APISEC: veilige API's voor fintech bedrijven (APISEC)

Algemeen doel
Het algemeen doel van het APISEC project is om softwareleveranciers in de fintech sector in staat te stellen snel en effectief gebruik te maken complexe nieuwe technologieën in API security als fundamentele hefboom voor hun succes in de digitale economie.
Het praktisch doel is de kennisopbouw en de kennisoverdracht van een bruikbaar kader om de beoordeling en toepassing van geavanceerde API security op maat van deze sector te faciliteren. Dit kader bestaat uit drie onderdelen:
(1) Architecturen, blueprints en trade-offs voor geavanceerde authenticatie en autorisatiemodellen die ontsluiting naar partners, klanten, eindgebruikers en machines toelaat via heterogene clients zoals web, mobile en M2M (machine-to-machine).
(2) De beveiliging van API clients, zoals web en mobiele clients, en de veilige consumptie van web-gebaseerde API’s met o.a. de behandeling van credentials (bv. API sleutels, tokens en paswoorden).
(3) Server-gebaseerde beveiliging door het uitrollen en afdwingen van security policies, en van geavanceerde security technologieën zoals API gateways, rate-limiting, logging en monitoring, en ook gecentraliseerde en ge-externaliseerde authenticatie of autorisatie. Dit kader levert in tweede orde ook een hefboom voor andere sectoren en spelers.
Concrete doelen en criteria
De concrete doelen van het APISEC project zijn het verruimen van de kennis, en het toepasbaar maken van de kennis omtrent geavanceerde API security technologieën, zodat adoptie en toepassing voor het ontsluiten van web API in de fintech sector in Vlaanderen een versnelling krijgt.
Dit wordt aangepakt door leden van de doelgroep in staat te stellen 5 stadia te doorlopen tijdens een groeiproces:

1. Bewustwording omtrent de actuele beveiligingsproblemen, inzicht in beveiligingsvereisten en noden bij externe web APIs.
2. Basiskennis van relevante standaarden en technologieën voor API security zoals JWT, OAuth2, enz...
3. Geavanceerde kennis van state-of-the-art API security technologieën zoals gedefinieerd in de kennisopbouw van dit project. Deze moeten gecombineerd worden tot een veilige end-to-endoplossing, rekening houdende met voor- en nadelen trade-offs.
4. Definitie van een concrete aanpak voor API security en een beveiligingsarchitectuur op basis van 1, 2 en 3.
5. De realisatie en effectieve uitrol van een API securityarchitectuur