ISO 12931:2012
(Main)Performance criteria for authentication solutions used to combat counterfeiting of material goods
Performance criteria for authentication solutions used to combat counterfeiting of material goods
ISO 12931:2012 specifies performance criteria and evaluation methodology for authentication solutions used to establish material good authenticity throughout the entire material good life cycle. It does not specify how technical solutions achieve these performance criteria. ISO 12931:2012 is intended for all types and sizes of organizations that require the ability to validate the authenticity of material goods. It is intended to guide such organizations in the determination of the categories of authentication elements they need to combat those risks, and the criteria for selection of authentication elements that provide those categories, having undertaken a counterfeiting risk analysis. Such authentication elements can be part of the material good itself and/or its packaging. The criteria applies to the material good and/or its packaging.
Critères de performance des solutions d'authentification utilisées pour combattre la contrefaçon des biens matériels
L'ISO 12931:2011 spécifie des critères et une méthodologie d'évaluation de la performance des solutions d'authentification utilisées pour établir l'authenticité d'un bien matériel durant l'ensemble de son cycle de vie. Elle ne précise pas comment les solutions techniques remplissent ces critères de performance. Elle est destinée à tous les types et tailles d'organisations qui requièrent la capacité de valider l'authenticité de biens matériels. Elle a vocation à guider ces organisations lors de la détermination, d'une part, des catégories d'éléments authentifiants dont elles ont besoin pour s'opposer à ces risques, et d'autre part, des critères de choix desdits éléments, une analyse des risques de contrefaçon ayant été préalablement menée. Ces éléments authentifiants peuvent faire partie intégrante du bien matériel proprement dit et/ou de son emballage. Les critères s'appliquent au bien matériel et/ou à son emballage.
General Information
Relations
Buy Standard
Standards Content (Sample)
МЕЖДУНАРОДНЫЙ ISO
СТАНДАРТ 12931
Первое издание
2012-06-01
Критерии эффективности средств
аутентификации материальных
товаров для борьбы с подделками
Performance criteria for authentication solutions used to combat
counterfeiting of material goods
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO 12931:2012(R)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 12931:2012(R)
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на установку интегрированных шрифтов в компьютере, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe - торговый знак Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF оптимизированы для печати. Были приняты во внимание все меры
предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами – членами ISO. В
редких случаях возникновения проблемы, связанной со сказанным выше, просим информировать Центральный секретариат
по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2012
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO по адресу ниже или членов ISO в стране регистрации пребывания.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2012– Все права сохраняются
---------------------- Page: 2 ----------------------
ISO 12931:2012(R)
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Термины и определения .2
3 Общие принципы.6
3.1 Введение .6
3.2 Процесс аутентификации.7
3.3 Требования к функциям средств аутентификации .8
3.4 Разделение средств аутентификации на категории.9
4 Установление критериев эффективности на основе анализа риска.12
4.1 Введение .12
4.2 Категории критериев эффективности.12
4.3 Критерии для выбора элементов аутентификации.13
4.4 Критерии стойкости к агрессивным воздействиям для выбора инструментов
аутентификации.17
4.5 Критерии выбора средств аутентификации .18
5 Оценка эффективности средства аутентификации .23
5.1 Общие положения .23
5.2 Оценка эффективности производства элементов аутентификации .25
5.3 Измерение эффективности в нормальной ситуации верификации/аутентификации .25
5.4 Оценка эффективности в чрезвычайной ситуации верификации/аутентификации.26
5.5 Итоговая информация об оценках эффективности .26
Приложение А (информативное) Сетка оценки .27
Приложение В (информативное) Таблица средств контроля доступа.33
Библиография.34
© ISO 2012– Все права сохраняются
iii
---------------------- Page: 3 ----------------------
ISO 12931:2012(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в этом
комитете. Международные правительственные и неправительственные организации, имеющие связи с
ISO, также принимают участие в работах. Что касается стандартизации в области электротехники, то
ISO работает в тесном сотрудничестве с Международной электротехнической комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Основной задачей технических комитетов является подготовка международных стандартов. Проекты
международных стандартов, принятые техническими комитетами, рассылаются комитетам-членам на
голосование. Их опубликование в качестве международных стандартов требует одобрения не менее
75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. Международная организация по стандартизации не может нести
ответственность за идентификацию какого-либо одного или всех патентных прав.
ISO 12931 был подготовлен Комитетом по проектам ISO/TC 246, Средства борьбы с подделками.
© ISO 2012– Все права сохраняются
iv
---------------------- Page: 4 ----------------------
ISO 12931:2012(R)
Введение
За последние десять лет быстро выросло количество, а также расширился ассортимент
фальсифицированных материальных товаров, и в настоящее время подделки не ограничиваются
предметами роскоши. Продажа фальсифицированных материальных товаров преобладает в
большинстве развивающихся стран и становится обычной в развитых странах. Отдельные
производители и правообладатели испытывают на себе рост числа подделок своих материальных
товаров. Эту проблему усугубляет интернет. Фальсифицированные товары необязательно предлагают
те же гарантии в отношении безопасности и соответствия требованиям к мерам по охране
окружающей среды и требованиям регламентов, создавая риск для потребителей, пациентов,
пользователей и движению товаров от производства к потреблению. Они приводят к потере прибыли,
потерям работы и наносят вред ценности торговой марки (бренда) компаний и правообладателей,
материальный товар которых фальсифицирован, а также к налоговым потерям для государств.
Фальсификация открывает дорогу рекламациям на подделки и судебным искам к компаниям и ко всей
цепи поставок. Фальсификация материальных товаров стала одним из основных видов деятельности
организованной преступности, как на внутренних рынках, так и в международной торговле и
контрабанде.
Чтобы защитить свой бизнес, компании все шире используют средства аутентификации,
приспособленные к их собственным потребностям. Важно установить требования к эффективности
средств аутентификации, предназначенных для борьбы против фальсификации, как на национальном,
так и на международном уровнях. Это приведет к повышению доверия со стороны потребителей,
поддержит безопасность цепи поставок и поможет государственным органам в разработке и внедрении
превентивной, сдерживающей и карательной политики.
Фальсификация может включать, но не ограничивается этим, следующее:
⎯ обман потребителя,
⎯ обман покупателей новых товаров или запасных частей,
⎯ нарушение прав интеллектуальной собственности, и
⎯ нарушение национальных, региональных или международных законов.
Фальсификация может включать неправомерные притязания в отношении
⎯ прав интеллектуальной собственности,
⎯ деталей производства, и
⎯ внешнего оформления изделия.
Фальсификации не следует путать с разновидностями товаров.
Проблема фальсификации усугубляется следующими факторами:
⎯ рынок становится все более глобальным, а материальные товары - все более сложными;
⎯ мировое движение товаров ширится и может использовать нетрадиционные каналы.
Поэтому инспектору все труднее распознавать характеристики любого данного подлинного
материального товара.
v
© ISO 2012– Все права сохраняются
---------------------- Page: 5 ----------------------
ISO 12931:2012(R)
Фальсификация стремится обойти законоположения, включая гарантии соответствия и качества,
предназначенные для облегчения профессионалам выпускать безопасные материальные товары на
рынок в честной конкуренции. Покупатели не всегда с должным вниманием изучают предлагаемые
материальные товары, в частности, из-за своей доверчивости, отсутствия времени, соблазнительно
привлекательных цен, или просто потому, что незнакомы с самим товаром. Элемент аутентификации
обеспечивает конкретный и более надежный метод определения, является ли данный предмет
подлинным товаром или подделкой.
Установление подлинности материальных товаров, иными словами признание их подлинными или
поддельными, заключается в проверке того, воспроизводит ли данный материальный товар
существенные характеристики подлинного товара, чтобы установить, были нарушения или нет. Тогда
первым шагом, который требуется для обеспечения реального основания для такой проверки, будет
установление таких характеристик, в частности, происхождения товара, и затем подтверждение того,
обладает ли проверяемый сомнительный товар объективно и конкретно данными характеристиками.
Если есть хоть какое-либо сомнение в отношении подлинности материального товара, задача
инспекторов будет заключаться в том, чтобы изучить, совпадают ли эти характеристики с такими же
характеристиками подлинного материального товара и/или элементом аутентификации, поскольку
инспекторы однажды наблюдали характеристики сомнительного материального товара и/или элемент
аутентификации. Используемый процесс представляет собой технический анализ с использованием
имеющегося опыта, элементов аутентификации, инструментов аутентификации или сочетания этих
средств.
Настоящий международный стандарт был разработан для того, чтобы точно указать цели и границы,
необходимые для широкого применения рассматриваемых средств в промышленности и сфере услуг.
Стандарт устанавливает критерии эффективности специально созданных средств аутентификации
(подтверждения подлинности). Эти средства предназначены для обеспечения надежного
доказательства подлинности или фальсификации материального товара, облегчая процесс
определения этого.
Цель настоящего международного стандарта заключается в интеграции требований к эффективности
средств аутентификации в жизненный цикл материальных товаров в любой ситуации, когда это
требуется. Аутентификация, таким образом, позиционируется как особая характеристика жизненного
цикла материального товара или услуги, не допускающая фальсификации.
Настоящий международный стандарт предложен как часть более широкой концепции, изложенной в
соответствующих стандартах в области борьбы с подделками, где доказательство того, что товар
является подлинным или фальсифицированным, может быть получено любым способом; в то же
время, стандарта не предназначался и не разрабатывался для определения единственного средства
аутентификации.
© ISO 2012– Все права сохраняются
vi
---------------------- Page: 6 ----------------------
МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO 12931:2012(R)
Критерии эффективности средств аутентификации
материальных товаров для борьбы с подделками
1 Область применения
Настоящий международный стандарт устанавливает критерии эффективности и методологию
оценивания средств, используемых для установления подлинности материального товара в процессе
его жизненного цикла. При этом способы достижения критериев эффективности этими техническими
средствами не устанавливаются.
Настоящий международный стандарт предназначен для организаций всех типов и размеров, которым
требуется подтверждать подлинность материальных товаров. Он предназначен служить руководством
для этих организаций при определении категорий элементов аутентификации, необходимых им для
борьбы с рисками такого рода, а также определения критериев выбора элементов аутентификации,
определяющих эти категории после анализа рисков фальсификации. Такие элементы аутентификации
могут быть частью самого материального товара и/или его упаковки. Критерии применяются к
материальному товару и/или его упаковке.
Критерии эффективности рассматриваются организациями относительно их конкретной ситуацией.
Данный международный стандарт сфокусирован на установлении подлинности материальных товаров,
⎯ на которые распространяются права интеллектуальной собственности,
⎯ подпадающих под действие национальных или региональных регламентов,
⎯ имеющих значение для безопасности и охраны здоровья,
⎯ обладающих тем или иным четким отличием.
Настоящий международный стандарт касается материальных товаров, но не применим к товарам,
используемым, например, в финансовом секторе, к официальным административным документам,
документам, удостоверяющим личность или скачиваемым продуктам.
Настоящий международный стандарт не применяется к технологиям или системам, предназначенным
для прослеживания и локализации материальных товаров. Прослеживание и локализации сами по
себе не являются средством аутентификации и поэтому не входят в область применения данного
международного стандарта.
Настоящий международный стандарт не связан с экономическими критериями, целью которых
является корреляция эффективности и стоимости средств аутентификации.
Некоторые отрасли промышленности и сферы услуг могут иметь специальные регулятивные
требования, для выполнения которых необходимы дополнительные функциональные возможности,
чтобы заменить часть (или отдельные части) данного международного стандарта.
Предполагается, что данный международный стандарт поможет организациям в понимании своих
потребностей, возможных стратегий и проблем в области аутентификации. Он предназначен дать
организации набор критериев для анализа, установления и реализации средств аутентификации.
1
© ISO 2012– Все права сохраняются
---------------------- Page: 7 ----------------------
ISO 12931:2012(R)
Организация должна определить уровень обеспечения безопасности, необходимый для выбранного
средства аутентификации. Ожидается, что провайдер средства аутентификации будет действовать в
соответствии с рисками и требованиями безопасности организации.
Данный международный стандарт не предназначен ограничивать выбор организацией технологий
аутентификации.
2 Термины и определения
В настоящем документе используются следующие термины и определения.
2.1
агрессивное воздействие
attack
успешная или безуспешная попытка(и) обойти средство аутентификации, включая попытки имитации,
создания или воссоздания элементов аутентификации
2.1.1
внутреннее агрессивное воздействие
internal attack
воздействие, совершаемое физическими или юридическими лицами, прямо или косвенно связанными
с законным производителем, создателем продукта или правообладателем (штат правообладателя,
подрядчика, поставщика и т.д.)
2.1.2
внешнее агрессивное воздействие
external attack
воздействие, совершаемое физическими или юридическими лицами, прямо или косвенно не
связанными с законным производителем, создателем продукта или правообладателем
2.2
подлинный материальный товар
authentic material good
материальный товар, произведенный под контролем законного производителя, создателя продукта
или правообладателя интеллектуальной собственности на товар
2.3
установление подлинности
аутентификация
authentication
действие по установлению подлинности или поддельности материального товара
2.3.1
элемент аутентификации
authentication element
осязаемый объект, визуальный признак или информация, связанные с материальным товаром или его
упаковкой, которые используются как часть средства аутентификации
2.3.1.1
открытый элемент аутентификации
overt authentication element
элемент аутентификации, который можно обнаружить и проверить с помощью одного из органов
чувств человека без привлечения вспомогательных средств (кроме обычных средств коррекции
несовершенного восприятия, таких как очки или слуховые аппараты)
2
© ISO 2012– Все права сохраняются
---------------------- Page: 8 ----------------------
ISO 12931:2012(R)
2.3.1.2
скрытый элемент аутентификации
covert authentication element
элемент аутентификации, который скрыт от органов чувств человека до тех пор, пока использование
инструмента подготовленным человеком не откроет его этим органам чувств или иным образом не
позволит автоматически интерпретировать этот элемент
2.3.2
инструмент аутентификации
authentication tool
комплект систем(ы) аппаратного и/или программного обеспечения, который является частью средства
борьбы с подделками и используется для управления элементом аутентификации
2.3.2.1
автономный инструмент аутентификации
stand-alone authentication tool
инструмент аутентификации, который либо используется для обнаружения органами чувств человека
скрытого элемента аутентификации с целью его проверки человеком, либо включает функции,
необходимые для проверки элемента аутентификации независимо
2.3.2.2
интерактивный инструмент аутентификации
on-line authentication tool
инструмент аутентификации, который для обеспечения локальной интерпретации элемента
аутентификации требует соединения в режиме реального времени
2.3.2.3
серийный инструмент аутентификации
off-the-shelf authentication tool
инструмент аутентификации, который можно приобрести в открытой продаже
2.3.2.4
специализированный инструмент аутентификации
purpose-built authentication tool
инструмент аутентификации, сделанный специально для конкретного средства аутентификации
2.3.3
средство аутентификации
authentication solution
полный набор способов и процедур, который позволяет установить подлинность материального товара
2.4
автоматическая интерпретация
automated interpretation
подлинность, оцениваемая автоматически с помощью одного или нескольких компонентов средства
аутентификации
2.5
подделывать, гл.
фальсифицировать, гл.
counterfeit, verb
несанкционированно имитировать, воспроизводить или модифицировать материальный товар или его
упаковку
2.6
поддельный товар
фальсифицированный товар
counterfeit good
материальный товар, имитирующий или копирующий подлинный материальный товар
3
© ISO 2012– Все права сохраняются
---------------------- Page: 9 ----------------------
ISO 12931:2012(R)
2.7
доля ошибочной приемки
false acceptance rate
доля аутентификаций, при которых поддельный материальный товар ошибочно объявлен подлинным
2.8
доля ошибочной браковки
false rejection rate
доля аутентификаций, при которых подлинный материальный товар ошибочно объявлен поддельным
2.9
криминалистический анализ
forensic analysis
научная методология установления подлинности материальных товаров посредством подтверждения
элемента аутентификации или присущего признака с помощью специализированного оборудования
опытным специалистом, обладающим специальными знаниями
2.10
интерпретация, выполненная человеком
human interpretation
подлинность, оцененная инспектором
2.11
инспектор
inspector
любой специалист, использующий средство аутентификации с целью аутентификации материального
товара
2.12
интегрированный элемент аутентификации
integrated authentication element
элемент аутентификации, добавленный к материальному товару
2.13
целостность
integrity
свойство ненарушенного состояния элемента аутентификации, связанных с ним данных, информации
или элементов и методов их обработки
2.14
взаимодействие
interoperability
степень, в которой средство аутентификации способно работать вместе с другими различными
инструментами
2.15
присущий элемент аутентификации
intrinsic authentication element
элемент аутентификации, свойственный данному материальному товару
2.16
вероятность
likelihood
шанс на то, что какое-либо событие произойдет
ПРИМЕЧАНИЕ 1 к статье: В терминологии менеджмента риска, слово “вероятность” используется для
обозначения шанса на то, что произойдет некое событие, установленное, измеренное или определенное
объективно или субъективно, качественно или количественно, и описанное с использованием общих терминов или
математически (например, как вероятность или частота появления за данный период времени).
4
© ISO 2012– Все права сохраняются
---------------------- Page: 10 ----------------------
ISO 12931:2012(R)
ПРИМЕЧАНИЕ 2 к статье: Английский термин “likelihood” не имеет прямого соответствия в некоторых языках;
вместо этого часто используется эквивалент термина “probability”(вероятность). Однако, в английском языке,
“probability” часто переводится только как математический термин. Поэтому в терминологии менеджмента риска,
“likelihood” используется в смысле, имеющем более широкую интерпретацию, как термин “probability” во многих
других языках, кроме английского.
[ИСТОЧНИК: ISO Guide 73:2009, 3.6.1.1]
2.17
материальный товар
material good
произведенный, выращенный продукт или продукт, обеспечиваемый природой
2.18
жизненный цикл материального товара
material good life cycle
этапы существования товара, включая разработку концепции, проектирование, производство,
хранение, обслуживание, продажу и утилизацию
2.19
правообладатель
rights holder
физическое или юридическое лицо, либо обладающее одним или несколькими правами на
интеллектуальную собственность, либо имеющее разрешение на использование одного или
нескольких таких прав
2.20
анализ риска
risk analysis
процесс осмысления природы риска и определения степени риска
ПРИМЕЧАНИЕ 1 к статье: Анализ риска обеспечивает основу для оценивания риска и принятия решений в
отношении риска.
ПРИМЕЧАНИЕ 2 к статье: Анализ риска включает его оценку.
[ИСТОЧНИК: ISO Guide 73:2009, 3.6.1]
2.21
устойчивость
robustness
способность системы противостоять виртуальным или физическим, внутренним или внешним
агрессивным воздействиям
ПРИМЕЧАНИЕ 1 к статье: В частности, в контексте данного международного стандарта, это способность
противостоять попыткам имитации, копирования, вмешательства или обхода.
2.22
безопасность
security
состояние свободы от опасности или угроз там, где соблюдаются процедуры или приняты
соответствующие меры
2.23
секрет
secret
данные и/или знания, которые защищены от несанкционированного раскрытия
5
© ISO 2012– Все права сохраняются
---------------------- Page: 11 ----------------------
ISO 12931:2012(R)
2.24
разработчик спецификаций
specifier
физическое или юридическое лицо, определяющее требования к средству аутентификации, которое
должно применяться к конкретному материальному товару
2.25
очевидность подделки
tamper evidence
способность элемента аутентификации показывать, что данный материальный товар вызывает
подозрение в его подделке
2.26
прослеживание и локализация
track and trace
средство идентификации каждого отдельного материального товара или серии(й) или партии такого
товара, используемое с целью выяснения, где он был (прослеживание) и где в данный момент
находится (локализация) в цепочке поставок
3 Общие принципы
3.1 Введение
Средства аутентификации появляются в самых различных формах, от простых до сложных,
включающих в себя архитектуры информационных технологий. Простое средство не означает, что оно
слабое, поскольку самое подходящее средство аутентификации материального товара должно
зависеть от обстоятельств его внедрения и использования.
Технические, логистические и финансовые критерии, применяемые при выборе средства
аутентификации, будут определяться целым рядом факторов, включая:
⎯ характеристики элемента(ов) аутентификации,
⎯ уровни проверок и целевые методы,
⎯ любую требуемую информационную систему,
⎯ требования к безопасности,
⎯ стойкость к фальсификации,
⎯ ценность материальных товаров, подлежащих защите,
⎯ риски фальсификации на протяжении жизненного цикла материального товара,
⎯ требования к интегрированию и реализации,
⎯ роль упаковки.
Средства аутентификации не должны влиять на функциональность и целостность материальных
товаров.
Надлежащее применение данного международного стандарта опирается на соблюдение
национальных, региональных и международных законов и регламентов, особенно касающихся
конфиденциальности и безопасности.
6
© ISO 2012– Все права сохраняются
---------------------- Page: 12 ----------------------
ISO 12931:2012(R)
Процессы проверки элементов аутентификации, заложенных в этих средствах, требуют способности к
считыванию, улавливанию и, иногда, опробованию с помощью органов чувств человека или с помощью
инструментов. Такие инструменты либо сразу обеспечат ответ на месте, либо обратятся в реальном
времени в защищенную информационную систему, или, возможно, перенаправят данные, образец или
собственно материальный товар в структуру, предлагающую анализ специалистов, для диагностики в
автономном режиме.
Таким образом, относительно спецификации защиты материальных товаров средство аутентификации
является результатом процесса создания с последующим процессом проверки. Процесс создания
состоит из определения, формирования и производства элементов аутентификации и их интеграции с
материальным товаром или его упаковкой. Процесс проверки заключается в контроле над элементами
аутентификации в цепочке сбыта подготовленными специалистами с помощью органов чувств,
инструментов или справочных материалов. Эти два процесса связаны в модели необходимых мер
«Планирование – Исполнение - Проверка – Действие» [Plan-Do-Check-Act (PDCA)], а привлеченные
исполнители составляют существенную часть средства аутентификации.
Таким образом, уровень пригодности средства аутентификации должен оцениваться в целом, включая
все применимые компоненты и интерфейсы.
В качестве анализа стратегии правообладатели должны рассмотреть основные вопросы,
приведенные ниже:
⎯ Что такое подделки, последствия и вероятность угрозы подделки?
⎯ Какой из моих материальный материальных товаров подделывают или могут подделать?
⎯ В каких местах мы подвергаемся фальсификации, и как распространяются подделки?
⎯ Каково окружение производства и цепи поставок?
⎯ Как и кем должен выполняться процесс аутентификации?
⎯ Каково влияние ошибки человека на средство (процесс и аутентификация)?
3.2 Процесс аутентификации
Типичное средство аутентификации показано на Рисунке 1, который иллюстрирует взаимосвязь между
товаром, подлежащим аутентификации, и типичными компонентами средства аутентификации. Вместе
они составляют правдивое или ложное заключение либо предоставляют информацию, которая
позволит выявить подлинность материального товара.
7
© ISO 2012– Все права сохраняются
---------------------- Page: 13 ----------------------
ISO 12931:2012(R)
Рисунок 1 — Функциональная блок-схема типичного средства аутентификации
3.3 Требования к функциям средств аутентификации
Цель данного международного стандарта заключается в том, чтобы
⎯ создать общее деление средств аутентификации по категориям,
⎯ добиться понимания того, как средство аутентификации, если сделать его многоуровневым, может
стать более устойчивым, и, следовательно, отдельные элементы аутентификации следует
использовать в сочетании, и
⎯ обеспечить критерии, по которым какое-либо средство можно использовать для аутентификации в
различных сценариях проверки.
Так можно помочь имеющимся и потенциальным пользователям средств аутентификации в понимании
их функций, а также в выборе критериев для собственного анализа риска, которые облегчат
пользователю возможность
8
© ISO 2012– Все права сохраняются
---------------------- Page: 14 ----------------------
ISO 12931:2012(R)
⎯ проводить проверку материальных товаров везде, при всех прогнозируемых обстоятельствах и
условиях использования, и
⎯ определить конкретные требования для каждого желаемого уровня безопасности для своих
средств аутентификации.
3.4 Разделение средств аутентификации на категории
Такое разделение предназначено обеспечить пользователям и поставщикам средств аутентификации
руководящее указание, которое позволит сравнивать или выбирать эти средства в зависимости от их
характеристик. Не предполагается брать за основу разделения средств аутентификации в зависимости
от их
...
INTERNATIONAL ISO
STANDARD 12931
First edition
2012-06-01
Performance criteria for authentication
solutions used to combat counterfeiting
of material goods
Critères de performance des solutions d’authentification utilisées pour
combattre la contrefaçon des biens matériels
Reference number
ISO 12931:2012(E)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 12931:2012(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2012
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO’s
member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2012 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 12931:2012(E)
Contents Page
Foreword .iv
Introduction . v
1 Scope . 1
2 Terms and definitions . 1
3 General principles . 5
3.1 Introduction . 5
3.2 Authentication process . 6
3.3 Performance requirements for authentication solutions . 6
3.4 Categorization of authentication solutions . 7
4 Performance criteria specification based on risk analysis . 9
4.1 Introduction . 9
4.2 Performance criteria categories .10
4.3 Criteria for the selection of authentication elements .10
4.4 Attack resistance criteria for the selection of authentication tools .14
4.5 Criteria for the selection of authentication solutions .15
5 Effectiveness assessment of the authentication solution .19
5.1 General .19
5.2 Effectiveness assessment in manufacturing of authentication elements .20
5.3 Effectiveness measurement in the normal verification/authentication situation .21
5.4 Effectiveness assessment in the emergency verification/authentication situation .22
5.5 Summary of effectiveness assessments .22
Annex A (informative) Assessment grid .23
Annex B (informative) Control means access table .27
Bibliography .28
© ISO 2012 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 12931:2012(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International
Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 12931 was prepared by Project committee ISO/TC 246, Anti-counterfeiting tools.
iv © ISO 2012 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 12931:2012(E)
Introduction
The quantity and range of counterfeited material goods has been expanding rapidly over a decade, and is
now no longer limited to luxury goods. The sale of counterfeit goods is prevalent in many developing countries
and is becoming more common in the developed world. Individual manufacturers and rights holders are
experiencing an increase in the number of counterfeiting attacks on their material goods. The internet is
compounding the problem. These counterfeit goods do not necessarily offer the same guarantees in terms
of safety and compliance with environmental measures and regulatory requirements, generating risk for
consumers, patients, users and the distribution chain. They cause loss of earnings, job losses, and brand value
damage for the companies and rights holders targeted as well as tax losses for governments. Counterfeiting
increases the potential for false material good claims and litigation for the companies and distribution supply
chain. Counterfeiting of material goods has become one of the major activities of organized crime, both within
domestic markets and international trade and smuggling.
In order to prevent counterfeiting from plaguing their business, companies are increasingly using authentication
solutions geared to their individual needs. It is important to specify the performance requirements for the
solutions designed to support the fight against counterfeiting at both national and international levels. This will
nurture greater confidence among consumers, support the security of the supply chain, and help the public
authorities devise and implement preventive, deterrent and punitive policies.
Counterfeiting can include but is not limited to
— deceipt of the consumer,
— deceipt of the purchasers of new goods or replacement parts,
— infringement of intellectual property rights, and
— violation of national, regional or international laws.
Counterfeiting can include false claims regarding
— intellectual property rights,
— details of manufacture, and
— trade dress.
Counterfeiting needs to be kept separate from diversion.
The problem of counterfeiting is aggravated by the following factors:
— the market is increasingly global and the material goods are more complex;
— the global movement of material goods is increasing, and may use non-traditional channels.
Therefore it is more difficult for an inspector to recognize the characteristics of any given authentic material good.
Counterfeiting seeks to bypass legal provisions, including guarantees of conformity and quality, designed
to enable professionals to release safe material goods onto the market in fair competition. Buyers do not
necessarily pay all necessary attention to the material goods they are examining, particularly because of trust,
lack of time, the temptation of attractive prices, or simply because they are unfamiliar with the material good
itself. The authentication element provides a specific and more reliable method of determining if the item is
genuine or a counterfeit good.
Establishing the authenticity of material goods, in other words recognizing whether it is genuine or fake, consists
in checking whether the material good reproduces the essential characteristics of the authentic material good to
help establish whether or not there has been infringement. The first step, then, required to provide solid ground
on which to conduct this challenge, is to establish what these essential characteristics are, in particular the
material good’s origin, and then to verify whether the suspect material good being challenged does objectively
and concretely present these characteristics.
© ISO 2012 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 12931:2012(E)
If there is any doubt as to the authenticity of a material good, it is the inspectors’ role, once they have observed
the characteristics of the suspect material good and/or authentication element, to examine whether these
characteristics match those of the authentic material good and/or authentication element. The process
involved is an essentially technical analysis using experience, authentication elements, authentication tools or
a combination of these methods.
This International Standard has been drafted to pinpoint the objectives and boundaries required for industry-
wide and services-wide application. This International Standard sets out the performance criteria for purpose-
built authentication solutions. These authentication solutions are designed to provide reliable evidence making
it easier to assess whether material goods are authentic or counterfeit.
This International Standard aims to integrate the performance requirements for authentication solutions into
the material good’s life cycle in any situation when required. Authentication is thus positioned as a feature of
the material good and services life cycle against counterfeiting.
This International Standard is proposed to be part of a wider framework in related standards in the anti-
counterfeiting field wherein the proof that a material good is authentic or counterfeit can be obtained by any
means whatsoever, and it was not drafted or designed to define a sole means of authentication.
vi © ISO 2012 – All rights reserved
---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 12931:2012(E)
Performance criteria for authentication solutions used to
combat counterfeiting of material goods
1 Scope
This International Standard specifies performance criteria and evaluation methodology for authentication
solutions used to establish material good authenticity throughout the entire material good life cycle. It does not
specify how technical solutions achieve these performance criteria.
This International Standard is intended for all types and sizes of organizations that require the ability to
validate the authenticity of material goods. It is intended to guide such organizations in the determination of
the categories of authentication elements they need to combat those risks, and the criteria for selection of
authentication elements that provide those categories, having undertaken a counterfeiting risk analysis. Such
authentication elements can be part of the material good itself and/or its packaging. The criteria applies to the
material good and/or its packaging.
The performance criteria is considered by organizations in relation to their specific situation.
This International Standard is focused upon the authentication of material goods
— covered by intellectual property rights,
— covered by relevant national or regional regulation,
— with safety and public health implications,
— otherwise with a distinctive identity.
This International Standard focuses on material goods and is not intended to apply to, for example, goods used
in the financial sector, official administrative papers, identity documents or to downloadable products.
This International Standard does not apply to technologies or systems designed for the tracking and tracing of
material goods. Track and trace on its own is not an authentication solution and is therefore outside the scope
of this International Standard.
This International Standard does not deal with economical criteria aiming to correlate performance and costs
of the authentication solutions.
Some industries and services may have special regulatory requirements which would require additional
functionality to supersede part(s) of this International Standard.
This International Standard is intended to contribute to an organization’s understanding of its authentication
needs, possible strategies, and challenges. It is intended to give the organization a set of criteria to analyse,
specify and implement its authentication solutions.
The organization will determine the level of security assurance required for the selected authentication solution.
The authentication solution provider is expected to comply with the risk and security requirements of the
organization.
This International Standard is not intended to constrain the organization’s choice of authentication technologies.
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
© ISO 2012 – All rights reserved 1
---------------------- Page: 7 ----------------------
ISO 12931:2012(E)
2.1
attack
successful or unsuccessful attempt(s) to circumvent an authentication solution, including attempts to imitate,
produce or reproduce the authentication elements
2.1.1
internal attack
attack perpetrated by persons or entities directly or indirectly linked with the legitimate manufacturer, originator
of the good or rights holder (staff of the rights holder, subcontractor, supplier, etc.)
2.1.2
external attack
attack perpetrated by persons or entities that are not directly or indirectly linked with the legitimate manufacturer,
originator of the good or rights holder
2.2
authentic material good
material good produced under the control of the legitimate manufacturer, originator of the good or holder of
intellectual property rights
2.3
authentication
act of establishing whether a material good is genuine or not
2.3.1
authentication element
tangible object, visual feature or information associated with a material good or its packaging that is used as
part of an authentication solution
2.3.1.1
overt authentication element
authentication element which is detectable and verifiable by one or more of the human senses without resource
to a tool (other than everyday tools which correct imperfect human senses, such as spectacles or hearing aids)
2.3.1.2
covert authentication element
authentication element which is hidden from the human senses until the use of a tool by an informed person
reveals it to their senses or else allows automated interpretation of the element
2.3.2
authentication tool
set of hardware and/or software system(s) that is part of an anticounterfeiting solution and is used to control of
the authentication element
2.3.2.1
stand-alone authentication tool
authentication tool which either is used to reveal a covert authentication element to the human senses for
human verification, or which integrates the functions required to be able to verify the authentication element
independently
2.3.2.2
on-line authentication tool
authentication tool which requires a real-time on-line connection to be able to locally interpret the
authentication element
2.3.2.3
off-the-shelf authentication tool
authentication tool which can be purchased through open sales networks
2 © ISO 2012 – All rights reserved
---------------------- Page: 8 ----------------------
ISO 12931:2012(E)
2.3.2.4
purpose-built authentication tool
authentication tool dedicated to a specific authentication solution
2.3.3
authentication solution
complete set of means and procedures that allows the authentication of a material good to be performed
2.4
automated interpretation
authenticity is evaluated automatically by one or more components of the authentication solution
2.5
counterfeit, verb
to simulate, reproduce or modify a material good or its packaging without authorization
2.6
counterfeit good
material good imitating or copying an authentic material good
2.7
false acceptance rate
proportion of authentications wrongly declared true
2.8
false rejection rate
proportion of authentications wrongly declared false
2.9
forensic analysis
scientific methodology for authenticating material goods by confirming an authentication element or an intrinsic
attribute through the use of specialised equipment by a skilled expert with special knowledge
2.10
human interpretation
authenticity as evaluated by the inspector
2.11
inspector
anyone who uses the authentication solution with the aim of authenticating a material good
2.12
integrated authentication element
authentication element that is added to the material good
2.13
integrity
the property of the unimpaired condition of the authentication element, the associated data, the information or
the elements and the means for processing them
2.14
interoperability
degree to which an authentication solution is able to work together with other different tools
2.15
intrinsic authentication element
authentication element which is inherent to the material good
© ISO 2012 – All rights reserved 3
---------------------- Page: 9 ----------------------
ISO 12931:2012(E)
2.16
likelihood
chance of something happening
NOTE 1 to entry: In risk management terminology, the word “likelihood” is used to refer to the chance of something
happening, whether defined, measured or determined objectively or subjectively, qualitatively or quantitatively, and
described using general terms or mathematically (such as a probability or a frequency over a given time period).
NOTE 2 to entry: The English term “likelihood” does not have a direct equivalent in some languages; instead, the equivalent
of the term “probability” is often used. However, in English, “probability” is often narrowly interpreted as a mathematical
term. Therefore, in risk management terminology, “likelihood” is used with the intent that it should have the same broad
interpretation as the term “probability” has in many languages other than English.
[SOURCE: ISO Guide 73:2009, 3.6.1.1]
2.17
material good
manufactured, grown product or one secured from nature
2.18
material good life cycle
stages in the life of a material good including conception, design, manufacture, storage, service, resell and disposal
2.19
rights holder
physical person or legal entity either holding or authorised to use one or more intellectual property rights
2.20
risk analysis
process to comprehend the nature of risk and to determine the level of risk
NOTE 1 to entry: Risk analysis provides the basis for risk evaluation and decisions about risk treatment.
NOTE 2 to entry: Risk analysis includes risk estimation.
[SOURCE: ISO Guide 73:2009, 3.6.1]
2.21
robustness
ability of a system to resist to virtual or physical, internal or external attacks
NOTE 1 to entry: Particularly, in the context of this International Standard, it is the ability to resist attempted imitation,
copy, intrusion or bypassing.
2.22
security
state of being free from danger or threats where procedures are followed or after taking appropriate measures
2.23
secret
data and/or knowledge that are protected against disclosure to unauthorised entities
2.24
specifier
person or entity who defines the requirements for an authentication solution to be applied to a particular
material good
2.25
tamper evidence
ability of the authentication element to show that the material good has been compromised
4 © ISO 2012 – All rights reserved
---------------------- Page: 10 ----------------------
ISO 12931:2012(E)
2.26
track and trace
means of identifying every individual material good or lot(s) or batch in order to know where it has been (track)
and where it is (trace) in the supply chain
3 General principles
3.1 Introduction
Authentication solutions come in a wide range of formats, from simple solutions to complex ones involving
information technology architectures. A simple solution does not mean a weak solution as the most appropriate
authentication solution for a material good will depend of the context of implementation and usage.
The technical, logistical and financial criteria involved in the selection of an authentication solution will depend
upon numerous factors including
— characteristics of the authentication element(s),
— the verification levels and methods targeted,
— any required information system,
— security requirements,
— counterfeit resistance,
— the value of the material goods intended to be protected,
— counterfeiting risks throughout the material good’s life cycle,
— integration and implementation requirements,
— role of packaging.
Authentication solutions should not affect the functionality and the integrity of the material goods.
A proper application of this International Standard relies on the observation of national, regional and international
laws and regulations especially on privacy and safety.
The verification processes of authentication elements deployed in these solutions require the ability to read,
capture and sometimes perform sampling using human senses or tools. These tools will either offer a local
on-the-spot response or will call, in real-time, into a secure information system, or possibly rechannel the data,
sample, or material good towards a structure offering expert analysis for an off-line diagnosis.
Thus, in relation with the specification of the material good protection, an authentication solution is the result of
a creation process followed by a verification process. The creation process consists of defining, generating and
manufacturing the authentication elements and integrating them with the material good or its packaging. The
verification process consists of checking the authentication elements along the distribution chain by trained
people using human senses, tools or references. Those two processes are linked in a Plan-Do-Check-Act
(PDCA) model and the actors involved form an integral part of the authentication solution.
The level of performance of an authentication solution shall therefore be assessed as a whole, including all the
components and interfaces involved.
As a strategy analysis, the main questions to be addressed by the rights owners are as follows.
— What are the counterfeiting issues, the consequences and likelihood of the counterfeiting threat?
— Which of my material goods are being counterfeited or have the potential to be counterfeited?
— In which locations are we experiencing counterfeiting and how are the counterfeits being distributed?
© ISO 2012 – All rights reserved 5
---------------------- Page: 11 ----------------------
ISO 12931:2012(E)
— What is the manufacturing and supply chain environment?
— How and by whom will the authentication process be performed?
— What is the impact of human error on the solution (process and authentication)?
3.2 Authentication process
The typical authentication solution is shown in Figure 1 and reveals the interrelationship between the material
good to be authenticated and typical components of the authentication solution. They together yield a true or
false verdict or provide information that will enable to detect the authenticity of the material good.
Risk analysis
Consequences of Material good Authentication Material good
counterfeiting details options conterfeiting
history
Authentication
element(s)
selection
Suspect
Integrated /
Intrinsic
No Yes
Associated
Décision:
authentication Act Act
Authentication
Genuine ?
element(s)
element(s)
Inspection:
Overt or Covert, or
Forensic analysis
Authentication
Supporting Data methods /
protocols
Figure 1 — Functional block diagram of a typical authentication solution
3.3 Performance requirements for authentication solutions
The aim of this International Standard is to
— establish common categorization of authentication solutions,
6 © ISO 2012 – All rights reserved
---------------------- Page: 12 ----------------------
ISO 12931:2012(E)
— establish an understanding how an authentication solution may constitute a more robust solution when
layered and therefore individual authentication elements should be used in combination, and
— provide criteria for which type of solution can be used to authenticate in different verification scenarios.
Thus to assist users and potential users of authentication solutions to understand their functionality and
selection criteria against their own risk analysis, which will facilitate the user’s ability to
— run material good verifications anywhere, under all foreseeable circumstances and conditions of use, and
— define specific requirements for every desired level of security for their authentication solution.
3.4 Categorization of authentication solutions
This categorization is intended to provide a guideline for users and suppliers of authentication solutions that
allow solutions to be compared or selected according to their characteristics. It is not intended to rank the
solutions according to performance effectiveness. The environment of the examination helps to determine the
choice of authentication solution(s).
The characteristics used in this categorization are based on the following considerations.
3.4.1 Provision of knowledge
Any authentication solution will require some knowledge to be provided to the inspector. Without the knowledge
that a certain authentication solution has been applied to the material good in question, an inspector cannot
inspect the associated authentication element. Without knowledge of the appropriate inspection procedure,
he cannot adequately perform the authentication. The knowledge required can be subdivided into general
knowledge (e.g., how a class of authentication elements appears to the inspector) and material good-specific
knowledge (e.g., which particular authentication element has been applied to the material good being inspected).
However, the right holder may control the intended audience of this knowledge, in particular of material good-
specific knowledge. The following distinction is used for the categorization.
3.4.1.1 General audience
Knowledge about the authentication solution employed is made public, e.g., via advertisements, websites, or
marketing materials.
3.4.1.2 Restricted audience
Knowledge about the authentication solution employed is made available only to a restricted group of people
that have a need to know; this will usually include all those people who are professionally required to inspect
the material good, and thus exclude those in the general audience. This approach is limited by the potential
risk that the knowledge will leak from the intended audience and may ultimately become public knowledge;
on the other hand, the security of an authentication solution can be substantially increased by restricting the
availability of knowledge.
3.4.2 Inspection method
The process of inspection of an authentication element invariably involves some form of physical observation.
The following distinction in this regard is used for the categorization.
3.4.2.1 Human senses
The inspection method makes use of the human senses.
© ISO 2012 – All rights reserved 7
---------------------- Page: 13 ----------------------
ISO 12931:2012(E)
3.4.2.2 Authentication tool
An authentication tool is employed to perform the required inspection and to display the result in some
appropriate way for presentation to the inspector. The tool employed may either be field available tool or require
the use of a laboratory equipment or similar environment.
Using these characteristics, the following set of basic categories can be established, as shown in Table 1 and
further detailed below.
Table 1 — Characteristics of categories for authentication solutions
Authentication tool
Human senses Forensic analysis
Off the shelf Purpose built
a
General audience OVERT COVERT — —
Restricted audience OVERT COVERT COVERT COVERT
a
See 3.4.4.2.
Track and Trace technology when used alone is not considered to be an authentication solution and as such is
not covered by this International Standard.
Annex B provides the specifier a tool with which to define the audience.
3.4.3 Categorization of authentication tools
When an authentication solution uses an authentication tool to inspect the authentication element, the technical
tool can further be characterized by the following categories.
3.4.3.1 Mode of operation
Depending on how the authentication tool operates, two categories for its mode of operation can be distingu
...
NORME ISO
INTERNATIONALE 12931
Première édition
2012-06-01
Critères de performance des solutions
d’authentification utilisées pour combattre
la contrefaçon des biens matériels
Performance criteria for authentication solutions used to combat
counterfeiting of material goods
Numéro de référence
ISO 12931:2012(F)
©
ISO 2012
---------------------- Page: 1 ----------------------
ISO 12931:2012(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2012
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit
de l’ISO à l’adresse ci-après ou du comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2012 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 12931:2012(F)
Sommaire Page
Avant-propos .iv
Introduction . v
1 Domaine d’application . 1
2 Termes et définitions . 2
3 Principes généraux . 5
3.1 Introduction . 5
3.2 Processus d’authentification . 6
3.3 Exigences de performance des solutions d’authentification . 6
3.4 Typologie des solutions d’authentification . 6
4 Spécification des critères de performance à partir d’une analyse des risques .10
4.1 Introduction .10
4.2 Catégories des critères de performance .10
4.3 Critères pour le choix des éléments authentifiants . 11
4.4 Critères de résistance aux attaques pour le choix des outils d’authentification .14
4.5 Critères pour le choix des solutions d’authentification .16
5 Appréciation de l’efficacité de la solution d’authentification .20
5.1 Généralités .20
5.2 Appréciation de l’efficacité lors de la fabrication des éléments authentifiants .22
5.3 Mesure de l’efficacité dans une situation normale de vérification/d’authentification .22
5.4 Appréciation de l’efficacité dans une situation d’urgence de vérification/ d’authentification .23
5.5 Synthèse relative aux appréciations de l’efficacité .23
Annexe A (informative) Grille d’appréciation .24
Annexe B (informative) Tableau relatif à l’accès aux moyens de contrôle .29
Bibliographie .30
© ISO 2012 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 12931:2012(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux de
normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général confiée aux
comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI, Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur publication
comme Normes internationales requiert l’approbation de 75 % au moins des comités membres votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de droits
de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de ne pas avoir
identifié de tels droits de propriété et averti de leur existence.
L’ISO 12931 a été élaborée par le comité de projet ISO/PC 246, Dispositifs techniques anti-contrefaçon.
iv © ISO 2012 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 12931:2012(F)
Introduction
Depuis plus d’une décennie, la contrefaçon des biens matériels se développe rapidement, tant au niveau
quantitatif que qualitatif; elle ne se limite plus aux produits de luxe. La vente de biens de contrefaçon est courante
dans de nombreux pays en développement et elle se répand dans les économies développées. Certains
fabricants et détenteurs de droits sont confrontés à une augmentation du nombre d’attaques contrefaisantes
sur leurs biens matériels. L’Internet aggrave le problème. Ces produits de contrefaçon, qui n’offrent pas
nécessairement les mêmes garanties en termes de sécurité et de respect de l’environnement et des exigences
réglementaires, constituent une source de danger pour les consommateurs, les patients, les utilisateurs et la
chaîne de distribution. Ils se traduisent, d’une part, par des pertes de chiffre d’affaires et d’emplois ainsi que
par une atteinte à l’image de marque des entreprises et des détenteurs de droits ciblés, et d’autre part, par des
pertes de recettes fiscales pour les États. La contrefaçon accroît le potentiel de revendications liées aux biens
matériels frauduleux et de litiges pour les entreprises et la chaîne d’approvisionnement et de distribution. Par
ailleurs, la contrefaçon des biens matériels est devenue l’une des principales activités du crime organisé, tant
sur les marchés intérieurs que dans le domaine du commerce international et dans celui de la contrebande.
Pour lutter contre ce fléau, les entreprises utilisent de plus en plus des solutions d’authentification adaptées à
leurs besoins. Il importe de préciser les exigences de performance requises des solutions propres à soutenir
la lutte contre la contrefaçon au plan national comme au plan international. Cela générera une plus grande
confiance parmi les consommateurs, renforcera la sécurité de la chaîne de distribution et aidera les autorités
publiques à concevoir et mettre en œuvre des politiques préventives, dissuasives et répressives.
La contrefaçon peut comprendre, sans toutefois s’y limiter,
— une escroquerie pour le consommateur,
— une tromperie pour les acheteurs de biens matériels neufs ou de pièces de rechange,
— une atteinte aux droits de propriété intellectuelle, et
— une violation des lois nationales, régionales ou internationales.
La contrefaçon peut englober des revendications frauduleuses portant sur
— des droits de propriété intellectuelle,
— des détails de fabrication, et
— l’ornementation.
La contrefaçon doit être maintenue distincte du détournement.
Le problème de la contrefaçon est aggravé par les facteurs suivants:
— le marché se mondialise de plus en plus et les biens matériels deviennent de plus en plus complexes;
— les déplacements de biens matériels à l’échelle mondiale se développent et peuvent emprunter des canaux
non-traditionnels.
Par conséquent, un contrôleur a davantage de difficultés à reconnaître les caractéristiques de n’importe quel
bien matériel authentique donné.
Les dispositions légales, y compris les garanties de conformité et de qualité, conçues pour permettre aux
professionnels de mettre sur le marché des biens matériels sûrs dans des conditions commerciales loyales,
ne sont pas respectées en cas de contrefaçon. Les acheteurs n’accordent pas nécessairement toute l’attention
requise aux biens matériels qu’ils sont en train d’examiner, en particulier pour des raisons de confiance, par
manque de temps, du fait de la tentation imputable à des prix attractifs ou simplement parce que le bien
matériel lui-même ne leur est pas familier. L’élément authentifiant fournit une méthode particulière et plus fiable
pour déterminer si l’article est authentique ou si c’est un produit de contrefaçon.
Établir l’authenticité d’un bien matériel, autrement dit reconnaître son caractère «vrai» ou «faux» consiste à
rechercher si ce bien reproduit les caractéristiques essentielles du bien matériel authentique, qui aident à
© ISO 2012 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 12931:2012(F)
établir s’il y a infraction ou non. Il faut donc, pour donner à cette contestation une base solide, commencer par
établir en quoi consistent ces caractéristiques essentielles, notamment l’origine du bien matériel, puis vérifier
si le bien matériel suspect présente ou non, concrètement et objectivement, ces caractéristiques.
En cas de doute sur l’authenticité d’un bien matériel, le contrôleur devra, après avoir observé les caractéristiques
du bien matériel suspect et/ou de l’élément authentifiant, rechercher si celles-ci correspondent aux
caractéristiques du bien matériel authentique et/ou de l’élément authentifiant. Le processus engagé consiste
essentiellement en une analyse technique exploitant l’expérience, des éléments authentifiants, des outils
d’authentification ou une combinaison de ces méthodes.
La présente Norme internationale a été élaborée pour définir plus précisément les objectifs et les limites
requis pour une application dans l’industrie et les services. Elle définit les critères de performance de solutions
d’authentification dédiées. Ces solutions d’authentification sont destinées à fournir des éléments de preuve
fiables facilitant l’appréciation du caractère authentique ou falsifié de biens matériels.
La présente Norme internationale vise à intégrer les critères de performance des solutions d’authentification dans
le cycle de vie du bien matériel dans toutes les situations, lorsque cela est nécessaire. L’authentification occupe
ainsi une position au sein même du cycle de vie du bien matériel et des services, pour lutter contre la contrefaçon.
La présente Norme internationale a pour objet de s’intégrer dans un vaste cadre de normes connexes afférentes
au domaine de la lutte contre la contrefaçon, où la preuve du caractère authentique ou falsifié d’un bien
matériel peut être obtenue par tout moyen; elle n’a ni pour objectif, ni pour effet, de définir un moyen exclusif
d’authentification.
vi © ISO 2012 – Tous droits réservés
---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 12931:2012(F)
Critères de performance des solutions d’authentification
utilisées pour combattre la contrefaçon des biens matériels
1 Domaine d’application
La présente Norme internationale spécifie des critères et une méthodologie d’évaluation de la performance
des solutions d’authentification utilisées pour établir l’authenticité d’un bien matériel durant l’ensemble de son
cycle de vie. Elle ne précise pas comment les solutions techniques remplissent ces critères de performance.
La présente Norme internationale est destinée à tous les types et tailles d’organisations qui requièrent la
capacité de valider l’authenticité de biens matériels. Elle a vocation à guider ces organisations lors de la
détermination, d’une part, des catégories d’éléments authentifiants dont elles ont besoin pour s’opposer à
ces risques, et d’autre part, des critères de choix desdits éléments, une analyse des risques de contrefaçon
ayant été préalablement menée. Ces éléments authentifiants peuvent faire partie intégrante du bien matériel
proprement dit et/ou de son emballage. Les critères s’appliquent au bien matériel et/ou à son emballage.
Les critères de performance seront pris en considération par ces organisations en relation avec leur
situation spécifique.
La présente Norme internationale se concentre sur l’authentification des biens matériels
— couverts par des droits de propriété intellectuelle,
— couverts par la législation régionale ou nationale applicable,
— avec des implications pour la sécurité et la santé publique,
— avec ou sans une identité caractéristique.
La présente Norme internationale est axée sur les biens matériels. Elle n’est pas destinée à s’appliquer, par
exemple, aux biens du domaine financier, aux documents officiels administratifs, aux papiers d’identité ou aux
produits numériques téléchargeables.
La présente Norme internationale ne s’applique pas non plus aux technologies ou systèmes de suivi logistique
des biens matériels. Le suivi logistique en soi n’étant pas une solution d’authentification, il ne relève pas du
domaine d’application de la présente Norme internationale.
La présente Norme internationale ne traite pas de critères économiques ayant pour but de mettre en regard la
performance et le coût des solutions d’authentification.
Il se peut que certaines industries et services aient des exigences réglementaires particulières qui
nécessiteraient une fonctionnalité supplémentaire afin de remplacer une ou plusieurs parties de la présente
Norme internationale.
La présente Norme internationale a pour but d’aider les organisations à appréhender leurs propres besoins en
matière d’authentification, les stratégies possibles et les défis à relever. Elle vise à leur fournir un ensemble de
critères pour analyser, préciser et mettre en œuvre leurs solutions d’authentification.
L’organisation déterminera le niveau d’assurance sécurité requis pour la solution d’authentification choisie. Le
fournisseur de la solution d’authentification est censé se conformer aux exigences de l’organisation en matière
de risque et de sécurité.
La présente Norme internationale ne vise pas à contraindre l’organisation dans son choix de technologies
d’authentification.
© ISO 2012 – Tous droits réservés 1
---------------------- Page: 7 ----------------------
ISO 12931:2012(F)
2 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
2.1
attaque
tentative(s) réussie(s) ou non de mettre en échec une solution d’authentification, comprenant des tentatives
d’imitation, de production ou de reproduction à l’identique des éléments authentifiants
2.1.1
attaque interne
attaque perpétrée par des personnes ou entités ayant un lien direct ou indirect avec le fabricant légitime, le
créateur du bien ou le détenteur des droits (personnel du détenteur des droits, sous-traitant, fournisseur, etc.)
2.1.2
attaque externe
attaque perpétrée par des personnes ou entités n’ayant pas de lien direct ou indirect avec le fabricant légitime,
le créateur du bien ou le détenteur des droits
2.2
bien matériel authentique
bien matériel produit sous le contrôle du fabricant légitime, du créateur du bien ou du détenteur des droits de
propriété intellectuelle
2.3
authentification
acte consistant à établir si un bien matériel est authentique ou non
2.3.1
élément authentifiant
objet tangible, caractéristique visuelle ou information associée au bien matériel ou à son emballage, utilisé en
tant que partie intégrante d’une solution d’authentification
2.3.1.1
élément authentifiant contrôlable sans outil
élément authentifiant pouvant être détecté et vérifié à l’aide d’un ou de plusieurs sens de l’être humain sans recourir
à un outil (autre que les outils courants qui corrigent des sens déficients tels que lunettes ou prothèses auditives)
2.3.1.2
élément authentifiant contrôlable avec outil
élément authentifiant non perçu par les sens de l’être humain jusqu’à ce qu’une personne expérimentée recoure
à un outil pour le leur révéler ou pour en permettre l’interprétation automatisée
2.3.2
outil d’authentification
ensemble de logiciels et/ou matériels faisant partie d’une solution anti-contrefaçon et utilisé pour contrôler
l’élément authentifiant
2.3.2.1
outil d’authentification autonome
outil d’authentification qui, soit est utilisé pour révéler un élément authentifiant contrôlable avec outil aux sens
de l’être humain dans le cas d’une vérification humaine, soit comprend les fonctions requises pour être apte à
vérifier l’élément authentifiant de manière indépendante
2.3.2.2
outil d’authentification connecté
outil d’authentification qui nécessite une connexion en temps réel pour pouvoir interpréter localement l’élément
authentifiant
2 © ISO 2012 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 12931:2012(F)
2.3.2.3
outil d’authentification en vente libre
outil d’authentification qui peut être acquis dans les réseaux de vente ouverts
2.3.2.4
outil d’authentification dédié
outil d’authentification dédié à une solution d’authentification spécifique
2.3.3
solution d’authentification
ensemble complet de moyens et de procédures qui permet d’effectuer l’authentification d’un bien matériel
2.4
interprétation automatisée
évaluation automatique de l’authenticité par un ou plusieurs composants de la solution d’authentification
2.5
contrefaire
simuler, reproduire à l’identique ou modifier un bien matériel ou son emballage sans autorisation
2.6
produit de contrefaçon
bien matériel imitant ou copiant un bien matériel authentique
2.7
taux de fausses acceptations
proportion d’authentifications déclarées vraies erronément
2.8
taux de faux rejets
proportion d’authentifications déclarées fausses erronément
2.9
analyse scientifique
méthode scientifique permettant d’authentifier des biens matériels en confirmant un élément authentifiant ou
un attribut intrinsèque, via l’emploi d’un appareillage spécialisé par un expert qualifié ayant des connaissances
particulières
2.10
interprétation humaine
évaluation de l’authenticité par le contrôleur
2.11
contrôleur
quiconque exploite la solution d’authentification dans le but d’authentifier un bien matériel
2.12
élément authentifiant intégré
élément authentifiant ajouté au bien matériel
2.13
intégrité
non-altération de l’élément authentifiant, des données associées, des informations ou des éléments et de leurs
moyens de traitement
2.14
interopérabilité
degré de compatibilité d’une solution d’authentification avec des outils différents
2.15
élément authentifiant intrinsèque
élément authentifiant inhérent au bien matériel
© ISO 2012 – Tous droits réservés 3
---------------------- Page: 9 ----------------------
ISO 12931:2012(F)
2.16
vraisemblance
possibilité que quelque chose se produise
Note 1 à l’article: Dans la terminologie du management du risque, le mot «vraisemblance» est utilisé pour indiquer la
possibilité que quelque chose se produise, que cette possibilité soit définie, mesurée ou déterminée de façon objective ou
subjective, qualitative ou quantitative, et qu’elle soit décrite au moyen de termes généraux ou mathématiques (telles une
probabilité ou une fréquence sur une période donnée).
Note 2 à l’article: Le terme anglais «likelihood» (vraisemblance) n’a pas d’équivalent direct dans certaines langues et
c’est souvent l’équivalent du terme «probability» (probabilité) qui est utilisé à la place. En anglais, cependant, le terme
«probability» (probabilité) est souvent limité à son interprétation mathématique. Par conséquent, dans la terminologie du
management du risque, le terme «vraisemblance» est utilisé avec l’intention qu’il fasse l’objet d’une interprétation aussi
large que celle dont bénéficie le terme «probability» (probabilité) dans de nombreuses langues autres que l’anglais.
[SOURCE:ISO Guide 73:2009, définition 3.6.1.1]
2.17
bien matériel
produit manufacturé, cultivé ou fourni par la nature
2.18
cycle de vie d’un bien matériel
les différentes étapes de la vie d’un bien matériel, comprenant la conception, le dessin, la fabrication, le
stockage, l’entretien, la revente et la mise au rebut
2.19
détenteur de droits
personne physique ou morale détenant un ou plusieurs droits de propriété intellectuelle ou autorisée à les utiliser
2.20
analyse du risque
processus mis en œuvre pour comprendre la nature d’un risque et pour déterminer le niveau de risque
Note 1 à l’article: L’analyse du risque fournit la base de l’évaluation du risque et les décisions relatives au traitement du risque.
Note 2 à l’article: L’analyse du risque inclut l’estimation du risque
[SOURCE: ISO Guide 73:2009, définition 3.6.1]
2.21
robustesse
capacité d’un dispositif à résister à des attaques externes ou internes, de nature physique ou informatique
Note 1 à l’article: Dans le contexte de la présente Norme internationale, il s’agit notamment de la capacité à résister à des
tentatives d’imitation, de reproduction, d’intrusion ou de contournement
2.22
sécurité
situation caractérisée par l’absence de dangers ou de menaces, dans laquelle des procédures sont observées
ou qui découle de mesures appropriées
2.23
secret
donnée et/ou savoir qui est protégé pour ne pas être révélé à des personnes non-autorisées
2.24
spécifieur
personne ou entité qui définit les exigences relatives à la solution d’authentification devant être appliquée à un
bien matériel particulier
4 © ISO 2012 – Tous droits réservés
---------------------- Page: 10 ----------------------
ISO 12931:2012(F)
2.25
preuve d’effraction
aptitude de l’élément authentifiant à montrer qu’il a été porté atteinte au bien matériel
2.26
suivi logistique
moyen d’identification de chaque bien matériel ou de chaque lot ou série, permettant de savoir où il était
(traçabilité) et où il se trouve (suivi) dans la chaîne de distribution
3 Principes généraux
3.1 Introduction
Les solutions d’authentification revêtent une large palette de formes, allant des solutions simples aux solutions
complexes impliquant des architectures TIC (technologies de l’information). Une solution simple ne signifie
pas une solution peu performante car, pour un bien matériel, la solution d’authentification la plus appropriée
dépendra du contexte de mise en application et de l’usage.
Les critères techniques, logistiques et financiers qui entrent en jeu lors du choix de la solution d’authentification
dépendent de nombreux facteurs, à savoir:
— les caractéristiques du ou des éléments authentifiants;
— les niveaux et méthodes de contrôle recherchés;
— tout système d’information requis;
— les exigences en matière de sécurité;
— la résistance à la contrefaçon;
— la valeur des biens matériels à protéger;
— les risques associés à la contrefaçon durant tout le cycle de vie du bien matériel;
— les exigences en matière d’intégration et de mise en œuvre;
— le type d’emballage.
Il convient que les solutions d’authentification n’aient aucune incidence sur la fonctionnalité et l’intégrité des
biens matériels.
Une application correcte de la présente Norme internationale repose sur le respect des lois et réglementations
nationales, régionales et internationales, en particulier en matière de vie privée, de confidentialité et de sécurité.
Les processus de vérification des éléments authentifiants déployés dans ces solutions requièrent une capacité
de lecture, d’observation, d’analyse, de capture, et parfois de prélèvement, en faisant appel aux sens de
l’être humain ou à des outils. Ces outils vont soit apporter une réponse locale immédiate, soit faire appel en
temps réel à un système d’information sécurisé, soit encore acheminer l’information, le prélèvement ou le bien
matériel vers une structure d’expertise qui donnera un diagnostic en temps différé.
Ainsi, eu égard à la spécification de la protection du bien matériel, une solution d’authentification découle
d’un processus de création qui est suivi d’un processus de contrôle. Le processus de création consiste à
définir, générer et fabriquer les éléments authentifiants, puis à les intégrer dans le bien matériel ou dans son
emballage. Le processus de contrôle consiste à faire contrôler les éléments authentifiants tout au long de la
chaîne de distribution par des personnes ayant reçu une formation, utilisant les sens de l’être humain, des
outils ou des références. Ces deux processus sont reliés en un modèle «Planifier-Déployer-Contrôler-Agir»
(PDCA) et les acteurs impliqués font partie intégrante de la solution d’authentification.
Le niveau de performance d’une solution d’authentification doit donc être évalué dans son ensemble, pour
toutes ses composantes et leurs interfaces.
© ISO 2012 – Tous droits réservés 5
---------------------- Page: 11 ----------------------
ISO 12931:2012(F)
L’analyse de la stratégie impose que les titulaires de droits examinent les questions majeures suivantes.
— Quels sont les problèmes de contrefaçon, les conséquences et la vraisemblance d’une menace de contrefaçon?
— Parmi mes biens matériels, lesquels sont contrefaits ou pourraient l’être?
— À quels endroits sommes-nous confrontés à la contrefaçon et comment les contrefaçons sont-elles distribuées?
— Quel est le contexte de la fabrication et de la chaîne de distribution?
— Comment et par qui le processus d’authentification sera-t-il réalisé?
— Quel est l’impact de l’erreur humaine sur la solution (processus et authentification)?
3.2 Processus d’authentification
La solution d’authentification type est représentée sur la Figure 1. Elle révèle les liens existant entre le bien
matériel à authentifier et les composantes types de la solution d’authentification. Prises conjointement, celles-ci
conduisent à un verdict d’authenticité ou de fausseté, ou fournissent des informations qui permettront de
déceler l’authenticité du bien matériel.
3.3 Exigences de performance des solutions d’authentification
la présente Norme internationale a pour objectif:
— d’établir une typologie commune des solutions d’authentification;
— d’établir un consensus sur la manière dont une solution d’authentification peut constituer une solution
plus robuste lorsqu’elle est hiérarchisée et, donc, sur le fait qu’il convient d’utiliser des combinaisons des
différents éléments authentifiants;
— de fournir des critères sur le type de solution pouvant être utilisé pour procéder à des authentifications
dans différents scénarios de contrôle.
Elle vise ainsi à aider les utilisateurs réels et potentiels de solutions d’authentification à comprendre les
fonctionnalités de celles-ci et les critères de choix adaptés à leur propre analyse du risque, ce qui facilitera la
capacité de l’utilisateur:
— à effectuer des vérifications de biens matériels en tout lieu, dans toutes les circonstances et conditions
d’usage prévisibles;
— à définir des exigences spécifiques pour chaque niveau de sécurité souhaité pour ses solutions
d’authentification.
3.4 Typologie des solutions d’authentification
Cette typologie a pour but de fournir des indications aux utilisateurs et fournisseurs de solutions d’authentification
qui permettent de comparer les solutions ou de les sélectionner en fonction de leurs caractéristiques. Son but
n’est pas de classer les solutions selon leurs performances effectives. Le contexte dans lequel se fait l’examen
facilite la détermination du choix de la ou des solutions d’authentification.
Les caractéristiques sous-jacentes de cette typologie reposent sur les considérations suivantes.
6 © ISO 2012 – Tous droits réservés
---------------------- Page: 12 ----------------------
ISO 12931:2012(F)
Analyse du risque
Conséquences de Détails relatifs au Options Antécédents de
la contrefaçon produit d'authentification contrefaçon
touchant le bien
matériel
Sélection des
éléments
authentifiants
Éléments Éléments
NonOui
Décision:
authentifiants authentifiants Agir Agir
Authentique?
intégrés/associés intrinsèques
Contrôle:
sans outil et/ou
avec outil et/ou
analyse scientifique
Protocoles/
Données à l'appui méthodes
d'authentification
Figure 1 — Bloc-diagramme fonctionnel d’une solution d’authentification type
3.4.1 Apport de connaissances
Toute solution d’authentification nécessite de communiquer des données au contrôleur. Si le contrôleur ne
sait pas qu’une solution d’authentification déterminée a été appliquée au bien matériel en question, il ne peut
pas contrôler l’élément authentifiant correspondant. Sans avoir connaissance de la procédure de contrôle
appropriée, il ne peut pas réaliser l’authe
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.