Cet article répond à certaines des questions les plus fréquemment posées (FAQ) concernant la stratégie de sécurité de Payhawk pour ses agents IA.
Dans quelle mesure la plateforme Payhawk est-elle sécurisée lors de l'utilisation d'agents IA ?
Les agents IA de Payhawk fonctionnent dans le cadre du même dispositif de sécurité et des mêmes contrôles que le reste de la plateforme Payhawk. Ce cadre prévoit notamment des environnements cloisonnés afin de limiter les impacts potentiels et des contrôles d'accès basés sur les rôles (RBAC) afin de garantir que les autorisations des agents IA soient limitées à leur fonction prévue.
Comment les communications confidentielles de l'équipe et les données sensibles sont-elles protégées ?
La communication est transmise via des canaux chiffrés par TLS.
Les données de requête sensibles sont logiquement séparées par compte client et par utilisateur, empêchant l'accès aux données entre locataires.
L'accès au service est authentifié à l'aide des contrôles de gestion des identités et des accès existants.
Quel niveau de sécurité est mis en œuvre pour l'Agent IA de Voyage ?
L'agent IA de voyage est mis en œuvre selon une approche de défense en profondeur. Il opère en tant que service indépendant, avec une segmentation logique et technique stricte par rapport à l’environnement des données des titulaires de carte (CDE). L'agent IA ne traite, ne stocke et ne transmet aucune donnée de carte de paiement.
Tous les paiements sont traités de manière sécurisée par un prestataire de services de paiement tiers de confiance, conforme à la norme PCI DSS, garantissant ainsi le respect des normes du secteur. Des contrôles d'accès, une authentification et une segmentation des données sont appliqués pour garantir que les requêtes restent isolées par compte client et par utilisateur.
Existe-t-il un risque de fuite de données lors de l'utilisation de l'Agent IA de Voyage ?
Comme pour tout système qui traite du texte soumis par les utilisateurs, il existe un risque résiduel si les contrôles sont mal utilisés ou si les utilisateurs fournissent intentionnellement ou non des informations au-delà de ce qui est requis.
Cela dit, plusieurs mesures de protection sont en place pour minimiser ce risque :
Accès limité à un objectif précis – L'Agent IA fonctionne strictement dans un cadre défini et restreint, limité au traitement des demandes liées aux voyages uniquement.
Aucun accès aux données financières sensibles – L'Agent IA n'a pas accès aux données des titulaires de carte, aux identifiants de paiement ou aux systèmes financiers internes.
Minimisation des données – Seules les informations minimales nécessaires pour répondre à une demande de réservation de voyage sont traitées.
Traitement des paiements isolé – Tous les paiements sont gérés par un prestataire de services de paiement tiers conforme à la norme PCI-DSS, afin de garantir que les données de paiement ne soient jamais exposées à l'Agent IA ni traitées par celui-ci.
Ces contrôles sont conçus pour réduire la probabilité et l'impact des fuites de données tout en favorisant un traitement sécurisé et efficace des ordres de mission.
Est-ce que Payhawk stocke les mots de passe de mon portail lors de la recherche de reçus et de factures en ligne ?
Non. Le Financial Controller AI Agent ne voit, ne stocke ni ne transmet jamais vos informations d'identification. Vous vous connectez directement via un navigateur sécurisé et l'agent ne conserve qu'un profil de session crypté (cookies, stockage local) pour continuer à travailler en votre nom.
Combien de temps dure une session de récupération de reçus ou de factures en ligne ?
La durée de la session est déterminée par le portail du fournisseur, et non par Payhawk. La plupart des sessions durent environ un mois, mais une activité régulière peut les prolonger. Lorsqu'une session expire, vous devez vous connecter à nouveau.
L'AI Agent peut-il accéder aux paramètres de mon compte ou effectuer des achats pendant la récupération de documents en ligne ?
Non. Les instructions du Financial Controller AI Agent interdisent explicitement d'interagir avec les paramètres du compte, les méthodes de paiement ou toute autre fonctionnalité au-delà de la recherche de documents. Bien qu'il puisse naviguer au-delà de ces pages, il est contraint, de par sa conception, de ne pas entreprendre d'actions en dehors de son champ d'application défini.
Que se passe-t-il si l'AI Agent rencontre un CAPTCHA ou une authentification à deux facteurs ?
Le Financial Controller AI Agent marque une pause et vous demande de terminer la vérification. Une fois que vous l'avez fait, il reprend la tâche de récupération.
Mes données sont-elles utilisées pour former des modèles d'intelligence artificielle ?
Non. Payhawk utilise Google Gemini 3.0 Flash via l'API d'entreprise de Vertex AI, qui n'utilise pas les données des clients pour l'entraînement des modèles.
Puis-je arrêter la recherche de documents en ligne pour un fournisseur spécifique ?
Oui. Vous pouvez révoquer l'accès du Financial Controller AI Agent à n'importe quel fournisseur à tout moment, ce qui supprime le profil de session et arrête toute recherche automatisée future pour ce fournisseur.
Qui peut utiliser les fonctions d'IA dans Payhawk ?
Les fonctionnalités IA sont disponibles pour tous les utilisateurs en fonction de leur rôle et de leurs autorisations. Les administrateurs Payhawk peuvent activer ou désactiver les fonctions dans l'ensemble de l'espace de travail et contrôler les personnes qui y ont accès.
Quel est le niveau de connaissances en IA requis pour les utilisateurs ?
Payhawk recommande une formation de 30 à 45 minutes pour les administrateurs du support et des services financiers, couvrant les capacités de l'IA, les limites connues, les modes de défaillance et les cas nécessitant une escalade vers une vérification humaine.