Xác thực
Xác thực
Phần tiêu đề “Xác thực”Tổng quan nhanh
Phần tiêu đề “Tổng quan nhanh”NextPDF Enterprise chạy các kiểm tra cấu trúc chỉ đọc, trong tiến trình, cho những chính sách được đặt tên: PDF/A-4, đường nền PAdES, tình trạng Long-Term Validation (LTV), ZUGFeRD, U.S. Food and Drug Administration (FDA) 21 CFR Part 11 và U.S. Securities and Exchange Commission (SEC) 17a-4. Nó trả về một báo cáo kỹ thuật có cấu trúc. Báo cáo này không phải là tư vấn pháp lý, chứng thực tuân thủ hay chứng nhận.
Cài đặt
Phần tiêu đề “Cài đặt”composer require nextpdf/enterprise:^3Tổng quan khái niệm
Phần tiêu đề “Tổng quan khái niệm”Compliance là điểm vào. Gọi Compliance::assess($pdfBytes, $policy) (hoặc tiêm một thể hiện và gọi run()) để áp dụng một CompliancePolicy cho các byte PDF và nhận về một ComplianceReport. Chính sách xác định công việc; báo cáo cung cấp kết quả có cấu trúc.
Policies cung cấp các factory chính sách dựng sẵn: pdfA4(), pdfA4e(), pdfA4f(), padesBaseline(), eidasQualified(), ltvHealth(), zugferd($profile), fdaPart11(), và họ SEC 17a-4 (sec17a4(), sec17a4Compatible(), sec17a4Structural(), sec17a4PreSign()). Mỗi factory trả về một CompliancePolicy có phương thức validate() thuần túy: nhận byte PDF và trả về kết quả phát hiện. Kiến trúc áp đặt một ranh giới chỉ đọc nghiêm ngặt: một chính sách không bao giờ thay đổi byte PDF, nên việc xác thực luôn tách biệt với mọi hành vi tự động sửa.
ComplianceReport nhóm các kết quả phát hiện theo Severity (Error, Warning, Info). passes() trả về true khi không có lỗi; cảnh báo không làm báo cáo thất bại. Báo cáo bao gồm một tuyên bố miễn trừ trách nhiệm pháp lý tích hợp sẵn (getDisclaimer()) nêu rõ rằng kết quả chỉ là kiểm tra cấu trúc kỹ thuật để tham khảo, và quyết định cuối cùng thuộc về các chuyên gia pháp lý hoặc tuân thủ có thẩm quyền. Bạn phải hiển thị tuyên bố miễn trừ đó trong đầu ra dành cho người dùng.
Ranh giới quan trọng thứ hai liên quan đến chữ ký. LtvHealthCheck kiểm tra sự hiện diện ở cấp cấu trúc của Document Security Store (DSS) theo ISO 32000-2:2020 §12.8.4.3; nó không xác minh bằng mật mã dữ liệu Online Certificate Status Protocol (OCSP) hay danh sách thu hồi chứng chỉ (CRL) được nhúng. eidasQualified() xác thực cấu trúc PAdES chỉ ở mức PDF; trình độ eIDAS thực tế phụ thuộc vào nhà cung cấp dịch vụ tin cậy (TSP) và chứng chỉ đủ điều kiện, vốn nằm ngoài module này.
“Xác thực” nghĩa là gì ở đây
Phần tiêu đề ““Xác thực” nghĩa là gì ở đây”Module này kiểm tra các thuộc tính cấu trúc và báo cáo kết quả phát hiện. Nó không chứng nhận tài liệu và cũng không bảo đảm rằng tài liệu đáp ứng một quy định.
- Sự phù hợp là một thuộc tính của tệp cuối cùng cộng với một trình xác thực, không phải của thư viện này. ISO 19005-4:2020 §5.2 xác định sự phù hợp so với các yêu cầu quy phạm của tiêu chuẩn thông qua một công cụ kiểm tra, không phải thông qua phần mềm tạo ra tài liệu.
- Một báo cáo đạt là một kết quả đã được kiểm tra so với các quy tắc mà mỗi chính sách triển khai. Nó không phải là một chứng nhận.
- Các chính sách FDA 21 CFR Part 11 và SEC 17a-4 kiểm tra các thuộc tính cấu trúc được ngụ ý bởi các quy định (sự hiện diện của chữ ký, ý định ký, dấu vết kiểm toán, các ràng buộc ghi một lần, đọc nhiều lần (WORM)). Chúng không thiết lập sự tuân thủ pháp lý với các quy định đó. Đội ngũ tuân thủ của bạn xác định mức độ đầy đủ về mặt pháp lý.
Việc hỗ trợ một tiêu chuẩn không đồng nghĩa với sự phù hợp với tiêu chuẩn đó, và sự phù hợp không đồng nghĩa với chứng nhận. NextPDF không có chứng nhận nào và cũng không cấp chứng nhận nào.
Ranh giới giữa các phiên bản
Phần tiêu đề “Ranh giới giữa các phiên bản”- NextPDF Core
Compliancecung cấp các trình xác thực luồng byte và một kiểm tra chéo ngữ pháp; một kết quả không có phát hiện nào là một kết quả đã được kiểm tra, không phải chứng nhận. - NextPDF Pro
Compliance(EInvoiceValidator) xác thực EN 16931 / Factur-X / ZUGFeRD trong tiến trình ở lớp hóa đơn điện tử. - NextPDF Enterprise Validation (trang này) bổ sung các chính sách dựng sẵn cho việc lưu trữ, chữ ký, LTV và các kiểm tra cấu trúc của ngành chịu quản lý (FDA Part 11, SEC 17a-4) với một định dạng báo cáo duy nhất. Module Enterprise Compliance là một bề mặt riêng biệt ủy thác cho các sidecar bên ngoài; module này chạy trong tiến trình.
Bề mặt API
Phần tiêu đề “Bề mặt API”| Lớp | Trách nhiệm |
|---|---|
Compliance | Điểm vào: áp dụng một chính sách và trả về một báo cáo. |
Policies | Factory cho các thể hiện CompliancePolicy dựng sẵn. |
CompliancePolicy | Hợp đồng: validate() thuần túy trả về kết quả phát hiện. |
ComplianceReport | Kết quả phát hiện được nhóm theo mức độ nghiêm trọng; kèm theo tuyên bố miễn trừ pháp lý. |
ComplianceFinding | Một kết quả phát hiện: id quy tắc, thông điệp, tham chiếu tiêu chuẩn, biện pháp khắc phục. |
Severity | Error / Warning / Info. |
PdfAPolicy | Chính sách cấu trúc của họ PDF/A-4. |
PadesValidator | Chính sách cấu trúc đường nền PAdES / eIDAS. |
LtvHealthCheck | Kiểm tra sự hiện diện của cấu trúc DSS (ISO 32000-2 §12.8.4.3). |
ZugferdValidator | Chính sách mức PDF cho ZUGFeRD / Factur-X. |
FdaPart11Policy | Chính sách thuộc tính cấu trúc FDA 21 CFR Part 11. |
Sec17a4WormPolicy | Chính sách cấu trúc WORM cho SEC 17a-4 (độ nghiêm ngặt có thể chọn). |
Mẫu mã — bắt đầu nhanh
Phần tiêu đề “Mẫu mã — bắt đầu nhanh”use NextPDF\Enterprise\Validation\Compliance;use NextPDF\Enterprise\Validation\Policies;
$report = Compliance::assess($pdfBytes, Policies::pdfA4());$ok = $report->passes(); // no errorsMẫu mã — sản xuất
Phần tiêu đề “Mẫu mã — sản xuất”$report = (new Compliance($clock))->run($pdfBytes, Policies::fdaPart11());
foreach ($report->errors as $finding) { $logger->warning('validation.error', [ 'rule' => $finding->ruleId, 'standard' => $finding->standardReference, ]);}$auditLine = $report->getDisclaimer(); // surface this in user-facing outputTrường hợp biên & điều cần lưu ý
Phần tiêu đề “Trường hợp biên & điều cần lưu ý”- Cảnh báo không bao giờ làm báo cáo thất bại; chỉ lỗi mới đặt
passes()thành false. Một báo cáo sạch vẫn chỉ có nghĩa là “đã kiểm tra so với các quy tắc được triển khai”, không phải “tuân thủ”. LtvHealthCheckxác nhận cấu trúc DSS, không phải hiệu lực thu hồi bằng mật mã.eidasQualified()chỉ kiểm tra cấu trúc ở mức PDF; trình độ phụ thuộc vào TSP và chứng chỉ.- Họ SEC 17a-4 cung cấp độ nghiêm ngặt có thể chọn (Full / Compatible / Structural / PreSign); hãy chọn mức phù hợp với giai đoạn quy trình làm việc của bạn.
Hiệu năng
Phần tiêu đề “Hiệu năng”Mỗi chính sách chạy trong tiến trình trên các byte PDF được cung cấp; chi phí tỷ lệ với kích thước tài liệu và số lượng quy tắc. Compliance ghi lại thời lượng chạy trong báo cáo.
Lưu ý bảo mật
Phần tiêu đề “Lưu ý bảo mật”Các chính sách phân tích cú pháp byte PDF trong tiến trình và không bao giờ gọi ra ngoài. Hãy coi byte PDF từ các nguồn không tin cậy là độc hại; kiến trúc thuần chỉ đọc ngăn một chính sách thay đổi đầu vào.
Vị trí lưu trữ dữ liệu & biện pháp giảm thiểu PII
Phần tiêu đề “Vị trí lưu trữ dữ liệu & biện pháp giảm thiểu PII”Việc xác thực diễn ra trong tiến trình và cục bộ, không có I/O mạng. Tài liệu đã ký và siêu dữ liệu dấu vết kiểm toán có thể chứa dữ liệu cá nhân; hãy áp dụng các biện pháp kiểm soát lưu giữ và giảm thiểu của riêng bạn cho báo cáo và kết quả phát hiện.
Đo từ xa an toàn & làm sạch nhật ký
Phần tiêu đề “Đo từ xa an toàn & làm sạch nhật ký”Kết quả phát hiện bao gồm id quy tắc, tham chiếu tiêu chuẩn và thông điệp; một số thông điệp lặp lại tên người ký hoặc chuỗi lý do được trích từ PDF. Hãy làm sạch hoặc che các trường đó trước khi chuyển tiếp nhật ký đến các đích chung.
Sự phù hợp
Phần tiêu đề “Sự phù hợp”| Hành vi | Tham chiếu | Trạng thái |
|---|---|---|
| Sự phù hợp được xác định so với tiêu chuẩn, không phải bên tạo ra | ISO 19005-4:2020 §5.2 | Được phản ánh trong thiết kế (chính sách chỉ-đọc) |
| DSS hiện diện về cấu trúc cho LTV | ISO 32000-2:2020 §12.8.4.3 | Đã kiểm tra (chỉ cấu trúc) |
| Cấu trúc đường nền PAdES | ETSI EN 319 142-1 §5.4.3 | Đã kiểm tra (mức PDF) |
| Mô hình ngữ nghĩa hồ sơ EN 16931 | Factur-X 1.08 (EN 16931) | Tham chiếu hỗ trợ (bên phát hành vẫn chịu trách nhiệm) |
| FDA 21 CFR Part 11 / SEC 17a-4 | 21 CFR Part 11 / 17 CFR 240.17a-4 | Thuộc tính cấu trúc đã kiểm tra; chưa được xác minh về mặt pháp lý |
Bảng này ghi lại nội dung mà mỗi chính sách kiểm tra và các đặc tả làm nền cho chính sách đó. Nó không phải là tuyên bố về chứng nhận hay mức độ đầy đủ về mặt quy định. Các hàng FDA và SEC chỉ là kiểm tra thuộc tính cấu trúc; những tiêu chuẩn nguồn đó không nằm trong kho ngữ liệu xác minh và không có tuyên bố phù hợp Verified.
Hành vi ở chế độ FIPS
Phần tiêu đề “Hành vi ở chế độ FIPS”Các chính sách này không thực hiện việc ký hay xác minh bằng mật mã. Các module Signature và Security xử lý hiệu lực chữ ký mật mã, việc lưu giữ khóa và hành vi ở chế độ Federal Information Processing Standards (FIPS).
Mô hình mối đe dọa
Phần tiêu đề “Mô hình mối đe dọa”Đầu vào chính là byte PDF không tin cậy. Các biện pháp giảm thiểu bao gồm chính sách thuần chỉ đọc (không thay đổi, không tự động sửa), không có I/O mạng và một tuyên bố miễn trừ pháp lý rõ ràng trên mọi báo cáo, nhằm tránh nhầm lẫn một kết quả đạt thành chứng nhận.
Bối cảnh thương mại
Phần tiêu đề “Bối cảnh thương mại”NextPDF Enterprise bổ sung các chính sách dựng sẵn cho việc lưu trữ, chữ ký, LTV và ngành chịu quản lý với một định dạng báo cáo duy nhất. So sánh các phiên bản.
Cổng phiên bản
Phần tiêu đề “Cổng phiên bản”Tính năng này có trong NextPDF Enterprise. Nhận giấy phép.
Cờ tính năng giấy phép
Phần tiêu đề “Cờ tính năng giấy phép”Bậc enterprise kiểm soát bề mặt này. Hãy cài đặt gói Enterprise bên cạnh gói Core; factory chính sách và điểm vào compliance được phân giải lúc chạy thông qua hợp đồng Core, nên mã gọi không thay đổi khi bạn nâng cấp phiên bản.
Hợp đồng hành vi
Phần tiêu đề “Hợp đồng hành vi”- Phương thức
validate()của mỗi chính sách là một hàm thuần túy: nhận byte PDF và trả về kết quả phát hiện. Nó không bao giờ thay đổi đầu vào; kiến trúc giữ một ranh giới chỉ đọc nghiêm ngặt tách biệt với mọi hành vi tự động sửa. - Báo cáo nhóm các kết quả phát hiện theo mức độ nghiêm trọng;
passes()trả về true khi không có lỗi, và cảnh báo không bao giờ làm báo cáo thất bại. - Mọi báo cáo đều kèm theo một tuyên bố miễn trừ pháp lý tích hợp sẵn nêu rõ rằng kết quả chỉ là kiểm tra cấu trúc kỹ thuật để tham khảo; bạn phải hiển thị tuyên bố miễn trừ đó trong đầu ra dành cho người dùng.
- Kiểm tra tình trạng LTV chỉ xác nhận sự hiện diện về cấu trúc của DSS; nó không xác minh bằng mật mã dữ liệu OCSP/CRL được nhúng.
- Chính sách eIDAS-qualified chỉ xác thực cấu trúc PAdES ở mức PDF; trình độ thực tế phụ thuộc vào nhà cung cấp dịch vụ tin cậy và chứng chỉ, vốn nằm ngoài module này.
Trạng thái rà soát NDA
Phần tiêu đề “Trạng thái rà soát NDA”Trang công khai này chỉ mô tả hành vi có thể quan sát từ bên ngoài. Nó không chứa đường dẫn namespace nội bộ nào ngoài các tên lớp công khai được hỗ trợ đã liệt kê, không có tên trait nội bộ, không có tên tệp runbook và không có tiền tố ticket nội bộ. Các phần nội bộ theo từng chính sách vẫn nằm trong tài liệu tham chiếu có kiểm soát theo thỏa thuận không tiết lộ (NDA).
Phương án dự phòng Core
Phần tiêu đề “Phương án dự phòng Core”NextPDF Core Compliance cung cấp các trình xác thực luồng byte và một kiểm tra chéo ngữ pháp; một kết quả không có phát hiện nào là một kết quả đã được kiểm tra, không phải chứng nhận. Các chính sách dựng sẵn cho việc lưu trữ, chữ ký, LTV và ngành chịu quản lý với một định dạng báo cáo duy nhất không có phương án tương đương ở bậc Core.
Phương án dự phòng Pro
Phần tiêu đề “Phương án dự phòng Pro”NextPDF Pro Compliance xác thực EN 16931 / Factur-X / ZUGFeRD trong tiến trình tại lớp hóa đơn điện tử. Nó không cung cấp các chính sách cấu trúc dựng sẵn PDF/A-4, PAdES, LTV, FDA Part 11 hay SEC 17a-4; những chính sách đó chỉ có trong gói nextpdf/enterprise. Bề mặt external-sidecar của Enterprise Compliance là một module riêng biệt.
Lưu ý ranh giới Enterprise
Phần tiêu đề “Lưu ý ranh giới Enterprise”Điểm vào, factory chính sách và báo cáo được mô tả ở mức hành vi. Các phần nội bộ của quy tắc theo từng chính sách và mọi chi tiết phân loại nội bộ nằm ngoài phạm vi của bề mặt công khai. Hiệu lực mật mã của chữ ký được chủ ý đặt ngoài phạm vi ở đây; phía xác minh Signature verification và các module Security xử lý điều đó.
Ranh giới triển khai
Phần tiêu đề “Ranh giới triển khai”Việc xác thực chạy trong tiến trình và cục bộ, không có I/O mạng; một chính sách không thể thay đổi đầu vào. Người vận hành coi byte PDF từ các nguồn không tin cậy là độc hại, hiển thị tuyên bố miễn trừ của báo cáo trong đầu ra dành cho người dùng, và chịu trách nhiệm về các biện pháp kiểm soát lưu giữ và giảm thiểu cho báo cáo và kết quả phát hiện, vốn có thể chứa dữ liệu cá nhân từ tài liệu đã ký và siêu dữ liệu dấu vết kiểm toán.
Ranh giới tuân thủ pháp lý
Phần tiêu đề “Ranh giới tuân thủ pháp lý”Trang này được đánh dấu export_control_class: legal-review-required; cần có sự phê duyệt pháp lý trước khi đặt cờ publish. Việc hỗ trợ một tiêu chuẩn không đồng nghĩa với sự phù hợp với tiêu chuẩn đó, và sự phù hợp không đồng nghĩa với chứng nhận; NextPDF không có chứng nhận nào và cũng không cấp chứng nhận nào. Các chính sách FDA 21 CFR Part 11 và SEC 17a-4 chỉ kiểm tra các thuộc tính cấu trúc và không thiết lập sự tuân thủ pháp lý. Tài liệu này không phải là ý kiến tư vấn pháp lý; hãy tham khảo đội ngũ tuân thủ của bạn để biết mức độ đầy đủ về mặt pháp lý.
Xem thêm
Phần tiêu đề “Xem thêm”- Compliance — các sidecar trình xác thực bên ngoài (bề mặt riêng biệt).
- Evidence — các gói báo cáo được niêm phong, đóng dấu thời gian.
- Core Compliance — các trình xác thực luồng byte trong tiến trình.
- Signature verification — phía xác minh CMS mật mã / dấu thời gian / chuỗi lưu trữ (khác với bề mặt cấu trúc này).
- Đặc tả: PDF/A-4 — tiêu chuẩn được tham chiếu.
- Validation — Deep Reference (có kiểm soát).