açın ve kaydın PATEON Network Technology’yi ve QCC/B86F/1224 sertifikasını ISO/IEC 27001:2022 standardıyla ilişkilendirdiğini kontrol edin.
- Şirketi doğrulayın. D-U-N-S Numarası 657718207 ile Tayvan İşletme Kimliği TW-83211678 değerlerini kamuya açık işletme sicilleriyle karşılaştırın. Organizasyon tanımlayıcısı LEIXG-984500C5F04C2EF6C128, ETSI EN 319 412-1 organizasyon tanımlayıcısı biçimine uyar:
LEIXGöneki bir Tüzel Kişilik Tanımlayıcısını belirtir ve984500C5F04C2EF6C128onun 20 karakterli LEI değeridir. - Kodu doğrulayın. Açık kaynaklı çekirdek Apache-2.0 lisanslıdır; lisansı, kaynak kodu ve sürüm geçmişi kamuya açıktır. Lisanslama genel görünümü, açık çekirdeğin tam olarak neyi verdiğini ve tescilli sürümlerin nerede başladığını ortaya koyar.
Üç bağımsız kaynak (bir akreditasyon sicili, bir kurumsal sicil ve kamuya açık bir kod lisansı) aynı geliştiriciyi işaret eder. Doğrulanabilir köken işte böyle görünür.
Yaygın yanılgı
“Yaygın yanılgı” başlıklı bölümEn yaygın yanlış yorum, açık kaynağın desteksiz olduğu anlamına geldiğini sanmaktır: kendi sorumluluğunuzda benimsediğiniz, gönüllülerce boş zamanlarında sürdürülen ve iş ciddileştiğinde kimsenin sorumlu olmadığı bir kütüphane. NextPDF bunun tam tersi bir yapıya sahiptir. Çekirdek, ticari bir ürünün açık sürümüdür ve onun üzerine kurulu Pro ile Enterprise sürümlerini satan şirket tarafından sürdürülür. Ticari iş, açık çekirdeğin sürdürülmesini mümkün kılan nedendir, ona bir tehdit değildir.
İkinci bir yanlış yorum, şirket destekli bir motorun bu nedenle phone home yapması veya belgelerinizi görmesi gerektiğidir. Bunu yapmaz. NextPDF Core kendi sürecinizde, kendi altyapınızda çalışır; işini yapmak için PATEON’un hizmetlerine bağımlılığı yoktur. Şirket bağlantısı, kodu kimin geliştirdiği ve yönettiğiyle ilgilidir, belgelerinizin nereye gittiğiyle değil. Motorun neyi toplayıp neyi toplamadığı, ayrıntılarıyla Veri işleme sayfasında belgelenmiştir.
Sınırlar ve kapsam
“Sınırlar ve kapsam” başlıklı bölümBu sayfa editöryel bir hakkında sayfasıdır. Projenin kökenini ve geliştiricinin niteliklerini belirtir; motor hakkında tek başına yeni bir davranışsal iddiada bulunmaz. NextPDF hakkındaki her davranışsal iddia, o iddianın sahibi olan konu sayfasında, o sayfanın kanıt düzeyiyle birlikte yer alır.
Doğrudan belirtmeye değer birkaç kapsam sınırı vardır:
- Sertifikasyon, sürüm başına bir ürün mührünü değil, BGYS’yi kapsar. ISO/IEC 27001, şirketin bilgi güvenliği yönetim sistemini sertifikalandırır. Bu, organizasyonel disiplinin güçlü bir kanıtıdır; herhangi bir tek NextPDF sürümü için satır satır bir uygunluk sertifikası değildir ve bu sayfa onu öyle sunmaz.
- Açık çekirdek, tescilli premium. Çekirdek motoru Apache-2.0 lisansı yönetir. Pro ve Enterprise sürümleri PATEON’un tescilli çalışmasıdır ve açık kaynak kapsamının parçası değildir. Sınırın nerede olduğu lisanslama genel görünümünde belgelenmiştir.
- Kurumsal gerçekler değişebilir. Sermaye, adres ve sicil ayrıntıları bu sayfanın inceleme tarihi itibarıyla günceldir. Yetkili kaynak her zaman kamuya açık sicildir, bu sayfa değil.
İlgili belgeler
“İlgili belgeler” başlıklı bölüm- NextPDF tasarım felsefesi — bu ticari kökenden doğan mühendislik ilkeleri.
- Standartlar manzarası — motorun izlediği standartlar ve bir maddenin nasıl davranışa dönüştüğü.
- Bir ürün olarak belgeler — okumakta olduğunuz belgelere uygulanan aynı disiplin.
- Veri işleme — motorun neyi topladığı ve neyi toplamadığı.
Sözlük
“Sözlük” başlıklı bölüm- PATEON Network Technology (pnt.) — NextPDF’i geliştirip sürdüren, Tayvan’ın Taipei kentindeki şirket; PATEON NETWORK TECHNOLOGY INCORPORATED olarak tescillidir.
- BGYS (Bilgi Güvenliği Yönetim Sistemi) — bir organizasyonun bilgi güvenliği riskini yönettiği, politikalardan, risk işlemeden, kontrollerden ve denetimden oluşan, yönetilen bir çerçeve.
- ISO/IEC 27001:2022 — bir BGYS’nin bağımsız olarak denetlenip sertifikalandırıldığı uluslararası standardın 2022 baskısı.
- IAF CertSearch — Uluslararası Akreditasyon Forumu’nun, akredite sertifikasyon kuruluşları tarafından verilen sertifikasyonlara ilişkin kamuya açık sicili; bir sertifikanın bağımsız olarak doğrulanabileceği yer.
- NOC (Ağ Operasyon Merkezi) — ağ ve hizmet altyapısını izleyen ve işleten, kadrolu bir işlev.
- Ticari olarak doğrulanmış — yalnızca kontrollü bir örnekte gösterilmiş olmanın ötesinde, gerçek, ücretli üretim kullanımında ve gerçek yükümlülükler altında kanıtlanmış.