Cuidamos da segurança para que sua equipe não precise se preocupar

Sim. O Photoroom possui uma certificação SOC 2 Tipo 2 referente ao serviço de API. O relatório mais recente (abril de 2026) e os controles atuais estão disponíveis no Trust Center. Caso o processo de compras exija evidências com outro escopo, entre em contato com a equipe de vendas o quanto antes.

Sim para as duas perguntas. Seguimos os princípios do GDPR, com uma lista documentada de sub-processadores, um processo definido para notificação de incidentes e anonimização dos dados pessoais antes de qualquer treinamento de modelo. Um Acordo de Processamento de Dados está disponível para clientes Enterprise por meio da equipe de conta.

Depende do seu contrato.

• Contratos Enterprise: não por padrão. O treinamento só acontece se houver acordo explícito por escrito.

• Planos de API self-service: sim por padrão, com opção de exclusão controlada pelo cliente nas configurações da conta.

• Todos os planos: dados de treinamento e dados de produção são armazenados separadamente. O acesso aos dados de treinamento é restrito aos membros da equipe de ML, com todos os acessos registrados.

Nossa infraestrutura opera na Google Cloud Platform e na Amazon Web Services, nos EUA. Os dados em trânsito são criptografados com TLS 1.2 ou superior (gerenciado via Cloudflare). Os dados em repouso são criptografados na camada de infraestrutura pela GCP e AWS. Atualmente, não oferecemos residência exclusiva de dados na UE. Se a residência regional for um requisito contratual, entre em contato com o time de vendas o quanto antes.

Imagens enviadas pela API síncrona são descartadas assim que a resposta é retornada. Imagens da API assíncrona são mantidas por pouco tempo enquanto o processamento ocorre e, em seguida, descartadas. Registros operacionais são excluídos após 15 dias. Registros de acesso à API são mantidos por um ano, disponíveis para investigações de segurança e solicitações de auditoria.

GCP e AWS para hospedagem e armazenamento, Cloudflare para CDN, segurança e DNS, Datadog para registro de eventos e logs de parâmetros da API, e Vercel para hospedagem. A lista atual está publicada no Trust Center.

Um incidente registrado (outubro de 2024): interrupção de disponibilidade do serviço por 30 minutos. Nenhum dado de cliente foi comprometido. O evento foi documentado e revisado conforme nosso processo de resposta a incidentes.

Sim. Usuários do aplicativo podem escolher não contribuir para a melhoria do modelo por meio de uma opção nas configurações da conta. Quando os dados são usados para treinamento, as informações pessoais são anonimizadas antes. Observação: isso é diferente do compromisso para clientes da API, onde o padrão é definido por contrato (Enterprise: não por padrão; autoatendimento: opção de exclusão disponível).