NF ISO 13491-1 : 1999

La présente partie de l'ISO 13491 vise deux principaux objectifs: 1. établir les prescriptions concernant les caractéristiques opérationnelles des SCD et la gestion de ces dispositifs à travers les diverses étapes de leur cycle de vie; 2. normaliser la méthodologie de vérification de la conformité aux prescriptions en question. Il est nécessaire que ces dispositifs soient dotés de caractéristiques garantissant qu'ils disposent des capacités opérationnelles adéquates et qu'ils assurent la protection qui convient aux données qu'ils contiennent. Une bonne gestion de ces dispositifs est nécessaire pour garantir que le dispositif considéré est légitime, qu'il n'a pas été modifié de manière illicite, par exemple par "bogage", et que les données sensibles qu'il peut contenir (par exemple, des clés cryptographiques) n'ont été ni divulguées ni modifiées. D'un point de vue pratique, il est impossible de garantir une sécurité absolue. La sécurité cryptographique dépend de chaque phase du cycle de vie du SCD et de la combinaison complémentaire des procédures de gestion appropriées et des caractéristiques cryptographiques sécurisées. Ces procédures de gestion mettent en oeuvre des mesures préventives pour réduire l'opportunité d'une violation de la sécurité du dispositif cryptographique. Elles ont pour but un haut niveau de probabilité de détection des accès illicites aux données sensibles ou confidentielles dans le cas où les caractéristiques des dispositifs ne parviendraient pas à empêcher ou à détecter la compromission de sécurité. La présente partie de l'ISO 13491 ne traite pas les questions liées au refus de service d'un SCD. Les prescriptions spécifiques concernant les caractéristiques et la gestion des types spécifiques de fonctionnalités des SCD utilisées dans le cadre des services bancaires aux particuliers sont décrites dans une autre partie de l'ISO 13491.