我正在开发与yodlee的REST Api集成,我担心安全方面的考虑,并希望了解与通过REST API与yodlee交谈的服务器的安全性最佳实践。
有一种方法以纯文本形式返回用户密码,getLoginFormCredentialsForItem()
这让我很担心,我发现我必须将此服务器与应用程序服务器隔离开来。
您有什么建议可以面对这种情况吗?
答案 0 :(得分:2)
感谢您对此的反馈。我已经通过我们的Yodlee Security团队对此进行了审核,他们提供了以下回复:
Yodlee平台以可逆格式存储消费者凭证,以便我们可以代表消费者使用这些凭证,并在消费者授权的情况下使用这些凭证,以便检索其数据以供应用程序使用。 Yodlee根据美国银行业法规,行业标准(例如ISO2700K,PCI)和良好的行业惯例制定了多层安全控制措施,以保护这些凭证及其检索到的数据。当Yodlee与客户端一起部署时,通过网络和API级访问控制列表限制对API的访问,以补充我们和客户的安全控制。但是,在此Developer Portal中,所有API都列在白名单中,以便开发人员可以浏览平台的完整功能集。
我们是一个长期存在的平台,拥有超过10年的安全性和银行级数据审核,我们不会轻易采取这些或任何安全问题。作为审核流程的一部分,我们将审核此特定API的需求和使用,并适当确定是否完全修改或删除此API。我们感谢您引起我们的关注。