ISO 22383:2020
(Main)Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for the selection and performance evaluation of authentication solutions for material goods
Security and resilience — Authenticity, integrity and trust for products and documents — Guidelines for the selection and performance evaluation of authentication solutions for material goods
This document gives guidelines for performance criteria and an evaluation methodology for authentication solutions that aim to unambiguously establish material good authenticity and integrity throughout an entire material good's life cycle. It focuses on the authentication of a material good and, if appropriate, its components, parts and related data: — covered by intellectual property rights; — covered by relevant international, regional or national regulations; — with counterfeiting-related implications; — otherwise with a distinctive identity. This document is applicable to all types and sizes of organizations that require the ability to validate the authenticity and integrity of material goods. It will help organizations to determine the categories of authentication elements they need in order to combat counterfeiting-related risks, and the criteria for selecting authentication elements, after having undertaken a counterfeiting risk assessment. Authentication solutions can be used in areas such as anti-counterfeiting, prevention of product fraud and prevention of diversion. This document does not specify economic criteria aiming to correlate performance and costs of the authentication solutions.
Sécurité et résilience — Authenticité, intégrité et confiance pour les produits et les documents — Lignes directrices pour la sélection et l'évaluation de la performance des solutions d'authentification pour les biens matériels
Le présent document fournit des lignes directrices pour les critères et une méthodologie d'évaluation de la performance des solutions d'authentification qui visent à établir sans ambiguïté l'authenticité et l'intégrité d'un bien matériel durant l'ensemble de son cycle de vie. Il traite essentiellement de l'authentification d'un bien matériel et, le cas échéant, de ses composants, pièces ou des données associées: couverts par des droits de propriété intellectuelle; couverts par les réglementations internationales, régionales ou nationales; pouvant être concernés par la contrefaçon; avec ou sans une identité caractéristique. Le présent document s'applique à tous les types et tailles d'organisations qui requièrent la capacité de valider l'authenticité et l'intégrité de biens matériels. Il aidera les organisations lors de la détermination, d'une part, des catégories d'éléments authentifiants dont elles ont besoin pour s'opposer aux risques liés à la contrefaçon, et, d'autre part, des critères de choix desdits éléments, une appréciation du risque de contrefaçon ayant été préalablement menée. Les solutions d'authentification peuvent être utilisées dans des domaines tels que la lutte contre la contrefaçon, la prévention des fraudes et la prévention des détournements. Le présent document ne traite pas des critères économiques ayant pour but d'établir une corrélation entre la performance et le coût des solutions d'authentification.
General Information
Relations
Buy Standard
Standards Content (Sample)
INTERNATIONAL ISO
STANDARD 22383
First edition
2020-09
Security and resilience — Authenticity,
integrity and trust for products and
documents — Guidelines for the
selection and performance evaluation
of authentication solutions for
material goods
Reference number
©
ISO 2020
© ISO 2020
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2020 – All rights reserved
Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 3
4.1 General . 3
4.2 Security-by-design process for authentication solutions. 4
4.3 Categorization of authentication solutions . 5
4.3.1 General. 5
4.3.2 Provision of knowledge . . 6
4.3.3 Sourcing and production of authentication elements and tools . 6
4.3.4 Inspection . 6
4.3.5 Categories of authentication elements . 7
5 Performance criteria specification based on risk analysis . 8
5.1 General . 8
5.2 Risk analysis elements . 9
5.3 Performance criteria categories . 9
5.4 Criteria for selection of authentication elements . 9
5.4.1 Physical characteristics . 9
5.4.2 Attack resistance .10
5.4.3 Integration process .11
5.5 Attack-resistance criteria for selection of authentication tools.12
5.5.1 General.12
5.5.2 Obsolescence .12
5.5.3 Assessment of vulnerability and resistance of authentication tools .12
5.6 Criteria for selection of authentication elements and tools .12
5.7 Criteria for selection of authentication solutions .13
5.7.1 Location/environment for authentication process .13
5.7.2 Authentication parameters .13
5.7.3 Life cycle criteria .13
5.7.4 Security policy . .13
5.7.5 Compliance with regulations, security practices and quality procedures .14
5.7.6 Operation .14
5.7.7 Ability to evaluate the performance of the authentication solution .14
6 Effectiveness assessment of authentication solutions .15
6.1 General .15
6.2 Definition of effectiveness assessment protocols .15
6.3 Effectiveness assessment in manufacturing of authentication elements .17
6.4 Effectiveness of delivery of authentication elements .17
6.5 Effectiveness of application of authentication elements .17
6.6 Data management .17
6.7 Effectiveness measurement in normal verification/authentication situations .18
6.8 Effectiveness assessment in emergency verification/authentication situations .18
6.9 Impact of verification results and corrective actions .18
Annex A (informative) Assessment grid.19
Annex B (informative) Control means access table .24
Bibliography .25
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are
described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the
different types of ISO documents should be noted. This document was drafted in accordance with the
editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/ directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/ patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www .iso .org/
iso/ foreword .html.
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
This second edition cancels and replaces the first edition (ISO 12931:2012), which has been technically
revised. The main changes compared with the previous edition are as follows:
— it has a new ISO number and title, and is now included in the ISO 22300 family of standards;
— its terminology mirrors ISO 22300;
— relevant standards published since the first edition have been added as references.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www .iso .org/ members .html.
iv © ISO 2020 – All rights reserved
Introduction
Since the issuance of the first edition of this document in 2012, the quantity and range of material
goods counterfeited or otherwise subject to product fraud continues to expand, and now affects many
consumer goods and spare parts.
The sale of counterfeit goods, as well as falsified, illegally copied or illicitly traded products, is prevalent
in many developing countries and is becoming more common in the developed world. Individual
manufacturers and rights holders are experiencing an increase in the number of counterfeiting attacks
on their material goods. The internet is compounding the problem. These counterfeit goods do not
necessarily offer the same guarantees in terms of safety and compliance with environmental measures
and regulatory requirements, generating risk for consumers, patients, users and the distribution chain.
They cause loss of earnings, job losses and brand value damage for companies and targeted rights
holders as well as tax losses for governments. Counterfeiting increases the potential for false material
goods claims and litigation for companies and distribution supply chains. Counterfeiting of material
goods has become one of the major activities of organized crime, both within domestic markets and
international trade and smuggling.
In order to prevent counterfeiting and other types of product fraud, rights owners, institutions and
governmental regulators are increasingly demanding and implementing authentication solutions
geared to specific needs. It is important to specify the performance requirements for the solutions
designed to support the fight against counterfeiting at both national and international levels. This will
promote greater confidence among consumers, support the security of the supply chain, and help public
authorities devise and implement preventive, deterrent and law enforcement policies. In addition, the
growth of global trade and the reduction of physical controls at borders has increased the risk of more
counterfeited products in circulation. This document will contribute to further strengthen such controls
by enabling faster and more reliable evidence of the authenticity and integrity of material goods.
Product fraud includes, but is not limited to, counterfeiting, adulteration, tampering, substitution and
simulation.
Product fraud impact can include, but is not limited to:
— deception of the consumer;
— deception of the purchaser of new goods or replacement parts;
— infringement of intellectual property rights;
— violation of national, regional or international laws;
— false claims regarding:
— intellectual property rights;
— details of manufacture;
— trade and origin details;
— identification codes and/or authentication elements.
The problem of product fraud is aggravated by
...
NORME ISO
INTERNATIONALE 22383
Première édition
2020-09
Sécurité et résilience — Authenticité,
intégrité et confiance pour les
produits et les documents — Lignes
directrices pour la sélection et
l'évaluation de la performance des
solutions d'authentification pour les
biens matériels
Security and resilience — Authenticity, integrity and trust for products
and documents — Guidelines for the selection and performance
evaluation of authentication solutions for material goods
Numéro de référence
©
ISO 2020
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2020
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2020 – Tous droits réservés
Sommaire Page
Avant-propos .iv
Introduction .v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 3
4.1 Généralités . 3
4.2 Processus de sécurité par conception pour les solutions d’authentification . 4
4.3 Typologie des solutions d’authentification . 5
4.3.1 Généralités . 5
4.3.2 Apport de connaissances . 6
4.3.3 Provenance et production des éléments authentifiants et des outils . 6
4.3.4 Inspection . 6
4.3.5 Catégories d’éléments authentifiants . 7
5 Spécification des critères de performance à partir d’une analyse des risques.9
5.1 Généralités . 9
5.2 Éléments d’analyse des risques . 9
5.3 Catégories des critères de performance . 9
5.4 Critères pour le choix des éléments authentifiants .10
5.4.1 Caractéristiques physiques .10
5.4.2 Résistance aux attaques.11
5.4.3 Processus d’intégration .11
5.5 Critères de résistance aux attaques pour le choix des outils d’authentification .12
5.5.1 Généralités .12
5.5.2 Obsolescence .13
5.5.3 Évaluation de la vulnérabilité et de la résistance des outils d’authentification .13
5.6 Critères pour le choix des éléments authentifiants et des outils .13
5.7 Critères pour le choix des solutions d’authentification .13
5.7.1 Lieu/Environnement du processus d’authentification.13
5.7.2 Paramètres d’authentification.14
5.7.3 Critères relatifs au cycle de vie .14
5.7.4 Politique de sécurité .14
5.7.5 Conformité avec les réglementations, pratiques de sécurité et procédures
de qualité .14
5.7.6 Fonctionnement.15
5.7.7 Capacité à évaluer la performance de la solution d’authentification .15
6 Appréciation de l’efficacité des solutions d’authentification .15
6.1 Généralités .15
6.2 Définition de l’efficacité des protocoles d’appréciation .16
6.3 Appréciation de l’efficacité lors de la fabrication des éléments authentifiants .17
6.4 Efficacité de la délivrance des éléments authentifiants.18
6.5 Efficacité de l’application des éléments authentifiants .18
6.6 Gestion des données.18
6.7 Mesure de l’efficacité dans des situations normales de vérification/d’authentification .19
6.8 Appréciation de l’efficacité dans des situations d’urgence de vérification/
d’authentification .19
6.9 Impact des résultats de la vérification et actions correctives .19
Annexe A (informative) Grille d’appréciation .20
Annexe B (informative) Tableau relatif à l’accès aux moyens de contrôle .26
Bibliographie .27
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/ directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/ brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir www .iso .org/ avant -propos.
Le présent document a été élaboré par le comité technique ISO/TC 292, Sécurité et résilience.
Cette deuxième édition annule et remplace la première édition (ISO 12931:2012), qui a fait l’objet d’une
révision technique. Les principales modifications par rapport à l’édition précédente sont les suivantes:
— elle porte un nouveau numéro et un nouveau titre ISO et fait désormais partie de la famille de normes
ISO 22300;
— la terminologie reflète celle de la norme ISO 22300;
— les normes pertinentes publiées depuis la première édition ont été ajoutées comme références.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes
se trouve à l’adresse www .iso .org/ fr/ members .html.
iv © ISO 2020 – Tous droits réservés
Introduction
Depuis la publication de la première édition du présent document en 2012, la contrefaçon et la fraude des
biens matériels, tant au niveau quantitatif que qualitatif, ne cessent de se développer, et de nombreux
biens de consommation et pièces de rechange sont désormais concernés.
La vente de biens de contrefaçon, ainsi que de produits falsifiés, illégalement copiés ou commercialisés
illicitement, est courante dans de nombreux pays en développement et elle se répand dans les
économies développées. Certains fabricants et détenteurs de droits sont confrontés à une augmentation
du nombre d’attaques de contrefaçon sur leurs biens matériels. L’Internet aggrave le problème. Ces
produits de contrefaçon, qui n’offrent pas nécessairement les mêmes garanties en termes de sécurité et
de respect de l’environnement et des exigences réglementaires, constituent une source de danger pour
les consommateurs, les patients, les utilisateurs et la chaîne de distribution. Ils se traduisent, d’une
part, par des pertes de chiffre d’affaires et d’emplois ainsi que par une atteinte à l’image de marque
des entreprises et des détenteurs de droits ciblés, et d’autre part, par des pertes de recettes fiscales
pour les États. La contrefaçon accroît le potentiel de revendications liées aux biens matériels frauduleux
et de litiges pour les entreprises et les chaînes d’approvisionnement et de distribution. Par ailleurs, la
contrefaçon des biens matériels est devenue l’une des principales activités du crime organisé, tant sur
les marchés intérieurs que dans le domaine du commerce international et dans celui de la contrebande.
Pour lutter contre la contrefaçon et les autres formes de fraude, les titulaires des droits, les institutions
et les autorités de régulation exigent et mettent en œuvre de plus en plus fréquemment des solutions
d’authentification adaptées à leurs besoins. Il importe de préciser les exigences de performance
requises des solutions propres à soutenir la lutte contre la contrefaçon au plan nat
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.