Tratamos da segurança para que a sua equipa não tenha de o fazer

Sim. A Photoroom possui uma certificação SOC 2 Tipo 2 referente ao nosso serviço de API. O relatório mais recente (abril de 2026) e os controlos atuais estão disponíveis no Trust Center. Se o seu processo de aquisição exigir evidências com um âmbito diferente, contacte a equipa de vendas o mais cedo possível.

Sim, a ambas. Operamos segundo os princípios do RGPD, com uma lista documentada de sub-processadores, um processo definido de notificação de violação e anonimização dos dados pessoais antes de qualquer treino de modelos. Um Acordo de Processamento de Dados está disponível para clientes Enterprise através da sua equipa de conta.

Depende do seu contrato.

• Contratos Enterprise: não, por defeito. O treino só ocorre se for explicitamente acordado por escrito.

• Planos API self-service: sim, por defeito, com opção de exclusão controlada pelo cliente nas definições da conta.

• Todos os planos: os dados de treino e os dados de produção são armazenados separadamente. O acesso aos dados de treino é restrito aos membros da equipa de ML, sendo cada acesso registado.

A nossa infraestrutura funciona na Google Cloud Platform e na Amazon Web Services nos Estados Unidos. Os dados em trânsito são encriptados com TLS 1.2 ou superior (gerido através da Cloudflare). Os dados em repouso são encriptados ao nível da infraestrutura pela GCP e AWS. Atualmente, não está disponível a residência de dados exclusiva na UE. Se a residência regional for um requisito contratual, contacte o departamento comercial o mais cedo possível.

As imagens da API síncrona são eliminadas assim que a resposta é devolvida. As imagens da API assíncrona são mantidas temporariamente enquanto o processo decorre e depois eliminadas. Os registos operacionais são apagados após 15 dias. Os registos de acesso à API são mantidos durante um ano, estando disponíveis para investigações de segurança e pedidos de auditoria.

GCP e AWS para alojamento e armazenamento, Cloudflare para CDN, segurança e DNS, Datadog para registo de eventos e logs de parâmetros da API, e Vercel para alojamento. A lista atual está publicada no Trust Center.

Um incidente registado (outubro de 2024): uma interrupção de serviço de 30 minutos. Nenhum dado de cliente foi comprometido. O evento foi documentado e revisto de acordo com o nosso processo de resposta a incidentes.

Sim. Os utilizadores da aplicação podem optar por não contribuir para a melhoria do modelo através de uma opção nas definições da conta. Quando os dados são usados para treino, os dados pessoais são primeiro anonimizados. Nota: isto é separado do compromisso para clientes da API, onde o padrão é determinado por contrato (Enterprise: não por defeito; self-serve: possibilidade de exclusão).