Ngày 8/7, Ủy ban Bảo vệ thông tin cá nhân Hàn Quốc cho biết việc sử dụng giao diện lập trình ứng dụng (API) đang ngày càng phổ biến trong quá trình nâng cấp dịch vụ web và ứng dụng, liên kết nền tảng cũng như tích hợp dịch vụ với đối tác. Cơ quan này vì vậy yêu cầu doanh nghiệp tăng cường các biện pháp bảo vệ dữ liệu cá nhân, đặc biệt là kiểm soát quyền truy cập và tối thiểu hóa dữ liệu truyền qua API.
Theo Ủy ban, các doanh nghiệp xử lý dữ liệu cá nhân qua API phải áp dụng nguyên tắc tối thiểu hóa dữ liệu ngay từ khâu thiết kế.
Cụ thể, những dữ liệu cá nhân không hiển thị trên màn hình người dùng hoặc không cần thiết cho mục đích cung cấp dịch vụ phải được loại khỏi phản hồi API. Doanh nghiệp cũng cần hạn chế các truy vấn hàng loạt hoặc các yêu cầu gọi lặp lại qua API để ngăn nguy cơ dữ liệu cá nhân bị truy xuất và rò rỉ trên diện rộng.
Cơ quan này đồng thời nhấn mạnh việc cấp quyền và quản lý API phải tuân thủ nguyên tắc đặc quyền tối thiểu.
Theo đó, doanh nghiệp cần phân quyền theo từng nhóm đối tượng như người dùng, quản trị viên và đối tác liên kết, đồng thời chỉ cấp quyền truy cập tối thiểu cần thiết đối với API và dữ liệu cá nhân. Những yêu cầu thiếu xác thực, không được phân quyền phù hợp hoặc không đáp ứng chính sách phải được chặn theo mặc định.
Ngoài ra, Ủy ban yêu cầu doanh nghiệp nhận diện, cập nhật và kiểm tra thường xuyên danh mục API đang vận hành. Sau khi nâng cấp tính năng, hoàn tất kiểm thử hoặc tái cấu trúc dịch vụ, doanh nghiệp cần rà soát liệu còn API nào có thể bị gọi từ bên ngoài hay không, phản hồi API có chứa dữ liệu không cần thiết hay không, từ đó loại bỏ các dữ liệu và thông tin dư thừa.
Ông Yang Cheong-sam, Cục trưởng Ban Thư ký của Ủy ban, cho biết API có thể truyền cả những dữ liệu cá nhân không hiển thị trên màn hình dịch vụ. Vì vậy, hệ thống cần được thiết kế và vận hành theo hướng chỉ xử lý lượng dữ liệu cá nhân tối thiểu cần thiết cho việc cung cấp dịch vụ.