No entanto, se uma chamada de API contiver dados pessoais ou confidenciais, ou se exigir autenticação, o nível 0 não será apropriado.Uma chamada da API que oferece clima para um local ou o custo de um voo pode não precisar de nenhuma proteção especial e o nível 0 funciona bem.O custo, no entanto, tem sido com segurança inconsistente, privacidade e rigor de desempenho.Se o seu endpoint get_customers for usado pela sua ferramenta de análise interna, convém compartilhar a data de nascimento, o endereço de correspondência e outras informações pessoais.Os reguladores em finanças, saúde e outras áreas podem querer revisar periodicamente as chamadas da API para garantir a conformidade.
Fonte: https://bycontxt.com/blog/introducing-the-api-context-maturity-model