API-beveiliging richt zich op het beschermen van de interfaces waarmee verschillende softwaresystemen met elkaar communiceren. Omdat API's applicatielogica en gevoelige gegevens blootstellen, zijn ze aantrekkelijke doelwitten voor aanvallers die kwetsbaarheden uitbuiten zoals gebrekkige authenticatie, overmatige gegevensblootstelling en injectieaanvallen.
Robuuste API-beveiliging vereist een meerlaagse aanpak met sterke authenticatie (OAuth 2.0, API-sleutels), versleuteling tijdens transport (TLS), invoervalidatie, snelheidsbeperking en uitgebreide logging. Met de opkomst van microservices en cloud-native architecturen is API-beveiliging een kritiek onderdeel geworden van zowel de technologische maatregelen van ISO 27001 als de trust service criteria van SOC 2.