Weltweit produzieren unterschiedliche Firmen die für den Betrieb der Mobiltelefone erforderlichen GSM-Chipkarten und dabei setzen sie IT-Sicherheitsanforderungen der GSM Association um. So haben sie Vorgaben zur Sicherheitspolitik und -Strategie, der Organisation, der Information, des Personals, der Technik, der Logistik, der Produktion und des Computer- und Netzwerkmanagements zu berücksichtigen. Diese Vorgaben sind in dem Security Accreditation Scheme (SAS) festgelegt, das TÜViT gemeinsam mit FML, Eurosmart und der GSM Association erarbeitet hat.

Die Umsetzung der SAS-Anforderungen wird alle zwei Jahre auditiert. Hierbei kooperiert die TÜViT mit einer weiteren international anerkannten Auditorganisation. Ein Auditteam besteht aus zwei Personen. Beide Organisationen stellen jeweils ein Auditor. Am Abschlusstag wird dem GSM-Kartenproduzenten sowie der GSM-Association das Auditergebnis in einem Prüfbericht mitgeteilt.

In den letzten Jahren wurde eine Vielzahl von GSM-Kartenproduzenten erfolgreich auditiert. Häufig werden die während der Audits gewonnenen Erkenntnisse von den Produzenten zur Prozessoptimierung genutzt.