Die API- und Webservicekategorie stellt sicher, dass Anwendungen über die entsprechende Authentifizierung, Autorisierung und Sitzungsverwaltung verfügen, validiert alle Eingaben, die eine Vertrauensgrenze überschreiten, und enthält Sicherheitskontrollen für alle API-Typen.

Bestimmte Steuerungen in dieser Kategorie adressieren die Validierung der Eingabe nach Servicetyp, z. B. XDS-Schemavalidierung für SOAP-Webservices oder Denial of Service-Schutz für GraphQL-APIs.