人工智能在 PCI 评估中的作用：作者：David King

今年早些时候，支付卡行业安全标准委员会 (PCI SSC) 发布了关于如何在 PCI 评估中使用人工智能 (AI) 的指南。作为 PCI SSC 顾问委员会的成员，我想强调该指南中的一些关键主题。您还可以在此处查看完整的指导文档。

人工智能对金融科技和支付日益增长的影响不容忽视，PCI 评估也不例外。随着企业努力提高支付卡数据保护的效率和准确性，人工智能提供了进一步自动化流程、分析大型数据集和加强合规工作的机会。人工智能应该能够显着减少证据审查和生成工作文件的时间——因为 1 级审计可能需要长达 6 个月的时间，成本超过 100,000 美元。

然而，虽然人工智能是一种强大的工具，但它并不能取代人类评估员。

评估人员将继续在监督评估过程、做出关键判断以及确保最终报告的准确性和完整性方面发挥关键作用。人工智能可以协助完成数据分析和文档审查等任务，但最终责任仍由合格的评估人员承担。人工智能永远不应该：

• 做出最终合规决定
• 解释复杂的安全要求
• 授权发布评估结果

人工智能只是一个支持工具，使合格的评估人员能够更加高效。

人工智能可以在 PCI 评估中提供哪些帮助？

人工智能技术可以在多个领域为评估人员提供帮助，自动执行重复性任务，提高准确性，并允许人类评估人员专注于更高级别的分析和风险管理。这些包括：

– 审查文物 – 人工智能可以自动审查大量文档，包括策略、程序、网络图、软件源代码、系统配置和日志。它还可用于识别特定的合规要素并突出显示潜在的关注领域，从而显着减少人工工作并最大限度地减少人为错误。
– 创建工作底稿 – 人工智能可以生成结构化摘要并组织数据，减少人工工作并最大限度地减少错误。
– 进行远程采访 – 人工智能可以通过安排、记录对话和总结要点来促进远程采访。
– 协助最终评估报告 – AI 可以分析评估数据并根据 PCI SSC 报告模板提出措辞建议、总结调查结果或构建内容。这有助于确保报告准确、一致且易于理解。

透明度和客户沟通的重要性

PCI SSC 指南强调透明度和解决与人工智能使用相关的挑战的重要性。评估人员应就人工智能的参与与客户进行清晰的沟通，获得他们的同意，并提供数据安全和评估结果准确性的保证。

风险和限制

人工智能虽然可以提高效率，但也带来了挑战：

• 误报和错误：人工智能可能会误解安全发现，需要人工验证。
• 人工智能模型的偏差：人工智能必须定期进行测试，以确保评估的公平和准确。
• 数据隐私问题：未经明确授权，人工智能不应接受敏感客户数据的训练。
• 过度依赖自动化：评估人员不得在未验证准确性的情况下盲目相信人工智能生成的结果。

为了减轻这些风险，人工智能系统应该接受独立专家的持续改进、偏见检查和验证。

人工智能使用的政策和程序
为确保人工智能在 PCI 评估中有效、安全的集成，评估公司需要制定清晰详细的政策和程序
供人工智能使用。这些程序应包括：

• 如何使用和验证人工智能
• 人工智能系统的选择和鉴定
• 人工智能可以处理的证据类型
• 数据处理和安全

最后的想法
AI 改变了 PCI 评估的游戏规则，提供速度、效率和准确性。然而，人为因素仍然至关重要。通过将人工智能功能与人类专业知识相结合，PCI 评估可以更加有效和安全。评估人员必须采取明确的政策，确保透明度，并对合规决策负责，最终确保在不断发展的数字环境中更好地保​​护支付卡数据。

还需要注意的是，PCI 安全标准委员会并不认可任何特定的 AI 产品或服务进行 PCI 评估。评估公司和个人评估员负责根据自己的标准和尽职调查评估和选择人工智能工具。