Aperçu de la sécurité
Cette page résume la posture de sécurité de Ferndesk en ce qui concerne l'accès à GitHub, la manipulation du code source des clients, le traitement par l'IA, la rétention des données, l'état de conformité et les fournisseurs de services tiers.
Sujet | Résumé |
|---|---|
Chiffrement | Les données sont chiffrées en transit. Les identifiants d'intégration sont chiffrés avant d'être stockés. |
Contrôle d'accès | L'accès à Ferndesk est limité aux utilisateurs authentifiés et aux rôles d'espace de travail autorisés. |
Rétention des données | Le contenu client est conservé pendant la durée de l'abonnement et supprimé dans les 30 jours suivant la résiliation ou une demande de suppression. |
Stockage du code source | Ferndesk ne stocke pas le code source des clients dans ses bases de données produit. |
Indexation du code source | Ferndesk ne crée ni ne maintient d'index de recherche ou d'embeddings persistant pour le code source des clients. |
Analyse temporaire | L'analyse des dépôts utilise des espaces de travail temporaires, limités dans le temps, qui sont automatiquement nettoyés. |
Apprentissage de l'IA | Le code source des clients n'est pas utilisé pour entraîner les modèles de Ferndesk ou les modèles de base tiers. |
État actuel de conformité | Ferndesk n'est pas actuellement certifié SOC 2. La certification SOC 2 Type I est en cours. |
Contrôles de sécurité
Les données sont chiffrées en transit.
Les identifiants d'intégration sont chiffrés avant d'être stockés.
Les charges utiles brutes des messages des tickets de support sont stockées de manière chiffrée.
Les informations personnelles identifiables (PII) dans les tickets de support sont caviardées lors du traitement.
Les signatures de webhook GitHub sont validées avant que les événements de webhook ne soient acceptés.
L'accès à Ferndesk est limité aux utilisateurs authentifiés et aux rôles d'espace de travail autorisés.
Manipulation des données
Ferndesk stocke le compte, la configuration, le centre d'aide, la facturation et les données de service nécessaires au fonctionnement du service.
Si un client connecte des systèmes de support, Ferndesk peut traiter les conversations de support et les métadonnées associées pour identifier les lacunes de documentation et rédiger des mises à jour.
Si un client connecte GitHub, les données du dépôt sont traitées uniquement pour les flux de travail liés à la documentation activés par le client.
Accès à la base de code
Ferndesk se connecte à GitHub via une GitHub App lorsqu'un client active cette intégration.
L'accès à GitHub est en lecture seule.
Ferndesk utilise l'accès au dépôt en lecture seule pour analyser le contenu du dépôt, l'historique des commits et le contexte des pull requests pour les flux de travail de documentation.
Ferndesk ne requiert pas de permissions d'écriture, d'administration, de gestion de dépôt ou d'administration d'organisation.
L'installation de la GitHub App peut être restreinte à des dépôts spécifiques uniquement.
Ferndesk utilise les webhooks de pull request pour détecter les changements fusionnés et déclencher les flux de travail de révision de la documentation.
Ferndesk n'utilise pas l'accès GitHub pour écrire dans les dépôts, fusionner des pull requests, modifier les paramètres du dépôt ou effectuer l'administration du dépôt.
Traitement du code source
Ferndesk ne stocke pas le code source des clients dans ses bases de données produit.
Ferndesk ne crée ni ne maintient d'index de recherche ou d'embeddings persistant pour le code source des clients.
Les systèmes de recherche persistants de Ferndesk sont utilisés pour le contenu de connaissances publié et les données de recherche associées, non pour le code source des clients.
Lorsqu'une analyse de code est requise, Ferndesk utilise des espaces de travail de dépôt temporaires, limités dans le temps, qui sont automatiquement nettoyés.
Ferndesk ne conserve que les métadonnées de dépôt limitées nécessaires à la gestion des flux de travail de documentation, telles que le nom du dépôt, la référence de la pull request, l'horodatage de fusion et les résumés de modifications générés.
En pratique, Ferndesk peut traiter temporairement le contenu des dépôts afin de rédiger ou d'évaluer des mises à jour de documentation, mais Ferndesk ne transforme pas le code source du client en un enregistrement de base de données produit persistant ou en un index de recherche de code à longue durée de vie.
Traitement par l'IA
Ferndesk utilise des services d'IA tiers pour générer des brouillons, des résumés et des embeddings utilisés dans les flux de travail de documentation.
OpenRouter est utilisé pour le routage et la génération de modèles.
Google Vertex AI est utilisé pour les embeddings et les services de modèles associés.
Ces services traitent les entrées nécessaires pour compléter le flux de travail demandé.
Ferndesk n'utilise pas le code source du client pour l'entraînement des modèles.
Les fonctionnalités d'IA de Ferndesk sont utilisées pour aider à la génération de documentation, au résumé, à la classification et à la recherche. Elles ne sont pas utilisées pour construire un corpus d'entraînement réutilisable à partir du code source du client.
Rétention et suppression des données
Le contenu client est conservé pendant la durée de l'abonnement.
Le contenu client est supprimé dans les 30 jours suivant la résiliation ou une demande de suppression, sauf si une fenêtre de suppression plus courte s'applique.
Les copies de sauvegarde sont écrasées dans un délai de 60 jours.
Les journaux de facturation, d'audit et de sécurité peuvent être conservés plus longtemps lorsque cela est requis à des fins juridiques, comptables ou de sécurité.
La suppression d'un espace de travail supprime les données de recherche gérées associées utilisées par Ferndesk.
Les charges utiles brutes des messages des tickets de support sont traitées séparément des sorties de documentation à longue durée de vie. Lorsque Ferndesk stocke des données de messages de support bruts pour le traitement, ces charges utiles sont chiffrées.
État de conformité
Ferndesk n'est pas actuellement certifié SOC 2.
La certification SOC 2 Type I est en cours.
Ferndesk ne publie pas actuellement de centre de confiance public.
Ferndesk ne dispose pas actuellement d'un rapport SOC disponible à partager sous accord de confidentialité (NDA).
Sous-traitants et prestataires de services
Prestataires de services essentiels
Ces prestataires soutiennent le produit hébergé et peuvent traiter des données client ou de service dans le cadre du fonctionnement essentiel de Ferndesk.
Fournisseur | Objectif |
|---|---|
Cloudflare | CDN, mise en cache et infrastructure de stockage d'objets |
OpenRouter | Passerelle de modèles d'IA pour les flux de génération |
Turbopuffer | Infrastructure de recherche gérée pour le contenu de connaissances client |
Stripe | Facturation et paiements |
Resend | Envoi d'e-mails et gestion des e-mails entrants |
Bento | Envoi d'e-mails |
Sentry | Surveillance des erreurs applicatives |
Axiom | Télémétrie et traces |
Prestataires additionnels à portée limitée
Ces prestataires sont utilisés pour des fonctions plus restreintes telles que les embeddings, l'analyse de produit, les intégrations (embeds), les widgets de journal des modifications (changelog) et l'attribution de site Web.
Fournisseur | Objectif |
|---|---|
Google Vertex AI | Embeddings et services de modèles associés |
Mixpanel | Analyse de produit et de site Web |
Featurebase | Journal des modifications et widget de feedback |
Google Ads / | Attribution de site Web et analyses marketing |
Iframely | Rendu d'intégrations et récupération de métadonnées |
Les intégrations activées par le client telles que GitHub, Zendesk, Intercom, Help Scout, Slack et systèmes similaires sont distinctes des sous-traitants de Ferndesk et ne sont utilisées que lorsqu'elles sont activées par le client.
8. Demandes de révision de sécurité
Pour les révisions de sécurité, les audits de fournisseurs ou les demandes de DPA, contactez [email protected].