API de astrología listo para GDPR para desarrolladores de la UE
La primera API astrológica con residencia completa en la UE. Si estás desarrollando un producto B2C para el mercado europeo, la conformidad con el GDPR surge incluso antes de escribir la primera línea de código. AstroWay resuelve esto por defecto, sin tarifas adicionales ni gimnasia legal.
¿Por qué es importante
Sección titulada «¿Por qué es importante»El resto de las APIs astrológicas (DivineAPI, AstrologyAPI, Prokerala) están alojadas en EE.UU./India. Esto significa:
- Tus
birth.date,birth.time,birth.lat,birth.lon(=PII en términos del GDPR) pasan por EE.UU./India. - Divulgación de subprocesadores para tu política de privacidad: debes enumerar su jurisdicción.
- El DPA (Acuerdo de Procesamiento de Datos) no está disponible o solo está disponible para Enterprise con un contrato adicional.
- Riesgo de auditoría de la Autoridad Europea de Protección de Datos: transferencia transfronteriza sin SCC = multas de €10M+.
AstroWay en el plan Pro ($59/mes) te ofrece residencia en la UE por defecto: todos los datos se procesan en Hetzner Nuremberg, sin transferencias transfronterizas.
Pila técnica
Sección titulada «Pila técnica»| Capa | Ubicación/proveedor |
|---|---|
| Compute | Hetzner CPX32, Núremberg (Alemania) |
| Base de datos | Residente en la UE en el mismo VPS — los datos no abandonan la infraestructura de Núremberg |
| CDN / DNS | Cloudflare con reglas de caché en la región de la UE (las solicitudes desde la UE se gestionan en nodos de la UE) |
| Email transaccional | Brevo (antes Sendinblue), proveedor europeo, SMTP conforme al GDPR |
| Almacenamiento de PDF | Hetzner Storage Box (Núremberg) — URL firmada con TTL de 24h, sin réplica transfronteriza |
| Analítica | GA4 con anonymizeIp + sin datos personales en los eventos (Plausible autoalojado en la hoja de ruta) |
| Logs | JSON estructurado, solo hash de IP (sin IPs sin procesar), retención de 30 días |
GDPR — ¿qué ofrecemos
Sección titulada «GDPR — ¿qué ofrecemos»Por defecto (para todas las claves Pro+)
Sección titulada «Por defecto (para todas las claves Pro+)»- ✅ Flujo de datos solo dentro de la UE — los datos de nacimiento nunca abandonan Núremberg
- ✅ Sin transferencias transfronterizas de datos personales — confirmado a nivel de infraestructura
- ✅ Hash de IP — en los logs solo se almacena el hash SHA-256 + los primeros 16 bits para limitar la frecuencia de solicitudes
- ✅ Retención de logs de 30 días — los logs se eliminan automáticamente después
- ⚠️ Analítica anonimizada (GA4) — anonymize_ip + sin datos personales en los eventos. Plausible autoalojado (sin cookies) está en la hoja de ruta. Hasta la migración, recomendamos tu propia cookie banner en el frontend B2C.
- ✅ Derecho al olvido:
DELETE /v1/me/account(Bearer JWT, cuerpo{"confirmation": "DELETE"}) — elimina tu cuenta y todos los datos asociados de nuestro sistema al instante
Bajo solicitud (suscriptores Pro+)
Sección titulada «Bajo solicitud (suscriptores Pro+)»- 📄 DPA (Acuerdo de Procesamiento de Datos) — plantilla estándar del GDPR Art. 28, firmada por ambas partes en un plazo de 5 días hábiles. Envía un email a
legal@astroway.info. - 📋 Lista de subprocesadores — lista completa (Hetzner, Cloudflare, nuestro proveedor de SMTP, Stripe para clientes de Stripe) con documentos de conformidad de cada uno. Brevo como proveedor de SMTP está incluido en el anexo del DPA para los clientes que lo firmen.
- 🗂️ Acceso a la evaluación de impacto de protección de datos (DPIA) — si tu equipo legal realiza un DPIA para tu producto, te proporcionamos un informe técnico desde nuestra parte.
Para clientes Enterprise (plan personalizado)
Sección titulada «Para clientes Enterprise (plan personalizado)»- 🛡️ SOC 2 Type II — en la hoja de ruta (la firma de auditoría aún no está definida, ETA por confirmar). Si esto bloquea tu integración, escríbenos a legal@astroway.info, estamos abiertos a considerar una colaboración de auditoría separada.
- 🇪🇺 Entidad legal dentro de la UE — nuestra forma jurídica actual es un autónomo ucraniano (Maxim Burkhan). Si tu departamento de compras requiere una GmbH europea (Alemania/Estonia), lo discutimos caso por caso a través de legal@astroway.info, proceso de 4-8 semanas.
- 🔐 Infraestructura dedicada bajo solicitud — VPS separado en Núremberg, base de datos aislada, compute no compartido
- 📞 Canal directo de seguridad —
security@astroway.infopara responder a incidentes
Comparación: AstroWay vs. competidores con alojamiento en EE.UU.
Sección titulada «Comparación: AstroWay vs. competidores con alojamiento en EE.UU.»| Crítico para desarrolladores en la UE | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute en la UE | ✅ Hetzner Núremberg | ❌ EE.UU. | ❌ EE.UU. | ❌ India |
| DPA estándar disponible | ✅ en Pro+ | ❌ solo Enterprise | ❌ solo Enterprise | ❌ solo Enterprise |
| Cumplimiento GDPR por defecto | ✅ a nivel de infraestructura | ⚠️ mediante SCC | ⚠️ mediante SCC | ⚠️ mediante SCC |
| Analítica sin cookies | ⚠️ GA4 anonimizado (Plausible en hoja de ruta) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Garantía de flujo de datos solo en la UE | ✅ por escrito | ❌ | ❌ | ❌ |
| Acceso técnico al DPIA | ✅ proporcionado | ❌ | ❌ | ❌ |
| Endpoint de derecho al olvido | ✅ DELETE /v1/me/account | ❌ mediante ticket | ❌ mediante ticket | ❌ mediante ticket |
Residencia en la UE, DPA, cumplimiento GDPR a nivel de infraestructura — todo incluido en el plan Pro de $59/mes. No es un plan separado, no hay que contactar al equipo de ventas, ni precios personalizados.
Esta es una estrategia consciente: alojar en Hetzner no nos cuesta nada adicional (nuestro VPS ya está en Núremberg), y el DPA es una plantilla estándar que se firma por email. No pagas por privacidad lo que debería ser por defecto.
¿Puedo usar el plan Free para un proyecto sensible al GDPR?
Sección titulada «¿Puedo usar el plan Free para un proyecto sensible al GDPR?»Sí — el plan Free tiene la misma infraestructura (Hetzner Núremberg), la misma analítica anonimizada, la misma retención de logs de 30 días. El DPA no está disponible en el plan Free (es un overhead administrativo que solo se justifica en planes de pago), pero técnicamente los datos se procesan de la misma manera.
Si tu abogado requiere un DPA firmado, el plan Indie ($5/mes) tampoco lo incluye. La opción más económica con DPA es el plan Pro de $59.
¿Qué pasa con el fallo Schrems II de la ECJ? ¿Tu CDN de Cloudflare es una empresa de EE.UU.?
Sección titulada «¿Qué pasa con el fallo Schrems II de la ECJ? ¿Tu CDN de Cloudflare es una empresa de EE.UU.?»Cloudflare es de EE.UU., pero usamos reglas de caché en la región de la UE (las solicitudes con IP de la UE se gestionan en nodos de la UE), y el servidor de origen (donde los datos se procesan realmente) es Hetzner Núremberg. Los datos personales (datos de nacimiento) pasan por el nodo de Cloudflare en la misma región y no se almacenan en el edge, solo pasan en tránsito.
Para escenarios críticos (aplicaciones médicas, B2G), puedes evitar Cloudflare mediante enrutamiento DNS directo al origen — escríbenos a legal@astroway.info.
¿Qué tan rápido recibiré el DPA después de suscribirme al plan Pro?
Sección titulada «¿Qué tan rápido recibiré el DPA después de suscribirme al plan Pro?»- DPA estándar (nuestra plantilla) — al instante, el archivo
astroway-dpa-v1.pdfestá disponible en el panel después del primer cargo. - Modificaciones individuales de tu abogado — 3-5 días hábiles. No negociamos agresivamente los puntos estándar del Art. 28.
¿Debo firmar el DPA si soy un desarrollador B2B sin PII propio?
Sección titulada «¿Debo firmar el DPA si soy un desarrollador B2B sin PII propio?»Si tu producto final procesa PII (y los datos de nacimiento son PII), entonces sí, tu abogado probablemente pedirá un DPA firmado con todos los subprocesadores. Nosotros lo proporcionamos de forma estándar. Si tu integración es interna (solo empleados), probablemente el DPA no sea crítico, pero sigue siendo recomendable firmarlo.
¿Qué hace AstroWay cuando ejecutas DELETE /v1/me/account?
Sección titulada «¿Qué hace AstroWay cuando ejecutas DELETE /v1/me/account?»- Las claves de API se eliminan suavemente (enfriamiento anti-abuso)
- La relación cuenta-clave se rompe; la clave no puede reasignarse
- El perfil de usuario se marca como eliminado con marca de tiempo
- Los logs de uso — el hash de IP ya no es PII, permanece para auditoría de facturación
- Historial de pedidos — se conserva (retención legal financiera de 7 años según el GDPR Art. 17 §3 e)
- Emails transaccionales — se eliminan automáticamente por nuestro proveedor de SMTP después de 90 días
El flujo completo está disponible bajo solicitud a través de legal@astroway.info.
Contactos
Sección titulada «Contactos»- Legal/DPA: legal@astroway.info
- Incidentes de seguridad: security@astroway.info
- Lista de subprocesadores / DPIA: hello@astroway.info