# GDPR-готовий астрологічний API для розробників ЄС
**Перший астрологічний API з повною резидентністю в ЄС.** Якщо ви розробляєте B2C-продукт для європейського ринку — питання відповідності GDPR виникає до того, як ви напишете перший рядок коду. AstroWay вирішує це за замовчуванням, без додаткових тарифів і юридичної гімнастики.
## Чому це важливо
Решта астрологічних API (DivineAPI, AstrologyAPI, Prokerala) **розміщені в США / Індії**. Це означає:
- Ваш `birth.date`, `birth.time`, `birth.lat`, `birth.lon` (=PII у GDPR-сенсі) йде через США/Індію.
- Subprocessor disclosure для вашого privacy policy: треба перераховувати їх юрисдикцію.
- DPA (Data Processing Agreement) — або не доступна, або тільки на Enterprise за окремий контракт.
- **EU-EUR Data Protection Authority audit** ризик: трансгранична передача без SCC = штрафи €10M+.
AstroWay на тарифі Pro ($59/міс) дає вам **резидентність в ЄС за замовчуванням**: всі дані обробляються в Hetzner Nuremberg, без транскордонної передачі.
## Технічний стек
| Шар | Локація / провайдер |
|---|---|
| **Compute** | Hetzner CPX32, Nuremberg (Germany) |
| **База даних** | EU-резидентна на тому ж VPS — **дані не залишають інфраструктуру в Nuremberg** |
| **CDN / DNS** | Cloudflare with EU-region cache rules (запити з EU обслуговуються EU edges) |
| **Email transactional** | Brevo (formerly Sendinblue), EU-based, GDPR-compliant SMTP |
| **PDF storage** | Hetzner Storage Box (Nuremberg) — signed-URL TTL 24h, no cross-border replication |
| **Аналітика** | GA4 з anonymizeIp + жодних персональних даних у подіях (Plausible self-hosted у дорожній карті) |
| **Logs** | structured JSON, IP-hash only (no raw IPs), retention 30 days |
## GDPR — що ми надаємо
### За замовчуванням (для всіх Pro+ ключів)
- ✅ **Потік даних тільки в межах ЄС** — birth-data ніколи не залишає Nuremberg
- ✅ **Жодної транскордонної передачі персональних даних** — підтверджено інфра-рівневою конфігурацією
- ✅ **Хешування IP** — у логах зберігається лише SHA-256 хеш + перші 16 біт для обмеження частоти запитів
- ✅ **Зберігання логів 30 днів** — після цього логи автоматично видаляються
- ⚠️ **Анонімізована аналітика (GA4)** — anonymize_ip + жодних персональних даних у подіях. Plausible self-hosted (без cookies) — у дорожній карті. До міграції рекомендуємо власний cookie-banner на B2C-фронтенді.
- ✅ **Right to erasure**: `DELETE /v1/me/account` (Bearer JWT, body `{"confirmation": "DELETE"}`) — миттєво видаляє ваш акаунт та всі пов'язані дані з нашої системи
### За запитом (Pro+ підписники)
- 📄 **DPA (Data Processing Agreement)** — стандартна шаблон GDPR Art. 28, підписана в обидва боки протягом 5 робочих днів. Email на `legal@astroway.info`.
- 📋 **Перелік sub-processor'ів** — повний список (Hetzner, Cloudflare, наш SMTP-провайдер, Stripe для клієнтів Stripe) з документами відповідності кожного. Brevo як SMTP-вендор зазначений у DPA-додатку для клієнтів, що його підписали.
- 🗂️ **Вхід у DPIA (Data Protection Impact Assessment)** — якщо ваша юрист-команда робить DPIA для свого продукту, ми надаємо технічну довідку з нашого боку.
### Для клієнтів Enterprise (індивідуальний тариф)
- 🛡️ **SOC 2 Type II** — у дорожній карті (аудиторську фірму не зафіксовано, ETA TBD). Якщо це блокує вашу інтеграцію — пишіть на [legal@astroway.info](mailto:legal@astroway.info), готові розглянути окрему аудиторську співпрацю.
- 🇪🇺 **Юридична особа в межах ЄС** — поточна юр-форма український ФОП (Maxim Burkhan). Якщо ваш відділ закупівель вимагає EU GmbH (Німеччина / Естонія) — обговорюємо в індивідуальному порядку через [legal@astroway.info](mailto:legal@astroway.info), процес 4-8 тижнів.
- 🔐 **Виділена інфраструктура за бажанням** — окремий VPS у Nuremberg, ізольована БД, не спільний compute
- 📞 **Прямий канал з безпеки** — `security@astroway.info` для реагування на інциденти
## Порівняння: AstroWay проти конкурентів з хостингом у США
| Критично для розробника з ЄС | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute в ЄС | ✅ Hetzner Nuremberg | ❌ США | ❌ США | ❌ Індія |
| Стандартна DPA доступна | ✅ на Pro+ | ❌ тільки Enterprise | ❌ тільки Enterprise | ❌ тільки Enterprise |
| GDPR-відповідність за замовчуванням | ✅ на рівні інфраструктури | ⚠️ через SCC | ⚠️ через SCC | ⚠️ через SCC |
| Аналітика без cookies | ⚠️ GA4 анонімізовано (Plausible у дорожній карті) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Гарантія потоку даних тільки в ЄС | ✅ письмово | ❌ | ❌ | ❌ |
| Технічний вхід у DPIA | ✅ надається | ❌ | ❌ | ❌ |
| Ендпоінт права на видалення | ✅ `DELETE /v1/me/account` | ❌ через тикет | ❌ через тикет | ❌ через тикет |
## Ціна
Резидентність в ЄС, DPA, GDPR на рівні інфраструктури — **все включено в Pro $59/міс**. Не окремий тариф, не звернення до продажів, не індивідуальне ціноутворення.
Це свідома стратегія: розміщення в Hetzner не коштує нам нічого додатково (наш VPS у будь-якому разі в Nuremberg), а DPA — стандартний шаблон, що підписується раз через email. Не треба платити за приватність те, що мало бути за замовчуванням.
## FAQ
### Чи можу я використовувати Free тариф для GDPR-чутливого проєкту?
Так — Free тариф має ту саму інфраструктуру (Hetzner Nuremberg), ту саму анонімізовану аналітику, той самий 30-day log retention. **DPA на Free не доступна** (це адміністративний overhead, який окуповується тільки на платному рівні), але технічно дані обробляються однаково.
Якщо ваш юрист вимагає підписаної DPA — Indie ($5/міс) теж не дає її. Найдешевший варіант з DPA = **Pro $59**.
### Що з ECJ Schrems II? Ваш Cloudflare CDN — це US-компанія?
Cloudflare — US, але ми використовуємо **EU-region cache rules** (запит з EU IP обслуговується EU edge), а **origin server** (де дані реально обробляються) — Hetzner Nuremberg. PII (birth-data) проходить через Cloudflare edge у тому самому регіоні і не зберігається на edge — лише транзитом.
Для критично-чутливих сценаріїв використання (медичні застосунки, B2G) можна **обійти Cloudflare** через DNS-маршрутизацію на оригіналі — пишіть `legal@astroway.info`.
### Як швидко я отримаю DPA після підписки на Pro?
- **Стандартна DPA** (наш шаблон) — миттєво, файл `astroway-dpa-v1.pdf` доступний у dashboard після першого списання.
- **Індивідуальні правки** від вашого юриста — 3-5 робочих днів. Ми не агресивно обговорюємо стандартні пункти Art. 28.
### Чи маю я підписувати DPA, якщо я B2B-розробник без власного PII?
Якщо ваш кінцевий продукт обробляє PII (а birth-data це PII) — то так, ваш юрист скоріше за все попросить підписану DPA з усіма sub-processors. Ми надаємо її стандартно. Якщо ваша інтеграція — внутрішня (тільки employees), ймовірно DPA не критична, але краще все одно підписати.
### Що робить AstroWay якщо я зробив `DELETE /v1/me/account`?
- API-ключі — м'яко видаляються (анти-abuse cooldown)
- Зв'язок акаунт-ключ — обірваний; ключ не може бути перепризначений
- Профіль користувача — помічений як видалений з міткою часу
- Логи використання — IP-хеш уже не PII, лишається для аудиту білінгу
- Історія замовлень — зберігається (legal financial retention 7 років per GDPR Art. 17 §3 e)
- Транзакційні email — авто-видаляються нашим SMTP-провайдером через 90 днів
Повний flow доступний за запитом через [legal@astroway.info](mailto:legal@astroway.info).
## Контакти
- **Legal/DPA**: [legal@astroway.info](mailto:legal@astroway.info)
- **Security incidents**: [security@astroway.info](mailto:security@astroway.info)
- **Subprocessor list / DPIA**: [hello@astroway.info](mailto:hello@astroway.info)