NextPDF 背後的公司
Spec: ISO/IEC 27001:2022 ISO/IEC 27001:2022 Evidence: Mixed evidence
重點摘要
標題為「重點摘要」的區段NextPDF 由 PATEON Network Technology 打造與維護;這是一家位於台灣台北的獨立軟體技術公司。在它開放任何一行原始碼之前,這套引擎已在該公司內部作為正式產品運作多年——用於對安全與合規有要求的 B2B 文件工作流程。
開放原始碼的核心,正是那套已在這些工作中證明自己的引擎,並以 Apache-2.0 授權釋出給社群。Pro 與 Enterprise 版本則仍是 PATEON 的專有產品。本頁說明是誰支撐這套引擎、它在何種安全紀律下打造,以及在你採用它之前,為什麼這份來歷值得了解。
為什麼這很重要
標題為「為什麼這很重要」的區段當你選擇一套 PDF 引擎時,你選擇的是一個會直接接觸敏感資料的相依套件:合約、發票、已簽署的協議,以及為它們簽章的私鑰。對於一套觸及密碼學與法律文件的開放原始碼函式庫而言,「這是誰在維護,又是在什麼紀律下維護?」並不是一個感性的問題,而是一個供應鏈問題。
明確的維護者能提供具體的評估依據:誰擁有這份程式碼、誰為其維護負責,以及他們遵循什麼治理。NextPDF 對這些問題有清楚答案。它是一項商業產品的開放核心——出自一家有正式編制團隊的公司、誕生於正式生產環境,至今仍由當初打造它的團隊持有並積極維護,並受一套經獨立認證的資訊安全管理系統治理。這份來歷可供驗證,而本頁會說明你如何親自驗證它。
簡短版本
標題為「簡短版本」的區段- 打造者。 PATEON Network Technology(商業名稱 pnt.)是一家位於台灣台北的公司,為 B2B 客戶提供整合型網路技術與資安服務。
- 團隊。 約 25 人,組織成一支獨立的研發團隊、一支專責的資安研究團隊,以及一個網路維運中心(NOC)——這不是單一的業餘專案,而是一個有正式編制的工程組織。
- 起源。 NextPDF Core 最初是 PATEON 的內部引擎;在開放之前,已經過多年商業生產使用打磨而趨於穩固。
- 紀律。 PATEON 運作一套經 ISO/IEC 27001:2022 認證的資訊安全管理系統,經獨立稽核並持續接受監督。
- 版本劃分。 核心以開放原始碼(Apache-2.0)形式對社群開放;Pro 與 Enterprise 維持專有,其收益則資助開放核心的持續維護。
NextPDF 如何看待這件事
標題為「NextPDF 如何看待這件事」的區段NextPDF 的起點並不是一場行銷練習。它一開始是一家資安公司為自家客戶需求打造的工具,也保留了那段起源的痕跡:一套拒絕臆測的 API、具型別的失敗,以及對悄然降級的拒絕。這些習慣,來自必須在付費客戶面前實際運作軟體的人,而不是只做一次示範就離開的人。
從內部產品走向開放原始碼引擎的這條路,是分階段、有意識地推進而成。
- Built for clients NextPDF began as PATEON's internal engine for regulated B2B document, signing, and validation work.
- Proven in production Years of commercial use under real compliance and security obligations exposed the edge cases and fixed them.
- Security-governed Maintained under an ISO/IEC 27001:2022-certified ISMS, with a dedicated security-research team owning the cryptographic surface.
- Opened to the community The mature core engine was released as Apache-2.0 open source, with the original team continuing to maintain it.
- Premium stays specialised Pro and Enterprise remain PATEON's proprietary product, and fund the open core they build on.
這就是經商業驗證在實務上的意涵。這套核心引擎並不是一個還在尋找第一個真實工作負載的 1.0 版本——它已在生產環境中歷練多年,面對的是與稽核相關的文件,以及伴隨真實義務的簽章工作流程。將它開放,是決定分享一項早已完成實戰的產品,而不是把尚未完成的產品交給群眾補完。
同樣的紀律也說明了,為什麼資訊安全與標準合規不是外加的功能,而是這個專案的脊梁。一家以資安服務為本業的公司,不會草率對待簽章流程。這種態度也反映在文件的撰寫方式上:行為層面的主張必須說明其邊界,標準則以確切的識別碼指稱。引擎採取失敗即關閉(fail-closed)立場背後的理由,連同其佐證,已闡述於設計理念頁面——本頁僅指向它。
這家公司,以可驗證的事實呈現
標題為「這家公司,以可驗證的事實呈現」的區段PATEON Network Technology 是一家依法登記的台灣公司。下列識別碼都是公開資料,也都可獨立查核——親自驗證來歷一節會說明做法。
| 屬性 | 值 |
|---|---|
| 登記名稱(英文) | PATEON NETWORK TECHNOLOGY INCORPORATED |
| 商業名稱 | PATEON NETWORK TECHNOLOGY (pnt.) |
| 登記名稱(中文) | 拓宇網路資訊股份有限公司 |
| 管轄地 | Taiwan (R.O.C.) |
| 登記機關 | Taipei City Government |
| 總部 | 5F, No. 92, Section 3 Jianguo North Road, Zhongshan Dist., 104069 Taipei City, Taiwan |
| 登記資本額 | TWD 20,000,000(約 USD 650,000) |
| 營業登記號/統一編號 | TW-83211678 |
| D-U-N-S Number | 657718207 |
| 組織識別碼 | LEIXG-984500C5F04C2EF6C128 |
| 準據法 | Taiwan / R.O.C. |
證據怎麼說
標題為「證據怎麼說」的區段本頁屬於 Evidence: Mixed evidence :它是一份關於此專案起源的編輯性說明,並由一份可驗證的認證與一組公開的公司登記資料佐證。本頁不要求你只憑信任接受這段來歷。其打造者是一家依法登記的公司,有真實的地址、有正式編制的組織,以及一份你可以對照獨立登錄處確認的資安認證。
ISO/IEC 27001:2022——一套經認證的資訊安全紀律
標題為「ISO/IEC 27001:2022——一套經認證的資訊安全紀律」的區段本頁最重要、也最能支撐本文的事實,是 PATEON 的資訊安全管理系統(ISMS)已取得 Spec: ISO/IEC 27001:2022 ISO/IEC 27001:2022 認證。
簡單來說,ISMS 是一套受治理的框架,用來管理資訊安全風險:書面化的政策、明確的風險評鑑與風險處理流程、一組界定好的控制措施、指派到位的權責歸屬,以及一套內部稽核與持續改善的循環。ISO/IEC 27001 正是這類系統據以接受獨立稽核的國際標準;本認證對應的是其 2022 年版。
在這裡,認證之所以重要,有三個具體的理由:
- 它是獨立的,而非自我宣稱。 由第三方認證機構依該標準對此管理系統進行稽核。這項認定由該機構做出,而不是公司自行貼上的徽章。
- 它是持續性的,而非一次性的戳章。 ISO/IEC 27001 認證須透過定期的監督稽核與多年期的重新認證循環來維持。一份有效的證書意味著這套紀律正在被重新查驗,而不是某個項目只勾選過一次。
- 它治理著你的資料周邊風險如何被處理。 證書所涵蓋的這同一套管理系統,正是約束 PATEON 團隊如何處理金鑰、原始碼、客戶素材,以及產品相關維運面的依據。
這份認證可獨立驗證:
| 屬性 | 值 |
|---|---|
| 標準 | ISO/IEC 27001:2022 |
| 證書編號 | QCC/B86F/1224 |
| 認證機構 | Quality Control Certification |
| IAF 可查核紀錄 | iafcertsearch.org |
這個 IAF 連結會導向該證書在 IAF CertSearch 資料庫中的條目——亦即國際認證論壇(International Accreditation Forum)所收錄、由獲認可機構簽發之認證的登錄處。這正是區分真實認證與單純宣稱的查核方式:你可以親自查找,而不必聽信任何人的片面之詞。
實際範例
標題為「實際範例」的區段驗證這份來歷只需幾分鐘,也不需要任何特殊存取權限。所需的一切都是公開的:
- 確認認證。 開啟 IAF CertSearch 紀錄,並查核它是否載明 PATEON Network Technology 以及對應 ISO/IEC 27001:2022 的證書 QCC/B86F/1224。
- 確認公司。 將 D-U-N-S Number 657718207 與台灣統一編號 TW-83211678 對照公開的商業登記資料,進行交叉查核。組織識別碼 LEIXG-984500C5F04C2EF6C128 採用 ETSI EN 319 412-1 的組織識別碼格式:
LEIXG前綴代表法律實體識別碼(Legal Entity Identifier),而984500C5F04C2EF6C128則是其 20 字元的 LEI。 - 確認程式碼。 開放原始碼核心採用 Apache-2.0 授權;其授權條款、原始碼與發行歷程皆為公開。授權總覽 明確列出開放核心究竟授予了什麼,以及專有版本從何處開始。
三個獨立來源——一個認可登錄處、一個公司登記處,以及一份公開的程式碼授權——指向的是同一位打造者。這就是可驗證來歷應有的樣子。
常見誤解
標題為「常見誤解」的區段最常見的誤讀,是把開放原始碼等同於無人支援:一套你必須自行承擔風險採用、由志工在業餘時間維護、在關鍵時刻沒有人負責的函式庫。NextPDF 恰恰是相反的型態。核心是一項商業產品的開放版本,由同一家販售以它為基礎打造之 Pro 與 Enterprise 版本的公司維護。這項商業業務正是開放核心得以持續被維護的原因,而不是對它的威脅。
第二種誤讀,是認為一套有公司背書的引擎,就一定會*回傳資料(phone home)*或看見你的文件。它並不會。NextPDF Core 在你自己的行程、你自己的基礎設施上運作;它無須依賴 PATEON 的服務即可完成工作。這層公司關係關乎的是誰打造並治理這份程式碼,而不是你的文件去了哪裡。引擎收集與不收集哪些資料,已在資料處理中依其自身條件記載。
限制與邊界
標題為「限制與邊界」的區段本頁是一個編輯性的關於頁面。它陳述此專案的起源與打造者的資格憑證;它本身並未對引擎提出任何新的行為層面主張。關於 NextPDF 的每一項行為層面主張,都置於承載該主張的主題頁面上,並帶有該頁面的證據層級。
有幾條邊界值得直接說明:
- 這份認證涵蓋的是 ISMS,而非逐版本的產品封章。 ISO/IEC 27001 認證的是公司的資訊安全管理系統。它是組織紀律的有力證據;它並不是針對任何單一 NextPDF 發行版本的逐行符合性證書,而本頁也並未把它當成那樣呈現。
- 開放核心,專有進階。 Apache-2.0 治理核心引擎。Pro 與 Enterprise 版本是 PATEON 的專有成果,並不屬於開放原始碼授權的範圍。邊界落在何處,已記載於授權總覽中。
- 公司資訊可能變動。 資本額、地址與登記細節,是截至本頁審閱日期為止的現況。具權威性的來源始終是公開的登記資料,而不是本頁。
相關文件
標題為「相關文件」的區段- NextPDF 設計理念——從這段商業起源中發展出來的工程原則。
- 標準全景——引擎所追蹤的標準,以及條款如何落實為行為。
- 以產品之姿經營文件——把同一套紀律,套用到你正在閱讀的這套文件上。
- 資料處理——引擎收集什麼,以及不收集什麼。
詞彙表
標題為「詞彙表」的區段- PATEON Network Technology (pnt.)——打造並維護 NextPDF、位於台灣台北的公司;登記名稱為 PATEON NETWORK TECHNOLOGY INCORPORATED。
- ISMS(資訊安全管理系統,Information-Security Management System)——一套受治理的框架,涵蓋政策、風險處理、控制措施與稽核,組織藉以管理資訊安全風險。
- ISO/IEC 27001:2022——該國際標準的 2022 年版,ISMS 即依此標準接受獨立稽核與認證。
- IAF CertSearch——國際認證論壇(International Accreditation Forum)所收錄、由獲認可認證機構簽發之認證的公開登錄處;證書可在此被獨立確認。
- NOC(網路維運中心,Network Operations Center)——一個有正式編制的職能單位,負責監控與維運網路與服務基礎設施。
- 經商業驗證——在真實、付費的生產使用與實際義務下獲得證明,有別於僅在受控範例中演示。