1 minute read
6.3. Sur la sécurité
Gestion des risques
Lorsque le réutilisateur identifie un risque relatif à la confidentialité des données ou un risque de sécurité de l'API, il devrait en informer le détenteur de données et le gestionnaire d'API dans les plus brefs délais. Sécurisation des clés
Advertisement
Lorsque l’accès à l’API est sécurisé au moyen d’une technique d’authentification reposant sur un échange de clés, le réutilisateur de données devrait sécuriser les clés lui permettant d'accéder aux données en hébergeant ces dernières dans un répertoire sécurisé, voire un système de sécurisation des clés, tel qu’un coffre-fort numérique sécurisé, lorsque la gravité des risques liés à une compromission de l’accès à l’API le justifie. Lorsqu’il détecte ou suspecte une compromission de ses clés d’accès, il les révoque immédiatement et demande la génération de nouvelles clés au gestionnaire d’API.
Journalisation
Dans le cas où le réutilisateur de données (que ce soit avec l’aide d’un gestionnaire d’API ou qu’il endosse également ce rôle) met à disposition l’API permettant aux détenteurs de données de partager activement leurs données par une requête en écriture, Il doit mettre en œuvre les recommandations présentées aux paragraphes 61 à 64 pour assurer une journalisation des modifications découlant de l’usage de l’API par le détenteur. Cette journalisation devrait permettre d’identifier en particulier les actions ou tentatives d’action visant à porter atteinte à l’intégrité des données ou de la base de données.
