با توجه به اینکه کارت هوشمند، وسیله ای برای حفظ و نگهداری امن اطلاعات هویتی و کلید خصوصی کاربر در زیرساخت کلید عمومی است، امنیت در کارت ها از اهمیت بالایی برخوردار است. کارت باید بتواند کلید خصوصی کاربر را به صورت امن تولید و نگهداری کرده و دسترسی به آن و سایر اطلاعات را کنترل نماید. در این زمینه تکنیک ها و فناوری های مختلفی وجود دارد که استفاده هر چه بیشتر از آنها سطح امنیت کارت را بالا برده، اما در کنار آن هزینه تمام شده را نیز افزایش می دهد. با توجه به اینکه کارت عموماً برای تمام جامعه کاربران تهیه شده و در تعداد بالا خریداری می گردد، هزینه تمام شده آن تاثیر زیادی در هزینه تمام شده کل پروژه خواهد داشت. از این رو باید کارتی را انتخاب نمود که در کنار رعایت نکات امنیتی لازم، قیمت مناسبی نیز داشته باشد.
در زمینه امنیت دستگاه های رمزنگاری و از جمله کارت ها، استانداردهای امنیتی خاصی در دنیا وجود دارند. این استانداردها جنبه های مختلف امنیتی کارت ها را مورد بررسی قرار داده و با توجه به امتیاز کسب شده، تاییدیه با سطح امنیتی متناسب برای هر کارت صادر می نمایند. فرآیند آزمون کارت ها در آزمایشگاه های استاندارد بین المللی انجام می شود که مورد تایید شرکت ها و دولت های مختلف می باشند. در زمینه دستگاه های رمزنگاری و کارت هوشمند، دو استاندارد وجود دارد که تحت نام های FIPS 140 وCommon Criteria شناخته می شوند. استاندارد FIPS 140-2 آخرین نسخه نهایی شده این استاندارد است که توسط انستیتوی ملی استاندارد و فناوری ایالات متحده (NIST) تهیه شده است.
این استاندارد چهار سطح امنیتی (از Level 1 تا Level 4) را تعیین کرده است که هر دستگاه امنیتی از جمله کارت های هوشمند می توانند تحت آزمون آن قرار گیرند. از طرف دیگر استاندارد Common Criteria از طرف سازمان جهانی استاندارد (ISO) منتشر می شود که استاندارد عمومی تری است و در نهایت مستندات فنی استاندارد FIPS 140 را مورد استناد قرار می دهد.
برخی از نکات مهمی که در این استانداردها بررسی می شوند عبارتند از بررسی تولید کلید برروی تراشه (On-Chip) و با لحاظ نمودن موارد امنیتی لازم، انجام عملیات رمزنگاری برروی تراشه، استفاده از قطعات الکترونیکی عمومی و یا تراشه امنیتی در تولید کارت، روش های کنترل دسترسی، انتقال اطلاعات حساس مانند رمز عبور (PIN) به صورت رمز شده بین درایور و کارت و تشخیص خودکار حمله و مقابله با آن به روشی مناسب. مواردی از این قبیل تاثیر مستقیم در امنیت کارت هوشمند خواهند داشت و در غیر این صورت کارت، وسیله ای شبیه به دیسک های فلش خواهد بود.
لازم به ذکر است اپلت کارت شناسایی هوشمند آیدین دارای تاییدیه های امنیتی از مراجع ذیل می باشد:
- گواهی نامه تاییدیه بهره برداری از اپلت کارت هوشمند در تمامی رده ها شامل مهم و حیاتی، حساس- سازمان پدافند غیر عامل
- گواهی نامه تاییدیه اپلت کارت هوشمند- آزمایشگاه مرکز تحقیقات صنایع انفورماتیک
براساس گواهینامه های فوق الذکر پیشنهاد می شود تا اپلت کارت شناسایی هوشمند آیدین روی بستری امن با حداقل الزامات FIPS-140 2 level 2 برابری نماید.