Cet article répond à certaines des questions les plus fréquemment posées (FAQ) concernant la stratégie de sécurité de Payhawk pour ses agents IA.
Dans quelle mesure la plateforme Payhawk est-elle sécurisée lors de l'utilisation d'agents IA ?
Les agents IA de Payhawk fonctionnent dans le cadre du même dispositif de sécurité et des mêmes contrôles que le reste de la plateforme Payhawk. Ce cadre prévoit notamment des environnements cloisonnés afin de limiter les impacts potentiels et des contrôles d'accès basés sur les rôles (RBAC) afin de garantir que les autorisations des agents IA soient limitées à leur fonction prévue.
Comment les communications confidentielles de l'équipe et les données sensibles sont-elles protégées ?
La communication est transmise via des canaux chiffrés par TLS.
Les données de requête sensibles sont logiquement séparées par compte client et par utilisateur, empêchant l'accès aux données entre locataires.
L'accès au service est authentifié à l'aide des contrôles de gestion des identités et des accès existants.
Quel niveau de sécurité est mis en œuvre pour l'Agent IA de Voyage ?
L'agent IA de voyage est mis en œuvre selon une approche de défense en profondeur. Il opère en tant que service indépendant, avec une segmentation logique et technique stricte par rapport à l’environnement des données des titulaires de carte (CDE). L'agent IA ne traite, ne stocke et ne transmet aucune donnée de carte de paiement.
Tous les paiements sont traités de manière sécurisée par un prestataire de services de paiement tiers de confiance, conforme à la norme PCI DSS, garantissant ainsi le respect des normes du secteur. Des contrôles d'accès, une authentification et une segmentation des données sont appliqués pour garantir que les requêtes restent isolées par compte client et par utilisateur.
Existe-t-il un risque de fuite de données lors de l'utilisation de l'Agent IA de Voyage ?
Comme pour tout système qui traite du texte soumis par les utilisateurs, il existe un risque résiduel si les contrôles sont mal utilisés ou si les utilisateurs fournissent intentionnellement ou non des informations au-delà de ce qui est requis.
Cela dit, plusieurs mesures de protection sont en place pour minimiser ce risque :
Accès limité à un objectif précis – L'Agent IA fonctionne strictement dans un cadre défini et restreint, limité au traitement des demandes liées aux voyages uniquement.
Aucun accès aux données financières sensibles – L'Agent IA n'a pas accès aux données des titulaires de carte, aux identifiants de paiement ou aux systèmes financiers internes.
Minimisation des données – Seules les informations minimales nécessaires pour répondre à une demande de réservation de voyage sont traitées.
Traitement des paiements isolé – Tous les paiements sont gérés par un prestataire de services de paiement tiers conforme à la norme PCI-DSS, afin de garantir que les données de paiement ne soient jamais exposées à l'Agent IA ni traitées par celui-ci.
Ces contrôles sont conçus pour réduire la probabilité et l'impact des fuites de données tout en favorisant un traitement sécurisé et efficace des ordres de mission.