Ferndesk
Sonstiges

Sicherheitsübersicht

Diese Seite fasst die Sicherheitsmaßnahmen von Ferndesk in Bezug auf den GitHub-Zugriff, den Umgang mit Kunden-Quellcode, KI-Verarbeitung, Datenspeicherung, Compliance-Status und Drittanbieter zusammen.

Thema

Zusammenfassung

Verschlüsselung

Daten werden während der Übertragung verschlüsselt. Zugangsdaten für Integrationen werden vor der Speicherung verschlüsselt.

Zugriffskontrolle

Der Zugriff auf Ferndesk ist auf authentifizierte Benutzer und autorisierte Workspace-Rollen beschränkt.

Datenspeicherung

Kundeninhalte werden für die Dauer des Abonnements aufbewahrt und innerhalb von 30 Tagen nach Kündigung oder Löschanfrage gelöscht.

Quellcode-Speicherung

Ferndesk speichert keinen Kunden-Quellcode in seinen Produktdatenbanken.

Quellcode-Indizierung

Ferndesk erstellt oder unterhält keinen dauerhaften Such- oder Embedding-Index des Kunden-Quellcodes.

Temporäre Analyse

Die Repository-Analyse nutzt temporäre, zeitlich begrenzte Workspaces, die automatisch bereinigt werden.

KI-Training

Kunden-Quellcode wird nicht zum Trainieren von Ferndesk-Modellen oder Basismodellen von Drittanbietern verwendet.

Aktueller Compliance-Status

Ferndesk ist derzeit nicht SOC 2-zertifiziert. SOC 2 Typ I ist in Arbeit.

Sicherheitskontrollen

  • Daten werden während der Übertragung verschlüsselt.

  • Zugangsdaten für Integrationen werden vor der Speicherung verschlüsselt.

  • Rohdaten-Payloads von Support-Tickets werden verschlüsselt gespeichert.

  • Personenbezogene Daten (PII) in Support-Tickets werden während der Verarbeitung anonymisiert.

  • GitHub-Webhook-Signaturen werden validiert, bevor Webhook-Ereignisse akzeptiert werden.

  • Der Zugriff auf Ferndesk ist auf authentifizierte Benutzer und autorisierte Workspace-Rollen beschränkt.

Datenhandhabung

  • Ferndesk speichert Konten-, Konfigurations-, Help-Center-, Abrechnungs- und Dienstdaten, die für den Betrieb des Dienstes erforderlich sind.

  • Wenn ein Kunde Support-Systeme verbindet, kann Ferndesk Support-Konversationen und zugehörige Metadaten verarbeiten, um Dokumentationslücken zu identifizieren und Entwürfe zu erstellen.

  • Wenn ein Kunde GitHub verbindet, werden Repository-Daten nur für die vom Kunden aktivierten dokumentationsbezogenen Workflows verarbeitet.

Codebase-Zugriff

Ferndesk verbindet sich über eine GitHub App mit GitHub, wenn ein Kunde diese Integration aktiviert.

  • Der GitHub-Zugriff erfolgt ausschließlich lesend.

  • Ferndesk nutzt den schreibgeschützten Repository-Zugriff, um Repository-Inhalte, die Commit-Historie und den Pull-Request-Kontext für Dokumentations-Workflows zu analysieren.

  • Ferndesk benötigt keine Schreib-, Admin-, Repository-Management- oder Organisationsadministrations-Berechtigungen.

  • Die Installation der GitHub App kann auf spezifische Repositories beschränkt werden.

  • Ferndesk nutzt Pull-Request-Webhooks, um gemergte Änderungen zu erkennen und Workflows zur Dokumentationsprüfung auszulösen.

Ferndesk nutzt den GitHub-Zugriff nicht, um in Repositories zu schreiben, Pull Requests zu mergen, Repository-Einstellungen zu ändern oder Repository-Administration durchzuführen.

Umgang mit Quellcode

  • Ferndesk speichert keinen Kunden-Quellcode in seinen Produktdatenbanken.

  • Ferndesk erstellt oder unterhält keinen dauerhaften Such- oder Embedding-Index des Kunden-Quellcodes.

  • Die permanenten Suchsysteme von Ferndesk werden für veröffentlichte Wissensinhalte und zugehörige Suchdaten verwendet, nicht für Kunden-Quellcode.

  • Wenn eine Code-Analyse erforderlich ist, verwendet Ferndesk temporäre, zeitlich begrenzte Repository-Workspaces, die automatisch bereinigt werden.

  • Ferndesk speichert nur begrenzte Repository-Metadaten, die zur Verwaltung von Dokumentations-Workflows benötigt werden, wie Repository-Name, Pull-Request-Referenz, Merge-Zeitstempel und generierte Änderungszusammenfassungen.

In der Praxis kann Ferndesk Repository-Inhalte vorübergehend verarbeiten, um Dokumentations-Updates zu entwerfen oder zu bewerten, aber Ferndesk wandelt Kunden-Quellcode nicht in einen dauerhaften Produktdatensatz oder einen langlebigen Code-Suchindex um.

KI-Verarbeitung

Ferndesk nutzt KI-Dienste von Drittanbietern, um Entwürfe, Zusammenfassungen und Embeddings für Dokumentations-Workflows zu generieren.

  • OpenRouter wird für das Modell-Routing und die Generierung verwendet.

  • Google Vertex AI wird für Embeddings und zugehörige Modell-Dienste verwendet.

  • Diese Dienste verarbeiten die Eingaben, die zum Abschluss des angeforderten Workflows erforderlich sind.

  • Ferndesk verwendet keinen Kunden-Quellcode für das Modelltraining.

Die KI-Funktionen von Ferndesk werden zur Unterstützung bei der Generierung, Zusammenfassung, Klassifizierung und Suche von Dokumenten verwendet. Sie werden nicht verwendet, um ein wiederverwendbares Trainingskorpus aus Kunden-Quellcode aufzubauen.

Datenspeicherung und Löschung

  • Kundeninhalte werden für die Dauer des Abonnements aufbewahrt.

  • Kundeninhalte werden innerhalb von 30 Tagen nach Kündigung oder Löschanfrage gelöscht, sofern keine kürzere Löschfrist gilt.

  • Backup-Kopien werden innerhalb von 60 Tagen überschrieben.

  • Abrechnungs-, Audit- und Sicherheitsprotokolle können länger aufbewahrt werden, wenn dies für rechtliche, buchhalterische oder Sicherheitszwecke erforderlich ist.

  • Das Löschen eines Workspace entfernt die zugehörigen verwalteten Suchdaten, die von Ferndesk verwendet werden.

Rohdaten-Payloads von Support-Tickets werden getrennt von langlebigen Dokumentationsausgaben behandelt. Wo Ferndesk Rohdaten von Support-Nachrichten zur Verarbeitung speichert, werden diese Payloads verschlüsselt.

Compliance-Status

  • Ferndesk ist derzeit nicht SOC 2-zertifiziert.

  • SOC 2 Typ I ist in Arbeit.

  • Ferndesk veröffentlicht derzeit kein öffentliches Trust Center.

  • Ferndesk stellt derzeit keinen SOC-Bericht zur Verfügung, der unter NDA geteilt werden kann.

Unterauftragsverarbeiter und Dienstleister

Kern-Dienstleister

Diese Anbieter unterstützen das gehostete Produkt und können Kunden- oder Dienstdaten als Teil des Kernbetriebs von Ferndesk verarbeiten.

Anbieter

Zweck

Cloudflare

Infrastruktur für CDN, Caching und Object Storage

OpenRouter

KI-Modell-Gateway für Generierungs-Workflows

Turbopuffer

Verwaltete Suchinfrastruktur für Kunden-Wissensinhalte

Stripe

Abrechnung und Zahlungen

Resend

E-Mail-Zustellung und Verarbeitung eingehender E-Mails

Bento

E-Mail-Zustellung

Sentry

Überwachung von Anwendungsfehlern

Axiom

Telemetrie und Traces

Zusätzliche Anbieter mit begrenztem Umfang

Diese Anbieter werden für spezifischere Funktionen wie Embeddings, Produktanalysen, Embeds, Changelog-Widgets und Website-Attribution verwendet.

Anbieter

Zweck

Google Vertex AI

Embeddings und zugehörige Modell-Dienste

Mixpanel

Produkt- und Website-Analysen

Featurebase

Changelog- und Feedback-Widget

Google Ads / gtag.js

Website-Attribution und Marketing-Analysen

Iframely

Rendering von Embeds und Abruf von Metadaten

Vom Kunden aktivierte Integrationen wie GitHub, Zendesk, Intercom, Help Scout, Slack und ähnliche Systeme sind von den Unterauftragsverarbeitern von Ferndesk getrennt und werden nur verwendet, wenn sie vom Kunden aktiviert wurden.

8. Anfragen zur Sicherheitsüberprüfung

Für Sicherheitsüberprüfungen, Due-Diligence-Prüfungen für Anbieter oder DPA-Anfragen wenden Sie sich bitte an [email protected].

War das hilfreich?