ISO 22383:2020
(Main)Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for the selection and performance evaluation of authentication solutions for material goods
Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for the selection and performance evaluation of authentication solutions for material goods
This document gives guidelines for performance criteria and an evaluation methodology for authentication solutions that aim to unambiguously establish material good authenticity and integrity throughout an entire material good's life cycle. It focuses on the authentication of a material good and, if appropriate, its components, parts and related data: — covered by intellectual property rights; — covered by relevant international, regional or national regulations; — with counterfeiting-related implications; — otherwise with a distinctive identity. This document is applicable to all types and sizes of organizations that require the ability to validate the authenticity and integrity of material goods. It will help organizations to determine the categories of authentication elements they need in order to combat counterfeiting-related risks, and the criteria for selecting authentication elements, after having undertaken a counterfeiting risk assessment. Authentication solutions can be used in areas such as anti-counterfeiting, prevention of product fraud and prevention of diversion. This document does not specify economic criteria aiming to correlate performance and costs of the authentication solutions.
Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Lignes directrices pour la sélection et l'évaluation de la performance des solutions d'authentification pour les biens matériels
Le présent document fournit des lignes directrices pour les critères et une méthodologie d'évaluation de la performance des solutions d'authentification qui visent à établir sans ambiguïté l'authenticité et l'intégrité d'un bien matériel durant l'ensemble de son cycle de vie. Il traite essentiellement de l'authentification d'un bien matériel et, le cas échéant, de ses composants, pièces ou des données associées: couverts par des droits de propriété intellectuelle; couverts par les réglementations internationales, régionales ou nationales; pouvant être concernés par la contrefaçon; avec ou sans une identité caractéristique. Le présent document s'applique à tous les types et tailles d'organisations qui requièrent la capacité de valider l'authenticité et l'intégrité de biens matériels. Il aidera les organisations lors de la détermination, d'une part, des catégories d'éléments authentifiants dont elles ont besoin pour s'opposer aux risques liés à la contrefaçon, et, d'autre part, des critères de choix desdits éléments, une appréciation du risque de contrefaçon ayant été préalablement menée. Les solutions d'authentification peuvent être utilisées dans des domaines tels que la lutte contre la contrefaçon, la prévention des fraudes et la prévention des détournements. Le présent document ne traite pas des critères économiques ayant pour but d'établir une corrélation entre la performance et le coût des solutions d'authentification.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22383
First edition
2020-09
Security and resilience — Authenticity,
integrity and trust for products and
documents — Guidelines for the
selection and performance evaluation
of authentication solutions for
material goods
Reference number
ISO 22383:2020(E)
©
ISO 2020
---------------------- Page: 1 ----------------------
ISO 22383:2020(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 22383:2020(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 3
4.1 General . 3
4.2 Security-by-design process for authentication solutions. 4
4.3 Categorization of authentication solutions . 5
4.3.1 General. 5
4.3.2 Provision of knowledge . . 6
4.3.3 Sourcing and production of authentication elements and tools . 6
4.3.4 Inspection . 6
4.3.5 Categories of authentication elements . 7
5 Performance criteria specification based on risk analysis . 8
5.1 General . 8
5.2 Risk analysis elements . 9
5.3 Performance criteria categories . 9
5.4 Criteria for selection of authentication elements . 9
5.4.1 Physical characteristics . 9
5.4.2 Attack resistance .10
5.4.3 Integration process .11
5.5 Attack-resistance criteria for selection of authentication tools.12
5.5.1 General.12
5.5.2 Obsolescence .12
5.5.3 Assessment of vulnerability and resistance of authentication tools .12
5.6 Criteria for selection of authentication elements and tools .12
5.7 Criteria for selection of authentication solutions .13
5.7.1 Location/environment for authentication process .13
5.7.2 Authentication parameters .13
5.7.3 Life cycle criteria .13
5.7.4 Security policy . .13
5.7.5 Compliance with regulations, security practices and quality procedures .14
5.7.6 Operation .14
5.7.7 Ability to evaluate the performance of the authentication solution .14
6 Effectiveness assessment of authentication solutions .15
6.1 General .15
6.2 Definition of effectiveness assessment protocols .15
6.3 Effectiveness assessment in manufacturing of authentication elements .17
6.4 Effectiveness of delivery of authentication elements .17
6.5 Effectiveness of application of authentication elements .17
6.6 Data management .17
6.7 Effectiveness measurement in normal verification/authentication situations .18
6.8 Effectiveness assessment in emergency verification/authentication situations .18
6.9 Impact of verification results and corrective actions .18
Annex A (informative) Assessment grid.19
Annex B (informative) Control means access table .24
Bibliography .25
© ISO 2020 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 22383:2020(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This second edition cancels and replaces the first edition (ISO 12931:2012), which has been technically
revised. The main changes compared with the previous edition are as follows:
— it has a new ISO number and title, and is now included in the ISO 22300 family of standards;
— its terminology mirrors ISO 22300;
— relevant standards published since the first edition have been added as references.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 22383:2020(E)
Introduction
Since the issuance of the first edition of this document in 2012, the quantity and range of material
goods counterfeited or otherwise subject to product fraud continues to expand, and now affects many
consumer goods and spare parts.
The sale of counterfeit goods, as well as falsified, illegally copied or illicitly traded products, is prevalent
in many developing countries and is becoming more common in the developed world. Individual
manufacturers and rights holders are experiencing an increase in the number of counterfeiting attacks
on their material goods. The internet is compounding the problem. These counterfeit goods do not
necessarily offer the same guarantees in terms of safety and compliance with environmental measures
and regulatory requirements, generating risk for consumers, patients, users and the distribution chain.
They cause loss of earnings, job losses and brand value damage for companies and targeted rights
holders as well as tax losses for governments. Counterfeiting increases the potential for false material
goods claims and litigation for companies and distribution supply chains. Counterfeiting of material
goods has become one of the major activities of organized crime, both within domestic markets and
international trade and smuggling.
In order to prevent counterfeiting and other types of product fraud, rights owners, institutions and
governmental regulators are increasingly demanding and implementing authentication solutions
geared to specific needs. It is important to specify the performance requirements for the solutions
designed to support the fight against counterfeiting at both national and international levels. This will
promote greater confidence among consumers, support the security of the supply chain, and help public
authorities devise and implement preventive, deterrent and law enforcement policies. In addition, the
growth of global trade and the reduction of physical controls at borders has increased the risk of more
counterfeited products in circulation. This document will contribute to further strengthen such controls
by enabling faster and more reliable evidence of the authenticity and integrity of material goods.
Product fraud includes, but is not limited to, counterfeiting, adulteration, tampering, substitution and
simulation.
Product fraud impact can include, but is not limited to:
— deception of the consumer;
— deception of the purchaser of new goods or replacement parts;
— infringement of intellectual property rights;
— violation of national, regional or international laws;
— false claims regarding:
— intellectual property rights;
— details of manufacture;
— trade and origin details;
— identification codes and/or authentication elements.
The problem of product fraud is aggravated by the following factors:
— the market is increasingly global;
— the material goods and their supply chains are more complex;
— the global movement of material goods is increasing and can use non-traditional channels.
Counterfeiting needs to be kept separate from diversion.
© ISO 2020 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 22383:2020(E)
It can be difficult for an inspector, be it a dedicated professional or any citizen or consumer, to recognize
the characteristics of a given authentic material good.
Counterfeiting seeks to bypass legal provisions, including guarantees of conformity and quality,
designed to enable professionals to release safe material goods into the market in fair competition.
Buyers do not necessarily pay all the attention needed to the material goods they are examining,
particularly due to trust, lack of time, the temptation of attractive prices or simply because they are
unfamiliar with the material good itself. The authentication element provides a specific and more
reliable method of determining whether the item is genuine or a counterfeit good.
Establishing the authenticity and integrity of a material good, in other words recognizing whether it is
genuine or fake or otherwise subject to fraudulent activities, requires checking whether it reproduces
the essential characteristics of the authentic material good, to help establish whether or not there has
been an infringement.
If there is any doubt as to the authenticity of a material good, it is the inspectors’ role, once they have
observed the characteristics of the suspect material good and/or authentication element, to verify
whether these characteristics match those of the authentic material good and/or authentication
element. The process involved is an essentially technical analysis using experience, authentication
elements, authentication tools or a combination of these methods.
This document has been drafted to pinpoint the objectives and boundaries required for industry-wide
and services-wide application. It sets out the performance criteria for purpose-built authentication
solutions.
These solutions are designed to provide reliable evidence, making it easier to assess whether material
goods are authentic and have not been counterfeited, altered, mimicked, replaced, refilled, tampered or
subject to other types of product fraud.
This document integrates the performance requirements for authentication solutions. The material
good’s life cycle needs to be considered. Whereas authentication of fast-moving consumer goods often
concentrates on packaging, authentication solutions of material goods with longer life cycles instead
aim at the material good itself, throughout its life cycle.
This document is part of a wider framework of related standards. It was not drafted or designed to
define any exclusive means of authentication.
Experience shows that advancements in technologies are exploited by counterfeiters to make
counterfeited products less detectable. At the same time, new authentication technologies (e.g.
material, digital and combined) can give law enforcement inspectors, legitimate economic operators
and consumers better means to detect counterfeits and act accordingly. This document is applicable
irrespective of the authentication technology used and recommends ways to stay ahead of fraudsters.
This document therefore includes:
— a common categorization of authentication solutions;
— an understanding of how an authentication solution can constitute a more robust solution when
layered, and therefore it promotes the use of individual authentication elements in combination;
— the role of tamper resistance and tamper evidence as part of an authentication solution;
— criteria for the types of solution that can be used to authenticate in different verification scenarios;
— methods to enable material good verifications in all intended locations, circumstances and
conditions of use;
— requirements and evaluation criteria on security for the authentication solutions.
The main topics of this document can be represented as a Plan-Do-Check-Act (PDCA) cycle, see Figure 1.
vi © ISO 2020 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 22383:2020(E)
Figure 1 — Sequence of the main topics
© ISO 2020 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO 22383:2020(E)
Security and resilience — Authenticity, integrity and trust
for products and documents — Guidelines for the selection
and performance evaluation of authentication solutions
for material goods
1 Scope
This document gives guidelines for performance criteria and an evaluation methodology for
authentication solutions that aim to unambiguously establish material good authenticity and integrity
throughout an entire material good’s life cycle. It focuses on the authentication of a material good and, if
appropriate, its components, parts and related data:
— covered by intellectual property rights;
— covered by relevant international, regional or national regulations;
— with counterfeiting-related implications;
— otherwise with a distinctive identity.
This document is applicable to all types and sizes of organizations that require the ability to validate
the authenticity and integrity of material goods. It will help organizations to determine the categories
of authentication elements they need in order to combat counterfeiting-related risks, and the criteria
for selecting authentication elements, after having undertaken a counterfeiting risk assessment.
Authentication solutions can be used in areas such as anti-counterfeiting, prevention of product fraud
and prevention of diversion.
This document does not specify economic criteria aiming to correlate performance and costs of the
authentication solutions.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies:
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at http:// www .electropedia .org/
3.1
attack
successful or unsuccessful attempt(s) to circumvent an authentication solution, including attempts to
imitate, produce or reproduce the authentication elements
© ISO 2020 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO 22383:2020(E)
3.2
covert authentication element
authentication element that is hidden from the human senses until the use of a tool by an informed
person reveals it to their senses or else allows an automated interpretation of the element
[SOURCE: ISO 22300:2018, 3.58, modified — The definition has been rephrased.]
3.3
integrity
property of safeguarding the accuracy and completeness of assets
Note 1 to entry: Assets relate to material goods and its primary packaging.
Note 2 to entry: Integrity also concerns the associated data, information or the elements and means for their
processing.
[SOURCE: ISO 22300:2018, 3.123, modified — Notes 1 and 2 to entry have been added.]
3.4
raw material
any element, constituent or part of a material good
3.5
rights holder
physical person or legal entity either holding or authorized to use one or more intellectual property rights
[SOURCE: ISO 22300:2018, 3.198, modified — “physical person or” has been added.]
3.6
security
state of being free from danger or threats where procedures are followed or after taking appropriate
measures
[SOURCE: ISO 22300:2018, 3.223, modified — “where procedures are followed or after taking
appropriate measures” has been added.]
3.7
simulation
imitative representation of the functioning of one system or process by means of the functioning of
another
3.8
specifier
person or entity who defines the requirements for an authentication solution to be applied to a
particular material good
[SOURCE: ISO 22300:2018, 3.246, modified — “person or” has been added.]
3.9
tamper evidence
ability of the authentication solution or the authentication element to show that the material good has
been compromised
[SOURCE: ISO 22300:2018, 3.254, modified — “the authentication solution or” has been added.]
3.10
track and trace
means of identifying every individual material good or lot(s) or batch in order to know where it is at a
given time (track) and where it has been (trace) in the supply chain
[SOURCE: ISO 22300:2018, 3.264, modified — “where it is at a given time (track) and where it has been
(trace)” has replaced “where it has been (track) and where it is (trace)”.]
2 © ISO 2020 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 22383:2020(E)
3.11
verification
confirmation, through the provision of evidence, that specified requirements have been fulfilled
Note 1 to entry: Verification can include checking that a unique identifier exists and is valid within an object
identification system.
4 Principles
4.1 General
The organization should select the most appropriate authentication elements to form an authentication
solution for a material good, based on a risk assessment and on the context of implementation and usage.
When selecting an authentication solution, the organization should consider the technical, logistical
and financial criteria, which will depend on numerous factors including:
— the characteristics of the authentication element(s);
— verification methods;
— any required information system;
— security requirements;
— counterfeit resistance;
— resilience against tampering;
— value of the material goods intended to be protected;
— counterfeiting risks throughout the material good’s life cycle;
— integration and implementation requirements;
— the role of packaging;
— evidence of forged, counterfeited or copied features.
The organization should not select an authentication solution that affects or alters, in an uncontrolled
way, the intended functionality and the integrity of the material goods.
NOTE Authentication elements can be part of the functionality of a product, for example, in the security-by-
design approach whereby the security is embedded at the stage of product conception.
The organization should be aware of applicable laws and regulations especially on privacy and safety.
In order to establish an authentication solution for a material good, a creation process must be followed
by an inspection process. The creation process consists of defining, generating and manufacturing the
authentication elements and integrating them with the material good or its packaging. The inspection
process includes verifying the authentication elements along the distribution chain by trained people
using human senses, tools or references. Those two processes are linked in the PDCA cycle and the
actors involved form an integral part of the authentication solution.
The verification processes of authentication elements deployed in these solutions require the ability
to read, capture and sometimes perform sampling using human senses or tools. These tools will either
offer a local on-the-spot response or will call, in real-time, into a secure information system, or possibly
re-channel the data, sample or material good towards a structure offering expert analysis for an off-
line diagnosis.
The level of performance of an authentication solution should therefore be assessed as a whole,
including all the components and interfaces involved.
© ISO 2020 – All rights reserved 3
---------------------- Page: 10 ----------------------
ISO 22383:2020(E)
As a strategy analysis, the main questions to be addressed by the rights owners are as follows.
— What are the counterfeiting issues and threats?
— What is the likelihood and what are the consequences of the counterfeiting risks on my products,
organization and business?
— Which of my material goods (or its raw materials) are being counterfeited or have the potential to
be counterfeited?
— In which locations are we experiencing counterfeiting and how are the counterfeits being distributed?
— What is the material good manufacturing and supply chain environment and risks of counterfeiting?
— What is the raw materials’ manufacturing and supply chain environment and risks of counterfeiting?
— How and by whom will the authentication process be performed?
— What is the impact of human error on the solution (process and authentication)?
4.2 Security-by-design process for authentication solutions
The organization should follow the process diagram given in Figure 2 when designing its authentication
solution. This process includes a proper analysis of the risks associated with the characteristics of a
material good, including its raw materials, the options for its authentication, and the consequences and
history of counterfeiting acts such as adulteration, tampering, substitution/refill, simulation, cloning or
diversion.
4 © ISO 2020 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 22383:2020(E)
Figure 2 — Functional block diagram of a typical authentication solution
4.3 Categorization of authentication solutions
4.3.1 General
This categorization is intended to provide a guideline for users and suppliers of authentication solutions
that allow the solutions to be compared or selected according to their characteristics. It is not intended
to rank the solutions according to performance effectiveness. The environment of the examination
helps to determine the choice of the authentication solution(s).
The characteristics used in this categorization are based on the considerations given in 4.3.2 to 4.3.5.
© ISO 2020 – All rights reserved 5
---------------------- Page: 12 ----------------------
ISO 22383:2020(E)
4.3.2 Provision of knowledge
4.3.2.1 General
Any authentication solution will require some knowledge to be provided to the inspector. An inspector
uses the authentication solution with the aim of authenticating a material good.
Without the knowledge that a certain authentication solution has been applied to the material good
in question, an inspector cannot inspect the associated authentication element. Without knowledge
of the appropriate inspection procedure, the inspector cannot adequately perform the authentication.
The knowledge required can be subdivided into general knowledge (e.g. how a class of authentication
elements appears to the inspector) and material good-specific knowledge (e.g. which particular
authentication elem
...
NORME ISO
INTERNATIONALE 22383
Première édition
2020-09
Sécurité et résilience — Authenticité,
intégrité et confiance pour les
produits et les documents — Lignes
directrices pour la sélection et
l'évaluation de la performance des
solutions d'authentification pour les
biens matériels
Security and resilience — Authenticity, integrity and trust for products
and documents — Guidelines for the selection and performance
evaluation of authentication solutions for material goods
Numéro de référence
ISO 22383:2020(F)
©
ISO 2020
---------------------- Page: 1 ----------------------
ISO 22383:2020(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 22383:2020(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 3
4.1 Généralités . 3
4.2 Processus de sécurité par conception pour les solutions d’authentification . 4
4.3 Typologie des solutions d’authentification . 5
4.3.1 Généralités . 5
4.3.2 Apport de connaissances . 6
4.3.3 Provenance et production des éléments authentifiants et des outils . 6
4.3.4 Inspection . 6
4.3.5 Catégories d’éléments authentifiants . 7
5 Spécification des critères de performance à partir d’une analyse des risques.9
5.1 Généralités . 9
5.2 Éléments d’analyse des risques . 9
5.3 Catégories des critères de performance . 9
5.4 Critères pour le choix des éléments authentifiants .10
5.4.1 Caractéristiques physiques .10
5.4.2 Résistance aux attaques.11
5.4.3 Processus d’intégration .11
5.5 Critères de résistance aux attaques pour le choix des outils d’authentification .12
5.5.1 Généralités .12
5.5.2 Obsolescence .13
5.5.3 Évaluation de la vulnérabilité et de la résistance des outils d’authentification .13
5.6 Critères pour le choix des éléments authentifiants et des outils .13
5.7 Critères pour le choix des solutions d’authentification .13
5.7.1 Lieu/Environnement du processus d’authentification.13
5.7.2 Paramètres d’authentification.14
5.7.3 Critères relatifs au cycle de vie .14
5.7.4 Politique de sécurité .14
5.7.5 Conformité avec les réglementations, pratiques de sécurité et procédures
de qualité .14
5.7.6 Fonctionnement.15
5.7.7 Capacité à évaluer la performance de la solution d’authentification .15
6 Appréciation de l’efficacité des solutions d’authentification .15
6.1 Généralités .15
6.2 Définition de l’efficacité des protocoles d’appréciation .16
6.3 Appréciation de l’efficacité lors de la fabrication des éléments authentifiants .17
6.4 Efficacité de la délivrance des éléments authentifiants.18
6.5 Efficacité de l’application des éléments authentifiants .18
6.6 Gestion des données.18
6.7 Mesure de l’efficacité dans des situations normales de vérification/d’authentification .19
6.8 Appréciation de l’efficacité dans des situations d’urgence de vérification/
d’authentification .19
6.9 Impact des résultats de la vérification et actions correctives .19
Annexe A (informative) Grille d’appréciation .20
Annexe B (informative) Tableau relatif à l’accès aux moyens de contrôle .26
Bibliographie .27
© ISO 2020 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 22383:2020(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO 12931:2012), qui a fait l’objet d’une
révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes:
— elle porte un nouveau numéro et un nouveau titre ISO et fait désormais partie de la famille de normes
ISO 22300;
— la terminologie reflète celle de la norme ISO 22300;
— les normes pertinentes publiées depuis la première édition ont été ajoutées comme références.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 22383:2020(F)
Introduction
Depuis la publication de la première édition du présent document en 2012, la contrefaçon et la fraude des
biens matériels, tant au niveau quantitatif que qualitatif, ne cessent de se développer, et de nombreux
biens de consommation et pièces de rechange sont désormais concernés.
La vente de biens de contrefaçon, ainsi que de produits falsifiés, illégalement copiés ou commercialisés
illicitement, est courante dans de nombreux pays en développement et elle se répand dans les
économies développées. Certains fabricants et détenteurs de droits sont confrontés à une augmentation
du nombre d’attaques de contrefaçon sur leurs biens matériels. L’Internet aggrave le problème. Ces
produits de contrefaçon, qui n’offrent pas nécessairement les mêmes garanties en termes de sécurité et
de respect de l’environnement et des exigences réglementaires, constituent une source de danger pour
les consommateurs, les patients, les utilisateurs et la chaîne de distribution. Ils se traduisent, d’une
part, par des pertes de chiffre d’affaires et d’emplois ainsi que par une atteinte à l’image de marque
des entreprises et des détenteurs de droits ciblés, et d’autre part, par des pertes de recettes fiscales
pour les États. La contrefaçon accroît le potentiel de revendications liées aux biens matériels frauduleux
et de litiges pour les entreprises et les chaînes d’approvisionnement et de distribution. Par ailleurs, la
contrefaçon des biens matériels est devenue l’une des principales activités du crime organisé, tant sur
les marchés intérieurs que dans le domaine du commerce international et dans celui de la contrebande.
Pour lutter contre la contrefaçon et les autres formes de fraude, les titulaires des droits, les institutions
et les autorités de régulation exigent et mettent en œuvre de plus en plus fréquemment des solutions
d’authentification adaptées à leurs besoins. Il importe de préciser les exigences de performance
requises des solutions propres à soutenir la lutte contre la contrefaçon au plan national comme au
plan international. Cela favorisera une plus grande confiance parmi les consommateurs, renforcera la
sécurité de la chaîne d’approvisionnement et aidera les autorités publiques à concevoir et à mettre en
œuvre des politiques préventives, dissuasives et répressives. Par ailleurs, la croissance du commerce
mondial et la réduction des contrôles physiques aux frontières ont accentué le risque d’augmentation
du nombre de produits de contrefaçon en circulation. Le présent document va contribuer à renforcer
ces contrôles en mettant en place des éléments de preuve plus fiables de l’authenticité et de l’intégrité
des biens matériels.
La fraude sur les produits inclut, sans toutefois s’y limiter, la contrefaçon, l’adultération, l’effraction, la
substitution et la simulation.
L’impact de la fraude sur les produits peut inclure, sans toutefois s’y limiter:
— une tromperie pour le consommateur;
— une tromperie pour l’acheteur de biens matériels neufs ou de pièces de rechange;
— une atteinte aux droits de propriété intellectuelle;
— une violation des lois nationales, régionales ou internationales;
— de fausses déclarations concernant:
— les droits de propriété intellectuelle;
— les détails de fabrication;
— les détails sur la transaction et sur l’origine d’un produit;
— des codes d’identification et/ou des éléments authentifiants.
Le problème de la fraude sur les produits est aggravé par les facteurs suivants:
— le marché devient de plus en plus mondial;
— les biens matériels et leur chaîne d’approvisionnement deviennent de plus en plus complexes;
© ISO 2020 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 22383:2020(F)
— les déplacements de biens matériels à l’échelle mondiale se développent et peuvent emprunter des
canaux non traditionnels.
La contrefaçon doit être distinguée du détournement.
Il peut être difficile pour un inspecteur, qu’il s’agisse d’un professionnel, d’un citoyen ou d’un
consommateur, de reconnaître les caractéristiques d’un bien matériel authentique donné.
Les dispositions légales, y compris les garanties de conformité et de qualité, conçues pour permettre
aux professionnels de mettre sur le marché des biens matériels sûrs dans des conditions commerciales
loyales, ne sont pas respectées en cas de contrefaçon. Les acheteurs n’accordent pas nécessairement
toute l’attention requise aux biens matériels qu’ils sont en train d’examiner, en particulier pour des
raisons de confiance, par manque de temps, du fait de la tentation imputable à des prix attractifs ou
simplement parce que le bien matériel lui-même ne leur est pas familier. L’élément authentifiant fournit
une méthode particulière et plus fiable pour déterminer si l’article est authentique ou si c’est un produit
de contrefaçon.
Établir l’authenticité et l’intégrité d’un bien matériel, autrement dit identifier s’il s’agit d’un objet
«authentique», «faux» ou résultant d’autres activités frauduleuses, consiste à rechercher s’il reproduit
les caractéristiques essentielles du bien matériel authentique, afin de définir si l’infraction est avérée.
En cas de doute sur l’authenticité d’un bien matériel, l’inspecteur devra, après avoir observé les
caractéristiques du bien matériel et/ou de l’élément authentifiant suspect, rechercher si celles-ci
correspondent aux caractéristiques du bien matériel et/ou de l’élément authentifiant authentique.
Le processus engagé consiste essentiellement en une analyse technique exploitant l’expérience, des
éléments authentifiants, des outils d’authentification ou une combinaison de ces méthodes.
Le présent document a été élaboré pour définir plus précisément les objectifs et les limites nécessaires
à une application dans l’industrie et les services. Il définit les critères de performance de solutions
d’authentification dédiées.
Ces solutions sont destinées à fournir des éléments de preuve fiables permettant d’apprécier plus
facilement si les biens matériels sont authentiques et s’ils n’ont pas été contrefaits, altérés, imités,
remplacés, remplis à nouveau, falsifiés ou s’ils n’ont pas fait l’objet d’autres types de fraude.
Le présent document intègre les critères de performance des solutions d’authentification. Le cycle
de vie d’un bien matériel doit être pris en compte. Alors que l’authentification des biens de grande
consommation est souvent centrée sur l’emballage, les solutions d’authentification des biens matériels à
cycles de vie plus longs sont axées sur le bien lui-même, tout au long de son cycle de vie.
Le présent document s’intègre à un cadre plus large de normes connexes. Il n’a ni pour objectif, ni pour
effet de définir un moyen exclusif d’authentification.
L’expérience démontre que les progrès technologiques sont utilisés par les contrefacteurs pour rendre
les produits contrefaits moins détectables. Parallèlement, de nouvelles technologies d’authentification
(par exemple, matérielles, numériques, ou les deux) peuvent donner aux inspecteurs chargés de
l’application de la loi, aux opérateurs économiques légitimes et aux consommateurs de meilleurs moyens
de détecter les contrefaçons et d’agir en conséquence. Le présent document s’applique indépendamment
de la technologie d’authentification utilisée et recommande des moyens d’anticiper les actes frauduleux.
Le présent document comprend donc les parties suivantes:
— une typologie commune des solutions d’authentification;
— une compréhension de la manière dont une solution d’authentification peut constituer une solution
plus robuste lorsqu’elle est stratifiée, et de ce fait elle favorise l’utilisation d’éléments authentifiants
individuels en combinaison;
— le rôle de la résistance aux effractions et aux preuves d’effraction dans le cadre de la solution
d’authentification;
vi © ISO 2020 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 22383:2020(F)
— des critères sur le type de solution pouvant être utilisé pour procéder à des authentifications dans
différents scénarios de contrôle;
— les méthodes de vérifications de biens matériels dans tous les lieux, circonstances et conditions
d’utilisation prévus;
— les exigences et les critères d’évaluation relatifs à la sécurité pour les solutions d’authentification.
Les thèmes principaux du présent document peuvent être représentés par un cycle PDCA (Plan–Do–
Check–Act) (voir Figure 1).
Figure 1 — Séquence des thèmes principaux
© ISO 2020 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 22383:2020(F)
Sécurité et résilience — Authenticité, intégrité et confiance
pour les produits et les documents — Lignes directrices
pour la sélection et l'évaluation de la performance des
solutions d'authentification pour les biens matériels
1 Domaine d’application
Le présent document fournit des lignes directrices pour les critères et une méthodologie d’évaluation
de la performance des solutions d’authentification qui visent à établir sans ambiguïté l’authenticité
et l’intégrité d’un bien matériel durant l’ensemble de son cycle de vie. Il traite essentiellement de
l’authentification d’un bien matériel et, le cas échéant, de ses composants, pièces ou des données
associées:
— couverts par des droits de propriété intellectuelle;
— couverts par les réglementations internationales, régionales ou nationales;
— pouvant être concernés par la contrefaçon;
— avec ou sans une identité caractéristique.
Le présent document s’applique à tous les types et tailles d’organisations qui requièrent la capacité de
valider l’authenticité et l’intégrité de biens matériels. Il aidera les organisations lors de la détermination,
d’une part, des catégories d’éléments authentifiants dont elles ont besoin pour s’opposer aux risques
liés à la contrefaçon, et, d’autre part, des critères de choix desdits éléments, une appréciation du risque
de contrefaçon ayant été préalablement menée.
Les solutions d’authentification peuvent être utilisées dans des domaines tels que la lutte contre la
contrefaçon, la prévention des fraudes et la prévention des détournements.
Le présent document ne traite pas des critères économiques ayant pour but d’établir une corrélation
entre la performance et le coût des solutions d’authentification.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s’applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l’ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse http:// www .electropedia .org/
© ISO 2020 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO 22383:2020(F)
3.1
attaque
tentative(s) réussie(s) ou non de mettre en échec une solution d’authentification, comprenant des
tentatives d’imitation, de production ou de reproduction à l’identique des éléments authentifiants
3.2
élément authentifiant contrôlable avec outil
élément authentifiant non perçu par les sens de l’être humain jusqu’à ce qu’une personne expérimentée
recoure à un outil pour le leur révéler ou pour en permettre l’interprétation automatisée
[SOURCE: ISO 22300:2018, 3.58, modifiée — La définition a été reformulée.]
3.3
intégrité
propriété de protection de la précision et de l’exhaustivité des actifs
Note 1 à l'article: les actifs désignent les biens matériels et leur emballage primaire.
Note 2 à l'article: l’intégrité concerne également les données associées, les informations ou les éléments, ainsi que
les moyens nécessaires à leur traitement.
[SOURCE: ISO 22300:2018, 3.123, modifiée — Les Notes 1 et 2 à l’article ont été ajoutées]
3.4
matière première
tout élément, constituant ou partie d’un bien matériel
3.5
détenteur de droits
personne physique ou morale détenant un ou plusieurs droits de propriété intellectuelle ou autorisée à
les utiliser
[SOURCE: ISO 22300:2018, 3.198, modifiée — ajout de «personne physique ou».]
3.6
sécurité
situation caractérisée par l’absence de dangers ou de menaces, dans laquelle des procédures sont
observées ou qui découle de mesures appropriées
[SOURCE: ISO 22300:2018, 3.223, modifiée — ajout de «dans laquelle des procédures sont observées ou
qui découle de mesures appropriées».]
3.7
simulation
représentation par imitation du fonctionnement d’un système ou d’un processus à l’aide du
fonctionnement d’un autre système ou processus
3.8
spécifieur
personne ou entité qui définit les exigences relatives à la solution d’authentification devant être
appliquée à un bien matériel particulier
[SOURCE: ISO 22300:2018, 3.246, modifiée — Ajout de «personne ou».]
3.9
preuve d’effraction
aptitude de la solution d’authentification ou de l’élément authentifiant à montrer qu’il a été porté
atteinte au bien matériel
[SOURCE: ISO 22300:2018, 3.254, modifiée — Ajout de «de la solution d’authentification ou».]
2 © ISO 2020 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 22383:2020(F)
3.10
suivi logistique
moyen d’identification de chaque bien matériel ou de chaque lot ou série, permettant de savoir où il se
trouve (suivi) et où il était (traçabilité) dans la chaîne de distribution
[SOURCE: ISO 22300:2018, 3.264, modifiée — «où il se trouve (suivi) et où il était (traçabilité) dans
la chaîne de distribution» remplace «où il était (traçabilité) et où il se trouve (suivi) dans la chaîne
d’approvisionnement».]
3.11
vérification
confirmation, par des preuves, que les exigences spécifiées ont été satisfaites
Note 1 à l'article: La vérification peut inclure un contrôle de l’existence d’un identifiant unique et de sa validité au
sein d’un système d’identification des objets.
4 Principes
4.1 Généralités
Il convient que l’organisation choisisse les éléments authentifiants les plus appropriés pour constituer
une solution d’authentification d’un bien matériel en fonction de l’appréciation du risque et du contexte
de la mise en œuvre et de l’usage de ce bien matériel.
Lors du choix d’une solution d’authentification, il convient que l’organisation prenne en compte des
critères techniques, logistiques et financiers qui dépendront de nombreux facteurs, par exemple:
— les caractéristiques du ou des éléments authentifiants;
— les méthodes de vérification;
— tout système d’information requis;
— les exigences en matière de sécurité;
— la résistance à la contrefaçon;
— la résilience en cas d’effraction;
— la valeur des biens matériels à protéger;
— les risques associés à la contrefaçon durant tout le cycle de vie du bien matériel;
— les exigences en matière d’intégration et de mise en œuvre;
— le type d’emballage;
— les éléments de preuve de la falsification, contrefaçon ou copie de certaines caractéristiques.
Il convient que l’organisation ne choisisse pas une solution d’authentification qui affecte ou modifie de
manière non contrôlée les fonctionnalités et l’intégrité prévues des biens matériels.
NOTE Les éléments authentifiants peuvent faire partie des fonctionnalités d’un produit, par exemple dans
l’approche sécurité par conception, selon laquelle la sécurité est intégrée au produit au stade de sa conception.
Il convient que l’organisation connaisse les lois et règlements applicables, notamment en matière de
confidentialité et de sécurité.
Pour que la solution d’authentification d’un bien matériel puisse être établie, le processus de création
doit être suivi d’un processus d’inspection. Le processus de création consiste à définir, générer et
fabriquer les éléments authentifiants, puis à les intégrer dans le bien matériel ou dans son emballage.
Le processus d’inspection inclut la vérification des éléments authentifiants tout au long de la chaîne de
© ISO 2020 – Tous droits réservés 3
---------------------- Page: 10 ----------------------
ISO 22383:2020(F)
distribution par des personnes ayant reçu une formation, utilisant les sens de l’être humain, des outils
ou références. Ces deux processus sont reliés en un cycle «Planifier-Déployer-Contrôler-Agir» (PDCA) et
les acteurs impliqués font partie intégrante de la solution d’authentification.
Les processus de vérification des éléments authentifiants déployés dans ces solutions requièrent une
capacité de lecture, d’observation, d’analyse, de capture, et parfois de prélèvement, en faisant appel
aux sens de l’être humain ou à des outils. Ces outils vont soit apporter une réponse loc
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.