Resumen de seguridad
Esta página resume la postura de seguridad de Ferndesk en lo que respecta al acceso a GitHub, el manejo del código fuente de los clientes, el procesamiento de IA, la retención de datos, el estado de cumplimiento y los proveedores de servicios de terceros.
Tema | Resumen |
|---|---|
Cifrado | Los datos se cifran en tránsito. Las credenciales de integración se cifran antes de almacenarse. |
Control de acceso | El acceso a Ferndesk está limitado a usuarios autenticados y roles de espacio de trabajo autorizados. |
Retención de datos | El contenido del cliente se conserva durante la suscripción y se elimina en un plazo de 30 días a partir de la cancelación o de la solicitud de eliminación. |
Almacenamiento del código fuente | Ferndesk no almacena el código fuente del cliente en sus bases de datos del producto. |
Indexación del código fuente | Ferndesk no crea ni mantiene un índice persistente de búsqueda o de embeddings del código fuente del cliente. |
Análisis temporal | El análisis del repositorio utiliza espacios de trabajo temporales y con tiempo limitado que se limpian automáticamente. |
Entrenamiento de IA | El código fuente del cliente no se usa para entrenar modelos de Ferndesk ni modelos fundacionales de terceros. |
Estado actual de cumplimiento | Ferndesk no cuenta actualmente con la certificación SOC 2. SOC 2 Type I está en proceso. |
Controles de seguridad
Los datos se cifran en tránsito.
Las credenciales de integración se cifran antes de almacenarse.
Los payloads sin procesar de los mensajes de tickets de soporte se almacenan cifrados.
La PII en los tickets de soporte se anonimiza durante el procesamiento
Las firmas de webhooks de GitHub se validan antes de aceptar los eventos del webhook.
El acceso a Ferndesk está limitado a usuarios autenticados y roles de espacio de trabajo autorizados.
Manejo de datos
Ferndesk almacena los datos de cuenta, configuración, centro de ayuda, facturación y servicio necesarios para operar el servicio.
Si un cliente conecta sistemas de soporte, Ferndesk puede procesar conversaciones de soporte y metadatos relacionados para identificar lagunas en la documentación y redactar actualizaciones.
Si un cliente conecta GitHub, los datos del repositorio se procesan solo para los flujos de trabajo relacionados con la documentación que el cliente habilita.
Acceso a la base de código
Ferndesk se conecta a GitHub a través de una GitHub App cuando un cliente habilita esa integración.
El acceso a GitHub es de solo lectura.
Ferndesk usa acceso de solo lectura al repositorio para analizar el contenido del repositorio, el historial de commits y el contexto de las pull requests para flujos de trabajo de documentación.
Ferndesk no requiere permisos de escritura, administración, gestión del repositorio ni administración de la organización.
La instalación de GitHub App puede restringirse solo a repositorios específicos.
Ferndesk usa webhooks de pull request para detectar cambios combinados y activar flujos de trabajo de revisión de documentación.
Ferndesk no usa el acceso a GitHub para escribir de vuelta en los repositorios, combinar pull requests, cambiar la configuración del repositorio ni realizar administración del repositorio.
Manejo del código fuente
Ferndesk no almacena el código fuente del cliente en sus bases de datos del producto.
Ferndesk no crea ni mantiene un índice persistente de búsqueda o de embeddings del código fuente del cliente.
Los sistemas de búsqueda persistentes de Ferndesk se usan para el contenido de conocimiento publicado y los datos de búsqueda relacionados, no para el código fuente del cliente.
Cuando se requiere análisis de código, Ferndesk usa espacios de trabajo temporales y con tiempo limitado para el repositorio que se limpian automáticamente.
Ferndesk conserva solo los metadatos limitados del repositorio necesarios para gestionar los flujos de trabajo de documentación, como el nombre del repositorio, la referencia de la pull request, la marca de tiempo de combinación y los resúmenes de cambios generados.
En la práctica, Ferndesk puede procesar temporalmente el contenido del repositorio para redactar o evaluar actualizaciones de documentación, pero Ferndesk no convierte el código fuente del cliente en un registro persistente en la base de datos del producto ni en un índice de búsqueda de código de larga duración.
Procesamiento de IA
Ferndesk utiliza servicios de IA de terceros para generar borradores, resúmenes y embeddings usados en flujos de trabajo de documentación.
OpenRouter se usa para el enrutamiento y la generación de modelos.
Google Vertex AI se usa para embeddings y servicios de modelos relacionados.
Estos servicios procesan las entradas necesarias para completar el flujo de trabajo solicitado.
Ferndesk no usa el código fuente del cliente para el entrenamiento de modelos.
Las funciones de IA de Ferndesk se usan para ayudar con la generación, resumido, clasificación y búsqueda de documentación. No se usan para crear un corpus de entrenamiento reutilizable a partir del código fuente del cliente.
Retención y eliminación de datos
El contenido del cliente se conserva durante la suscripción.
El contenido del cliente se elimina en un plazo de 30 días a partir de la cancelación o de la solicitud de eliminación, salvo que aplique un período de eliminación más corto.
Las copias de seguridad se sobrescriben en un plazo de 60 días.
Los registros de facturación, auditoría y seguridad pueden conservarse por más tiempo cuando sea necesario por motivos legales, contables o de seguridad.
Eliminar un espacio de trabajo elimina los datos de búsqueda administrados asociados que usa Ferndesk.
Los payloads sin procesar de los mensajes de tickets de soporte se gestionan por separado de los resultados de documentación de larga duración. Cuando Ferndesk almacena datos sin procesar de mensajes de soporte para su procesamiento, esos payloads se cifran.
Estado de cumplimiento
Ferndesk no cuenta actualmente con la certificación SOC 2.
SOC 2 Type I está en proceso.
Ferndesk no publica actualmente un trust center público.
Ferndesk no dispone actualmente de un informe SOC para compartir bajo NDA.
Subencargados y proveedores de servicios
Proveedores principales de servicios
Estos proveedores dan soporte al producto alojado y pueden procesar datos de clientes o del servicio como parte del funcionamiento principal de Ferndesk.
Proveedor | Propósito |
|---|---|
Cloudflare | CDN, almacenamiento en caché e infraestructura de almacenamiento de objetos |
OpenRouter | Pasarela de modelos de IA para flujos de trabajo de generación |
Turbopuffer | infraestructura de búsqueda administrada para contenido de conocimiento del cliente |
Stripe | facturación y pagos |
Resend | entrega de correo electrónico y gestión de correo entrante |
Bento | entrega de correo electrónico |
Sentry | monitoreo de errores de la aplicación |
Axiom | telemetría y trazas |
Proveedores adicionales y de alcance limitado
Estos proveedores se utilizan para funciones más específicas, como embeddings, analítica de producto, embeds, widgets de changelog y atribución de sitios web.
Proveedor | Propósito |
|---|---|
Google Vertex AI | embeddings y servicios de modelo relacionados |
Mixpanel | analítica de producto y de sitios web |
Featurebase | widget de changelog y feedback |
Google Ads / | atribución de sitios web y analítica de marketing |
Iframely | renderizado de embeds y obtención de metadatos |
Las integraciones habilitadas por el cliente, como GitHub, Zendesk, Intercom, Help Scout, Slack y sistemas similares, son independientes de los subencargados de Ferndesk y solo se usan cuando el cliente las habilita.
Solicitudes de revisión de seguridad
Para revisiones de seguridad, due diligence de proveedores o solicitudes de DPA, contacte a [email protected].