Este artículo responde a algunas de las preguntas más frecuentes sobre la estrategia de seguridad de Payhawk para sus agentes de IA.
¿Qué tan segura es la plataforma de Payhawk al usar agentes de IA?
Los agentes de IA de Payhawk operan bajo el mismo marco de seguridad y los mismos controles que el resto de la plataforma Payhawk. Esto incluye entornos segregados para limitar el posible impacto y controles de acceso basados en roles (RBAC) para garantizar que los permisos de los agentes de IA se restrinjan a su función prevista.
¿Cómo se protegen las comunicaciones confidenciales del equipo y los datos sensibles?
Las comunicaciones se transmiten a través de canales cifrados con TLS.
Los datos sensibles de las solicitudes se segregan lógicamente por cuenta de cliente y usuario, lo que evita el acceso a datos entre distintos inquilinos.
El acceso al servicio se autentica mediante los controles existentes de gestión de identidades y accesos.
¿Qué nivel de seguridad se aplica al Agente de IA de Viajes?
El Agente de IA de Viajes se implementa siguiendo un enfoque de defensa en profundidad. Opera como un servicio independiente que está segmentado de forma lógica y técnica del entorno de datos de titulares de tarjetas (CDE). El Agente de IA no procesa, almacena ni transmite datos de tarjetas de pago.
Todos los pagos se gestionan de forma segura a través de un proveedor de pagos externo de confianza que cumple con el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS), lo que garantiza la conformidad con los estándares del sector. Se aplican controles de acceso, autenticación y segmentación de datos para asegurar que las solicitudes permanezcan aisladas por cuenta de cliente y por usuario.
¿Existe algún riesgo de filtración de datos al utilizar el Agente de IA de Viajes?
Como ocurre con cualquier sistema que procesa texto enviado por los usuarios, existe un riesgo residual si los controles se utilizan de forma indebida o si los usuarios facilitan, de forma intencionada o no, información más allá de la estrictamente necesaria.
Dicho esto, se han implementado varias medidas de seguridad para minimizar este riesgo:
Acceso limitado por finalidad: el Agente de IA opera estrictamente dentro de un ámbito definido y restringido, limitado únicamente a la gestión de solicitudes relacionadas con viajes.
Sin acceso a datos financieros sensibles: el Agente de IA no tiene acceso a datos de titulares de tarjetas, credenciales de pago ni a sistemas financieros internos.
Minimización de datos: solo se procesa la información mínima necesaria para gestionar una solicitud de reserva de viaje.
Procesamiento de pagos aislado: todos los pagos se gestionan a través de un proveedor de pagos externo que cumple con el PCI-DSS, lo que garantiza que los datos de pago nunca se expongan ni sean procesados por el Agente de IA.
Estos controles están diseñados para reducir la probabilidad y el impacto de posibles filtraciones de datos, al mismo tiempo que permiten un procesamiento seguro y eficiente de las solicitudes de viaje.
¿Payhawk guarda las contraseñas de mi portal al obtener recibos y facturas en línea?
No. El Agente de Control Financiero nunca ve, almacena ni transmite tus credenciales. Inicias sesión directamente a través de un visor de navegador seguro, y el agente solo conserva un perfil de sesión cifrado (cookies, almacenamiento local) para seguir operando en tu nombre.
¿Cuánto dura una sesión de obtención de recibos o facturas en línea?
La duración de la sesión la determina el portal del proveedor, no Payhawk. La mayoría de las sesiones duran aproximadamente un mes, aunque la actividad regular puede ampliarlas. Cuando la sesión caduca, debes iniciar sesión de nuevo.
¿Puede el Agente acceder a la configuración de mi cuenta o realizar compras durante la obtención de documentos en línea?
No. Las instrucciones del Agente de Control Financiero prohíben explícitamente interactuar con la configuración de la cuenta, los métodos de pago o cualquier funcionalidad más allá de la obtención de documentos. Aunque pueda navegar por esas páginas, sus instrucciones le impiden realizar acciones fuera de su alcance definido.
¿Qué ocurre si el Agente se encuentra con un CAPTCHA o con la autenticación en dos factores?
El Agente de Control Financiero se detiene y te pide que completes la verificación. Una vez lo haces, reanuda la tarea de obtención.
¿Se utilizan mis datos para entrenar modelos de IA?
No. Payhawk utiliza Google Gemini 3.0 Flash a través de la API empresarial de Vertex AI, que no utiliza datos de clientes para entrenar modelos.
¿Puedo detener la obtención de documentos en línea para un proveedor específico?
Sí. Puedes revocar en cualquier momento el acceso del Agente de Control Financiero a cualquier proveedor, lo que elimina el perfil de sesión y detiene todas las obtenciones automáticas futuras para ese proveedor.
¿Quién puede utilizar las funciones de IA en Payhawk?
Las funciones de IA están disponibles para todos los usuarios según su rol y permisos. Los administradores de Payhawk pueden activar o desactivar funciones a nivel de espacio de trabajo y controlar quién tiene acceso.
¿Qué nivel de conocimientos en IA se requiere para los usuarios?
Payhawk recomienda entre 30 y 45 minutos de formación para los administradores de soporte y finanzas, en la que se cubren las capacidades de la IA, sus limitaciones conocidas, los posibles fallos y cuándo escalar a una revisión humana.