Ferndesk
Sonstiges

Sicherheitsübersicht

Diese Seite fasst die Sicherheitsvorkehrungen von Ferndesk in Bezug auf den GitHub-Zugriff, den Umgang mit Quellcode von Kunden, die KI-Verarbeitung, die Datenspeicherung, den Compliance-Status und Drittanbieter zusammen.

Thema

Zusammenfassung

Verschlüsselung

Daten werden während der Übertragung verschlüsselt. Zugangsdaten für Integrationen werden vor der Speicherung verschlüsselt.

Zugriffskontrolle

Der Zugriff auf Ferndesk ist auf authentifizierte Benutzer und autorisierte Workspace-Rollen beschränkt.

Datenaufbewahrung

Kundeninhalte werden für die Dauer des Abonnements aufbewahrt und innerhalb von 30 Tagen nach Beendigung oder Löschanfrage gelöscht.

Speicherung von Quellcode

Ferndesk speichert den Quellcode von Kunden nicht in seinen Produktdatenbanken.

Indizierung von Quellcode

Ferndesk erstellt oder unterhält keinen dauerhaften Such- oder Einbettungsindex des Quellcodes von Kunden.

Temporäre Analyse

Die Repository-Analyse verwendet temporäre, zeitlich begrenzte Workspaces, die automatisch bereinigt werden.

KI-Training

Der Quellcode von Kunden wird nicht zum Trainieren von Ferndesk-Modellen oder Basismodellen von Drittanbietern verwendet.

Aktueller Compliance-Status

Ferndesk ist derzeit nicht SOC 2-zertifiziert. SOC 2 Typ I ist in Arbeit.

Sicherheitskontrollen

  • Daten werden während der Übertragung verschlüsselt.

  • Zugangsdaten für Integrationen werden vor der Speicherung verschlüsselt.

  • Rohdaten von Support-Ticket-Nachrichten werden verschlüsselt gespeichert.

  • Personenbezogene Daten (PII) in Support-Tickets werden während der Verarbeitung anonymisiert.

  • GitHub-Webhook-Signaturen werden validiert, bevor Webhook-Ereignisse akzeptiert werden.

  • Der Zugriff auf Ferndesk ist auf authentifizierte Benutzer und autorisierte Workspace-Rollen beschränkt.

Datenumgang

  • Ferndesk speichert Konto-, Konfigurations-, Help-Center-, Abrechnungs- und Dienstdaten, die für den Betrieb des Dienstes erforderlich sind.

  • Wenn ein Kunde Support-Systeme verbindet, kann Ferndesk Support-Gespräche und zugehörige Metadaten verarbeiten, um Dokumentationslücken zu identifizieren und Aktualisierungen zu entwerfen.

  • Wenn ein Kunde GitHub verbindet, werden Repository-Daten nur für die vom Kunden aktivierten dokumentationsbezogenen Workflows verarbeitet.

Zugriff auf die Codebasis

Ferndesk verbindet sich über eine GitHub-App mit GitHub, wenn ein Kunde diese Integration aktiviert.

  • Der GitHub-Zugriff erfolgt ausschließlich lesend (read-only).

  • Ferndesk nutzt den schreibgeschützten Repository-Zugriff, um Repository-Inhalte, den Commit-Verlauf und den Pull-Request-Kontext für Dokumentations-Workflows zu analysieren.

  • Ferndesk benötigt keine Berechtigungen für Schreiben, Administration, Repository-Management oder Organisationsverwaltung.

  • Die Installation der GitHub-App kann auf spezifische Repositories beschränkt werden.

  • Ferndesk verwendet Pull-Request-Webhooks, um gemergte Änderungen zu erkennen und Workflows zur Überprüfung der Dokumentation auszulösen.

Ferndesk nutzt den GitHub-Zugriff nicht, um in Repositories zu schreiben, Pull-Requests zu mergen, Repository-Einstellungen zu ändern oder Repository-Administrationen durchzuführen.

Umgang mit Quellcode

  • Ferndesk speichert den Quellcode von Kunden nicht in seinen Produktdatenbanken.

  • Ferndesk erstellt oder unterhält keinen dauerhaften Such- oder Einbettungsindex des Quellcodes von Kunden.

  • Die persistenten Suchsysteme von Ferndesk werden für veröffentlichte Wissensinhalte und zugehörige Suchdaten verwendet, nicht für den Quellcode von Kunden.

  • Wenn eine Code-Analyse erforderlich ist, verwendet Ferndesk temporäre, zeitlich begrenzte Repository-Workspaces, die automatisch bereinigt werden.

  • Ferndesk speichert nur begrenzte Repository-Metadaten, die zur Verwaltung von Dokumentations-Workflows benötigt werden, wie z. B. Repository-Name, Pull-Request-Referenz, Merge-Zeitstempel und generierte Änderungszusammenfassungen.

In der Praxis kann Ferndesk Repository-Inhalte vorübergehend verarbeiten, um Dokumentations-Updates zu entwerfen oder zu bewerten, aber Ferndesk macht den Quellcode des Kunden nicht zu einem dauerhaften Datensatz in der Produktdatenbank oder einem langlebigen Code-Suchindex.

KI-Verarbeitung

Ferndesk nutzt KI-Dienste von Drittanbietern, um Entwürfe, Zusammenfassungen und Einbettungen zu generieren, die in Dokumentations-Workflows verwendet werden.

  • OpenRouter wird für das Modell-Routing und die Generierung verwendet.

  • Google Vertex AI wird für Einbettungen und zugehörige Modelldienste verwendet.

  • Diese Dienste verarbeiten die Eingaben, die zum Abschluss des angeforderten Workflows erforderlich sind.

  • Ferndesk verwendet den Quellcode von Kunden nicht für das Modelltraining.

Die KI-Funktionen von Ferndesk werden zur Unterstützung bei der Generierung von Dokumentationen, Zusammenfassungen, Klassifizierungen und Suchen verwendet. Sie werden nicht dazu verwendet, ein wiederverwendbares Trainingskorpus aus dem Quellcode von Kunden aufzubauen.

Datenaufbewahrung und -löschung

  • Kundeninhalte werden für die Dauer des Abonnements aufbewahrt.

  • Kundeninhalte werden innerhalb von 30 Tagen nach Beendigung oder Löschanfrage gelöscht, sofern keine kürzere Löschfrist gilt.

  • Backup-Kopien werden innerhalb von 60 Tagen überschrieben.

  • Abrechnungs-, Audit- und Sicherheitsprotokolle können länger aufbewahrt werden, sofern dies für rechtliche, buchhalterische oder Sicherheitszwecke erforderlich ist.

  • Durch das Löschen eines Workspaces werden die zugehörigen verwalteten Suchdaten entfernt, die von Ferndesk verwendet werden.

Rohdaten von Support-Ticket-Nachrichten werden getrennt von langlebigen Dokumentationsausgaben behandelt. Wo Ferndesk Rohdaten von Support-Nachrichten zur Verarbeitung speichert, werden diese Payloads verschlüsselt.

Compliance-Status

  • Ferndesk ist derzeit nicht SOC 2-zertifiziert.

  • SOC 2 Typ I ist in Arbeit.

  • Ferndesk veröffentlicht derzeit kein öffentliches Trust Center.

  • Ferndesk verfügt derzeit über keinen SOC-Bericht, der unter einer Vertraulichkeitsvereinbarung (NDA) geteilt werden kann.

Unterauftragsverarbeiter und Dienstleister

Kern-Dienstleister

Diese Anbieter unterstützen das gehostete Produkt und können Kunden- oder Dienstdaten als Teil des Kernbetriebs von Ferndesk verarbeiten.

Anbieter

Zweck

Cloudflare

Infrastruktur für CDN, Caching und Objektspeicherung

OpenRouter

KI-Modell-Gateway für Generierungs-Workflows

Turbopuffer

verwaltete Suchinfrastruktur für Wissensinhalte von Kunden

Stripe

Abrechnung und Zahlungen

Resend

E-Mail-Zustellung und Verarbeitung eingehender E-Mails

Bento

E-Mail-Zustellung

Sentry

Überwachung von Anwendungsfehlern

Axiom

Telemetrie und Traces

Zusätzliche Anbieter und Anbieter mit begrenztem Umfang

Diese Anbieter werden für spezifischere Funktionen wie Einbettungen, Produktanalysen, Embeds, Changelog-Widgets und Website-Attribution verwendet.

Anbieter

Zweck

Google Vertex AI

Einbettungen und zugehörige Modelldienste

Mixpanel

Produkt- und Website-Analysen

Featurebase

Changelog- und Feedback-Widget

Google Ads / gtag.js

Website-Attribution und Marketing-Analysen

Iframely

Rendering von Embeds und Metadaten-Abruf

Vom Kunden aktivierte Integrationen wie GitHub, Zendesk, Intercom, Help Scout, Slack und ähnliche Systeme sind von den Unterauftragsverarbeitern von Ferndesk getrennt zu betrachten und werden nur verwendet, wenn sie vom Kunden aktiviert wurden.

8. Anfragen zur Sicherheitsüberprüfung

Für Sicherheitsüberprüfungen, Vendor Due Diligence oder DPA-Anfragen wenden Sie sich an [email protected].

War das hilfreich?