How PDFSub Keeps Your Bank Statements Secure: Three-Tier Architecture

关于架构的深度解析： 浏览器 vs 云 PDF 安全通过并排数据流图详细介绍了这两种处理模型。本页面涵盖银行对账单的特定案例；该页面是规范的比较。

让我们坦诚面对一个 PDF 转换行业不愿谈论的问题：纯浏览器处理听起来对隐私很棒，但它无法为银行对账单产生准确的结果。

我们知道这一点，因为我们尝试过。PDFSub 最初是基于浏览器进行银行对账单提取的。对于来自主要银行的简单对账单，以及干净的数字 PDF，它效果很好。但现实世界并非如此简单。对账单来自全球 20,000 多家银行。它们有数百种格式。有些是扫描件。有些有多行描述，跨越多行。有些使用您从未见过的日期格式。有些页面混合了多种语言。

基于浏览器的 JavaScript 根本无法可靠地处理这些情况。当您客户的账簿依赖于每笔交易的准确性时，这一点尤为重要。

因此，我们构建了更强大的功能：PDFSub 引擎——一个安全、隔离的处理环境，它提供服务器端提取的准确性，并提供超越纯浏览器处理能力的安全保障。

威胁形势真实存在

在深入研究架构之前，让我们先认识到为什么金融文件安全如此重要。数字触目惊心，而且还在不断恶化。

指标	数字
全球平均数据泄露成本（2026 年）	488 万美元
美国平均数据泄露成本（2025 年）	1022 万美元（历史新高）
金融行业泄露成本	556 万美元
自 2020 年以来会计师事务所网络攻击增长	300%
会计师事务所每周平均网络攻击次数	300 次（报税季期间超过 900 次）
IRS 税务专业人士数据泄露报告（2024 年）	250 多起
受这些泄露事件影响的客户	200,000 多名
金融服务勒索软件恢复成本（2024 年）	平均 273 万美元
在 6 个月内损失超过 50% 客户的被泄露事务所	89%

这些统计数据来自 IBM 2025/2026 年数据泄露成本报告、IRS 新闻发布室和 Sophos 金融服务勒索软件调查。它们代表了真实的事务所、真实的客户和真实的影响。

MOVEit：当四大事务所也遭殃

2023 年 5 月，Cl0p 勒索软件团伙利用了 MOVEit 文件传输软件中的零日漏洞。结果：2,559 家组织和超过 6000 万个人受到影响，估计总成本高达 65 亿至 158 亿美元。

四大事务所有三家受到影响：

Ernst & Young：Cl0p 发布了据称被盗数据的样本，超过 3TB
PwC：列有 121GB 的受损数据
Deloitte：被点名但声称没有客户数据受到影响

如果全球最大的会计师事务所——拥有数十亿美元安全预算——也会发生泄露，那么问题不在于您的事务所是否会发生。而是何时发生。

报税季期间的勒索软件

Wojeski and Company（纽约，2023 年）：勒索软件导致员工无法访问；丢失了4,700 多名客户的数据，包括未加密的社会安全号码。一年后才通知客户。总检察长对其处以 60,000 美元的罚款。
东南会计师事务所（2024 年）：在 4 月 15 日截止日期前 48 小时遭到攻击。支付了 250,000 美元的赎金，但仍经历了 11 天的停机时间。总成本超过 210 万美元。
IRS 承包商数据泄露：IRS 承包商 Charles Littlejohn 窃取了数千名富裕美国人的税务信息。影响了约 406,000 名纳税人。被判处 5 年监禁。

89% 的被泄露事务所在六个月内损失了超过一半的客户。声誉损害超过了财务损害——那些将最敏感数据托付给您的客户不会再回来。

为什么纯浏览器处理会力不从心

基于浏览器的处理的隐私论点很有说服力：如果您的银行对账单永远不会离开您的设备，那么就不会有泄露的风险。我们同意这一原则，PDFSub 对大约 28 种通用 PDF 工具——编辑、表单填写、合并等——使用浏览器优先处理。对于这些工具，您的文件永远不会离开您的设备。

但银行对账单有所不同。这就是为什么纯浏览器提取会失效的原因：

准确性问题

银行对账单是程序化解析中最复杂的文件之一。单个对账单可能包含：

多行交易描述，跨越多行（第二行是新交易还是上一行的延续？)
模糊的日期格式（03/04 是 3 月 4 日还是 4 月 3 日？取决于银行和国家/地区）
合并单元格和跨列标题，破坏了列的对齐
非标准数字格式（1.234,56 vs 1,234.56 vs 1 234.56）
混合语言内容（银行名称一种语言，交易描述另一种语言）
扫描文档，需要在任何提取开始之前进行 OCR
基于图像的 PDF，其中文本层缺失或不可靠

在沙箱中运行的基于浏览器的 JavaScript，其对处理所有这些情况所需的高级解析工具的访问权限非常有限。它无法对扫描文档运行 OCR。它无法利用 AI 模型来解析模糊的布局。它无法应用坐标级别的精度来在间距变化时正确识别列。

结果如何？纯浏览器转换器可以处理简单的情况。对于复杂的情况——也就是准确性最重要的情况——它们会默默地产生错误数据。遗漏一笔交易。将描述分配给错误的行。将借记记录为贷记。

当您准备审计账簿或核对账目时，“基本准确”是不可接受的。

诚实的权衡

这是行业不愿讨论的权衡：对于复杂的金融文件，最大隐私和最大准确性是相互矛盾的。 您可以处理所有内容并在浏览器中接受较低的准确性，或者您可以使用服务器端处理并获得可靠的结果。

PDFSub 选择了一条第三条道路：在隔离的、气隙环境中的服务器端处理，它提供的安全保障比大多数浏览器实现所能提供的更强。

PDFSub 的三层架构

PDFSub Engine Isolation Model - Encrypted Upload, Isolated Processing, Secure Download

PDFSub 的银行对账单转换器采用分层架构，从最快、最便宜的方法开始，仅在需要时升级。每一层都在 PDFSub 引擎内部运行——一个安全、隔离的处理环境，没有互联网访问权限。

第一层：坐标提取（免费）

PDFSub 引擎解析原始 PDF 结构，根据文本在页面上的精确坐标位置提取文本。这不仅仅是简单的文本提取——这是位置分析。引擎知道坐标 (72, 340) 的文本是日期，(180, 340) 的文本是描述，(450, 340) 的文本是金额，因为它理解数千种银行对账单格式的空间布局。

这一层处理绝大多数数字 PDF 对账单——您直接从在线银行门户下载的那种。它速度快、准确，而且不花费您任何费用（未使用 AI 积分）。

第二层：OCR + AI 文本分析（AI 积分）

当第一层无法自信地提取所有交易时——也许 PDF 格式不寻常，或者某些页面是扫描图像——引擎会自动升级到第二层。

这一层应用 OCR（光学字符识别）将图像转换为文本，然后使用 AI 文本分析来理解文档结构。它可以处理多行描述、非标准日期格式和混合语言内容，这些内容会让基于浏览器的解析器感到困惑。

这会消耗 AI 积分，但仅在需要时。大多数对账单在第一层就能解决。

第三层：AI 视觉处理（AI 积分）

对于最复杂的情况——大量扫描的文档、布局不寻常的对账单，或文本层完全不可靠的 PDF——引擎会将文档通过完整的 AI 视觉处理。AI 会像人类一样“看到”文档，并从视觉布局中提取交易。

这是最昂贵的一层（需要更多 AI 积分），但它可以处理其他任何方法都无法可靠处理的情况。

为什么分层处理很重要

分层方法意味着您能以最低的成本获得最佳结果：

层	方法	成本	处理
第一层	坐标提取	免费	在线银行的数字 PDF（约 70% 的对账单）
第二层	OCR + AI 文本分析	AI 积分	扫描页面、复杂布局、不寻常格式
第三层	AI 视觉处理	AI 积分	大量扫描文档、不可靠的文本层

系统会自动选择正确的层。您无需考虑它。

PDFSub 引擎如何保障您的数据安全

在这里，我们来解决一个显而易见的问题：如果文件离开了您的浏览器，您如何知道它是安全的？

PDFSub 引擎从一开始就遵循一个简单的原则进行设计：将每个文档都视为包含世界上最敏感的数据。 因为它可能就是。

无互联网访问

PDFSub 引擎在完全隔离的环境中运行，没有公共互联网访问权限。它无法建立出站连接。它无法回传数据。它无法将您的数据发送到任何地方。即使处理环境不幸遭到破坏，攻击者也无法窃取数据，因为没有网络出口路径。

这比大多数基于浏览器的工具提供的保证更强。您的浏览器拥有完整的互联网访问权限——恶意的浏览器扩展、JavaScript 库中受损的依赖项，或跨站脚本攻击都可能访问在浏览器标签页中处理的数据。

AES-256 加密

您的银行对账单在处理过程中，无论是传输中还是静态存储时，都使用 AES-256 加密（与美国政府用于机密信息的标准相同）。加密密钥在每个处理会话中都是唯一的，并在处理完成后销毁。

自动删除

文件在处理完成后会自动清除。没有“保留期”。没有备份会保留副本 30 天、2 小时或 5 年。处理完成，结果返回给您，源文件即被删除。

无持久性日志

PDFSub 引擎不会记录文件内容、提取的文本或交易数据。处理元数据（时间戳、文件大小、使用的层）会被记录用于调试，但您对账单中的实际财务数据永远不会出现在任何日志文件中。

无出站连接

这一点值得重复，因为它是最重要的安全功能：引擎从不发起出站连接。它接收您的加密文件，进行处理，然后返回结果。仅此而已。没有“回传”功能，没有分析端点，也没有第三方子处理器接收您数据的副本。

与竞争对手的比较

PDFSub Security Comparison - How PDFSub compares to competitors on security features

功能	PDFSub	DocuClipper	iLovePDF	ChatPDF
处理隔离	隔离引擎	AWS 共享基础设施	云共享	云共享
处理期间的互联网访问	无	完全访问	完全访问	完全访问
数据保留	自动删除	30 天至 5 年	2 小时	会话为基础
静态加密	AES-256	AWS 默认	未知	未知
子处理器数据共享	无	AWS、OCR 服务	多个	OpenAI
通用 PDF 工具的浏览器处理	是（28+ 工具）	否	否	否

DocuClipper 是最受欢迎的银行对账单转换器之一，在企业计划中会将您的文件保留在 AWS 上长达 5 年。这意味着包含账号、交易历史和可能的社会安全号码的银行对账单，在第三方云服务器上存放了 5 年。

浏览器处理适用之处

这是一个区分 PDFSub 的重要区别：我们并非对所有内容都使用服务器端处理。我们仅在准确性要求时才使用它。

对于大约 28 种通用 PDF 工具——编辑 PDF、填写表单、合并文档、压缩文件、添加水印、旋转页面等——PDFSub 在您的浏览器中完全处理所有内容。您的文件永远不会离开您的设备。您可以自己验证这一点：在使用这些工具时，打开浏览器的开发者工具（F12，然后是网络选项卡）。您将看到零个包含文件数据的出站请求。

对于这些工具来说，这是正确的方法，因为基于浏览器的处理可以为标准的 PDF 操作产生出色的结果。没有准确性上的权衡。驱动您浏览器内置 PDF 查看器的技术同样可以完美处理这些操作。

关键区别： PDFSub 在适用的地方使用浏览器处理（编辑、表单填写、合并），在准确性要求高的地方使用安全隔离的服务处理（银行对账单、OCR、AI 驱动的提取）。

这种混合方法为您提供了两全其美：通用 PDF 操作的最大隐私，以及金融文件转换的最大准确性——所有这些都在为敏感数据设计的安全架构内。

您的法律义务

如果您是注册会计师 (CPA)、注册税务师 (EA)、簿记员或税务 preparer，您在处理客户财务数据方面有特定的法律要求。您选择的银行对账单转换器直接影响您的合规状况。

AICPA 规则 1.700.001

AICPA 职业行为准则要求执业注册会计师未经特定同意不得披露机密客户信息。AICPA 解释 1.700.040 假定，每当注册会计师使用第三方服务提供商时，机密性就会受到威胁。

当您将客户的银行对账单上传到基于云的转换器时，您可能会向该服务提供商披露机密信息——除非您有以下任一情况，否则可能违反此规则：

与提供商签订要求保密性的合同协议，或
客户同意披露

PDFSub 的隔离引擎架构最大限度地降低了此风险：处理环境没有互联网访问权限，没有子处理器接收您的数据，并且文件在处理后会自动删除。

IRS WISP 要求

根据《格雷姆-利希-布罗伊利法案》(Gramm-Leach-Bliley Act)，IRS 要求所有税务专业人士维护一份书面信息安全计划 (WISP)。自 2023 年起，IRS 表格 W-12（第 11 行）上的 PTIN 续期明确询问您是否拥有该计划。

对于 2026 年，WISP 要求规定：

所有系统访问都必须使用 MFA（不仅仅是远程连接——这是一个重大的扩展）
影响500 人以上的安全事件必须在30 天内报告给 FTC
您必须评估服务提供商维护适当安全措施的能力

对于大型事务所，需要进行年度渗透测试，对于中小型事务所，需要进行两年一次的漏洞评估。

您的 WISP 应记录所有处理客户财务数据的工具——包括您的银行对账单转换器。PDFSub 的隔离架构、AES-256 加密和自动删除功能，使其在您的供应商评估部分中占有重要地位。

FTC 安全规则

所有税务 preparer 都必须遵守，因为税务准备被归类为 GLBA 下的“金融活动”。违规处罚可能高达每个违规组织 100,000 美元，每个违规个人 10,000 美元。

要求的要素包括：指定的安全协调员、定期数据清单、供应商评估、多因素身份验证、加密数据存储和违规报告。

GDPR、CCPA 和 SOC 2

如果您处理欧盟居民的金融数据，您将受到 GDPR 数据处理者义务（第 28 条）的约束。CCPA 明确涵盖金融信息。两者都要求服务提供商在合同中同意不保留、使用或披露超出规定服务的个人信息。

PDFSub 符合 GDPR 和 CCPA 标准，并已准备好进行 SOC 2 认证。但更重要的是，隔离引擎架构意味着其安全状况超越了合规框架的要求。

这对合规意味着什么

合规要求	云上传工具	PDFSub 引擎
AICPA 1.700.001（保密性）	可能需要客户同意或供应商 DPA	风险最小化——隔离，无子处理器
IRS WISP（供应商评估）	必须记录云供应商风险	强大的供应商档案——加密、隔离、自动删除
GDPR（数据处理者义务）	需要完整的第 28 条 DPA	支持 DPA，数据占用空间最小
FTC 安全规则（数据处理）	安全计划中必须包含云存储	加密处理，无保留
网络保险	云工具可能影响承保条款	最有利的地位——隔离处理，自动删除

隐私认证并不能解决问题

基于云的工具经常引用认证——SOC 2 Type II、ISO 27001、PCI DSS——作为安全证据。这些认证很有价值，但它们验证的是流程和控制，而不是安全结果。

获得 SOC 2 认证的供应商仍然可能：

比您预期的更长时间地存储您的数据
授予支持人员广泛的内部访问权限
使用安全性较低的子处理器
存在未修补的应用程序漏洞
尽管遵循了所有认证流程，但仍发生泄露

在 MOVEit 泄露事件发生时，三大事务所有 SOC 2 和 ISO 27001 认证。这些认证未能阻止 6000 万人的数据暴露。

更好的方法是将安全性构建到系统本身——隔离、加密、自动删除和无互联网访问。这样，即使出现问题，也没有什么可供窃取，也没有地方可以发送。

贵事务所的实用步骤

1. 审计您当前的工具

检查您的银行对账单转换器、发票提取器、收据扫描仪和其他金融文件工具是否将文件上传到具有互联网访问权限的云服务器。如果它们这样做，请在您的 WISP 中将其记录为风险因素，并评估替代方案。

2. 评估隔离性，而不仅仅是加密性

传输中加密 (HTTPS) 是基本要求。重要的是：处理环境是否有互联网访问权限？是否有子处理器接收您数据的副本？文件会保留多久？这些问题决定了您实际的风险暴露程度。

3. 尽可能使用浏览器处理

对于非金融文件任务——编辑 PDF、填写表单、合并文件——请使用完全在浏览器中处理的工具。PDFSub 可处理 28 种以上的工具类型，这意味着在这些操作中您的文件永远不会离开您的设备。

4. 更新您的 2026 年 WISP

IRS 2026 年的更新将 MFA 要求扩展到所有系统访问。审查您的 WISP，确保它涵盖了所有处理客户财务数据的工具，包括您的银行对账单转换器。记录每个工具的安全架构。

5. 审查您的网络保险

大多数 2026 年的保险公司都要求 MFA、端点检测和供应链风险管理。您的银行对账单转换工具是您供应链的一部分。具有自动删除和无互联网访问的隔离处理架构，将为您提供最有利的地位。

6. 在报税季，最大限度地减少您的攻击面

随着网络攻击在报税季每周激增至900 多次，存储在云服务器上的每一份客户数据都是一个暴露点。选择不保留数据的工具——无论是通过浏览器处理还是隔离的、自动删除的服务器处理。

底线

银行对账单转换是一个难题。纯浏览器处理无法准确解决它，而传统的云处理会带来不可接受的安全风险。

PDFSub 的方法有所不同：在隔离引擎内的三层架构，可提供准确的结果，同时保持超越纯浏览器处理能力的安全保障。无互联网访问。AES-256 加密。自动删除。无子处理器。无持久性日志。

而且，对于 28 种以上纯浏览器处理效果完美的 PDF 工具——编辑、表单填写、合并等——您的文件根本不会离开您的设备。

在您需要的地方提供准确性。在任何地方提供安全性。

免费试用 PDFSub 7 天——将银行对账单转换为 Excel、CSV、QBO 或 OFX，具有服务器端提取的精度和隔离处理的安全性。