Pensiamo noi alla sicurezza, così il tuo team non deve farlo

Sì. Photoroom dispone di un'attestazione SOC 2 Type 2 relativa al nostro servizio API. L'ultimo report (aprile 2026) e i controlli attuali sono disponibili nel Trust Center. Se per la tua procedura di acquisto serve una documentazione su un ambito diverso, segnalalo subito al team commerciale.

Sì a entrambe le domande. Operiamo secondo i principi del GDPR, con un elenco documentato dei sub-responsabili, una procedura definita per la notifica delle violazioni e l’anonimizzazione dei dati personali prima di qualsiasi addestramento dei modelli. Un Data Processing Agreement è disponibile per i clienti Enterprise tramite il tuo referente commerciale.

Dipende dal tuo contratto.

• Contratti Enterprise: di default no. L'addestramento avviene solo se concordato esplicitamente per iscritto.

• Piani API self-service: di default sì, con possibilità di esclusione gestita direttamente nelle impostazioni dell'account.

• Tutti i piani: i dati di addestramento e quelli di produzione vengono archiviati separatamente. L'accesso ai dati di addestramento è limitato ai membri del team ML e ogni accesso viene registrato.

La nostra infrastruttura si basa su Google Cloud Platform e Amazon Web Services negli Stati Uniti. I dati in transito sono crittografati con TLS 1.2 o superiore (gestito tramite Cloudflare). I dati a riposo sono crittografati a livello di infrastruttura da GCP e AWS. Al momento non è disponibile la residenza dei dati solo nell’UE. Se la residenza regionale è un requisito contrattuale, segnalalo subito al reparto vendite.

Le immagini dell'API sincrona vengono eliminate non appena viene restituita la risposta. Le immagini dell'API asincrona vengono conservate brevemente durante l'esecuzione del processo, poi eliminate. I log operativi vengono cancellati dopo 15 giorni. I log di accesso all'API vengono conservati per un anno e sono disponibili per indagini sulla sicurezza e richieste di audit.

GCP e AWS per l'hosting e l'archiviazione, Cloudflare per CDN, sicurezza e DNS, Datadog per il monitoraggio degli eventi e dei parametri delle API, e Vercel per l'hosting. L'elenco aggiornato è pubblicato nel Trust Center.

Un solo incidente registrato (ottobre 2024): un'interruzione del servizio di 30 minuti. Nessun dato dei clienti è stato compromesso. L'evento è stato documentato e revisionato secondo la nostra procedura di risposta agli incidenti.

Sì. Gli utenti dell'app possono scegliere di non contribuire al miglioramento del modello tramite un interruttore nelle impostazioni dell'account. Quando i dati vengono utilizzati per l'addestramento, i dati personali vengono prima anonimizzati. Nota: questo è separato dall'impegno per i clienti API, dove il comportamento predefinito è determinato dal contratto (Enterprise: di default no; self-serve: è possibile disattivare la condivisione).