GDPR-έτοιμο αστρολογικό API για développers της ΕΕ
Η πρώτη αστρολογική API με πλήρη κατοικία στην ΕΕ. Αν αναπτύσσεις ένα προϊόν B2C για την ευρωπαϊκή αγορά, το ζήτημα συμμόρφωσης με το GDPR προκύπτει πριν καν γράψεις την πρώτη γραμμή κώδικα. Το AstroWay το λύνει αυτό από προεπιλογή, χωρίς επιπλέον χρεώσεις ή νομική γυμναστική.
Γιατί είναι σημαντικό αυτό
Ενότητα με τίτλο «Γιατί είναι σημαντικό αυτό»Οι υπόλοιπες αστρολογικές API (DivineAPI, AstrologyAPI, Prokerala) φιλοξενούνται στις ΗΠΑ / Ινδία. Αυτό σημαίνει:
- Τα
birth.date,birth.time,birth.lat,birth.lonσου (=PII σύμφωνα με το GDPR) περνούν μέσα από τις ΗΠΑ/Ινδία. - Αποκάλυψη υποεπεξεργαστών για την πολιτική απορρήτου σου: πρέπει να αναφέρεις τη δικαιοδοσία τους.
- Η Συμφωνία Επεξεργασίας Δεδομένων (DPA) είτε δεν είναι διαθέσιμη είτε μόνο για Enterprise επί ξεχωριστή σύμβαση.
- Κίνδυνος ελέγχου από την Αρχή Προστασίας Δεδομένων της ΕΕ: διασυνοριακή μετάδοση χωρίς SCC = πρόστιμα άνω των €10M.
Το AstroWay στο πρόγραμμα Pro ($59/μήνα) σου παρέχει κατοικία στην ΕΕ από προεπιλογή: όλα τα δεδομένα επεξεργάζονται στο Hetzner Nuremberg, χωρίς διασυνοριακή μετάδοση.
Τεχνικό stack
Ενότητα με τίτλο «Τεχνικό stack»| Επίπεδο | Τοποθεσία / πάροχος |
|---|---|
| Compute | Hetzner CPX32, Nuremberg (Γερμανία) |
| Βάση δεδομένων | EU-κατοικία στον ίδιο VPS — τα δεδομένα δεν εγκαταλείπουν την υποδομή στο Nuremberg |
| CDN / DNS | Cloudflare με κανόνες προσωρινής αποθήκευσης περιοχής ΕΕ (οι αιτήσεις από την ΕΕ εξυπηρετούνται από κόμβους ΕΕ) |
| Transactional email | Brevo (πρώην Sendinblue), βάση στην ΕΕ, συμμόρφωση GDPR SMTP |
| Αποθήκευση PDF | Hetzner Storage Box (Nuremberg) — signed-URL TTL 24ω, χωρίς διασυνοριακή αντιγραφή |
| Ανάλυση | GA4 με anonymizeIp + κανένα προσωπικό δεδομένο στα γεγονότα (η αυτο-φιλοξενούμενη λύση Plausible βρίσκεται στο roadmap) |
| Logs | δομημένο JSON, μόνο hash IP (κανένα raw IP), διατήρηση 30 ημερών |
GDPR — τι παρέχουμε
Ενότητα με τίτλο «GDPR — τι παρέχουμε»Από προεπιλογή (για όλα τα κλειδιά Pro+)
Ενότητα με τίτλο «Από προεπιλογή (για όλα τα κλειδιά Pro+)»- ✅ Ροή δεδομένων μόνο εντός ΕΕ — τα birth-data δεν εγκαταλείπουν ποτέ το Nuremberg
- ✅ Καμία διασυνοριακή μετάδοση προσωπικών δεδομένων — επιβεβαιώνεται από επίπεδο υποδομής
- ✅ Hashing IP — στα logs αποθηκεύεται μόνο το SHA-256 hash + τα πρώτα 16 bits για περιορισμό συχνότητας αιτήσεων
- ✅ Διατήρηση logs 30 ημέρες — μετά από αυτό τα logs διαγράφονται αυτόματα
- ⚠️ Ανώνυμη ανάλυση (GA4) — anonymize_ip + κανένα προσωπικό δεδομένο στα γεγονότα. Η αυτο-φιλοξενούμενη λύση Plausible (χωρίς cookies) βρίσκεται στο roadmap. Μέχρι τότε συνιστάται δική σου banner cookies στο B2C frontend.
- ✅ Δικαίωμα διαγραφής:
DELETE /v1/me/account(Bearer JWT, σώμα{"confirmation": "DELETE"}) — διαγράφει άμεσα τον λογαριασμό σου και όλα τα σχετικά δεδομένα από το σύστημα μας
Κατόπιν αιτήματος (συνδρομητές Pro+)
Ενότητα με τίτλο «Κατόπιν αιτήματος (συνδρομητές Pro+)»- 📄 DPA (Data Processing Agreement) — πρότυπο GDPR Art. 28, υπογεγραμμένο αμφοτερόπλευρα εντός 5 εργάσιμων ημερών. Email στο
legal@astroway.info. - 📋 Λίστα υποεπεξεργαστών — πλήρης λίστα (Hetzner, Cloudflare, ο πάροχος SMTP μας, Stripe για πελάτες Stripe) με έγγραφα συμμόρφωσης για τον καθένα. Το Brevo ως πάροχος SMTP αναφέρεται στο παράρτημα DPA για τους πελάτες που το έχουν υπογράψει.
- 🗂️ Είσοδος στη DPIA (Data Protection Impact Assessment) — εάν η νομική σου ομάδα κάνει DPIA για το προϊόν σου, παρέχουμε τεχνική αναφορά από την πλευρά μας.
Για πελάτες Enterprise (ατομικό πρόγραμμα)
Ενότητα με τίτλο «Για πελάτες Enterprise (ατομικό πρόγραμμα)»- 🛡️ SOC 2 Type II — βρίσκεται στο roadmap (ο ελεγκτικός φορέας δεν έχει καθοριστεί, ETA TBD). Αν αυτό εμποδίζει την ολοκλήρωσή σου, στείλε email στο legal@astroway.info, είμαστε ανοιχτοί σε ξεχωριστή συνεργασία ελέγχου.
- 🇪🇺 Νομικό πρόσωπο εντός ΕΕ — τρέχουσα νομική μορφή ουκρανός ΦΠΑ (Maxim Burkhan). Αν η ομάδα προμηθειών σου απαιτεί EU GmbH (Γερμανία / Εσθονία) — συζητάμε κατά περίπτωση μέσω legal@astroway.info, διαδικασία 4-8 εβδομάδων.
- 🔐 Εξειδικευμένη υποδομή κατόπιν αιτήματος — ξεχωριστός VPS στο Nuremberg, απομονωμένη βάση δεδομένων, όχι κοινό compute
- 📞 Άμεση γραμμή ασφαλείας —
security@astroway.infoγια αντιμετώπιση περιστατικών
Σύγκριση: AstroWay vs ανταγωνιστές με hosting στις ΗΠΑ
Ενότητα με τίτλο «Σύγκριση: AstroWay vs ανταγωνιστές με hosting στις ΗΠΑ»| Κρίσιμο για τον Ευρωπαίο προγραμματιστή | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute εντός ΕΕ | ✅ Hetzner Nuremberg | ❌ ΗΠΑ | ❌ ΗΠΑ | ❌ Ινδία |
| Πρότυπη DPA διαθέσιμη | ✅ στο Pro+ | ❌ μόνο Enterprise | ❌ μόνο Enterprise | ❌ μόνο Enterprise |
| Συμμόρφωση GDPR από προεπιλογή | ✅ επίπεδο υποδομής | ⚠️ μέσω SCC | ⚠️ μέσω SCC | ⚠️ μέσω SCC |
| Ανάλυση χωρίς cookies | ⚠️ GA4 ανώνυμη (Plausible στο roadmap) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Εγγύηση ροής δεδομένων μόνο εντός ΕΕ | ✅ γραπτώς | ❌ | ❌ | ❌ |
| Τεχνική είσοδος στη DPIA | ✅ παρέχεται | ❌ | ❌ | ❌ |
| Endpoint δικαιώματος διαγραφής | ✅ DELETE /v1/me/account | ❌ μέσω ticket | ❌ μέσω ticket | ❌ μέσω ticket |
Κάτοικη στην ΕΕ, DPA, συμμόρφωση GDPR επίπεδο υποδομής — όλα συμπεριλαμβάνονται στο πρόγραμμα Pro των $59/μήνα. Όχι ξεχωριστό πρόγραμμα, όχι αίτημα στις πωλήσεις, όχι ατομική τιμολόγηση.
Αυτή είναι μια συνει conscious στρατηγική: η φιλοξενία στο Hetzner δεν μας στοιχίζει κάτι επιπλέον (ο VPS μας είναι ήδη στο Nuremberg), ενώ το DPA είναι ένα πρότυπο έγγραφο που υπογράφεται μια φορά μέσω email. Δεν χρειάζεται να πληρώσεις για ιδιωτικότητα που έπρεπε να είναι δεδομένη.
Συχνές ερωτήσεις
Ενότητα με τίτλο «Συχνές ερωτήσεις»Μπορώ να χρησιμοποιήσω το δωρεάν πρόγραμμα για ένα GDPR-ευαίσθητο project;
Ενότητα με τίτλο «Μπορώ να χρησιμοποιήσω το δωρεάν πρόγραμμα για ένα GDPR-ευαίσθητο project;»Ναι — το δωρεάν πρόγραμμα έχει την ίδια υποδομή (Hetzner Nuremberg), την ίδια ανώνυμη ανάλυση, την ίδια διατήρηση logs 30 ημερών. Το DPA δεν είναι διαθέσιμο στο δωρεάν πρόγραμμα (είναι διοικητικό overhead που αποσβένεται μόνο στα επί πληρωμή επίπεδα), αλλά τεχνικά τα δεδομένα επεξεργάζονται ομοιόμορφα.
Αν ο νομικός σου σύμβουλος απαιτεί υπογεγραμμένη DPA, ούτε το πρόγραμμα Indie ($5/μήνα) την παρέχει. Η φθηνότερη επιλογή με DPA είναι το Pro των $59.
Τι γίνεται με την απόφαση ECJ Schrems II; Το CDN της Cloudflare είναι Αμερικανική εταιρεία;
Ενότητα με τίτλο «Τι γίνεται με την απόφαση ECJ Schrems II; Το CDN της Cloudflare είναι Αμερικανική εταιρεία;»Η Cloudflare είναι Αμερικανική, αλλά χρησιμοποιούμε κανόνες προσωρινής αποθήκευσης περιοχής ΕΕ (μια αίτηση από IP ΕΕ εξυπηρετείται από κόμβο ΕΕ), ενώ ο πρωτεύων server (που πραγματικά επεξεργάζεται τα δεδομένα) είναι στο Hetzner Nuremberg. Τα PII (birth-data) περνούν μέσα από το edge της Cloudflare στην ίδια περιοχή και δεν αποθηκεύονται εκεί — μόνο transit.
Για ιδιαίτερα ευαίσθητες περιπτώσεις χρήσης (ιατρικές εφαρμογές, B2G) μπορείς να παρέξεις την Cloudflare μέσω δρομολόγησης DNS στον πρωτεύοντα server — στείλε email στο legal@astroway.info.
Πόσο γρήγορα θα λάβω DPA μετά την εγγραφή μου στο πρόγραμμα Pro;
Ενότητα με τίτλο «Πόσο γρήγορα θα λάβω DPA μετά την εγγραφή μου στο πρόγραμμα Pro;»- Πρότυπη DPA (το πρότυπό μας) — άμεσα, το αρχείο
astroway-dpa-v1.pdfείναι διαθέσιμο στο dashboard μετά την πρώτη χρέωση. - Ατομικές διορθώσεις από τον νομικό σου σύμβουλο — 3-5 εργάσιμες ημέρες. Δεν είμαστε επιθετικοί στις διαπραγματεύσεις για τα πρότυπα άρθρα του GDPR Art. 28.
Πρέπει να υπογράψω DPA εάν είμαι B2B προγραμματιστής χωρίς δικά μου PII;
Ενότητα με τίτλο «Πρέπει να υπογράψω DPA εάν είμαι B2B προγραμματιστής χωρίς δικά μου PII;»Αν το τελικό σου προϊόν επεξεργάζεται PII (και τα birth-data είναι PII), τότε ναι, ο νομικός σου σύμβουλος πιθανότατα θα ζητήσει μια υπογεγραμμένη DPA από όλους τους υποεπεξεργαστές. Την παρέχουμε τυπικά. Αν η ολοκλήρωσή σου είναι εσωτερική (μόνο employees), πιθανότατα η DPA δεν είναι κρίσιμη, αλλά είναι καλύτερα να την υπογράψεις ούτως ή άλλως.
Τι κάνει το AstroWay όταν κάνω DELETE /v1/me/account;
Ενότητα με τίτλο «Τι κάνει το AstroWay όταν κάνω DELETE /v1/me/account;»- Τα API keys — διαγράφονται μαλακά (χρόνος ψύξης anti-abuse)
- Η σύνδεση λογαριασμού-key — διακόπτεται· το key δεν μπορεί να ανατεθεί ξανά
- Το προφίλ χρήστη — σημειώνεται ως διαγραμμένο με timestamp
- Τα logs χρήσης — το hash IP δεν είναι πλέον PII, παραμένει για έλεγχο χρέωσης
- Ιστορικό παραγγελιών — διατηρείται (νομική διατήρηση οικονομικών δεδομένων 7 ετών σύμφωνα με GDPR Art. 17 §3 ε)
- Transactional emails — αυτοδιαγράφονται από τον πάροχο SMTP μας μετά από 90 ημέρες
Το πλήρες flow είναι διαθέσιμο κατόπιν αιτήματος μέσω legal@astroway.info.
Επικοινωνία
Ενότητα με τίτλο «Επικοινωνία»- Νομικά/DPA: legal@astroway.info
- Περιστατικά ασφαλείας: security@astroway.info
- Λίστα υποεπεξεργαστών / DPIA: hello@astroway.info