我正在开发与 yodlee 的 REST Api 集成,我担心安全问题,并希望了解有关通过 REST API 与 yodlee 对话的服务器的安全性的最佳实践。
有一种方法可以以纯文本形式返回用户密码,getLoginFormCredentialsForItem()
这让我很担心,我看到我必须将此服务器与应用程序服务器隔离开来。
你有什么建议来应对这种情况吗?
问问题
499 次
1 回答
2
感谢您对此的反馈。我已经与我们的 Yodlee 安全团队进行了审查,他们提供了以下回复:
Yodlee 平台以可逆格式存储消费者凭证,以便我们可以代表消费者并经消费者授权使用这些凭证,以便检索他们的数据以供应用程序使用。Yodlee 已根据美国银行法规、行业标准(例如 ISO2700K、PCI)和良好的行业惯例制定了多层安全控制措施,以保护这些凭证及其检索的数据。当 Yodlee 与客户端一起部署时,对 API 的访问受到网络和 API 级别访问控制列表的限制,以补充我们和我们客户的安全控制。但是,在此 Developer Portal 中,所有 API 都被列入白名单,以便开发人员可以探索平台的完整功能集。
我们是一个历史悠久的平台,拥有超过 10 年的安全和银行级数据审计经验,我们不会轻视这些或任何安全问题。作为我们审核过程的一部分,我们将审查此特定 API 的需求和使用情况,并做出适当的决定是修改还是完全停止使用此 API。我们感谢您提请我们注意这一问题。
于 2013-12-06T22:55:38.630 回答