Yodlee安全注意事项

Question

我正在开发与REST API和yodlee的集成，我担心安全方面的考虑，并想了解有关通过REST Api与yodlee对话的服务器的安全方面的最佳实践。

有一个以纯文本形式返回用户密码的方法，即getLoginFormCredentialsForItem()

这让我非常担心，我看到我必须将此服务器与应用程序服务器隔离。

面对这种情况，你有什么建议吗？

Answer 1

感谢您对此的反馈。我与我们的Yodlee安全团队一起审查了这一点，他们提供了以下回应：

Yodlee平台以可逆格式存储消费者凭据，以便我们可以代表消费者使用这些凭据，并获得消费者的授权，以便检索他们的数据以供应用程序使用。Yodlee制定了美国银行法规、行业标准(例如ISO2700K、PCI)和良好的行业实践所定义的多层次安全控制措施，以保护这些凭证及其检索到的数据。当Yodlee使用客户端进行部署时，通过网络和API级别的访问控制列表限制对API的访问，以补充我们和我们客户端的安全控制。但是，在此开发人员门户中，所有API都被列入白名单，以便开发人员可以探索该平台的完整功能集。

我们是一个长期的平台，拥有超过10+多年的安全和银行级数据审计经验，我们不会对这些或任何安全问题掉以轻心。作为审计过程的一部分，我们将审查此特定API的需求和使用情况，并做出适当的决定，以决定是否修改或完全删除此API。我们感谢您让我们注意到这一问题。