Die Nutzung des Webservice ist ausschließlich über eine mittels TLS-Verschlüsselung gesicherte https-Verbindung möglich. Dadurch wird die Abhörsicherheit und Integrität der gesendeten Daten gewährleistet.

Des Weiteren ist die Kommunikation dadurch auch vor verschiedenen anderen Attacken geschützt. Beispielhaft sei hier die Replay-Attacke genannt, bei der ein Angreifer eine abgefangene Nachricht erneut an den Empfänger schickt. Dies wird durch die Verwendung von Sequenznummern erkannt und ein derartiger Angriff abgewehrt. Es sei dabei erwähnt, dass der Angreifer die wiederholt gesendeten Pakete nicht entschlüsseln und damit verstehen kann.

Um zu gewährleisten, dass tatsächlich mit dem richtigen Server und nicht einer unberechtigten Stelle kommuniziert wird, wird das Zertifikat des Servers herangezogen, um diesen eindeutig zu authentifizieren. Das Zertifikat kann über das Partner-Portal heruntergeladen werden.

Um sicherzustellen dass lediglich berechtigte Clients mit dem Webservice kommunizieren können, müssen sich diese per http-Basic-Authentifizierung am Server anmelden.

Obwohl die Zugangsdaten bei diesem Verfahren offen im Header der Nachricht übertragen werden, ist es für die Verwendung in diesem Fall gut geeignet, da es auf der Client-Seite einfach zu implementieren ist, und die übertragenen Zugangsdaten aufgrund der Kommunikation über https ohnehin abgesichert sind.

Die Basic-Auth Credentials sind für alle Mandanten innerhalb einer Speed4Trade CONNECT Instanz gleich. Innerhalb der einzelnen Webservice-Calls werden die Daten anhand der im Request enthaltenen Mandant-ID abgefragt bzw. gepflegt. Damit können innerhalb eines Requests die Daten von mehreren Mandanten angesprochen werden.

Bitte beachten Sie bei der Verwendung der Amazon-Schnittstelle die verpflichtenden Vorgaben der Data-Protection-Policy unter: https://developer-docs.amazon.com/sp-api-blog/docs/guidance-to-address-key-security-controls-in-sp-api-integration. Besonders hervorzuheben ist der Abschnitt "Encryption and Storage", wonach personenbezogene Daten dem aktuellen Stand der Technik verschlüsselt werden müssen, wenn diese persistiert werden.