Dieser Artikel beantwortet einige der am häufigsten gestellten Fragen (FAQ) zu Payhawks Sicherheitsstrategie für seine KI-Agenten.
Wie sicher ist die Payhawk-Plattform bei der Nutzung von KI-Agenten?
Die KI-Agenten von Payhawk werden unter demselben Sicherheitsrahmen und mit denselben Kontrollen betrieben wie der Rest der Payhawk-Plattform. Dazu gehören voneinander getrennte Umgebungen zur Begrenzung potenzieller Auswirkungen sowie rollenbasierte Zugriffskontrollen (RBAC), um sicherzustellen, dass die Berechtigungen der KI-Agenten auf ihre jeweilige Zweckbestimmung beschränkt sind.
Wie werden vertrauliche Teamkommunikation und sensible Daten geschützt?
Die Kommunikation wird über TLS‑verschlüsselte Kanäle übertragen.
Sensible Anfragedaten werden für jedes Kundenkonto und jeden Benutzer logisch getrennt, um einen mandantenübergreifenden Datenzugriff zu verhindern.
Der Zugriff auf den Dienst wird mithilfe der bestehenden Identitäts- und Zugriffsverwaltungskontrollen authentifiziert.
Welches Sicherheitsniveau ist für den Travel AI Agent implementiert?
Der Travel AI Agent ist nach dem Prinzip der mehrschichtigen Sicherheit (Defense-in-Depth) implementiert. Er arbeitet als eigenständiger Dienst, der logisch und technisch von der Karteninhaberdatenumgebung (CDE) getrennt ist. Der KI-Agent verarbeitet, speichert oder übermittelt keine Zahlungskartendaten.
Alle Zahlungen werden sicher von einem vertrauenswürdigen, PCI-DSS-konformen externen Zahlungsdienstleister abgewickelt, wodurch die Einhaltung der Branchenstandards gewährleistet ist. Zugriffssteuerungen, Authentifizierung und Datensegmentierung werden angewendet, um sicherzustellen, dass Anfragen pro Kundenkonto und pro Nutzer isoliert bleiben.
Besteht bei der Nutzung des Travel AI Agent ein Risiko für Datenlecks?
Wie bei jedem System, das von Nutzern übermittelte Texte verarbeitet, besteht ein Restrisiko, wenn Kontrollen missbräuchlich verwendet werden oder wenn Nutzende absichtlich oder versehentlich mehr Informationen bereitstellen, als erforderlich sind.
Allerdings sind mehrere Schutzmaßnahmen vorhanden, um dieses Risiko zu minimieren:
Zweckgebundener Zugriff – Der KI-Agent arbeitet ausschließlich innerhalb eines klar definierten und eingeschränkten Rahmens und bearbeitet nur reisebezogene Anfragen.
Kein Zugriff auf vertrauliche Finanzdaten – Der KI-Agent hat keinen Zugriff auf Karteninhaberdaten, Zahlungsinformationen oder interne Finanzsysteme.
Datenminimierung – Es werden nur die für die Erfüllung einer Reisebuchungsanfrage unbedingt erforderlichen Informationen verarbeitet.
Isolierte Zahlungsabwicklung – Alle Zahlungen werden von einem PCI-DSS-konformen, externen Zahlungsanbieter verarbeitet, sodass Zahlungsdaten niemals offengelegt oder vom KI-Agenten verarbeitet werden.
Diese Kontrollen dienen dazu, die Wahrscheinlichkeit und die Auswirkungen von Datenlecks zu verringern und gleichzeitig eine sichere und effiziente Bearbeitung von Reiseaufträgen zu gewährleisten.
Speichert Payhawk meine Portal-Passwörter beim Abrufen von Online-Belegen und -Rechnungen?
Nein. Der Financial Controller AI Agent sieht, speichert oder übermittelt Ihre Anmeldedaten zu keinem Zeitpunkt. Sie melden sich direkt über einen sicheren Browser-Viewer an, und der Agent speichert lediglich ein verschlüsseltes Sitzungsprofil (Cookies, lokaler Speicher), um weiterhin in Ihrem Auftrag zu arbeiten.
Wie lange dauert eine Sitzung zum Abrufen von Online-Belegen oder -Rechnungen?
Die Dauer einer Sitzung wird vom Anbieterportal und nicht von Payhawk festgelegt. Die meisten Sitzungen dauern etwa einen Monat, können jedoch durch regelmäßige Aktivitäten verlängert werden. Wenn eine Sitzung abläuft, müssen Sie sich erneut anmelden.
Kann der KI-Agent während des Abrufs von Online-Dokumenten auf meine Kontoeinstellungen zugreifen oder Einkäufe tätigen?
Nein. Die Anweisungen des Financial Controller AI Agent verbieten ausdrücklich jegliche Interaktion mit Kontoeinstellungen, Zahlungsmethoden oder Funktionen, die über das Abrufen von Dokumenten hinausgehen. Der Agent kann zwar solche Seiten aufrufen, ist jedoch durch die Gestaltung der Eingabeaufforderung daran gehindert, Maßnahmen außerhalb seines definierten Aufgabenbereichs zu ergreifen.
Was passiert, wenn der KI-Agent auf ein CAPTCHA oder eine Zwei-Faktor-Authentifizierung trifft?
Der Financial Controller AI Agent pausiert und fordert Sie auf, die Überprüfung abzuschließen. Sobald Sie dies getan haben, setzt er die Abrufaufgabe fort.
Werden meine Daten zum Trainieren von KI-Modellen verwendet?
Nein. Payhawk nutzt Google Gemini 3.0 Flash über die Unternehmens-API von Vertex AI, wobei keine Kundendaten für das Modelltraining verwendet werden.
Kann ich den Abruf von Online-Dokumenten für einen bestimmten Anbieter stoppen?
Ja. Sie können den Zugriff des Financial Controller AI Agent auf jeden Anbieter jederzeit widerrufen, wodurch das Sitzungsprofil gelöscht und alle zukünftigen automatisierten Abrufe für diesen Anbieter gestoppt werden.
Wer kann KI-Funktionen in Payhawk nutzen?
KI-Funktionen stehen allen Benutzern je nach ihrer Rolle und ihren Berechtigungen zur Verfügung. Payhawk Administratoren können Funktionen für den gesamten Arbeitsbereich aktivieren oder deaktivieren und steuern, wer Zugriff darauf hat.
Welche Anforderungen werden an die KI-Kompetenz der Nutzer gestellt?
Payhawk empfiehlt eine 30- bis 45-minütige Einführungsschulung für Support- und Finanzadministratoren, in der KI-Funktionen, bekannte Einschränkungen, Fehlerquellen sowie die Fälle behandelt werden, in denen eine Eskalation zur Überprüfung durch eine Person erforderlich ist.