Este artículo responde a algunas de las preguntas más frecuentes sobre la estrategia de seguridad de Payhawk para sus agentes de IA.
¿Qué tan segura es la plataforma de Payhawk al usar agentes de IA?
Los agentes de IA de Payhawk operan bajo el mismo marco de seguridad y los mismos controles que el resto de la plataforma Payhawk. Esto incluye entornos segregados para limitar el posible impacto y controles de acceso basados en roles (RBAC) para garantizar que los permisos de los agentes de IA se restrinjan a su función prevista.
¿Cómo se protegen las comunicaciones confidenciales del equipo y los datos sensibles?
Las comunicaciones se transmiten a través de canales cifrados con TLS.
Los datos sensibles de las solicitudes se segregan lógicamente por cuenta de cliente y usuario, lo que evita el acceso a datos entre distintos inquilinos.
El acceso al servicio se autentica mediante los controles existentes de gestión de identidades y accesos.
¿Qué nivel de seguridad se aplica al Agente de IA de Viajes?
El Agente de IA de Viajes se implementa siguiendo un enfoque de defensa en profundidad. Opera como un servicio independiente que está segmentado de forma lógica y técnica del entorno de datos de titulares de tarjetas (CDE). El Agente de IA no procesa, almacena ni transmite datos de tarjetas de pago.
Todos los pagos se gestionan de forma segura a través de un proveedor de pagos externo de confianza que cumple con el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), lo que garantiza la conformidad con los estándares del sector. Se aplican controles de acceso, autenticación y segmentación de datos para asegurar que las solicitudes permanezcan aisladas por cuenta de cliente y por usuario.
¿Existe algún riesgo de filtración de datos al utilizar el Agente de IA de Viajes?
Como ocurre con cualquier sistema que procesa texto enviado por los usuarios, existe un riesgo residual si los controles se utilizan de forma indebida o si los usuarios facilitan, de forma intencionada o no, información más allá de la estrictamente necesaria.
Dicho esto, se han implementado varias medidas de seguridad para minimizar este riesgo:
Acceso limitado por finalidad: el Agente de IA opera estrictamente dentro de un ámbito definido y restringido, limitado únicamente a la gestión de solicitudes relacionadas con viajes.
Sin acceso a datos financieros sensibles: el Agente de IA no tiene acceso a datos de titulares de tarjetas, credenciales de pago ni a sistemas financieros internos.
Minimización de datos: solo se procesa la información mínima necesaria para gestionar una solicitud de reserva de viaje.
Procesamiento de pagos aislado: todos los pagos se gestionan a través de un proveedor de pagos externo que cumple con el PCI-DSS, lo que garantiza que los datos de pago nunca se expongan ni sean procesados por el Agente de IA.
Estos controles están diseñados para reducir la probabilidad y el impacto de posibles filtraciones de datos, al mismo tiempo que permiten un procesamiento seguro y eficiente de las solicitudes de viaje.