NextPDF 背后的公司
Spec: ISO/IEC 27001:2022 ISO/IEC 27001:2022 Evidence: Mixed evidence
NextPDF 由 拓宇网络(PATEON Network Technology) 构建和维护;拓宇是一家总部位于台湾台北的独立软件技术公司。在第一行代码开源之前,这款引擎已在公司内部作为生产产品运行多年,用于安全与合规至关重要的 B2B 文档工作流。
开源的 核心(core) 正是在那段工作中证明了自己的引擎,并以 Apache-2.0 许可向社区发布。Pro 版与 Enterprise 版仍是拓宇的专有产品。本页说明谁在引擎背后负责、它在何种安全准则下构建,以及为什么在采用它之前值得了解这段来历。
为什么这很重要
标题为“为什么这很重要”的章节当你选择一款 PDF 引擎时,你选择的是一个会接触敏感材料的依赖:合同、发票、已签署的协议,以及用于为它们签名的私钥。对于一个涉及密码学和法律凭证的开源库来说,“是谁在维护它,又遵循何种准则?”并不是一个主观问题,而是一个供应链问题。
一个看得见的维护方,让你能够评估具体事实:谁拥有这些代码、谁对维护它负责,以及他们遵循怎样的治理方式。NextPDF 对这些问题给出了直白的回答。它是一款商业产品的开源核心,出自一家有正式团队的公司,诞生于生产环境,至今仍由当初构建它的团队拥有并积极维护,并受一套经独立认证的信息安全管理体系治理。这段来历可以核验,本页将向你展示如何亲自核验。
简短版本
标题为“简短版本”的章节- 创建者。 拓宇网络(PATEON Network Technology,商号 pnt.)是一家位于台湾台北的公司,为 B2B 客户提供一体化的网络技术与安全服务。
- 团队。 约 25 人,组织结构包括一支独立的研发团队、一支专职的安全研究团队,以及一个网络运营中心(NOC)——这不是某个人的副业项目,而是一个有正式编制的工程组织。
- 起源。 NextPDF Core 起初是拓宇的内部引擎,在开源之前已通过多年的商业生产使用得到验证和打磨。
- 准则。 拓宇运行一套 通过 ISO/IEC 27001:2022 认证 的信息安全管理体系,经独立审核,并处于持续监督之下。
- 分工。 核心是开源的(Apache-2.0)且面向社区开放;Pro 版与 Enterprise 版保持专有,其营收为开源核心的持续维护提供资金。
NextPDF 的做法
标题为“NextPDF 的做法”的章节NextPDF 的诞生并不是一场营销活动。它最初是一家安全公司为服务自身客户所需的工具,并带着那段出身留下的印记:一个 拒绝臆测的 API、带类型的失败,以及对静默降级的拒绝。这些都是软件的习惯,出自那些必须在付费客户面前真实运行它的人之手,而不是做完演示就束之高阁的人。
从内部产品到开源引擎的这条路,是分阶段、有意识推进的结果。
- Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
- Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
- Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
- Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
- Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.
这就是 经过商业验证 在实践中的含义。这款核心引擎不是还在等待首次真实负载检验的 1.0 新项目——它已在生产环境中接受多年的实战检验,面对的是与审计相关的文档以及附带真实义务的签名工作流。将它开源,是为了分享一款已经历实战的产品,而不是为了众包一款尚未完工的产品。
同样的准则也解释了为什么信息安全与标准合规并非外接的附加功能,而是整个项目的主干。一家以安全服务为业的公司,不会随意对待一条签名流水线。这种态度也反映在文档的撰写方式上:行为性陈述都被要求标明边界,标准会用其精确标识符命名。引擎为何采取失败即关闭(fail-closed)立场,以及相关证据,都阐述在 设计理念页上——本页只是指向它。
这家公司有哪些可核验事实
标题为“这家公司有哪些可核验事实”的章节拓宇网络(PATEON Network Technology)是一家在台湾注册的公司。以下标识符均为公开信息,可独立核查——关于 亲自核验来历 的那一节会说明具体做法。
| 属性 | 值 |
|---|---|
| 注册名称(英文) | PATEON NETWORK TECHNOLOGY INCORPORATED |
| 商号 | PATEON NETWORK TECHNOLOGY (pnt.) |
| 注册名称(中文) | 拓宇網路資訊股份有限公司 |
| 法律辖区 | Taiwan (R.O.C.) |
| 登记机关 | Taipei City Government |
| 总部 | 5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan |
| 注册资本 | TWD 20,000,000 (approximately USD 650,000) |
| 统一编号 / 增值税号 | TW-83211678 |
| D-U-N-S 编号 | 657718207 |
| 组织标识符 | LEIXG-984500C5F04C2EF6C128 |
| 准据法 | Taiwan / R.O.C. |
证据说明了什么
标题为“证据说明了什么”的章节本页属于 Evidence: Mixed evidence :这是一份关于项目起源的编辑性陈述,并由一项有凭证支撑的认证和一组公开的公司登记记录相互印证。它并不要求你仅凭信任接受这个故事。创建者是一家注册公司,有真实地址、有正式编制的组织,也有一项你可以对照独立登记库确认的安全认证。
ISO/IEC 27001:2022——经过认证的信息安全管理体系
标题为“ISO/IEC 27001:2022——经过认证的信息安全管理体系”的章节本页中最有分量的事实,是拓宇的信息安全管理体系(ISMS)已通过 Spec: ISO/IEC 27001:2022 ISO/IEC 27001:2022 认证。
简单地说,ISMS 是一套用于管理信息安全风险的受治理框架:成文的策略、明确的风险评估与风险处置流程、一组既定的控制措施、清晰的责任归属,以及内部审核与持续改进循环。ISO/IEC 27001 是这类体系据以接受独立审核的国际标准;这里的认证针对其 2022 修订版。
认证在这里之所以重要,有三个具体的理由:
- 它是独立的,而非自我宣称的。 一家第三方认证机构依据该标准审核了这套管理体系。这个结论来自认证机构,而不是公司自己印发的徽章。
- 它是持续维持的,而非一次性盖章。 ISO/IEC 27001 认证通过定期监督审核和跨年度再认证周期来维持。一张有效证书意味着这套准则正在被反复复核,而不是一次性勾选了某个方框。
- 它治理着与你的数据相关的风险处理方式。 证书所覆盖的同一套管理体系,正是约束拓宇团队如何对待密钥、源代码、客户材料以及产品周边运营面的依据。
该认证可独立核验:
| 属性 | 值 |
|---|---|
| 标准 | ISO/IEC 27001:2022 |
| 证书编号 | QCC/B86F/1224 |
| 认证机构 | Quality Control Certification |
| IAF 可核验记录 | iafcertsearch.org |
该 IAF 链接会跳转到这张证书在 IAF CertSearch 数据库中的条目——即国际认可论坛(International Accreditation Forum)登记由获认可机构颁发认证的注册库。这正是区分真实认证与空泛声明的关键检验:你无需轻信任何人之言,就能自行查到它。
实例演示
标题为“实例演示”的章节核验这段来历只需几分钟,也不需要任何特殊权限。所需的一切都是公开的:
- 确认认证。 打开 IAF CertSearch 记录,核对其中是否标明了拓宇网络(PATEON Network Technology)以及对应 ISO/IEC 27001:2022 的证书 QCC/B86F/1224。
- 确认公司。 将 D-U-N-S 编号 657718207 和台湾统一编号 TW-83211678 分别与公开的工商登记库交叉核对。组织标识符 LEIXG-984500C5F04C2EF6C128 遵循 ETSI EN 319 412-1 的组织标识符格式:前缀
LEIXG表示一个法人实体标识符(LEI),而984500C5F04C2EF6C128是其 20 个字符的 LEI。 - 确认代码。 开源核心采用 Apache-2.0 许可;其许可证、源代码和发布历史均为公开。许可概览 精确说明了开源核心授予了什么,以及专有版本从何处开始。
三个独立来源——一个认可登记库、一个工商登记库,以及一份公开的代码许可证——都指向同一个创建者。这就是可核验的来历应有的样子。
常见误解
标题为“常见误解”的章节最常见的误读,是把 开源 等同于 无人支持:一个你只能自担风险采用的库,由志愿者在业余时间维护,关键时刻无人负责。NextPDF 恰恰是相反的形态。核心是一款商业产品的开源版本,由销售基于它构建的 Pro 版与 Enterprise 版的同一家公司维护。商业业务正是开源核心得以持续维护的原因,而非对它的威胁。
第二个误读,是认为一款有公司背书的引擎就一定会 回传数据(phone home),或会看到你的文档。它并不会。NextPDF Core 在你自己的进程中、你自己的基础设施上运行;它完成工作不依赖拓宇的任何服务。与公司的关系,关系到的是谁来构建和治理这些代码,而非你的文档去往何处。引擎收集什么、不收集什么,已按其自身的说法记录在 数据处理 一文中。
限度与边界
标题为“限度与边界”的章节本页是一篇编辑性的 关于 页。它陈述项目的起源和创建者的资质;它本身不会为引擎新增任何行为性论断。关于 NextPDF 的每一项行为性论断,都归属到相应主题页,并带有该页的证据级别。
有几条边界值得直接说明:
- 该认证覆盖的是 ISMS,而非逐版本的产品印章。 ISO/IEC 27001 认证的是公司的信息安全 管理体系。它是组织准则的有力证据;它并不是针对任一单独 NextPDF 发布版本的逐行符合性证书,本页也不会把它当作这样的证书来呈现。
- 开源核心,专有高级版。 Apache-2.0 适用于核心引擎。Pro 版与 Enterprise 版是拓宇的专有成果,不在开源授权范围之内。这条边界落在何处,记录在 许可概览 中。
- 公司信息可能变更。 资本、地址和登记细节均以本页复核日期为准。权威来源始终是公开登记库,而非本页。
相关文档
标题为“相关文档”的章节- NextPDF 设计理念——从这段商业起源中生长出来的工程原则。
- 标准全景——引擎所追踪的标准,以及条款如何转化为行为。
- 把文档当作产品——同样的准则,应用到你正在阅读的这些文档上。
- 数据处理——引擎收集什么,以及不收集什么。
术语表
标题为“术语表”的章节- 拓宇网络(PATEON Network Technology,pnt.)——构建和维护 NextPDF 的那家位于台湾台北的公司;注册名为 PATEON NETWORK TECHNOLOGY INCORPORATED。
- ISMS(信息安全管理体系)——一套由策略、风险处置、控制措施和审核组成的受治理框架,组织借此管理信息安全风险。
- ISO/IEC 27001:2022——该国际标准的 2022 版,ISMS 据以接受独立审核和认证。
- IAF CertSearch——国际认可论坛(International Accreditation Forum)的公开注册库,登记由获认可的认证机构所颁发的认证;用于独立确认一张证书。
- NOC(网络运营中心)——一项有正式编制的职能,负责监控和运营网络与服务基础设施。
- 经过商业验证——在真实、付费的生产使用中、在真正的义务之下得到证明,区别于仅在受控示例中做过演示。