GDPR-готовий астрологічний API для розробників ЄС
Перший астрологічний API з повною резидентністю в ЄС. Якщо ви розробляєте B2C-продукт для європейського ринку — питання відповідності GDPR виникає до того, як ви напишете перший рядок коду. AstroWay вирішує це за замовчуванням, без додаткових тарифів і юридичної гімнастики.
Чому це важливо
Section titled “Чому це важливо”Решта астрологічних API (DivineAPI, AstrologyAPI, Prokerala) розміщені в США / Індії. Це означає:
- Ваш
birth.date,birth.time,birth.lat,birth.lon(=PII у GDPR-сенсі) йде через США/Індію. - Subprocessor disclosure для вашого privacy policy: треба перераховувати їх юрисдикцію.
- DPA (Data Processing Agreement) — або не доступна, або тільки на Enterprise за окремий контракт.
- EU-EUR Data Protection Authority audit ризик: трансгранична передача без SCC = штрафи €10M+.
AstroWay на тарифі Pro ($59/міс) дає вам резидентність в ЄС за замовчуванням: всі дані обробляються в Hetzner Nuremberg, без транскордонної передачі.
Технічний стек
Section titled “Технічний стек”| Шар | Локація / провайдер |
|---|---|
| Compute | Hetzner CPX32, Nuremberg (Germany) |
| База даних | EU-резидентна на тому ж VPS — дані не залишають інфраструктуру в Nuremberg |
| CDN / DNS | Cloudflare with EU-region cache rules (запити з EU обслуговуються EU edges) |
| Email transactional | Brevo (formerly Sendinblue), EU-based, GDPR-compliant SMTP |
| PDF storage | Hetzner Storage Box (Nuremberg) — signed-URL TTL 24h, no cross-border replication |
| Аналітика | GA4 з anonymizeIp + жодних персональних даних у подіях (Plausible self-hosted у дорожній карті) |
| Logs | structured JSON, IP-hash only (no raw IPs), retention 30 days |
GDPR — що ми надаємо
Section titled “GDPR — що ми надаємо”За замовчуванням (для всіх Pro+ ключів)
Section titled “За замовчуванням (для всіх Pro+ ключів)”- ✅ Потік даних тільки в межах ЄС — birth-data ніколи не залишає Nuremberg
- ✅ Жодної транскордонної передачі персональних даних — підтверджено інфра-рівневою конфігурацією
- ✅ Хешування IP — у логах зберігається лише SHA-256 хеш + перші 16 біт для обмеження частоти запитів
- ✅ Зберігання логів 30 днів — після цього логи автоматично видаляються
- ⚠️ Анонімізована аналітика (GA4) — anonymize_ip + жодних персональних даних у подіях. Plausible self-hosted (без cookies) — у дорожній карті. До міграції рекомендуємо власний cookie-banner на B2C-фронтенді.
- ✅ Right to erasure:
DELETE /v1/me/account(Bearer JWT, body{"confirmation": "DELETE"}) — миттєво видаляє ваш акаунт та всі пов’язані дані з нашої системи
За запитом (Pro+ підписники)
Section titled “За запитом (Pro+ підписники)”- 📄 DPA (Data Processing Agreement) — стандартна шаблон GDPR Art. 28, підписана в обидва боки протягом 5 робочих днів. Email на
legal@astroway.info. - 📋 Перелік sub-processor’ів — повний список (Hetzner, Cloudflare, наш SMTP-провайдер, Stripe для клієнтів Stripe) з документами відповідності кожного. Brevo як SMTP-вендор зазначений у DPA-додатку для клієнтів, що його підписали.
- 🗂️ Вхід у DPIA (Data Protection Impact Assessment) — якщо ваша юрист-команда робить DPIA для свого продукту, ми надаємо технічну довідку з нашого боку.
Для клієнтів Enterprise (індивідуальний тариф)
Section titled “Для клієнтів Enterprise (індивідуальний тариф)”- 🛡️ SOC 2 Type II — у дорожній карті (аудиторську фірму не зафіксовано, ETA TBD). Якщо це блокує вашу інтеграцію — пишіть на legal@astroway.info, готові розглянути окрему аудиторську співпрацю.
- 🇪🇺 Юридична особа в межах ЄС — поточна юр-форма український ФОП (Maxim Burkhan). Якщо ваш відділ закупівель вимагає EU GmbH (Німеччина / Естонія) — обговорюємо в індивідуальному порядку через legal@astroway.info, процес 4-8 тижнів.
- 🔐 Виділена інфраструктура за бажанням — окремий VPS у Nuremberg, ізольована БД, не спільний compute
- 📞 Прямий канал з безпеки —
security@astroway.infoдля реагування на інциденти
Порівняння: AstroWay проти конкурентів з хостингом у США
Section titled “Порівняння: AstroWay проти конкурентів з хостингом у США”| Критично для розробника з ЄС | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute в ЄС | ✅ Hetzner Nuremberg | ❌ США | ❌ США | ❌ Індія |
| Стандартна DPA доступна | ✅ на Pro+ | ❌ тільки Enterprise | ❌ тільки Enterprise | ❌ тільки Enterprise |
| GDPR-відповідність за замовчуванням | ✅ на рівні інфраструктури | ⚠️ через SCC | ⚠️ через SCC | ⚠️ через SCC |
| Аналітика без cookies | ⚠️ GA4 анонімізовано (Plausible у дорожній карті) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Гарантія потоку даних тільки в ЄС | ✅ письмово | ❌ | ❌ | ❌ |
| Технічний вхід у DPIA | ✅ надається | ❌ | ❌ | ❌ |
| Ендпоінт права на видалення | ✅ DELETE /v1/me/account | ❌ через тикет | ❌ через тикет | ❌ через тикет |
Резидентність в ЄС, DPA, GDPR на рівні інфраструктури — все включено в Pro $59/міс. Не окремий тариф, не звернення до продажів, не індивідуальне ціноутворення.
Це свідома стратегія: розміщення в Hetzner не коштує нам нічого додатково (наш VPS у будь-якому разі в Nuremberg), а DPA — стандартний шаблон, що підписується раз через email. Не треба платити за приватність те, що мало бути за замовчуванням.
Чи можу я використовувати Free тариф для GDPR-чутливого проєкту?
Section titled “Чи можу я використовувати Free тариф для GDPR-чутливого проєкту?”Так — Free тариф має ту саму інфраструктуру (Hetzner Nuremberg), ту саму анонімізовану аналітику, той самий 30-day log retention. DPA на Free не доступна (це адміністративний overhead, який окуповується тільки на платному рівні), але технічно дані обробляються однаково.
Якщо ваш юрист вимагає підписаної DPA — Indie ($5/міс) теж не дає її. Найдешевший варіант з DPA = Pro $59.
Що з ECJ Schrems II? Ваш Cloudflare CDN — це US-компанія?
Section titled “Що з ECJ Schrems II? Ваш Cloudflare CDN — це US-компанія?”Cloudflare — US, але ми використовуємо EU-region cache rules (запит з EU IP обслуговується EU edge), а origin server (де дані реально обробляються) — Hetzner Nuremberg. PII (birth-data) проходить через Cloudflare edge у тому самому регіоні і не зберігається на edge — лише транзитом.
Для критично-чутливих сценаріїв використання (медичні застосунки, B2G) можна обійти Cloudflare через DNS-маршрутизацію на оригіналі — пишіть legal@astroway.info.
Як швидко я отримаю DPA після підписки на Pro?
Section titled “Як швидко я отримаю DPA після підписки на Pro?”- Стандартна DPA (наш шаблон) — миттєво, файл
astroway-dpa-v1.pdfдоступний у dashboard після першого списання. - Індивідуальні правки від вашого юриста — 3-5 робочих днів. Ми не агресивно обговорюємо стандартні пункти Art. 28.
Чи маю я підписувати DPA, якщо я B2B-розробник без власного PII?
Section titled “Чи маю я підписувати DPA, якщо я B2B-розробник без власного PII?”Якщо ваш кінцевий продукт обробляє PII (а birth-data це PII) — то так, ваш юрист скоріше за все попросить підписану DPA з усіма sub-processors. Ми надаємо її стандартно. Якщо ваша інтеграція — внутрішня (тільки employees), ймовірно DPA не критична, але краще все одно підписати.
Що робить AstroWay якщо я зробив DELETE /v1/me/account?
Section titled “Що робить AstroWay якщо я зробив DELETE /v1/me/account?”- API-ключі — м’яко видаляються (анти-abuse cooldown)
- Зв’язок акаунт-ключ — обірваний; ключ не може бути перепризначений
- Профіль користувача — помічений як видалений з міткою часу
- Логи використання — IP-хеш уже не PII, лишається для аудиту білінгу
- Історія замовлень — зберігається (legal financial retention 7 років per GDPR Art. 17 §3 e)
- Транзакційні email — авто-видаляються нашим SMTP-провайдером через 90 днів
Повний flow доступний за запитом через legal@astroway.info.
Контакти
Section titled “Контакти”- Legal/DPA: legal@astroway.info
- Security incidents: security@astroway.info
- Subprocessor list / DPIA: hello@astroway.info