Bezpieczne udostępnianie plików PDF bez przesyłania ich na zewnętrzne serwisy: przewodnik krok po kroku dla zespołów prawnych
Działy prawne zajmują się umowami, plikami dowodowymi i innymi wysoce poufnymi dokumentami. Typowy proces polegający na przesyłaniu pliku PDF do chmurowej usługi udostępniania natychmiast tworzy ryzyko bezpieczeństwa: plik znajduje się poza granicami Twojej korporacji, a Ty tracisz szczegółową kontrolę nad tym, kto może go zobaczyć i jak długo.
Co by było, gdybyś mógł osadzić bezpieczną, zaszyfrowaną przeglądarkę PDF bezpośrednio w swoim portalu internetowym .NET, gwarantując, że dokument nigdy nie trafia na serwer strony trzeciej?
W tym przewodniku przeprowadzimy Cię przez praktyczne, klasy korporacyjnej rozwiązanie zbudowane przy użyciu DoconutApp — w 100 % przeglądarki PDF bez wtyczek, działającej natywnie w środowiskach .NET 6+. Po zakończeniu będziesz mieć w pełni audytowalne doświadczenie podglądu, spełniające rygorystyczne wymagania zgodności kancelarii prawnych i zespołów prawnych korporacji.
Dlaczego tradycyjne udostępnianie w chmurze nie wystarcza
| Ryzyko | Typowa usługa w chmurze | Jak DoconutApp to eliminuje |
|---|---|---|
| Ucieczka danych – plik przechowywany na zewnętrznych serwerach | Pliki są przechowywane w magazynie dostawcy, często w regionach, których nie możesz kontrolować. | Pliki PDF pozostają w Twojej własnej infrastrukturze, zaszyfrowane w spoczynku. |
| Utrata kontroli nad okresem dostępu | Linki udostępniające mogą być przekazywane w nieskończoność. | Tokeny ograniczone w czasie, jednorazowe, zapewniają automatyczne wygaśnięcie podglądu. |
| Luki w zgodności | Logi audytowe często ograniczają się do zdarzeń „pobrania”. | Pełne logowanie po stronie serwera każdego żądania podglądu (użytkownik, IP, znacznik czasu). |
| Zależność od wtyczek | Wiele przeglądarek wymaga Flash, ActiveX lub rozszerzeń przeglądarki. | Czysta przeglądarka HTML5/JavaScript działa w każdej nowoczesnej przeglądarce bez wtyczek. |
Przegląd rozwiązania
- Dodaj bibliotekę przeglądarki DoconutApp do swojego projektu .NET.
- Zaszyfruj pliki PDF na dysku przy użyciu klucza po stronie serwera.
- Osadź komponent przeglądarki na stronie Razor lub w widoku MVC, przekazując token w ciągu zapytania.
- Loguj każde żądanie podglądu w celu tworzenia ścieżek audytu i wykrywania anomalii.
Poniżej znajduje się szczegółowy przewodnik po każdym kroku, zawierający zalecenia najlepszych praktyk dotyczących zarządzania kluczami, bezpieczeństwa tokenów i logowania zgodności.
Krok 1 – Przygotowanie środowiska .NET
-
Otwórz rozwiązanie w Visual Studio (zalecane 2022 lub nowsze).
-
Ustaw docelową wersję .NET 6 lub nowszą – przeglądarka DoconutApp jest zbudowana na nowoczesnych API .NET i korzysta z ulepszeń
System.Security.Cryptography. -
Zainstaluj pakiet NuGet:
dotnet add package DoconutApp.ViewerTraktuj ten pakiet jak instalację wysokiego bezpieczeństwa drzwi skarbca w Twojej aplikacji: po dodaniu drzwi są gotowe do zamykania i otwierania programowo.
Dodatkowe wskazówki
- Przechowuj odwołanie do pakietu w pliku
Directory.Packages.propsw celu scentralizowanego zarządzania wersjami w wielu usługach.
Krok 2 – Przechowywanie PDF‑ów z silnym szyfrowaniem
2.1 Wybór algorytmu szyfrowania
DoconutApp EncryptPdfAsync używa domyślnie AES‑256‑GCM, zapewniając uwierzytelnione szyfrowanie (poufność + integralność). Spełnia to większość ram regulacyjnych (np. GDPR, HIPAA, ISO 27001).
2.2 Implementacja bezpiecznego zarządzania kluczami
- Nigdy nie zakodowuj kluczy na stałe. Użyj Azure Key Vault, AWS KMS lub HashiCorp Vault, aby pobierać klucz szyfrowania w czasie działania.
- Regularnie rotuj klucze (co 90 dni to powszechna praktyka). DoconutApp może ponownie zaszyfrować istniejące pliki nowym kluczem przy użyciu zadania wsadowego.
Krok 3 – Generowanie tokenu ograniczonego w czasie, jednorazowego
Token podglądu działa jak jednorazowy identyfikator, który automatycznie wygasa. Zawiera:
- User ID – Kto ma prawo wyświetlić dokument.
- PDF ID – Który zaszyfrowany plik strumieniować.
- Expiration – Zazwyczaj 5–10 minut, konfigurowalne według polityki.
- Signature – Podpis HMAC lub RSA zapobiegający manipulacji.
3.1 Rozważania bezpieczeństwa
- TLS wszędzie – Zawsze dostarczaj token przez HTTPS.
- Zasada najmniejszych przywilejów – Koduj tylko dane niezbędne do podglądu; unikaj osadzania dodatkowych roszczeń.
- Unieważnianie tokenu – Prosta „czarna lista” w Redis umożliwia natychmiastowe unieważnienie, jeśli zmienią się prawa dostępu użytkownika.
Krok 4 – Osadzenie przeglądarki DoconutApp
4.1 Punkt końcowy strumieniowania po stronie serwera
- Deszyfrowanie w pamięci gwarantuje, że tekst jawny nigdy nie trafia na system plików.
- Przeglądarka działa w pełni po stronie klienta, używając HTML5 canvas i PDF.js, w piaskownicy przeglądarki.
4.2 Brak wymogu wtyczek
Ponieważ DoconutApp opiera się na standardowych technologiach internetowych, działa w Chrome, Edge, Firefox i Safari bez dodatkowych wtyczek, kontroli ActiveX ani zależności Flash.
Krok 5 – Audyt i logowanie dostępu dla zgodności
Zespoły prawne często potrzebują śladu odpornego na manipulacje, kto oglądał który kontrakt i kiedy. Wdroż strukturalny potok logowania:
| Pole | Opis |
|---|---|
UserId | Identyfikator żądającego profesjonalisty prawnego |
PdfId | Wewnętrzne odniesienie do zaszyfrowanego dokumentu |
Timestamp | Czas UTC żądania podglądu |
IpAddress | Adres IP źródła (przydatny do sprawdzania geolokalizacji) |
UserAgent | String przeglądarki do analizy forensic |
Result | Sukces / Niepowodzenie (np. nieprawidłowy token, błąd deszyfrowania) |
Najlepsze praktyki
- Przechowuj logi w magazynie tylko do dopisywania, niezmiennym (np. Azure Log Analytics, Splunk lub jednorazowym koszyku S3).
- Włącz alerty dla nieprawidłowych wzorców — np. ten sam token użyty z dwóch różnych IP w ciągu kilku sekund.
- Polityka przechowywania: Zachowuj logi przez okres wymagany przez Twoją jurysdykcję (zwykle 7 lat dla dokumentacji prawnej).
Szybkie podsumowanie
- Dodaj pakiet NuGet przeglądarki DoconutApp do swojego projektu .NET 6+.
- Zaszyfruj pliki PDF przy zapisie przy użyciu AES‑256‑GCM; zarządzaj kluczami za pomocą usługi skarbca.
- Wystaw krótkotrwały, jednorazowy token podglądu (JWT), gdy użytkownik żąda wyświetlenia.
- Osadź przeglądarkę na stronie Razor; przeglądarka pobiera, deszyfruje i renderuje PDF w całości w pamięci — bez przesyłania do stron trzecich, bez wtyczek.
- Loguj każdy podgląd dla audytowalności i zgodności, z alertami w czasie rzeczywistym w przypadku podejrzanej aktywności.
Zakończenie
Bezpieczne udostępnianie PDF‑ów nie musi wiązać się z uciążliwymi usługami stron trzecich czy ryzykownymi transferami plików. Korzystając z przeglądarki klasy korporacyjnej DoconutApp, Twój dział prawny może prezentować poufne umowy, materiały dowodowe i wewnętrzne polityki bezpośrednio w istniejącym portalu .NET — z szyfrowaniem end‑to‑end, precyzyjną kontrolą dostępu i pełnymi ścieżkami audytu.
Gotowy, aby chronić swoje dokumenty prawne w nowoczesny sposób? Odwiedź doconut.com, zarejestruj się na 30‑dniowy darmowy trial i pobierz zestaw startowy zawierający wszystkie fragmenty kodu z tego przewodnika.
Wdrożenie tych kroków da specjalistom ds. zgodności spokój ducha, zmniejszy powierzchnię ataku i utrzyma Twoje PDF‑y bezpiecznie wewnątrz firmowego firewalla — dokładnie taki poziom bezpieczeństwa potrzebuje każdy zespół prawny.
Pozostań bezpieczny, pozostań zgodny i trzymaj te zapieczętowane koperty tam, gdzie powinny być: w własnym sejfie.