Dieser Artikel beantwortet einige der am häufigsten gestellten Fragen (FAQ) zu Payhawks Sicherheitsstrategie für seine KI-Agenten.
Wie sicher ist die Payhawk-Plattform bei der Nutzung von KI-Agenten?
Die KI-Agenten von Payhawk werden unter demselben Sicherheitsrahmen und mit denselben Kontrollen betrieben wie der Rest der Payhawk-Plattform. Dazu gehören voneinander getrennte Umgebungen zur Begrenzung potenzieller Auswirkungen sowie rollenbasierte Zugriffskontrollen (RBAC), um sicherzustellen, dass die Berechtigungen der KI-Agenten auf ihre jeweilige Zweckbestimmung beschränkt sind.
Wie werden vertrauliche Teamkommunikation und sensible Daten geschützt?
Die Kommunikation wird über TLS‑verschlüsselte Kanäle übertragen.
Sensible Anfragedaten werden für jedes Kundenkonto und jeden Benutzer logisch getrennt, um einen mandantenübergreifenden Datenzugriff zu verhindern.
Der Zugriff auf den Dienst wird mithilfe der bestehenden Identitäts- und Zugriffsverwaltungskontrollen authentifiziert.
Welches Sicherheitsniveau ist für den Travel AI Agent implementiert?
Der Travel AI Agent ist nach dem Prinzip der mehrschichtigen Sicherheit (Defense-in-Depth) implementiert. Er arbeitet als eigenständiger Dienst, der logisch und technisch von der Karteninhaberdatenumgebung (CDE) getrennt ist. Der KI-Agent verarbeitet, speichert oder übermittelt keine Zahlungskartendaten.
Alle Zahlungen werden sicher von einem vertrauenswürdigen, PCI-DSS-konformen externen Zahlungsdienstleister abgewickelt, wodurch die Einhaltung der Branchenstandards gewährleistet ist. Zugriffssteuerungen, Authentifizierung und Datensegmentierung werden angewendet, um sicherzustellen, dass Anfragen pro Kundenkonto und pro Nutzer isoliert bleiben.
Besteht bei der Nutzung des Travel AI Agent ein Risiko für Datenlecks?
Wie bei jedem System, das von Nutzern übermittelte Texte verarbeitet, besteht ein Restrisiko, wenn Kontrollen missbräuchlich verwendet werden oder wenn Nutzende absichtlich oder versehentlich mehr Informationen bereitstellen, als erforderlich sind.
Allerdings sind mehrere Schutzmaßnahmen vorhanden, um dieses Risiko zu minimieren:
Zweckgebundener Zugriff – Der KI-Agent arbeitet ausschließlich innerhalb eines klar definierten und eingeschränkten Rahmens und bearbeitet nur reisebezogene Anfragen.
Kein Zugriff auf vertrauliche Finanzdaten – Der KI-Agent hat keinen Zugriff auf Karteninhaberdaten, Zahlungsinformationen oder interne Finanzsysteme.
Datenminimierung – Es werden nur die für die Erfüllung einer Reisebuchungsanfrage unbedingt erforderlichen Informationen verarbeitet.
Isolierte Zahlungsabwicklung – Alle Zahlungen werden von einem PCI-DSS-konformen, externen Zahlungsanbieter verarbeitet, sodass Zahlungsdaten niemals offengelegt oder vom KI-Agenten verarbeitet werden.
Diese Kontrollen dienen dazu, die Wahrscheinlichkeit und die Auswirkungen von Datenlecks zu verringern und gleichzeitig eine sichere und effiziente Bearbeitung von Reiseaufträgen zu gewährleisten.