更新时间:2023-09-27 GMT+08:00
安全性
涉及敏感信息或个人隐私数据的API,应提供数据传输和存储过程中的安全机制
本条规则是MUST类型的基本规则,可保障API的安全合规。
API接口参数传输和存储过程中,敏感信息和个人隐私数据禁止明文传输和存储,避免造成敏感信息或个人隐私数据泄露。敏感信息和个人隐私数据包括:
- 密码、AK/SK、Token等身份凭据。
- 密钥。
- 个人信息,如身份证号码、银行卡信息、家庭住址、健康信息等。
- 人与人之间的私人消息,如短信、电话通信内容。
API涉及个人数据时,需要提供隐私声明
本条规则是MUST类型的基本规则,可保障API的安全合规。
如果API提供正常业务时涉及个人数据(包含收集、使用、转移、存储等),必须在API发布过程中提供产品隐私声明,描述收集的所有个人数据类型、目的、处理方式、时限等。
建议使用POST/PUT方式提交个人数据
本条规则是Should类型的扩展规则,给API开发者提供灵活的弹性空间。
在API设计过程中,使用POST/PUT请求来避免个人数据被缓存、记录。
HTTP请求方法中,POST请求是向指定的资源提交要被处理的数据,其响应不会被缓存;PUT请求用来提交数据时,其响应是不能被缓存的。
父主题: API生产
