Doğrulama

Doğrulama

Bir bakışta

NextPDF Enterprise, adlandırılmış politikalar kapsamında süreç içi, salt okunur yapısal denetimler çalıştırır: PDF/A-4, PAdES baseline, uzun vadeli doğrulama (LTV) sağlığı, ZUGFeRD, ABD Gıda ve İlaç Dairesi (FDA) 21 CFR Part 11 ve ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) 17a-4. Sonuçta yapılandırılmış bir teknik rapor döndürür. Rapor; hukuki tavsiye, uyumluluk onayı veya sertifika değildir.

Kurulum

composer require nextpdf/enterprise:^3

Kavramsal genel bakış

Compliance giriş noktasıdır. Compliance::assess($pdfBytes, $policy) çağrısını yapın (veya bir örnek enjekte edip run() çağırın); bu çağrı, PDF baytlarına tek bir CompliancePolicy uygular ve bir ComplianceReport döndürür. Politika yapılacak işi tanımlar; rapor ise yapılandırılmış sonucu verir.

Policies, önceden hazırlanmış politika fabrikaları sunar: pdfA4(), pdfA4e(), pdfA4f(), padesBaseline(), eidasQualified(), ltvHealth(), zugferd($profile), fdaPart11() ve SEC 17a-4 ailesi (sec17a4(), sec17a4Compatible(), sec17a4Structural(), sec17a4PreSign()). Her fabrika bir CompliancePolicy döndürür; bu politikanın validate() yöntemi saftır: PDF baytlarını alır, bulguları döndürür. Mimari katı bir salt okunur sınırı zorunlu kılar: bir politika PDF baytlarını asla değiştirmez, böylece doğrulama herhangi bir otomatik düzeltme davranışından ayrı kalır.

ComplianceReport, bulguları Severity değerine göre gruplandırır (Error, Warning, Info). passes(), hiç hata yoksa true döndürür; uyarılar bir raporu başarısız kılmaz. Rapor, sonucun yalnızca referans amaçlı bir teknik yapı denetimi olduğunu ve nihai kararı nitelikli hukuk veya uyumluluk uzmanlarının verdiğini belirten yerleşik bir hukuki sorumluluk reddi (getDisclaimer()) içerir. Bu sorumluluk reddini kullanıcıya yönelik çıktıda göstermeniz gerekir.

İmzalar için ikinci bir sınır daha önemlidir. LtvHealthCheck, ISO 32000-2:2020 §12.8.4.3 kapsamında Belge Güvenlik Deposu’nun (DSS) yapısal varlığını denetler; gömülü Çevrimiçi Sertifika Durumu Protokolü (OCSP) veya sertifika iptal listesi (CRL) verilerini kriptografik olarak doğrulamaz. eidasQualified(), PAdES yapısını yalnızca PDF düzeyinde doğrular; gerçek eIDAS niteliği, bu modülün dışında kalan güven hizmeti sağlayıcısına (TSP) ve nitelikli sertifikaya bağlıdır.

Burada “doğrulama” ne anlama gelir

Bu modül yapısal öznitelikleri denetler ve bulguları raporlar. Bir belgeyi sertifikalandırmaz ya da belgenin bir düzenlemeyi karşıladığını garanti etmez.

• Uygunluk, bu kütüphanenin değil, nihai dosyanın ve bir doğrulayıcının özelliğidir. ISO 19005-4:2020 §5.2, standardın normatif gereksinimlerine uygunluğu, üreten yazılıma göre değil bir denetim aracına göre belirler.
• Başarılı bir rapor, her politikanın uyguladığı kurallara göre denetlenmiş bir sonuçtur. Bir sertifika değildir.
• FDA 21 CFR Part 11 ve SEC 17a-4 politikaları, düzenlemelerin ima ettiği yapısal öznitelikleri denetler (imza varlığı, imzalama niyeti, denetim izi işaretleyicileri, bir kez yaz, çok kez oku (WORM) kısıtlamaları). Bu düzenlemelere yasal uyumluluğu tesis etmezler. Yasal yeterliliği uyumluluk ekibiniz belirler.

Bir standardın desteklenmesi ona uygunluk değildir ve uygunluk da sertifikasyon değildir. NextPDF hiçbir sertifikaya sahip değildir ve hiçbirini vermez.

Katman sınırı

• NextPDF Core Compliance bayt akışı doğrulayıcıları ve bir dilbilgisi çapraz denetimi sunar; sıfır bulgulu bir sonuç, bir sertifika değil denetlenmiş bir sonuçtur.
• NextPDF Pro Compliance (EInvoiceValidator), e-fatura katmanında süreç içinde EN 16931 / Factur-X / ZUGFeRD doğrulaması yapar.
• NextPDF Enterprise Doğrulama (bu sayfa), tek bir rapor biçimiyle arşivleme, imza, LTV ve düzenlemeye tabi sektör yapısal denetimleri (FDA Part 11, SEC 17a-4) için önceden hazırlanmış politikalar ekler. Enterprise Compliance modülü, harici yan bileşenlere devreden ayrı bir yüzeydir; bu modül ise süreç içinde çalışır.

API yüzeyi

Sınıf	Sorumluluk
Compliance	Giriş noktası: tek bir politika uygular ve bir rapor döndürür.
Policies	Önceden hazırlanmış CompliancePolicy örnekleri için fabrika.
CompliancePolicy	Sözleşme: bulguları döndüren saf validate() yöntemi.
ComplianceReport	Önem derecesine göre gruplandırılmış bulgular; hukuki sorumluluk reddini taşır.
ComplianceFinding	Tek bir bulgu: kural kimliği, mesaj, standart referansı, düzeltme.
Severity	Error / Warning / Info.
PdfAPolicy	PDF/A-4 ailesi yapısal politikası.
PadesValidator	PAdES baseline / eIDAS yapısal politikası.
LtvHealthCheck	DSS yapısal varlık denetimi (ISO 32000-2 §12.8.4.3).
ZugferdValidator	ZUGFeRD / Factur-X PDF düzeyi politikası.
FdaPart11Policy	FDA 21 CFR Part 11 yapısal öznitelik politikası.
Sec17a4WormPolicy	SEC 17a-4 WORM yapısal politikası (seçilebilir katılık).

Kod örneği — hızlı başlangıç

use NextPDF\Enterprise\Validation\Compliance;
use NextPDF\Enterprise\Validation\Policies;

$report = Compliance::assess($pdfBytes, Policies::pdfA4());
$ok = $report->passes(); // no errors

Kod örneği — üretim

$report = (new Compliance($clock))->run($pdfBytes, Policies::fdaPart11());

foreach ($report->errors as $finding) {
    $logger->warning('validation.error', [
        'rule'     => $finding->ruleId,
        'standard' => $finding->standardReference,
    ]);
}
$auditLine = $report->getDisclaimer(); // surface this in user-facing output

Sınır durumları ve dikkat edilecekler

• Uyarılar bir raporu asla başarısız kılmaz; passes() değerini false yapan yalnızca hatalardır. Temiz bir rapor yine de “uygulanan kurallara göre denetlenmiş” anlamına gelir, “uyumlu” anlamına gelmez.
• LtvHealthCheck, kriptografik iptal geçerliliğini değil, DSS yapısını teyit eder.
• eidasQualified(), yalnızca PDF düzeyindeki yapıyı denetler; nitelik, TSP’ye ve sertifikaya bağlıdır.
• SEC 17a-4 ailesi, seçilebilir katılık düzeyleri sağlar (Full / Compatible / Structural / PreSign); iş akışı aşamanıza uyanı seçin.

Performans

Her politika, sağlanan PDF baytları üzerinde süreç içinde çalışır; maliyet, belge boyutu ve kural sayısına göre ölçeklenir. Compliance, çalışma süresini raporda kaydeder.

Güvenlik notları

Politikalar PDF baytlarını süreç içinde ayrıştırır ve hiçbir zaman harici çağrı yapmaz. Güvenilmeyen kaynaklardan gelen PDF baytlarını düşmanca kabul edin; saf ve salt okunur mimari, bir politikanın girdiyi değiştirmesini engeller.

Veri ikametgâhı ve PII azaltımları

Doğrulama, süreç içi ve yereldir; ağ G/Ç’si yoktur. İmzalı belgeler ve denetim izi meta verileri kişisel veri içerebilir; raporlar ve bulgular için kendi saklama ve en aza indirme denetimlerinizi uygulayın.

Güvenli telemetri ve günlük temizleme

Bulgular kural kimliklerini, standart referanslarını ve mesajları içerir; bazı mesajlar PDF’ten çıkarılan imzalayan adlarını ya da neden dizelerini yansıtabilir. Günlükleri paylaşılan alıcılara iletmeden önce bu alanları temizleyin veya gizleyin.

Uygunluk

Davranış	Referans	Durum
Uygunluk, üreticiye göre değil standarda göre belirlenir	ISO 19005-4:2020 §5.2	Tasarıma yansıtılmıştır (salt okunur politikalar)
LTV için DSS yapısal varlığı	ISO 32000-2:2020 §12.8.4.3	Denetlendi (yalnızca yapı)
PAdES baseline yapısı	ETSI EN 319 142-1 §5.4.3	Denetlendi (PDF düzeyinde)
EN 16931 profilinin anlamsal modeli	Factur-X 1.08 (EN 16931)	Destekleyici referans (sorumluluk düzenleyende kalır)
FDA 21 CFR Part 11 / SEC 17a-4	21 CFR Part 11 / 17 CFR 240.17a-4	Yapısal öznitelikler denetlendi; yasal olarak doğrulanmadı

Bu tablo, her politikanın neyi denetlediğini ve o politikanın arkasındaki spesifikasyonları belgeler. Bir sertifikasyon ya da düzenleyici yeterlilik beyanı değildir. FDA ve SEC satırları yalnızca yapısal öznitelik denetimleridir; bu kaynak standartlar doğrulama bütüncesinde yer almaz ve hiçbir Verified uygunluk iddiası taşımaz.

FIPS modu davranışı

Bu politikalar kriptografik imzalama ya da doğrulama gerçekleştirmez. Kriptografik imza geçerliliği, anahtar saklama ve Federal Bilgi İşleme Standartları (FIPS) modu davranışı Signature ve Security modülleri tarafından yönetilir.

Tehdit modeli

Birincil girdi, güvenilmeyen PDF baytlarıdır. Önlemler arasında saf ve salt okunur politikalar (değişiklik yok, otomatik düzeltme yok), ağ G/Ç’si olmaması ve her raporda açık bir hukuki sorumluluk reddi yer alır; böylece başarılı bir sonuç bir sertifikasyonla karıştırılmaz.

Ticari bağlam

NextPDF Enterprise, tek bir rapor biçimiyle önceden hazırlanmış arşivleme, imza, LTV ve düzenlemeye tabi sektör politikaları ekler. Sürümleri karşılaştırın.

Sürüm geçidi

Bu özellik NextPDF Enterprise sürümünde kullanılabilir. Lisans alın.

Lisans özellik bayrağı

Bu yüzeye enterprise katmanındaki geçit üzerinden erişilir. Enterprise paketini Core paketinin yanına kurun; politika fabrikası ve uyumluluk giriş noktası çalışma zamanında Core sözleşmesi üzerinden çözümlenir, bu nedenle sürümü yükselttiğinizde çağıran kod değişmez.

Davranış sözleşmesi

• Her politikanın validate() yöntemi saf bir fonksiyondur: PDF baytlarını alır, bulguları döndürür. Girdiyi asla değiştirmez; mimari, herhangi bir otomatik düzeltme davranışından ayrı katı bir salt okunur sınırı korur.
• Rapor, bulguları önem derecesine göre gruplandırır; passes(), hiç hata yoksa true döndürür ve uyarılar bir raporu asla başarısız kılmaz.
• Her rapor, sonucun yalnızca referans amaçlı bir teknik yapı denetimi olduğunu belirten yerleşik bir hukuki sorumluluk reddi taşır; bu sorumluluk reddini kullanıcıya yönelik çıktıda göstermeniz gerekir.
• LTV sağlık denetimi yalnızca DSS yapısal varlığını teyit eder; gömülü OCSP/CRL verisini kriptografik olarak doğrulamaz.
• eIDAS-nitelikli politika, PAdES yapısını yalnızca PDF düzeyinde doğrular; gerçek nitelik, bu modülün dışında kalan güven hizmeti sağlayıcısına ve sertifikaya bağlıdır.

NDA tarama durumu

Bu herkese açık sayfa yalnızca dışarıdan gözlemlenebilir davranışı açıklar. Listelenmiş, desteklenen herkese açık sınıf adları dışında hiçbir dahili ad alanı yolu, hiçbir dahili trait adı, hiçbir runbook dosya adı ve hiçbir dahili talep öneki içermez. Politika başına dahili ayrıntılar, gizlilik sözleşmesi (NDA) kapsamındaki geçitli başvuru belgesinde kalır.

Core yedeği

NextPDF Core Compliance bayt akışı doğrulayıcıları ve bir dilbilgisi çapraz denetimi sunar; sıfır bulgulu bir sonuç, bir sertifika değil denetlenmiş bir sonuçtur. Core katmanında, tek bir rapor biçimiyle önceden hazırlanmış arşivleme, imza, LTV ve düzenlemeye tabi sektör politikalarının eşdeğeri yoktur.

Pro yedeği

NextPDF Pro Compliance, e-fatura katmanında süreç içinde EN 16931 / Factur-X / ZUGFeRD doğrulaması yapar. Önceden hazırlanmış PDF/A-4, PAdES, LTV, FDA Part 11 veya SEC 17a-4 yapısal politikalarını sağlamaz; bunlar yalnızca nextpdf/enterprise paketinde yer alır. Enterprise Compliance’ın harici yan bileşen yüzeyi ayrı bir modüldür.

Enterprise sınırı notu

Giriş noktası, politika fabrikası ve rapor, davranış düzeyinde açıklanmıştır. Her politikaya ait kural içeriği ve herhangi bir dahili sınıflandırma ayrıntısı, herkese açık yüzeyin kapsamı dışındadır. Kriptografik imza geçerliliği burada bilinçli olarak kapsam dışıdır; bunu İmza doğrulama tarafı ve Security modülleri yönetir.

Dağıtım sınırı

Doğrulama, süreç içinde ve yerel olarak çalışır; ağ G/Ç’si yoktur; hiçbir politika girdiyi değiştiremez. Operatör, güvenilmeyen kaynaklardan gelen PDF baytlarını düşmanca kabul eder, rapordaki sorumluluk reddini kullanıcıya yönelik çıktıda gösterir ve imzalı belgeler ile denetim izi meta verileri nedeniyle kişisel veri taşıyabilecek raporlar ve bulgular için saklama ve en aza indirme denetimlerinden sorumludur.

Hukuki uyumluluk sınırı

Bu sayfa export_control_class: legal-review-required olarak işaretlenmiştir; publish bayrağı ayarlanmadan önce hukuki onay gerekir. Bir standardın desteklenmesi ona uygunluk değildir ve uygunluk da sertifikasyon değildir; NextPDF hiçbir sertifikaya sahip değildir ve hiçbirini vermez. FDA 21 CFR Part 11 ve SEC 17a-4 politikaları yalnızca yapısal öznitelikleri denetler ve yasal uyumluluğu tesis etmez. Bu belge bir hukuki görüş değildir; yasal yeterlilik için uyumluluk ekibinize danışın.

Ayrıca bakınız

• Compliance — harici doğrulayıcı yan bileşenleri (ayrı bir yüzey).
• Evidence — mühürlenmiş, zaman damgalı rapor paketleri.
• Core Compliance — süreç içi bayt akışı doğrulayıcıları.
• İmza doğrulama — kriptografik CMS / zaman damgası / arşivsel zincir doğrulama tarafı (bu yapısal yüzeyden ayrı).
• Spesifikasyonlar: PDF/A-4 — referans verilen standart.
• Doğrulama — derin başvuru (geçitli).