截至2021年1月, 涂鸦在全球配备6个数据中心和1个区域性数据节点, 分别位于中国大陆, 欧洲, 美国东部和美国西部, 印度以及俄罗斯全球加速节点。 数据中心类型上, 中国大陆使用腾讯云和阿里云, 亚马逊云部署在欧洲德国、美国西部、印度, 微软云亦于美国东部和欧洲荷兰进行部署。美国和欧洲地区的客户有权自行决定使用微软云或亚马逊云来对其数据进行存储。 涂鸦严格遵守各个国家和/或地区的法律法规要求, 各数据中心之间建立物理隔离, 将数据进行本地化存储。客户可对涂鸦提供的产品进行相关测试, 查看其连接的服务器IP地址的位置即可得知数据存储位置。

涂鸦通过云服务商为客户提供数据存储或处理服务。当客户或最终用户主动将数据传输给涂鸦, 赋予涂鸦存储、处理数据的职责, 涂鸦将给客户创建独立的账户, 账户之间相互逻辑隔离, 通过权限系统来限定客户只能管理归属于该客户的数据, 以及查看公共的基础数据。 涂鸦将客户数据分为两个类别：IoT平台数据和客户明细数据。 IoT平台数据定义：客户在涂鸦IoT平台上注册账号之后, 即可查看客户账号下创建或管理的相关数据。例如, 个人中心管理中的用户名、电话号码和电子邮件地址等；设备管理详情、用户反馈情况、针对客户提供的产品运营服务等。此时客户只能获取有关自己的个人数据以及统计类服务数据, 客户通过IoT账号进行独立管理。在IoT平台的公共区域禁止展示任何与该客户相关的个人数据或与产品或服务相关的明细数据。 客户明细数据定义：客户或最终用户主动传输给涂鸦以便获取产品或服务, 产生的所有个人数据（如电话号码、电子邮件地址、IP地址等）、音频、视频或图像；以及客户或最终用户在使用涂鸦提供的产品或服务中通过上述内容得出的任何计算结果。涂鸦将此类产品和服务交互中产生的所有明细数据存储于云服务商数据库中。无论是单独使用或者结合其他数据使用能够识别个人的数据或者反映特定个人活动情况的各种数据。此时涂鸦需要利用技术和组织性安全保障措施对客户明细数据加以保障。 具体数据收集和使用情况, 请阅读涂鸦《服务条款》和涂鸦《隐私协议》。

数据所有者：个人用户是个人数据的所有者, 为个人用户所有。 数据控制者：在涂鸦为企业客户提供的产品或服务中, 由涂鸦的企业客户利用法律效力的合同产生法律约束力。客户决定个人数据收集目的、收集范围、处理的方式, 此时客户的主导权决定了其数据控制者的身份。 数据处理者：涂鸦根据客户数据处理的指示, 持续性地为客户提供处理个人数据的服务, 保证并完善我们约定的服务持续性地提供给个人用户。 涂鸦作为服务提供方, 作为数据处理者, 是客户数据处理的委托方, 和客户有严格的数据处理协议的规定, 包括数据处理范围, 处理方式等。涂鸦在内部有严格的权限和访问控制策略和技术保障架构, 能够确保在客户的授权下, 才能够访问或处理数据。同时, 为了保障数据合规, 涂鸦在全球多个独立部署的数据节点, 执行本地化数据存储和处理, 同时执行严格的数据加密保护。

当涂鸦的产品和服务收集个人数据时, 遵循的基本原则包括：目的明确原则、选择同意原则、数据最小化原则、公开透明原则、确保安全原则。 数据安全存储：涂鸦云会对企业数据进行隔离, 保障客户数据的安全性。同时涂鸦云针对不同的业务场景提供不同的数据存储服务对客户或用户的敏感数据使用AES256进行加密存储, 部分敏感数据会进行必要的脱敏处理, 同时密钥通过密钥管理中心进行统一的安全管理和分发。 数据安全处理：涂鸦将数据分成个人数据、平台信息数据和企业内部数据, 根据不同的数据类型实行相应的安全要求和对策；采用严格的数据访问控制措施和审批机制；采用数据过滤手段对所有服务入口的数据进行类型、长度、格式等强制严格校验, 保证数据的完整性和不被污染；对于数据销毁, 涂鸦采用云服务底层删除机制, 将数据永久删除。

在数据安全建设上, 涂鸦内部拥有一定规模的专业信息安全团队, 拥有完善的信息安全体系建设, 包括执行严格的软件安全开发流程和建设先进的安全攻防体系。此外, 涂鸦每年都会完成第三方专业安全机构的渗透测试, 以及通过实施高额的漏洞悬赏计划来检验产品与服务的安全能力。 在隐私合规建设上, 涂鸦成立了合规委员会、安全与隐私合规团队和法务团队, 第一时间跟踪和响应全球最新的法律法规的要求, 同时, 涂鸦长期与专业的外部律师团队、第三方隐私合规和安全咨询机构达成战略合作关系, 长期并不间断性地达成隐私合规和安全方案的优化升级。