Resumen de Seguridad
Esta página resume la postura de seguridad de Ferndesk en lo que respecta al acceso a GitHub, el manejo del código fuente del cliente, el procesamiento de IA, la retención de datos, el estado de cumplimiento y los proveedores de servicios externos.
Tema | Resumen |
|---|---|
Cifrado | Los datos se cifran en tránsito. Las credenciales de integración se cifran antes de su almacenamiento. |
Control de acceso | El acceso a Ferndesk está limitado a usuarios autenticados y roles de espacio de trabajo autorizados. |
Retención de datos | El contenido del cliente se conserva durante la duración de la suscripción y se elimina en un plazo de 30 días tras la terminación o la solicitud de eliminación. |
Almacenamiento del código fuente | Ferndesk no almacena el código fuente del cliente en sus bases de datos de producto. |
Indexación del código fuente | Ferndesk no crea ni mantiene un índice de búsqueda o de incrustación (embedding) persistente del código fuente del cliente. |
Análisis temporal | El análisis de los repositorios utiliza espacios de trabajo temporales y de tiempo limitado que se limpian automáticamente. |
Entrenamiento de IA | El código fuente del cliente no se utiliza para entrenar los modelos de Ferndesk ni modelos fundacionales de terceros. |
Estado de cumplimiento actual | Ferndesk no cuenta actualmente con la certificación SOC 2. El proceso para SOC 2 Tipo I está en curso. |
Controles de Seguridad
Los datos se cifran en tránsito.
Las credenciales de integración se cifran antes de su almacenamiento.
Las cargas útiles de los mensajes de los tickets de soporte originales se almacenan cifradas.
La información de identificación personal (PII) en los tickets de soporte se redacta durante el procesamiento.
Las firmas de los webhooks de GitHub se validan antes de aceptar los eventos de webhook.
El acceso a Ferndesk está limitado a usuarios autenticados y roles de espacio de trabajo autorizados.
Manejo de Datos
Ferndesk almacena los datos de cuenta, configuración, centro de ayuda, facturación y servicio necesarios para operar el servicio.
Si un cliente conecta sistemas de soporte, Ferndesk puede procesar las conversaciones de soporte y los metadatos relacionados para identificar vacíos en la documentación y redactar actualizaciones.
Si un cliente conecta GitHub, los datos del repositorio se procesan únicamente para los flujos de trabajo relacionados con la documentación que el cliente habilite.
Acceso al código base
Ferndesk se conecta a GitHub a través de una GitHub App cuando un cliente habilita esa integración.
El acceso a GitHub es de solo lectura.
Ferndesk utiliza el acceso de solo lectura al repositorio para analizar el contenido del mismo, el historial de commits y el contexto de las pull requests para los flujos de trabajo de documentación.
Ferndesk no requiere permisos de escritura, administración, gestión de repositorios o administración de la organización.
La instalación de la GitHub App puede restringirse únicamente a repositorios específicos.
Ferndesk utiliza webhooks de pull request para detectar cambios fusionados y activar flujos de trabajo de revisión de documentación.
Ferndesk no utiliza el acceso a GitHub para escribir en los repositorios, fusionar pull requests, cambiar la configuración del repositorio ni realizar tareas de administración del mismo.
Manejo del código fuente
Ferndesk no almacena el código fuente del cliente en sus bases de datos de producto.
Ferndesk no crea ni mantiene un índice de búsqueda o de incrustación (embedding) persistente del código fuente del cliente.
Los sistemas de búsqueda persistente de Ferndesk se utilizan para el contenido de conocimiento publicado y los datos de búsqueda relacionados, no para el código fuente del cliente.
Cuando se requiere un análisis de código, Ferndesk utiliza espacios de trabajo de repositorio temporales y de tiempo limitado que se limpian automáticamente.
Ferndesk conserva únicamente los metadatos limitados del repositorio necesarios para gestionar los flujos de trabajo de documentación, como el nombre del repositorio, la referencia de la pull request, la marca de tiempo de la fusión y los resúmenes de cambios generados.
En la práctica, Ferndesk puede procesar temporalmente el contenido del repositorio para redactar o evaluar actualizaciones de documentación, pero Ferndesk no convierte el código fuente del cliente en un registro de base de datos de producto persistente ni en un índice de búsqueda de código de larga duración.
Procesamiento de IA
Ferndesk utiliza servicios de IA de terceros para generar borradores, resúmenes e incrustaciones (embeddings) utilizados en los flujos de trabajo de documentación.
Se utiliza OpenRouter para el enrutamiento y la generación de modelos.
Se utiliza Google Vertex AI para incrustaciones y servicios de modelos relacionados.
Estos servicios procesan las entradas necesarias para completar el flujo de trabajo solicitado.
Ferndesk no utiliza el código fuente del cliente para el entrenamiento de modelos.
Las funciones de IA de Ferndesk se utilizan para asistir en la generación, resumen, clasificación y búsqueda de documentación. No se utilizan para construir un corpus de entrenamiento reutilizable a partir del código fuente del cliente.
Retención y Eliminación de Datos
El contenido del cliente se conserva durante la duración de la suscripción.
El contenido del cliente se elimina en un plazo de 30 días tras la terminación o la solicitud de eliminación, a menos que se aplique un periodo de eliminación más corto.
Las copias de seguridad se sobrescriben en un plazo de 60 días.
Los registros de facturación, auditoría y seguridad pueden conservarse durante más tiempo cuando sea necesario por motivos legales, contables o de seguridad.
Al eliminar un espacio de trabajo se eliminan los datos de búsqueda gestionados asociados utilizados por Ferndesk.
Las cargas útiles de los mensajes de los tickets de soporte originales se manejan por separado de los resultados de documentación de larga duración. En los casos donde Ferndesk almacena datos de mensajes de soporte originales para su procesamiento, dichas cargas útiles están cifradas.
Estado de Cumplimiento
Ferndesk no cuenta actualmente con la certificación SOC 2.
El proceso para SOC 2 Tipo I está en curso.
Ferndesk no publica actualmente un centro de confianza (Trust Center) público.
Ferndesk no tiene actualmente un informe SOC disponible para compartir bajo acuerdo de confidencialidad (NDA).
Subencargados y Proveedores de Servicios
Proveedores de servicios principales
Estos proveedores dan soporte al producto alojado y pueden procesar datos del cliente o del servicio como parte de la operación principal de Ferndesk.
Proveedor | Propósito |
|---|---|
Cloudflare | CDN, almacenamiento en caché e infraestructura de almacenamiento de objetos |
OpenRouter | Pasarela de modelos de IA para flujos de trabajo de generación |
Turbopuffer | Infraestructura de búsqueda gestionada para el contenido de conocimiento del cliente |
Stripe | Facturación y pagos |
Resend | Envío de correos electrónicos y gestión de correos entrantes |
Bento | Envío de correos electrónicos |
Sentry | Monitoreo de errores de la aplicación |
Axiom | Telemetría y trazado |
Proveedores adicionales y de alcance limitado
Estos proveedores se utilizan para funciones más específicas como incrustaciones (embeddings), analítica de producto, insertos (embeds), widgets de registro de cambios y atribución de sitios web.
Proveedor | Propósito |
|---|---|
Google Vertex AI | Incrustaciones y servicios de modelos relacionados |
Mixpanel | Analítica de producto y sitio web |
Featurebase | Widget de comentarios y registro de cambios |
Google Ads / | Atribución de sitios web y analítica de marketing |
Iframely | Renderizado de insertos (embeds) y recuperación de metadatos |
Las integraciones habilitadas por el cliente, como GitHub, Zendesk, Intercom, Help Scout, Slack y sistemas similares, son independientes de los subencargados de Ferndesk y solo se utilizan cuando el cliente las habilita.
8. Solicitudes de Revisión de Seguridad
Para revisiones de seguridad, debida diligencia de proveedores o solicitudes de DPA, contacte a [email protected].