Die API- und Webservice-Kategorie stellt sicher, dass Anwendungen über ein angemessenes Management von Authentifizierung, Autorisierung und Sitzungen verfügen, alle Eingaben validieren, die eine Vertrauensgrenze überschreiten, und Sicherheitskontrollen für alle API-Typen enthalten.

Spezifische Steuerungen in dieser Kategorie beziehen sich auf die Eingabevalidierung nach Servicetyp, z. B. XDS-Schemavalidierung für SOAP Web Services oder Denial of Service-Schutz für graphQL-APIs.