Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines to establish a framework for trust and interoperability

This document establishes a framework for a trustworthy environment for information processing and communication that protects integrity along the supply chain of physical and related electronic documents, products, software and services life cycle to mitigate product fraud and counterfeit goods, by using object identification techniques. This document gives guidelines to establish a framework for ensuring trust, interoperability and interoperation via secure and reliable electronically signed encoded data set (ESEDS) schemes for multi-actor applications which are even applicable in multi-sector environment. This document does not interfere with existing traceability and identification and authentication systems but is able to support interoperations between them by introducing an ESEDS scheme.

Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Lignes directrices visant à établir un cadre pour la confiance et l'interopérabilité

Le présent document établit un cadre pour un environnement de confiance pour le traitement et la communication de l'information qui protège l'intégrité tout au long de la chaîne d'approvisionnement des documents physiques et électroniques connexes, des produits, des logiciels et du cycle de vie des services pour limiter la fraude sur les produits et les marchandises contrefaites, en utilisant des techniques d'identification des objets. Le présent document donne des lignes directrices visant à établir un cadre pour garantir la confiance, l'interopérabilité et l'interopération par le biais de schémas d'ensembles de données encodées signés électroniquement (ESEDS) sûrs et fiables pour les applications multi-acteurs et sont même applicables dans un environnement multisectoriel. Le présent document n'interfère pas avec les systèmes de traçabilité, d'identification et d'authentification existants, mais est capable de soutenir l'interopération entre eux en introduisant un schéma d'ESEDS.

General Information

Status
Published
Publication Date
06-Feb-2023
Current Stage
6060 - International Standard published
Start Date
07-Feb-2023
Due Date
22-Jan-2023
Completion Date
07-Feb-2023
Ref Project

Buy Standard

Standard
ISO 22385:2023 - Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines to establish a framework for trust and interoperability Released:2/7/2023
English language
16 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 22385:2023 - Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Lignes directrices visant à établir un cadre pour la confiance et l'interopérabilité Released:2/7/2023
French language
16 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (Sample)

INTERNATIONAL ISO
STANDARD 22385
First edition
2023-02
Security and resilience — Authenticity,
integrity and trust for products
and documents — Guidelines to
establish a framework for trust and
interoperability
Sécurité et résilience — Authenticité, intégrité et confiance pour les
produits et les documents — Lignes directrices visant à établir un
cadre pour la confiance et l'interopérabilité
Reference number
ISO 22385:2023(E)
© ISO 2023

---------------------- Page: 1 ----------------------
ISO 22385:2023(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2023
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
  © ISO 2023 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 22385:2023(E)
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Scheme governance document . 2
5 Recommendations applying to the actors of the ESEDS scheme . 3
6 Organizational measures . 3
7 Technical measures .3
8 Internal scheme resources . 3
9 Directories . 4
Annex A (informative) Example of an ESEDS . 5
Annex B (informative) Example of a visible digital seal scheme for each directory .10
Bibliography .15
iii
© ISO 2023 – All rights reserved

---------------------- Page: 3 ----------------------
ISO 22385:2023(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www.iso.org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to
the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see
www.iso.org/iso/foreword.html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.
iv
  © ISO 2023 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 22385:2023(E)
Introduction
Creating trust, interoperability and interoperation in the digital world is vital. To mitigate the damage
resulting from counterfeited physical and electronic documents, products, software and services, it is
necessary to consider both physical and digital security layers.
Electronically signed encoded data set (ESEDS) schemes can be used to deter counterfeiting when
anyone along the supply chain, including distributors, independent brokers, law enforcement agents and
end customers, can use them to access a secure local or remote description of a product or a document.
A common and unique mechanism of data integrity check applied to various specific and individual
items or to unique resource identifiers (URIs) can contribute to early detection of counterfeits.
This document, applicable to ESEDS schemes, is intended to enable reliable and safe product (hardware,
software, services, etc.) authentication and traceability processes by describing the necessary trusted
environment. This will support interoperation of trusted services by realizing marking and monitoring
mechanisms along the products’ and documents’ value chain.
The proposed ESEDS scheme is intended to remain as a totally voluntary scheme, that is independent
from other authentication and track and trace systems.
The use of ESEDS to access trustful data from a local or remote source give end users and law
enforcement agents powerful tool to detect counterfeits and mitigate the risk of being exposed to
counterfeited products and documents.
The ESEDS uses the electronic signature capacity that is used to verify the integrity of the of the data
and to identify/authenticate the manufacturer/issuer of the product or document on which the ESEDS
is placed. The verification can be performed online or off-line, utilizing the functions supported by the
signed use case descriptor file (“manifest”).
The ESEDS can take the form of two different media or any combination:
— printed on a physical product or any physical document,
— as a set of electronic data and/or as displayed and read as a machine-readable code (MRC).
Implementation of these guidelines allows different market sectors and market actors to share the
same global ESEDS scheme architecture and semantic, actor definition and associated processes. This
way a sector interoperability and a global cross-interoperation can be achieved.
Fighting against physical and electronic documents, products, software and services fraud within the
supply chain is a key challenge. The fraud issues heavily impact subcontractors, partners and suppliers.
In parallel, more and more national and international regulations are requesting a full “back-to-back
liability” such as Product Liability Directive in United States of America and Europe as well as General
Data Protection Regulation (GDPR) in the European Union (EU).
The creation of trust and interoperability will facilitate such liability conformity via the usage of an
ESEDS. It will help to correctly understand a UID of any particular manufacturer/provider for a given
product, sub-product, software and services across different market sectors. Interoperable online and/
or off-line identification and authenticity check of the product, document, software or services will
become possible to put in place.
This implies that all actors from different market sectors have the same understanding of the complete
ESEDS scheme, its governance model and its documentation hierarchy and structure.
The global scheme is summarized in the flow-chart in Figure 1.
v
© ISO 2023 – All rights reserved

---------------------- Page: 5 ----------------------
ISO 22385:2023(E)
Figure 1 — ESEDS Scheme
This document contains the following elements to be considered to design a reliable and trustful ESEDS:
— fundamental document of the scheme (see Clause 4);
— recommendations applying to the actors of the scheme (see Clause 5);
— organizational measures (see Clause 6);
— technical measures (see Clause 7);
— internal scheme resources (see Clause 8);
— directories (see Clause 9).
These clauses are the essential elements of an ESEDS scheme governance model. Each clause is
constituted by one or several documents that are describing the mandatory elements to be produced by
different ESEDS scheme actors.
All essential elements of ESEDS scheme are presented as a hierarchy in Figure 2.
Figure 2 — ESEDS essential elements
vi
  © ISO 2023 – All rights reserved

---------------------- Page: 6 ----------------------
ISO 22385:2023(E)
The ESEDS model proposed by this document can be applied by multiple independent certification
authorities (CAs), in contrast to the International Civil Aviation Organization (ICAO) model which
concerns solely multinational parent/daughter hierarchical CAs. The organization of the trust
environment proposed by this document therefore allows for both hierarchical CA models (such as ICAO)
and sectoral, national or international models based on multi-sectoral CAs to cooperate. Based on this
approach, a universal reader application (trusted entry point, TEP) that is agnostic to any use case can
be developed provided that common data structures are used. The ESEDS system can be considered as a
potential global trust environment if the rules and principles of this document are followed. Ultimately,
interoperability between independent trust service operator (TSO) trust networks can be achieved by
using the same common data structures, based on appropriate standards and specifications, and by
mutual recognition of their respective ESEDS schemes.
This document is applicable to developers and users of secure and interoperable identification systems.
It is open for any industry and is technology agnostic and does not interfere with existing identification,
track and trace, and authentication systems but is able to introduce an interaction between them.
This document is part of a family of standards which includes ISO 22380, ISO 22381, ISO 22382,
ISO 22383 and ISO 22384.
vii
© ISO 2023 – All rights reserved

---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO 22385:2023(E)
Security and resilience — Authenticity, integrity and trust
for products and documents — Guidelines to establish a
framework for trust and interoperability
1 Scope
This document establishes a framework for a trustworthy environment for information processing
and communication that protects integrity along the supply chain of physical and related electronic
documents, products, software and services life cycle to mitigate product fraud and counterfeit goods,
by using object identification techniques.
This document gives guidelines to establish a framework for ensuring trust, interoperability and
interoperation via secure and reliable electronically signed encoded data set (ESEDS) schemes for
multi-actor applications which are even applicable in multi-sector environment.
This document does not interfere with existing traceability and identification and authentication
systems but is able to support interoperations between them by introducing an ESEDS scheme.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies. For
undated references, the latest edition of the referenced document (including any amendments) applies.
ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1
electronically signed encoded data set
ESEDS
structured data set containing the header, payload, signature and optional auxiliary data block
Note 1 to entry: The payload type and issuer identity are included in the header.
Note 2 to entry: ESEDS can often be expressed as machine-readable code (3.3).
3.2
trust service operator
TSO
legal entity that is the unique owner of the complete electronically signed encoded data set (ESEDS) (3.1)
scheme and fulfils three roles:
— manage the trust service list
— manage the manifest
1
© ISO 2023 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 22385:2023(E)
— provide the operating governance rules of the ESEDS scheme
3.3
machine-readable code
MRC
graphic symbol or electronic device, or a combination of the two, containing a set of signs or letters that
can be interpreted by an acquisition system
Note 1 to entry: Examples of MRC include, but are not limited to, 2D barcodes and radio frequency identification
(RFID) tags.
3.4
trusted entry point
TEP
method provided and/or certified by the trust service operator (3.2) having support for the response
formatting function (RFF) and open for additional object identification and authentication systems
(OIAS) able to resolve without ambiguity any unique identifier (UID)
3.5
trust service list
TSL
list containing compliant information about the trust service operator (3.2), the trust service providers
(TSPs) and the TSP’s certificate authority (CA) authorized to issue certificates to sign electronically
signed encoded data sets (3.2)
Note 1 to entry: ETSI TS 119 612 sets out what is a compliant TSL.
Note 2 to entry: TSLs are extensible using extensible markup language (XML) defined by the trust service operator
(3.2).
3.6
trust service provider
TSP
legal entities participating in an electronically signed encoded data set (ESEDS) (3.1) scheme providing
several functions or trust services such as:
— electronic certificate
— electronic signature
— time stamping
— any other trust services related to the ESEDS scheme requirements
3.7
back-to-back liability
full transfer of liability from the contractor to the subcontractors
3.8
manifest
use case manifest
external resource containing information in an XML format related to each single electronically signed
encoded data set (3.1) use case, its data schema, validation policies and optional extensions
4 Scheme governance document
The fundamental scheme governance document is created by the TSO.
It should be accepted by all the actors as the reference for the ESEDS scheme governance model.
It is a scheme in which actors agree to be bound by governance.
2
  © ISO 2023 – All rights reserved

---------------------- Page: 9 ----------------------
ISO 22385:2023(E)
The governance document provides the main principles to describe the essential elements to be present
and listed into the membership contract to participate in the ESEDS scheme.
The objective is to define the roles, responsibilities and obligations of the players in the ESEDS scheme.
5 Recommendations applying to the actors of the ESEDS scheme
The ESEDS scheme, as defined by the TSO, should include five technical specifications (TS) which impact
the participating actors, as follows:
— TS 1: Technical measures specifying how the TSOs of an ESEDS scheme ensure confidence in the
TSOs of the ESEDS scheme.
— TS 2: Technical measures specifying how the trust service providers (TSPs) guarantee the
consis
...

NORME ISO
INTERNATIONALE 22385
Première édition
2023-02
Sécurité et résilience — Authenticité,
intégrité et confiance pour les
produits et les documents — Lignes
directrices visant à établir un cadre
pour la confiance et l'interopérabilité
Security and resilience — Authenticity, integrity and trust for
products and documents — Guidelines to establish a framework for
trust and interoperability
Numéro de référence
ISO 22385:2023(F)
© ISO 2023

---------------------- Page: 1 ----------------------
ISO 22385:2023(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2023
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
  © ISO 2023 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 22385:2023(F)
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d'application .1
2 Références normatives .1
3 Termes et définitions . 1
4 Document de gouvernance du schéma . 3
5 Recommandations s'appliquant aux acteurs du schéma ESEDS .3
6 Mesures organisationnelles . 3
7 Mesures techniques .3
8 Ressources du schéma interne. 4
9 Annuaires . 4
Annexe A (informative) Exemple d'un ESEDS .5
Annexe B (informative) Exemple de schéma de cachet électronique visible pour chaque
annuaire. .10
Bibliographie .15
iii
© ISO 2023 – Tous droits réservés

---------------------- Page: 3 ----------------------
ISO 22385:2023(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes
nationaux de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est
en général confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO participent également aux travaux.
L'ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d'approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L'attention est attirée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l'élaboration du document sont indiqués dans l'Introduction et/ou dans la liste des déclarations de
brevets reçues par l'ISO (voir www.iso.org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion
de l'ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www.iso.org/fr/members.html.
iv
  © ISO 2023 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 22385:2023(F)
Introduction
Il est essentiel d'instaurer la confiance, l'interopérabilité et l'interopération dans le monde numérique.
Pour limiter les dommages résultant de la contrefaçon de documents physiques et électroniques, de
produits, de logiciels et de services, il est nécessaire de prévoir des couches de sécurité physiques et
numériques.
Les schémas des ensembles de données encodées signés électroniquement (Electronically signed
encoded data set, ESEDS) peuvent être utilisés pour décourager la contrefaçon lorsque quiconque tout
au long de la chaîne d'approvisionnement, y compris les distributeurs, les courtiers indépendants, les
agents des forces de l'ordre et les clients finaux, peut les utiliser pour accéder à une description locale
ou distante sécurisée d'un produit ou d'un document. Un mécanisme commun et unique de contrôle
d'intégrité des données appliqué à divers éléments spécifiques et individuels ou à des identifiants de
ressource uniforme (URI) peut contribuer à la détection précoce des contrefaçons.
Le présent document, applicable aux schémas ESEDS, est destiné à permettre l'utilisation de processus
fiables et sûrs d'authentification et de traçabilité des produits (matériel, logiciel, services, etc.) en
décrivant l'environnement de confiance nécessaire. Cela afin de favoriser l'interopération des services
de confiance par le biais de mécanismes de marquage et de surveillance tout au long de la chaîne de
valeur des produits et des documents.
Le schéma ESEDS proposé est destiné à rester un schéma totalement volontaire, indépendant des autres
systèmes d'authentification comme de suivi et traçabilité.
L'utilisation de l'ESEDS pour accéder à des données dignes de confiance provenant d'une source locale
ou distante donne aux utilisateurs finaux et aux agents des forces de l'ordre un outil puissant pour
détecter les contrefaçons et réduire le risque d'exposition à des produits et documents contrefaits.
L'ESEDS utilise la capacité de signature électronique à vérifier l'intégrité des données et à identifier/
authentifier le fabricant/émetteur du produit ou du document sur lequel l'ESEDS est mis en place. La
vérification peut être effectuée en ligne ou hors ligne en utilisant les fonctions prises en charge par le
fichier descripteur du cas d'usage signé (« manifeste »).
L'ESEDS peut prendre la forme de deux supports différents ou de toute combinaison:
— imprimé sur un produit physique ou tout document physique;
— comme un ensemble de données électroniques et/ou affiché et lu comme un code lisible par machine
(machine-readable code, MRC).
La mise en œuvre de ces lignes directrices permet à différents secteurs et acteurs du marché de
partager la même architecture et sémantique du schéma ESEDS global, la définition des acteurs et les
processus associés. Il est ainsi possible d'obtenir une interopérabilité sectorielle et une interopération
croisée globale.
La lutte contre la fraude qui affecte les documents physiques et électroniques, les produits, les logiciels
et les services dans la chaîne d'approvisionnement est un défi majeur. Les problèmes de fraude ont
un impact considérable sur les sous-traitants, les partenaires et les fournisseurs. Parallèlement, un
nombre croissant de réglementations nationales et internationales exigent une responsabilité totale
« dos à dos », comme la Directive sur la responsabilité des produits aux États-Unis d'Amérique et en
Europe, ainsi que le Règlement général sur la protection des données personnelles (RGPD) dans l'Union
européenne (UE).
L'instauration de la confiance et de l'interopération facilitera cette conformité en matière de
responsabilité grâce à l'utilisation d'un ESEDS. Celui-ci aidera à comprendre correctement l'UID de tout
fabricant/fournisseur particulier pour un produit, un sous-produit, un logiciel et des services donnés
dans différents secteurs du marché. Il deviendra alors possible de mettre en place une identification et
un contrôle d'authenticité interopérables en ligne et/ou hors ligne du produit, du document, du logiciel
ou des services.
v
© ISO 2023 – Tous droits réservés

---------------------- Page: 5 ----------------------
ISO 22385:2023(F)
Cela implique que tous les acteurs des différents secteurs du marché aient la même compréhension du
schéma ESEDS complet, de son modèle de gouvernance et de sa hiérarchie et structure de documentation.
Le schéma global est résumé dans l'organigramme de la Figure 1.

Figure 1 — Schéma ESEDS
Le présent document contient les éléments suivants à prendre en considération pour la conception d'un
ESEDS fiable et sûr:
— document fondamental du schéma (voir Article 4);
— recommandations s'appliquant aux acteurs du schéma (voir Article 5);
— mesures organisationnelles (voir Article 6);
— mesures techniques (voir Article 7);
— ressources du schéma interne (voir Article 8);
— annuaires (voir Article 9).
Ces articles sont les éléments essentiels du modèle de gouvernance d'un ESEDS. Chaque article est
constitué d'un ou plusieurs documents qui décrivent les éléments obligatoires à produire par les
différents acteurs du schéma ESEDS.
Tous les éléments essentiels du schéma ESEDS sont présentés sous forme hiérarchisée dans la Figure 2.
vi
  © ISO 2023 – Tous droits réservés

---------------------- Page: 6 ----------------------
ISO 22385:2023(F)
Figure 2 — Éléments essentiels de l'ESEDS
Le modèle ESEDS proposé par le présent document peut être appliqué par de multiples autorités de
certification (AC) indépendantes, contrairement au modèle de l'Organisation de l'aviation civile
internationale (OACI) qui concerne uniquement les AC hiérarchiques multinationales parent/enfant.
L'organisation de l'environnement de confiance proposée par le présent document permet donc à la fois
aux modèles d'AC hiérarchiques (comme l'OACI) et aux modèles sectoriels, nationaux ou internationaux
basés sur des AC multisectorielles de coopérer. Sur la base de cette approche, il est possible de développer
une application de lecture universelle (trusted entry point, TEP, ou « point d'entrée de confiance ») qui
est agnostique à tout cas d'usage, à condition que des structures de données communes soient utilisées.
Le système ESEDS peut être considéré comme un environnement de confiance mondial potentiel si les
règles et principes du présent document sont respectés. En fin de compte, l'interopération entre les
réseaux de confiance des opérateurs de services de confiance (TSO) indépendants peut être obtenue
en utilisant les mêmes structures de données communes, fondées sur des normes et des spécifications
appropriées, et par la reconnaissance mutuelle de leurs schémas ESEDS respectifs.
Le présent document est applicable aux développeurs et aux utilisateurs des systèmes d'identification
sécurisés et interopérables. Il est ouvert à tous les secteurs d'activité et est agnostique sur le
plan technologique. Il n'interfère pas avec les systèmes d'identification, de suivi et traçabilité et
d'authentification existants, mais est capable d'introduire une interaction entre eux.
Le présent document fait partie d'une série de normes qui inclut l'ISO 22380, l'ISO 22381, l'ISO 22382,
l'ISO 22383 et l'ISO 22384.
vii
© ISO 2023 – Tous droits réservés

---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 22385:2023(F)
Sécurité et résilience — Authenticité, intégrité et
confiance pour les produits et les documents — Lignes
directrices visant à établir un cadre pour la confiance et
l'interopérabilité
1 Domaine d'application
Le présent document établit un cadre pour un environnement de confiance pour le traitement et la
communication de l'information qui protège l'intégrité tout au long de la chaîne d'approvisionnement
des documents physiques et électroniques connexes, des produits, des logiciels et du cycle de vie
des services pour limiter la fraude sur les produits et les marchandises contrefaites, en utilisant des
techniques d'identification des objets.
Le présent document donne des lignes directrices visant à établir un cadre pour garantir la confiance,
l'interopérabilité et l'interopération par le biais de schémas d'ensembles de données encodées signés
électroniquement (ESEDS) sûrs et fiables pour les applications multi-acteurs et sont même applicables
dans un environnement multisectoriel.
Le présent document n'interfère pas avec les systèmes de traçabilité, d'identification et d'authentification
existants, mais est capable de soutenir l'interopération entre eux en introduisant un schéma d'ESEDS.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO 22300, Sécurité et résilience — Vocabulaire
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO 22300 ainsi que les suivants
s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
ensemble de données encodées signé électroniquement
ESEDS (electronically signed encoded data set)
ensemble de données structuré contenant l'en-tête, les données utiles, la signature et un bloc de données
auxiliaires facultatif
Note 1 à l'article: Le type de données utiles et l'identité de l'émetteur sont inclus dans l'en-tête.
Note 2 à l'article: L'ESEDS peut souvent être exprimé sous forme de code lisible par une machine (3.3).
1
© ISO 2023 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO 22385:2023(F)
3.2
opérateur de service de confiance
TSO (trust service operator)
entité juridique qui est le propriétaire unique du schéma complet d'ensemble de données encodées signé
électroniquement (ESEDS) (3.1) et qui remplit trois rôles:
— gestion de la liste de services de confiance;
— gestion du manifeste;
— établissement des règles de gouvernance opérationnelle du schéma ESEDS
3.3
code lisible par une machine
MRC (machine-readable code)
symbole graphique ou dispositif électronique, ou une combinaison des deux, contenant un ensemble de
signes ou de lettres qui peuvent être interprétés par un système d'acquisition
Note 1 à l'article: Les exemples de MRC comprennent, sans s'y limiter, les codes à barres 2D et les étiquettes de
radio-identification (RFID).
3.4
point d'entrée de confiance
TEP (trusted entry point)
méthode fournie et/ou certifiée par l'opérateur de service de confiance (3.2) prenant en charge la fonction
de formatage des réponses (RFF) et ouverte à des systèmes d'identification et d'authentification
d'objets (OIAS) supplémentaires capables de résoudre sans ambiguïté tout identifiant unique (UID)
3.5
liste de services de confiance
TSL (trust service list)
liste contenant des informations conformes sur l'opérateur de service de confiance (3.2), les prestataires
de services de confiance (TSP) et l'autorité de certification (AC) du TSP autorisée à émettre des
certificats pour signer les ensembles de données encodées signés électroniquement (3.2)
Note 1 à l'article: L'ETSI TS 119 612 définit ce qu'est une TSL conforme.
Note 2 à l'article: Les TSL sont extensibles grâce au langage de balisage extensible (XML) défini par l'opérateur de
service de confiance (3.2).
3.6
prestataire de services de confiance
TSP (trust service provider)
entités juridiques participant au schéma d'ensemble de données encodées signé électroniquement (ESEDS)
(3.1) et fournissant plusieurs fonctions ou services de confiance tels que:
— le certificat électronique;
— la signature électronique;
— l'horodatage;
— tout autre service de confiance relatif aux exigences du schéma ESEDS
3.7
responsabilité dos à dos
transfert complet de la responsabilité du prestataire aux sous-traitants
2
  © ISO 2023 – Tous droits réservés

---------------------- Page: 9 ----------------------
ISO 22385:2023(F)
3.8
manifeste
manifeste de cas d'usage
ressource externe contenant des informations au format XML relatives à chaque cas d'utilisation de
l'ensemble de données encodées signé électroniquement (3.1), son schéma de données, ses politiques de
validation et ses extensions facultatives
4 Document de gouvernance du schéma
Le document fondamental de gouvernance du schéma est créé par le TSO.
Il convient qu'il soit accepté par tous les acteurs comme la référence pour le modèle de gouvernance du
schéma ESEDS.
Il s'agit d'un schéma dans lequel les acteurs acceptent d'être liés par la gouvernance.
Le document de gouvernance fournit les grands principes qui permettront de décrire les éléments
essentiels devant être présents et énumérés dans le contrat d'adhésion pour participer au schéma
ESEDS.
L'objectif est de définir les rôles, les responsabilités et les obligations des acteurs du schéma ESEDS.
5 Recommandations s'appliquant aux acteurs du schéma ESEDS
Il convient que le schéma ESEDS, tel que défini par le TSO, comprenne cinq spécificati
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.