Die Kategorie „API und Webservice“ stellt sicher, dass Anwendungen über eine angemessene Authentifizierung, Autorisierung und Sitzungsverwaltung verfügen, alle Eingaben validieren, die eine Vertrauensgrenze überschreiten, und Sicherheitskontrollen für alle API-Typen enthalten.

Spezifische Steuerungen in dieser Kategorie befassen sich mit der Validierung von Eingaben nach Servicetyp, z. B. XDS-Schemavalidierung für SOAP Web Services oder Denial of Service-Schutz für graphQL-APIs.