Aperçu de la sécurité
Cette page résume la posture de sécurité de Ferndesk en ce qui concerne l’accès à GitHub, la gestion du code source client, le traitement par l’IA, la conservation des données, l’état de conformité et les fournisseurs de services tiers.
Sujet | Résumé |
|---|---|
Chiffrement | Les données sont chiffrées en transit. Les identifiants d’intégration sont chiffrés avant stockage. |
Contrôle d’accès | L’accès à Ferndesk est limité aux utilisateurs authentifiés et aux rôles d’espace de travail autorisés. |
Conservation des données | Le contenu client est conservé pendant toute la durée de l’abonnement et supprimé dans les 30 jours suivant la résiliation ou une demande de suppression. |
Stockage du code source | Ferndesk ne stocke pas le code source client dans ses bases de données produit. |
Indexation du code source | Ferndesk ne construit ni ne maintient d’index de recherche ou d’intégration persistant du code source client. |
Analyse temporaire | L’analyse des dépôts utilise des espaces de travail temporaires, à durée limitée, qui sont automatiquement nettoyés. |
Entraînement de l’IA | Le code source client n’est pas utilisé pour entraîner les modèles de Ferndesk ni des modèles de fondation tiers. |
État actuel de conformité | Ferndesk n’est actuellement pas certifié SOC 2. SOC 2 Type I est en cours. |
Contrôles de sécurité
Les données sont chiffrées en transit.
Les identifiants d’intégration sont chiffrés avant stockage.
Les charges utiles brutes des messages de tickets d’assistance sont stockées chiffrées.
Les données personnelles identifiables (PII) dans les tickets d’assistance sont masquées pendant le traitement
Les signatures des webhooks GitHub sont validées avant l’acceptation des événements de webhook.
L’accès à Ferndesk est limité aux utilisateurs authentifiés et aux rôles d’espace de travail autorisés.
Traitement des données
Ferndesk stocke les données de compte, de configuration, du centre d’aide, de facturation et de service nécessaires au fonctionnement du service.
Si un client connecte des systèmes d’assistance, Ferndesk peut traiter les conversations d’assistance et les métadonnées associées afin d’identifier les lacunes de documentation et de rédiger des mises à jour.
Si un client connecte GitHub, les données du dépôt sont traitées uniquement pour les flux de travail liés à la documentation que le client सक्रियe.
Accès à la base de code
Ferndesk se connecte à GitHub via une GitHub App lorsqu’un client active cette intégration.
L’accès à GitHub est en lecture seule.
Ferndesk utilise un accès en lecture seule au dépôt pour analyser le contenu du dépôt, l’historique des commits et le contexte des pull requests dans le cadre des flux de travail de documentation.
Ferndesk n’exige pas d’autorisations d’écriture, d’administration, de gestion du dépôt ni d’administration de l’organisation.
L’installation de la GitHub App peut être limitée à certains dépôts uniquement.
Ferndesk utilise des webhooks de pull request pour détecter les modifications fusionnées et déclencher les flux de travail de revue de documentation.
Ferndesk n’utilise pas l’accès GitHub pour réécrire dans les dépôts, fusionner des pull requests, modifier les paramètres du dépôt ou effectuer l’administration du dépôt.
Gestion du code source
Ferndesk ne stocke pas le code source client dans ses bases de données produit.
Ferndesk ne construit ni ne maintient d’index de recherche ou d’intégration persistant du code source client.
Les systèmes de recherche persistants de Ferndesk sont utilisés pour le contenu de connaissances publié et les données de recherche associées, et non pour le code source client.
Lorsque l’analyse du code est requise, Ferndesk utilise des espaces de travail de dépôt temporaires, à durée limitée, qui sont automatiquement nettoyés.
Ferndesk conserve uniquement les métadonnées limitées du dépôt nécessaires à la gestion des flux de travail de documentation, telles que le nom du dépôt, la référence de la pull request, l’horodatage de fusion et les résumés de modifications générés.
En pratique, Ferndesk peut traiter temporairement le contenu du dépôt afin de rédiger ou d’évaluer des mises à jour de documentation, mais Ferndesk ne transforme pas le code source client en enregistrement persistant de base de données produit ni en index de recherche de code durable.
Traitement par l’IA
Ferndesk utilise des services d’IA tiers pour générer des brouillons, des résumés et des embeddings utilisés dans les flux de travail de documentation.
OpenRouter est utilisé pour le routage et la génération des modèles.
Google Vertex AI est utilisé pour les embeddings et les services de modèle associés.
Ces services traitent les entrées nécessaires pour mener à bien le flux de travail demandé.
Ferndesk n’utilise pas le code source client pour l’entraînement des modèles.
Les fonctionnalités d’IA de Ferndesk servent à aider à la génération de documentation, à la synthèse, à la classification et à la recherche. Elles ne sont pas utilisées pour constituer un corpus d’entraînement réutilisable à partir du code source client.
Conservation et suppression des données
Le contenu client est conservé pendant toute la durée de l’abonnement.
Le contenu client est supprimé dans les 30 jours suivant la résiliation ou une demande de suppression, sauf si une fenêtre de suppression plus courte s’applique.
Les copies de sauvegarde sont écrasées dans un délai de 60 jours.
Les journaux de facturation, d’audit et de sécurité peuvent être conservés plus longtemps lorsque cela est requis à des fins juridiques, comptables ou de sécurité.
La suppression d’un espace de travail supprime les données de recherche gérées associées utilisées par Ferndesk.
Les charges utiles brutes des messages de tickets d’assistance sont traitées séparément des résultats de documentation à long terme. Lorsque Ferndesk stocke les données brutes des messages d’assistance pour traitement, ces charges utiles sont chiffrées.
État de conformité
Ferndesk n’est actuellement pas certifié SOC 2.
SOC 2 Type I est en cours.
Ferndesk ne publie actuellement pas de centre de confiance public.
Ferndesk ne dispose actuellement pas d’un rapport SOC disponible à partager sous NDA.
Sous-traitants et fournisseurs de services
Fournisseurs de services principaux
Ces fournisseurs prennent en charge le produit hébergé et peuvent traiter des données client ou des données de service dans le cadre du fonctionnement principal de Ferndesk.
Fournisseur | Finalité |
|---|---|
Cloudflare | Infrastructure CDN, mise en cache et stockage d’objets |
OpenRouter | Passerelle de modèles d’IA pour les flux de génération |
Turbopuffer | Infrastructure de recherche gérée pour le contenu de connaissances client |
Stripe | facturation et paiements |
Resend | distribution des e-mails et traitement des e-mails entrants |
Bento | distribution des e-mails |
Sentry | surveillance des erreurs d’application |
Axiom | télémétrie et traces |
Fournisseurs supplémentaires à périmètre limité
Ces fournisseurs sont utilisés pour des fonctions plus restreintes telles que les embeddings, l’analytique produit, les intégrations, les widgets de changelog et l’attribution du site Web.
Fournisseur | Finalité |
|---|---|
Google Vertex AI | embeddings et services de modèle associés |
Mixpanel | analytique produit et du site Web |
Featurebase | widget de changelog et de retours |
Google Ads / | attribution du site Web et analytique marketing |
Iframely | rendu des intégrations et récupération des métadonnées |
Les intégrations activées par le client telles que GitHub, Zendesk, Intercom, Help Scout, Slack et les systèmes similaires sont distinctes des sous-traitants de Ferndesk et ne sont utilisées que lorsque le client les active.
Demandes d’examen de sécurité
Pour les examens de sécurité, la due diligence fournisseur ou les demandes de DPA, contactez [email protected].