Állandóan használok online PDF-eszközöket.

Csak nem kezelek minden PDF-et ugyanúgy.

Ha a fájl egy brosúra, egy vázlatos diasor vagy egy egyoldalas tájékoztató, ami már öt bejövő mappában ott van, nem gondolom túl. Ha viszont aláírt szerződésről, útlevélmásolatról, bankszámlakivonatról, HR-űrlapról, egészségügyi dokumentumról vagy bármiről van szó, amiben személyes adat van, lelassítok, és felteszek egy hasznosabb kérdést:

Hova kerül ez a fájl valójában?

Ez az igazi kérdés a “biztonságos online PDF-eszközöket használni érzékeny dokumentumokhoz?” mögött. Nem az, hogy a weboldal letisztultnak tűnik-e. Nem az, hogy van-e lakat ikon a böngészősávban. Nem az, hogy a főoldalon az szerepel-e, hogy “biztonságos”.

A válasz attól függ, mit csinál az eszköz a fájloddal, mennyire érzékeny valójában a dokumentum, és egyáltalán a megfelelő problémát próbálod-e megoldani.

A rövid válasz

Igen, az online PDF-eszközök bizonyos érzékeny dokumentumokhoz elég biztonságosak lehetnek, de csak akkor, ha érted a kockázati modellt.

A három legfontosabb szempont:

  • a fájl felkerül-e egy szerverre, vagy helyben, a böngésződben dolgozza fel az eszköz
  • tartalmaz-e a dokumentum olyan rejtett adatot, amit az oldalon nem látsz
  • egyáltalán való-e ez a fájl egy fogyasztói webes eszközbe

Ha a dokumentum tényleg érzékeny, én inkább két lehetőség valamelyikét választom:

  • egy böngészőalapú eszközt, amely helyben, az eszközön dolgozza fel a fájlt
  • egy jóváhagyott asztali vagy vállalati workflow-t

Amit nem tennék, az az, hogy vakon feltöltenék egy szerződést, személyi igazolványt, adónyomtatványt vagy bankszámlakivonatot egy random PDF-oldalra csak azért, mert oda van írva, hogy “a fájlokat egy óra múlva töröljük”. Ez még mindig tárolási szabályzat. Nem ugyanaz, mint amikor a fájl eleve fel sem kerül.

Az “online PDF-eszköz” két nagyon különböző dolgot is jelenthet

Itt szoktak elbeszélni egymás mellett az emberek.

Néhány online PDF-eszköz valójában felhőszolgáltatás webes felülettel. Behúzod a fájlt, a rendszer elküldi a szolgáltató szerverére, ott történik a feldolgozás, aztán letöltöd az eredményt.

Más eszközök az alkalmazás betöltése után a böngészőben futnak. Ennél a modellnél a feldolgozás az eszközödön történik. Az oldal a megnyitáskor még letölthet JavaScriptet, betűkészleteket vagy más erőforrásokat, de a tényleges dokumentumnak nem kell elhagynia a gépedet.

Adatvédelmi szempontból ez a két modell egyáltalán nem ugyanaz.

EszközmodellElhagyja a fájl az eszközödet?Miben bízol meg?Legjobb felhasználás
Felhőalapú PDF-szolgáltatásÁltalában igenA szolgáltató tárolása, megőrzési szabályai, biztonsági mentései, hozzáférés-kezelése, naplózásaAlacsony kockázatú fájlok, kényelmi workflow-k
Helyben futó, böngészőalapú eszközNem feltétlenülA böngésződben futó kód, a saját eszközöd biztonságaÉrzékeny fájlok, ahol számít a feltöltési kockázat
Jóváhagyott asztali vagy vállalati eszközNincs nyilvános feltöltési útvonalA saját géped vagy a céged által kontrollált környezetSzabályozott vagy magas kockázatú dokumentumok

Ezért nem kezelem az “online”-t egyetlen kategóriaként. Egy helyben futó, böngészőalapú eszköz továbbra is weboldal, de adatvédelmi szempontból egészen más kompromisszumot jelent, mint amikor feltöltesz egy fájlt egy szerveroldali konverterhez.

Miért trükkösebbek az érzékeny PDF-ek, mint amilyennek látszanak

Az egyik ok, amiért sokakat ez váratlanul ér, hogy egy PDF-ben több lehet, mint ami az oldalon látszik.

Attól függően, hogyan készült a dokumentum, lehet benne:

  • metaadat
  • megjegyzés vagy annotáció
  • űrlapmező
  • rejtett OCR-szöveg
  • beágyazott fájl
  • korábbi szerkesztésekből megmaradt réteg

Ezért van az, hogy az Adobe Acrobatban is vannak rejtett információk eltávolítására és a fájlok tisztítására szolgáló funkciók. És ezért ad a Microsoft is Document Inspectort az Office-hoz. Ez annyira valós probléma, hogy a mainstream dokumentumszoftverekben is vannak rá beépített takarító eszközök.

Vagyis még mielőtt a weboldal miatt aggódnál, magával a dokumentummal is számolnod kell.

Ha a fájl érzékeny információt tartalmaz, két külön kérdést érdemes feltenni:

  1. Biztonságosan megosztható a látható tartalom?
  2. Biztonságosan megosztható maga a fájl?

Ez a kettő nem mindig ugyanaz.

Ha redakcióról van szó, ez még fontosabb. A szöveg fölé húzott fekete téglalap nem ugyanaz, mint maga a szöveg eltávolítása. Ha ez a te workflow-dnak is része, küldés előtt olvasd el ezt: A fekete sáv nem redakció.

A valódi kockázatok, amikor feltöltesz egy érzékeny dokumentumot

Az emberek általában rögtön oda ugranak, hogy “és ha feltörik ezt az oldalt?” Ez teljesen jogos kérdés, de nem az egyetlen.

A gyakorlatban legalább öt kockázatot végiggondolok.

1. A szolgáltatás tovább őrzi a fájlt, mint gondolnád

Lehet, hogy egy óra múlva törli. Lehet, hogy egy nap múlva. Lehet, hogy a feldolgozás után. Az is lehet, hogy az adatkezelési tájékoztató annyira homályos, hogy ezt valójában nem tudod megállapítani.

Ha a fájl egyáltalán eljut a szerverükre, akkor a megőrzési szabályzatukban, a mentési gyakorlatukban és a belső kontrolljaikban bízol.

Egy étlapnál ez még beleférhet.

Egy személyes adatot tartalmazó aláírt megállapodásnál inkább nem szeretném ezt a függést létrehozni, hacsak nincs rá nagyon jó okom.

2. A dokumentum olyan rejtett információt tartalmaz, amiről megfeledkeztél

Ez az az unalmas kockázat, amiből aztán valódi baj lesz.

Feltöltesz egy fájlt, mert az oldal jól néz ki. Közben a PDF-ben még mindig ott van a szerző metaadata, megjegyzések, szerkesztési maradványok, OCR-szöveg vagy olyan melléklet, amire már nem is emlékeztél.

Részben ezért szeretem az egyszerű, végső kimenetre épülő workflow-kat. Kevesebb réteg. Kevesebb meglepetés.

3. A “HTTPS” összekeveredik a “priváttal”

A HTTPS számít. Védi a kapcsolatot közted és az oldal között.

Amit viszont nem mond meg:

  • tárolja-e az oldal a fájlt
  • ki fér hozzá a cégen belül
  • bekerül-e naplókba vagy mentésekbe
  • meddig marad visszaállítható
  • használ-e a szolgáltatás olyan külső infrastruktúrát, amire nem is gondoltál

Más szóval: a HTTPS az utat védi. Azt nem mondja meg, mi történik megérkezés után.

4. Nem a dokumentumhoz illő eszköztípust használod

Csapatokon belül ez gyakori.

Valakinél van egy munkaanyag ügyféladattal, munkavállalói adattal, adóinformációval vagy szerződéses feltételekkel. Ahelyett, hogy a jóváhagyott céges workflow-t használná, előkap egy ingyenes webes konvertert, mert az gyorsabb.

Technikailag működhet. Ettől még rossz döntés lehet.

Ha a dokumentum belső szabályzat, ügyfélszerződés, NDA vagy compliance-kötelezettség alá esik, a kockázati kérdés már nemcsak az, hogy “megbízható ez az oldal?” Hanem az is, hogy “egyáltalán elhagyhatja ez a fájl a jóváhagyott környezetet?”

5. Maga az eszköz is része marad a fenyegetési modellnek

A helyben, böngészőben futó PDF-eszköz csökkenti a feltöltési kockázatot. Ettől még nem tüntet el minden más kockázatot.

Ha megosztott számítógépen, nem menedzselt eszközön vagy kérdéses bővítményekkel telepakolt böngészőben dolgozol, továbbra is van problémád. A letöltések, a böngészési előzmények, a mentett fájlok, a képernyőképek és a szinkronizált mappák mind számíthatnak.

Szóval igen, ha az adatvédelem számít, a helyi feldolgozás jobb, mint a szerverre feltöltés. Csak nem helyettesíti az alapvető eszközhigiéniát.

Milyen kérdéseket teszek fel, mielőtt bármit feltöltenék

Ezt a gyakorlati checklistet használom tényleg. Ha ezekre nem tudok tiszta választ adni, megállok.

1. Kikerül a fájl az eszközömről?

Ha igen a válasz, a bizalmi léc azonnal magasabbra kerül.

Alacsony kockázatú fájloknál ez még rendben lehet. Érzékeny dokumentumoknál viszont ilyenkor kezdek helyben, böngészőben működő workflow-t keresni.

2. Egyértelműen elmagyarázza az oldal a megőrzést és a törlést?

Közérthető szöveget akarok, nem marketinges körmondatokat.

Ha az oldal azt írja, hogy a fájlokat a feldolgozás után törli, tudni akarom, ez pontosan mit jelent. Ha azt írja, hogy pár órán belül törli őket, tudni akarom, ez vonatkozik-e a mentésekre és az ideiglenes tárolásra is. Ha homályos a szabályzat, azt feltételezem, hogy a kockázat magasabb annál, mint amivel én kényelmesen együtt tudok élni.

3. Valóban webes fogyasztói eszközbe való ez a fájl?

Ez a kérdés időt spórol.

Ha a dokumentum útlevelet, személyi igazolványt, adónyomtatványt, egészségügyi nyilvántartást, bérszámfejtési adatot, banki adatot vagy ügyféladatot tartalmaz, nekem ehhez nem kell elméleti vita. Szigorúbb workflow kell.

4. Tényleg a megfelelő problémát oldom meg?

Néha az emberek azért töltenek fel egy érzékeny PDF-et egy online szerkesztőbe, mert a valódi feladat kisebb annál:

  • flattenelni az űrlapmezőket
  • eltávolítani a megjegyzéseket
  • készíteni egy végső scan-style másolatot
  • csökkenteni a véletlen szerkesztések esélyét küldés előtt

Ehhez nem mindig kell szerveroldali eszköz. Ha csak egy rögzített végleges verzióra van szükséged, lehet, hogy jobb út ez: Hogyan lapíts egy PDF-et küldés előtt.

5. Megbízom abban az eszközben és böngészőben, amit használok?

Ha megosztott gépen, kölcsönkapott laptopon vagy olyan böngészőprofilban vagyok, amiben nem bízom, érzékeny dokumentumhoz nem használom, még akkor sem, ha maga az eszköz helyben dolgozik.

6. Kényelmesen el tudnám ezt a döntést magyarázni később?

Ez a kedvenc rövidítésem.

Ha valaki megkérdezné, miért töltöttem fel pont ezt a fájlt pont erre a szolgáltatásra, ésszerűen hangzana a válaszom egy biztonsági felülvizsgálaton vagy egy ügyfélbeszélgetésben?

Ha nem, akkor már tudom is, mit kell tennem.

Mikor vannak általában rendben az online PDF-eszközök

Nem a webes eszközök ellen vagyok. A lusta bizalom ellen vagyok.

Az online PDF-eszközök általában rendben vannak:

  • nyilvános vagy alacsony kockázatú dokumentumokhoz
  • olyan fájlokhoz, amelyeket már amúgy is széles körben megosztottak
  • gyors konverziókhoz, amikor nem az adatvédelem a fő szempont
  • eldobható formázási feladatokhoz nem érzékeny anyagokon
  • olyan végső kimeneti feladatokhoz, amelyeket helyben, a böngészőben feldolgozó eszközben végzel

Ez az utolsó kategória fontos. Ha a workflow lényege az, hogy “legyen ebből egy tiszta, végleges, szkennelt stílusú beadandó”, én sokkal szívesebben használok helyben futó, böngészőalapú eszközt, minthogy feltöltsek egy szerződést egy szerveroldali konverterbe csak azért, hogy kapjon egy kis papírtextúrát és enyhe dőlést.

Pont ilyen feladatra van értelme a Look Scanned használatának. Ha a dokumentum már végleges, és csak arra van szükség, hogy a végső fájl rendes szkennelésnek tűnjön, a helyi böngészős workflow sokkal jobb illeszkedés, mint egy általános feltöltős-konvertálós szolgáltatásra bízni a fájlt. Ha a gyakorlati oldala érdekel, ezt érdemes elolvasni: Hogyan tegyük a PDF-et szkenneltnek látszóvá.

Mikor nem tölteném fel a fájlt egyáltalán

Én személy szerint csak akkor tölteném fel ezeket egy általános online PDF-eszközbe, ha lenne rá egyértelműen jóváhagyott üzleti ok:

  • útlevelek és személyazonosító okmányok
  • bankszámlakivonatok és adónyomtatványok
  • bérszámfejtési vagy HR-dokumentumok
  • egészségügyi nyilvántartások
  • aláírt szerződések személyes vagy ügyféladatokkal
  • bármi, amire ügyféltitoktartás vagy belső szabályzat vonatkozik

Ilyenkor én ezt szeretném:

  • helyi feldolgozás a böngészőben
  • jóváhagyott céges eszköz
  • olyan asztali workflow, amit én kontrollálok

Amint drága lenne a szivárgás, a kényelem már nem elég jó indok.

Egy biztonságosabb workflow, ami csak pár extra perc

Ehhez a rutinhoz térek vissza újra meg újra, mert egyszerű, és jól bírja a valós helyzeteket.

1. Tartsd külön a szerkeszthető forrást a kiküldendő verziótól

A valódi szerkesztést a forrásfájlban végezd. Ha számít a dokumentum, ne a webes eszköz legyen az elsődleges munkatered.

2. Tisztítsd meg a dokumentumot, mielőtt megosztod

Távolítsd el a megjegyzéseket, ellenőrizd a metaadatokat, flatteneld az élő elemeket, ha kell, és a redakciót is rendesen csináld meg.

Ha a gond az, hogy “ez még mindig túl élőnek érződik”, egy flattened PDF megoldhatja a problémát anélkül, hogy nagyobb adatvédelmi kockázatot hoznál be. Pont ez a különbség a Szkennelt PDF vagy szerkeszthető PDF: melyiket érdemes elküldeni? mögött.

3. A végső átalakításhoz lehetőleg helyi feldolgozást használj

Ha az utolsó lépés tömörítés, konvertálás vagy scan-style verzió készítése, én azokat az eszközöket preferálom, amelyek helyben, az eszközön dolgoznak.

Így a kockázat ahhoz a géphez marad közelebb, amit amúgy is én kontrollálok, ahelyett hogy kibővíteném egy külső szerverrel.

4. Nyisd meg újra az exportált fájlt, és nézd meg az eredményt

Szinte mindig megnyitom a végső fájlt egy második nézegetőben is.

Még mindig ki tudok jelölni valamit, amiről azt hittem, hogy eltávolítottam? Eltűntek a megjegyzések? Tényleg működik a redakció? A fájl még mindig mutat olyan szöveget vagy mezőket, amelyekről azt hittem, hogy flattenelve vannak?

Ez a gyors ellenőrzés több hibát fog meg, mint amennyit az emberek szívesen beismernek.

5. Takarítsd el a helyi nyomokat, ha a környezet nem privát

Ha megosztott eszközön dolgoztál, a helyi oldalt se felejtsd el:

  • letöltések
  • legutóbbi fájlok
  • szinkronizált mappák
  • böngészési előzmények
  • ideiglenes exportok

A szerveroldali adatvédelem nem az egész történet.

FAQ

Biztonságosabbak a böngészőalapú PDF-eszközök, mint a feltöltésesek?

Általában igen. Ha a fájl helyben, a böngészőben kerül feldolgozásra, és nem hagyja el az eszközt, az az egyik legnagyobb adatvédelmi kockázatot veszi ki a képletből. Ettől még nem lesz kockázatmentes a workflow, de ez valódi különbség.

Elég a HTTPS ahhoz, hogy egy online PDF-szerkesztő biztonságos legyen?

Nem. A HTTPS a kapcsolatot védi. Azt nem mondja meg, hogyan tárolja, naplózza, őrzi meg vagy éri el a szolgáltatás a fájlt a feltöltés után.

Nem biztonságosak az ingyenes online PDF-eszközök?

Nem automatikusan. De az, hogy “ingyenes”, okot ad arra, hogy alaposabban megnézd a bizalmi modellt, a megőrzési szabályzatot és az üzleti ösztönzőket. Nem önmagában az ingyenesség a gond. Hanem a vak bizalom.

Biztonságos útlevelet, személyi igazolványt vagy bankszámlakivonatot feltölteni egy online PDF-eszközbe?

Én ezt kerülném, hacsak a workflow nincs jóváhagyva, és nem érted pontosan, hová kerül a fájl. Az ilyen dokumentumoknál a helyi feldolgozás vagy a kontrollált vállalati workflow a biztonságosabb alapértelmezés.

Záró gondolat

A biztonságos válasz nem az, hogy “soha ne használj online PDF-eszközöket.”

Hanem az, hogy “ne kezeld úgy az összes online PDF-eszközt, mintha ugyanúgy működne.”

Amint különválasztod a feltöltéses szolgáltatásokat a helyi böngészős feldolgozástól, a zavar nagy része eltűnik. Hétköznapi fájloknál a kényelem elég lehet. Érzékeny dokumentumoknál én kevesebb mozgó alkatrészt, kevesebb másolatot és kevesebb embert akarok a bizalmi láncban.

Ez szokta elválasztani a “valószínűleg rendben lesz” helyzetet attól, hogy “bárcsak ne töltöttem volna fel”.