TL;DR
Fintek ekipleri, çoğu yazılım şirketinin karşılaşmadığı API araçları gereksinimleriyle karşı karşıyadır: PCI DSS kapsamı hususları, veri yerleşimi kuralları, finansal düzenleyiciler için denetim kayıtları ve bulut tabanlı bir araçta bulunan ödeme sistemleri için API kimlik bilgilerinin sorunu. Bu kılavuz, her birinin hassas verileri nasıl işlediğine özel önem vererek, API test araçlarını bir fintek uyumluluk merceğiyle değerlendirir.
Giriş
Ödeme API'leri, açık bankacılık entegrasyonları veya finansal veri hizmetleri oluşturmak, API test iş akışınızın hassas altyapıya dokunduğu anlamına gelir. Geliştiricilerinizin hazırlık ortamlarında test yapmak için kullandığı kimlik bilgileri, gerçek finansal sistemlere erişebilir. API spesifikasyonlarınız, bir rakip veya saldırgan için değerli olabilecek güvenlik mimariniz hakkında bilgi içerebilir.
Çoğu API test aracı, genel yazılım geliştirme için tasarlanmıştır. Bunlar bulutta barındırılır, kimlik bilgilerini varsayılan olarak sunucularla senkronize eder ve bir yemek tarifi uygulaması API'sini test eden bir geliştirici ile bir ödeme işleme API'sini test eden bir geliştirici arasında ayrım yapmazlar.
Fintek ekiplerinin daha zorlu sorular sorması gerekiyor. API kimlik bilgilerim bu araçta saklandığında nerede duruyor? Satıcıda bir ihlal olursa ne olur? PCI DSS kapsam gereksinimlerimi karşılayabilir miyim? Düzenleyici inceleme için denetim kayıtları oluşturabilir miyim?
Bu makale, en yaygın olarak değerlendirilen API test araçları için bu soruları yanıtlamaktadır.
API araç seçimlerini etkileyen uyumluluk gereksinimleri
PCI DSS ve kimlik bilgisi işleme
PCI DSS (Ödeme Kartı Endüstrisi Veri Güvenliği Standardı), API'leriniz kart sahibi verilerine dokunuyorsa geçerlidir ve gereksinimleri araç seçiminize yansır. Özellikle:
- Gereksinim 7 (Erişim kontrolü): Kart sahibi verisi ortamlarına erişebilen sistemlerin kontrollü erişime sahip olması gerekir. API test aracınız ödeme sistemlerine erişimi olan kimlik bilgilerini depoluyorsa, potansiyel olarak PCI kapsamındadır.
- Gereksinim 10 (Günlük kaydı ve izleme): Ağ kaynaklarına ve kart sahibi verilerine yapılan tüm erişimler kaydedilmeli ve denetlenebilir olmalıdır.
- Gereksinim 12.5 (Üçüncü taraf hizmet sağlayıcıları): Üçüncü taraf hizmet sağlayıcılarının ve depoladıkları, işledikleri veya ilettikleri kart sahibi verilerinin bir envanterini tutmalısınız.
Ortam değişkenlerini (API anahtarları ve kimlik doğrulama belirteçleri dahil) sunucularına senkronize eden bulut tabanlı bir API aracı, PCI kapsamındaki üçüncü taraf bir hizmet sağlayıcı olarak kabul edilebilir. Bu durum, değerlendirme gereksinimlerini, yazılı anlaşmaları ve sürekli özen yükümlülüğünü tetikler.
Temiz çözüm: kimlik bilgilerini yerel olarak depolayan ve hassas değerleri buluta senkronize etmeyen bir API aracı kullanmaktır. Apidog'un yerel ortam değişkeni özelliği bunu yapar – hassas değişkenler işaretlenir ve yalnızca yerel cihazda saklanır.
Veri yerleşimi ve coğrafi kısıtlamalar
AB, Birleşik Krallık veya diğer düzenlemeye tabi yargı bölgelerinde faaliyet gösteren fintek şirketleri, verilerin nerede depolanacağını kısıtlayan veri yerleşimi gereksinimlerine sahip olabilir. AB operasyonları olan ABD merkezli bir fintek için, API spesifikasyonlarınız ve test verileriniz AB içinde kalmak zorunda olabilir.
Bulut SaaS araçları genellikle standart planlarda bölgesel veri yerleşimi sunmaz. Kurumsal planlar bazen sunar. Şirket içi veya VPC dağıtımı bu sorunu tamamen ortadan kaldırır – veriler dağıttığınız yerde kalır.
Finansal düzenleyiciler için denetim kayıtları
Finansal hizmet düzenleyicileri – yargı alanınıza ve ürün türünüze bağlı olarak SEC, FCA, FINRA, OCC – kuruluşlardan hangi sistemlere kimlerin ne zaman eriştiğini gösterebilmelerini beklerler. API araçları bağlamında bu şu anlama gelir:
- Kritik API'ler için test ortamlarına kimler erişti
- API spesifikasyonlarını veya test yapılandırmalarını kimler değiştirdi
- Belirli ortamlara karşı otomatik testler ne zaman çalıştı
- Test çalışmalarının beklenen davranışla tutarlı sonuçlar üretip üretmediği
Denetim kaydı özelliğine sahip bir API aracı bu kanıtı sağlayabilir. Bu olmadan, kanıtları birden fazla sisteme dağılmış günlüklerden toplamanız gerekir.
Penetrasyon testi uyumluluğu
Fintek şirketleri genellikle PCI DSS, SOC 2 veya müşteri güvenlik anlaşmaları tarafından zorunlu kılınan yıllık veya yarı yıllık penetrasyon testlerine tabi tutulur. API aracınız, API'lerinize karşı test senaryoları çalıştırması gereken penetrasyon test uzmanlarını desteklemelidir.
API test aracınız bulut kimlik doğrulaması gerektiriyorsa ve penetrasyon test uzmanları bulut örneğinize erişemiyorsa, bu bir iş akışı sorunudur. Kendi kendine barındırılan veya yerel olarak kurulabilen araçlar bu sorunu aşar.
Araç değerlendirmesi: Apidog, Postman ve Insomnia
Apidog
Apidog, yerel öncelikli bir felsefeyle tasarlanmıştır. Varsayılan davranış verileri yerel olarak depolar. Apidog'un bulutuna senkronizasyon isteğe bağlıdır. Özellikle ortam değişkenleri için, bireysel değişkenleri "yerel" olarak işaretleyebilirsiniz – bunlar yalnızca o geliştiricinin makinesinde bulunur ve çalışma alanı başka türlü senkronize edilmiş olsa bile Apidog'un sunucularına asla gönderilmez.
Bu, fintek için doğru varsayılandır. Stripe API anahtarınız, Plaid istemci gizli anahtarınız, ödeme işlemcisi kimlik doğrulama belirteçleriniz – yerel değişkenleri kullanırsanız hiçbiri geliştiricinin makinesinden ayrılmaz.
Tam veri kontrolüne ihtiyaç duyan ekipler için Apidog Enterprise, kendi kendine barındırılan dağıtım sunar. Apidog'u kendi altyapınızda çalıştırırsınız. Apidog'un bulutuyla bağlantı yoktur. Tüm spesifikasyonlar, testler, kimlik bilgileri (yerel olmayanlar bile) ve denetim kayıtları sizin güvenlik çeperinizde kalır.
Denetim kaydı, API spesifikasyon değişikliklerini, test çalıştırma geçmişini, kullanıcı erişim olaylarını ve çalışma alanı değişikliklerini kapsayan Kurumsal planlarda mevcuttur.
Apidog'un belirli bir PCI DSS sertifikası yoktur, ancak mimarisi – yerel kimlik bilgisi depolama, kendi kendine barındırılan seçenek, denetim kaydı – genel bulut araçlarının yapmadığı şekillerde PCI gereksinimleriyle uyumludur.
Postman
Postman, fintekte yaygın olarak kullanılmaktadır, ancak varsayılan mimarisi uyumluluk sürtüşmesi yaratır. Varsayılan olarak, Postman her şeyi – koleksiyonları, ortamları ve ortam değişkeni değerlerini – Postman'ın bulutuna senkronize eder. Bu, dikkatli olmazsanız hassas kimlik bilgilerini de içerir.
Postman, ortam değişkenlerini "gizli" tür olarak işaretlemenin bir yolunu sunar, bu da onları kullanıcı arayüzünde gizler ancak yine de şifrelenmiş biçimde Postman'ın sunucularına senkronize eder. Katı PCI yorumlamaları için, kimlik bilgilerinin üçüncü taraf bir sunucuda – şifrelenmiş bile olsa – bulunması sorunlu olabilir.
Postman, bazı uyumluluk endişelerini gideren SOC 2 Tip II sertifikasını almıştır. Ayrıca veri yerleşimi seçenekleri sunan bir Kurumsal planları da vardır. Ancak bunlar, kurumsal düzeyde sözleşmeler gerektirir ve standart veya pro planlardaki ekiplerin kullanımına sunulmaz.
Postman'ın şirket içi seçeneği (Postman Enterprise On-Premises) mevcuttur ancak tarihsel olarak bulut sürümüne göre özellik güncellemelerini daha yavaş almıştır. Kendi kendine barındırma katı bir gereksinimse, taahhütte bulunmadan önce şirket içi sürümün özellik gereksinimlerinizi karşıladığını doğrulayın.
Insomnia
Insomnia (Kong tarafından satın alındı), yerel öncelikli bir REST istemcisidir. Varsayılan olarak her şeyi yerel olarak depolar, bu da onu uyumluluk bilincine sahip ekipler için cazip kılar. Insomnia Sync (bulut senkronizasyon özelliği) isteğe bağlıdır.
Insomnia'nın sınırlaması, öncelikle bir test ve hata ayıklama aracı olmasıdır. API tasarımı, otomatik test paketleri, CI/CD entegrasyonu veya API dokümantasyonu için sağlam bir desteği yoktur. Manuel testten daha fazlasına ihtiyaç duyan bir fintek ekibi için Insomnia, genellikle tam bir çözüm olmaktan çok daha büyük bir yığının bir aracı olarak kalır.
Insomnia, kurumsal fintek ekiplerinin ihtiyaç duyduğu ekip işbirliği özelliklerine, RBAC'a veya denetim kaydına sahip değildir. Bireysel geliştiriciler için iyi bir araçtır, ancak ekip yönetişim gereksinimleri için pek uygun değildir.
Fintek ekipleri için karşılaştırma
| Kriter | Apidog | Postman | Insomnia |
|---|---|---|---|
| Yerel kimlik bilgisi depolama | Evet (değişken başına isteğe bağlı) | Buluta şifreli senkronizasyon | Evet (varsayılan) |
| Kendi kendine barındırılan / şirket içi seçenek | Evet (Kurumsal) | Evet (Kurumsal, sınırlı) | Hayır |
| Denetim kayıtları | Evet (Kurumsal) | Evet (Kurumsal) | Hayır |
| SOC 2 sertifikası | Satıcıyla kontrol edin | Evet (Tip II) | Satıcıyla kontrol edin |
| Tam yaşam döngüsü (tasarım+test+mock+dokümanlar) | Evet | Kısmi | Hayır |
| CI/CD entegrasyonu | Evet | Evet | Sınırlı |
| Veri yerleşimi seçenekleri | Şirket içi çözer | Sadece Kurumsal | Yok |
Apidog fintek uyumluluğunu özellikle nasıl ele alıyor
Uygulamada yerel ortam değişkenleri
Bir geliştirici Apidog'da bir ödeme API'si için test ortamı oluşturduğunda, API anahtarlarını ve kimlik doğrulama belirteçlerini yerel değişkenler olarak işaretleyebilir. Bu değişkenler yalnızca o geliştiricinin makinesinde görünür. Aynı çalışma alanına bağlı diğer ekip üyeleri, değişkenin olması gereken yerde bir yer tutucu görürler – kendi değerlerini sağlamaları gerekir.
Bu model, fintek güvenlik ekiplerinin kimlik bilgilerinin nasıl işlenmesini istediğini yansıtır: bireysel geliştiriciler, kendi kimlik bilgilerinden sorumludur ve bunlar, tek bir ihlalde açığa çıkabilecek şekilde merkezi olarak saklanmaz.
Tam kontrol için kendi kendine barındırılan dağıtım
Sıkı veri yerleşimi gereksinimleri olan fintek ekipleri için Apidog Enterprise'ın kendi kendine barındırılan dağıtımı, tüm platformun – API spesifikasyonları, test yapılandırmaları, test sonuçları ve kullanıcı erişim kayıtları – sizin altyapınızda yaşamasını sağlar. PCI uyumlu bir AWS ortamında dağıtım yapıyorsanız, Apidog'un verileri önceden uyguladığınız kontrolleri miras alır.
Dağıtım konteyner tabanlıdır (Docker/Kubernetes), bu da standart DevSecOps işlem hatlarına uyar. Güvenlik ekibiniz konteynerleri tarayabilir, ağ politikaları uygulayabilir ve çıkışı, diğer dahili hizmetler için yaptıkları gibi izleyebilir.
Düzenleyici kanıtlar için denetim kaydı
Apidog Enterprise, çalışma alanı olayları için denetim kayıtlarını tutar: API spesifikasyonlarını kimin oluşturduğu veya değiştirdiği, test paketlerinin ne zaman çalıştığı, erişim izinlerini kimin değiştirdiği. Bu günlükler dışa aktarılabilir ve merkezi güvenlik izlemesi için SIEM'inize alınabilir.
Düzenleyici bir sorgulama veya bir PCI QSA değerlendirmesi için, ödeme API'leri için test yapılandırmalarına kimlerin eriştiğine ve bu yapılandırmaların ne zaman değiştirildiğine dair belirli kanıtlar sunabilirsiniz.
Fintek API araç seçimi için pratik kontrol listesi
Seçiminizi kesinleştirmeden önce:
- [ ] Ortam değişkenleri (API anahtarları, belirteçler) aslında nerede yaşar – geliştiricinin makinesinde mi yoksa satıcının sunucusunda mı?
- [ ] Satıcının veri işleme uygulamalarına ilişkin, satıcı risk değerlendirmesi için uygun yazılı bir açıklama alabilir misiniz?
- [ ] Veri yerleşimi gereksinimleriniz değişirse araç kendi kendine barındırılan dağıtım sunuyor mu?
- [ ] Hangi denetim günlük formatı mevcuttur ve SIEM'inize aktarılabilir mi?
- [ ] Satıcı bir SOC 2 Tip II denetimini tamamladı mı? NDA kapsamında raporu sağlayabilirler mi?
- [ ] Penetrasyon test ekibinizin bu araçla çalışması gerekiyor mu ve ağınızın dışından erişebilirler mi?
- [ ] Aboneliği iptal ederseniz verilerinize ne olur?
Sıkça Sorulan Sorular
Apidog kullanmak satıcı için PCI DSS kapsamı oluşturur mu?
Apidog'un yerel değişken özelliği, hassas kimlik bilgilerinin geliştiricinin makinesinden ayrılmaması için özel olarak tasarlanmıştır. Tüm ödeme ile ilgili kimlik bilgileri için yerel değişkenler kullanırsanız, Apidog'un bulut altyapısı bu kimlik bilgilerini almaz, bu da kapsam sorusunu azaltır. Kesin bir yanıt için, belirli yapılandırmanızı değerlendirebilecek bir PCI QSA ile çalışın.
Apidog, PCI uyumlu bir AWS ortamında dağıtılabilir mi?
Evet. Apidog Enterprise'ın kendi kendine barındırılan dağıtımı, altyapı düzeyinde PCI uyumlu kontrollerin uygulandığı bir AWS VPC içinde dağıtılabilen Docker ve Kubernetes kullanır. Mevcut PCI kontrolleriniz (ağ segmentasyonu, erişim günlüğü, şifreleme) Apidog dağıtımına uygulanacaktır.
Fintek geliştirme için bulut tabanlı bir API aracı kullanmanın riski nedir?
Başlıca riskler şunlardır: satıcıda bir ihlal olursa kimlik bilgilerinin açığa çıkması, satıcı değerlendirmesi gerektiren potansiyel PCI kapsamı genişlemesi ve veri yerleşimi uyumluluğu hataları. Ciddiyet, testinizin gerçek finansal verilere dokunup dokunmadığına veya temizlenmiş test verileri ve korumalı alan kimlik bilgileri kullanıp kullanmadığına bağlıdır.
Apidog'un bir İş Ortağı Sözleşmesi (BAA) mevcut mu?
BAA'lar, fintek uyumluluk çerçevelerinden ziyade öncelikli olarak HIPAA ile ilgilidir. Fintek için ilgili anlaşma genellikle bir Veri İşleme Anlaşması (DPA) olacaktır. Mevcut anlaşma seçenekleri için Apidog'un kurumsal ekibiyle iletişime geçin.
Bir fintek ekibi, gerçek finansal verilere benzeyen test verilerini nasıl ele almalıdır?
İdeal olarak, hangi aracı seçerseniz seçin, API test aracınızda yalnızca sentetik test verileri ve korumalı alan kimlik bilgileri kullanın. Bu mümkün değilse, verilerin sizin kontrolünüzdeki ortamda kalması için kendi kendine barındırılan dağıtımı olan bir araç seçin.
Apidog, fintek CI/CD işlem hatlarında kullanılan güvenlik tarama araçlarıyla entegre olabilir mi?
Apidog'un CLI çalıştırıcısı, güvenlik tarama adımlarını içeren CI işlem hatlarına entegre edilebilir. API test sonuçları güvenlik tarama sonuçlarından bağımsızdır. API'lerin entegre güvenlik testi için, ReadyAPI veya amaca yönelik DAST araçları, işlevsel test için Apidog'a daha uygun tamamlayıcılar olabilir.
Fintek API araçları, bir geliştirici verimliliği kararı olduğu kadar bir uyumluluk kararıdır. Bir tüketici uygulaması girişimi için doğru olan araç, bir ödeme şirketi için doğru olmak zorunda değildir. Verilerinizin aslında nereye gittiğine göre değerlendirin – satıcının nereye gittiğini söylediği yere göre değil, varsayılan olarak, tasarıma göre ve en kötü durumda nereye gittiğine göre.