我们来负责安全，让你的团队无须操心

是的。Photoroom 拥有针对我们的 API 服务的 SOC 2 Type 2 审核认证。最新报告（2026 年 4 月）及当前控制措施可在信任中心获取。如果你的采购流程需要其他范围的证明，请尽早联系销售团队。

是的，两者都符合。我们遵循GDPR原则，拥有完整的子处理方名单、明确的数据泄露通知流程，并在任何模型训练前对个人数据进行匿名化。Enterprise客户可通过您的客户经理获取数据处理协议（DPA）。

这取决于你的合同类型。

• Enterprise 合同：默认不用于训练。只有在书面明确同意的情况下才会用于训练。

• 自助 API 套餐：默认用于训练，你可以在账户设置中自行选择退出。

• 所有套餐：训练数据和生产数据分开存储。只有机器学习团队成员可以访问训练数据，并且每次访问都会被记录。

我们的基础设施运行在美国的 Google Cloud Platform 和 Amazon Web Services 上。传输中的数据通过 TLS 1.2 或更高版本加密（由 Cloudflare 管理）。静态数据由 GCP 和 AWS 在基础设施层进行加密。目前不支持仅限欧盟的数据存储。如果你有区域数据存储的合同需求，请尽早与销售团队沟通。

同步 API 图片会在响应返回后立即被删除。异步 API 图片会在任务运行期间短暂保留，随后被删除。操作日志会在 15 天后删除。API 访问日志会保留一年，以支持安全调查和审计请求。

GCP 和 AWS 用于托管和存储，Cloudflare 用于 CDN、安全和 DNS，Datadog 用于事件日志和 API 参数日志，Vercel 用于托管。当前的服务商列表已在信任中心公布。

有一例已记录的事件（2024年10月）：服务可用性中断30分钟。没有客户数据泄露。该事件已按照我们的事件响应流程进行了记录和复盘。

可以。应用用户可以在账户设置中通过开关选择不参与模型优化。当数据用于训练时，个人数据会先进行匿名化处理。注意：这与 API 客户的承诺不同，API 默认由合同决定（Enterprise：默认不参与；自助服务：可选择退出）。