GDPR-kész astroyogi API fejlesztőknek
Az első asztrológiai API teljes EU-residenssel. Ha EU-s piaci B2C-terméket fejlesztesz, a GDPR-megfelelőség már a kódolás előtt felmerül. Az AstroWay ezt alapértelmezés szerint megoldja, extra díjak vagy jogi „gimnasztika” nélkül.
Miért fontos ez?
Szekció neve “Miért fontos ez?”A többi asztrológiai API (DivineAPI, AstrologyAPI, Prokerala) az USA-ban/Indiában van. Ez azt jelenti:
- A
birth.date,birth.time,birth.lat,birth.lon(=GDPR szerinti PII) az USA-n/Indián keresztül megy. - Subprocessor-fel disclosure a privacy policy-ben: fel kell sorolni a joghatóságukat.
- DPA (Data Processing Agreement) — vagy nem elérhető, vagy csak Enterprise szinten, külön szerződéssel.
- EU-EUR Adatvédelmi Hatóság audit kockázata: transznacionális adatátvitel SCC nélkül = akár 10M€ feletti bírságok.
Az AstroWay Pro tarifája ($59/hó) alapértelmezés szerint EU-residens: minden adat feldolgozása a hentzeni (Nürnberg) infrastruktúrában történik, transznacionális adatátvitel nélkül.
Technikai stack
Szekció neve “Technikai stack”| Réteg | Hely / szolgáltató |
|---|---|
| Compute | Hetzner CPX32, Nürnberg (Németország) |
| Adatbázis | EU-residens ugyanazon a VPS-en — az adatok nem hagyják el a nürnbergi infrastruktúrát |
| CDN / DNS | Cloudflare EU-regiós cache szabályokkal (EU-ból érkező kérések EU edge-ekről szolgálódnak ki) |
| Tranzakciós email | Brevo (korábban Sendinblue), EU-alapú, GDPR-megfelelő SMTP |
| PDF tárolás | Hetzner Storage Box (Nürnberg) — signed-URL TTL 24h, nincs cross-border replikáció |
| Analitika | GA4 anonymizeIp + eseményekben nincsenek személyes adatok (Plausible self-hosted a roadmap-on) |
| Naplók | strukturált JSON, csak IP-hash (nincs raw IP), 30 napos megtartás |
GDPR — mit nyújtunk
Szekció neve “GDPR — mit nyújtunk”Alapértelmezés (minden Pro+ kulcshoz)
Szekció neve “Alapértelmezés (minden Pro+ kulcshoz)”- ✅ Adatfolyam kizárólag EU-n belül — a birth-adatok soha nem hagyják el Nürnbergöt
- ✅ Nincs transznacionális személyes adatátvitel — az infrastruktúra szintű konfiguráció igazolja
- ✅ IP-hashing — a naplókban csak SHA-256 hash + az első 16 bit marad meg a kéréskorlátozáshoz
- ✅ Naplók 30 napig tárolása — utána automatikusan törlődnek
- ⚠️ Anonimizált analitika (GA4) — anonymize_ip + nincsenek személyes adatok az eseményekben. A Plausible self-hosted (cookie nélkül) a roadmap-on. A migrációig ajánlott saját cookie-bannert használni a B2C-frontenden.
- ✅ Adattörlési jog:
DELETE /v1/me/account(Bearer JWT, body{"confirmation": "DELETE"}) — azonnal törli a fiókodat és az összes kapcsolódó adatot a rendszerünkből
Kérésre (Pro+ előfizetők)
Szekció neve “Kérésre (Pro+ előfizetők)”- 📄 DPA (Data Processing Agreement) — standard GDPR Art. 28-as sablon, mindkét fél által aláírva 5 munkanapon belül. Email:
legal@astroway.info. - 📋 Sub-processor lista — teljes lista (Hetzner, Cloudflare, SMTP-szolgáltatónk, Stripe ügyfeleknek) a megfelelőségi dokumentumokkal. A Brevo, mint SMTP-ventor, a DPA-mellékletben szerepel az aláíró ügyfeleknek.
- 🗂️ Belépés a DPIA-ba (Data Protection Impact Assessment) — ha a jogászcsapatod DPIA-t készít a termékedhez, technikai segítséget nyújtunk a mi oldalunkról.
Enterprise ügyfeleknek (egyéni tarif)
Szekció neve “Enterprise ügyfeleknek (egyéni tarif)”- 🛡️ SOC 2 Type II — a roadmap-on (aauditor még nincs kiválasztva, ETA TBD). Ha ez blokkolja az integrációdat, írj a legal@astroway.info címre, külön audit megfontolható.
- 🇪🇺 EU-n belüli jogi személy — jelenleg ukrán egyéni vállalkozó (Maxim Burkhan). Ha a beszerzési osztályod EU GmbH-t (Németország/Észtország) igényel, egyéni folyamatban tárgyalható a legal@astroway.info címen, 4-8 hét.
- 🔐 Kijelölt infrastruktúra igény szerint — külön VPS Nürnbergben, izolált adatbázis, nem megosztott compute
- 📞 Közvetlen biztonsági csatorna —
security@astroway.infoincidensek kezelésére
Összehasonlítás: AstroWay vs. amerikai hostingú versenytársak
Szekció neve “Összehasonlítás: AstroWay vs. amerikai hostingú versenytársak”| Kritikus EU-s fejlesztőnek | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute az EU-ban | ✅ Hetzner Nürnberg | ❌ USA | ❌ USA | ❌ India |
| Standard DPA elérhető | ✅ Pro+ szinten | ❌ csak Enterprise | ❌ csak Enterprise | ❌ csak Enterprise |
| GDPR-megfelelőség alapértelmezés szerint | ✅ infrastruktúra szinten | ⚠️ SCC-n keresztül | ⚠️ SCC-n keresztül | ⚠️ SCC-n keresztül |
| Cookie nélküli analitika | ⚠️ GA4 anonimizálva (Plausible a roadmap-on) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Garancia: adatfolyam kizárólag EU-ban | ✅ írásban | ❌ | ❌ | ❌ |
| Technikai belépés DPIA-ba | ✅ biztosított | ❌ | ❌ | ❌ |
| Adattörlési endpoint | ✅ DELETE /v1/me/account | ❌ ticketen keresztül | ❌ ticketen keresztül | ❌ ticketen keresztül |
EU-residens, DPA, GDPR-ready infrastruktúra — minden benne van a Pro $59/hónapos tarifában. Nem külön tarif, nem értékesítési folyamat, nem egyedi árazás.
Ez tudatos stratégia: a hentzeni hosting nem kerül pluszba (a mi VPS-ünk is Nürnbergben van), a DPA pedig egy standard sablon, amit egyszer emailen keresztül aláírnak. Nem kell fizetned a magánéletért, ami alapértelmezés szerint is meg kellene, hogy legyen.
Használhatom-e a Free tarifát GDPR-érzékeny projekthez?
Szekció neve “Használhatom-e a Free tarifát GDPR-érzékeny projekthez?”Igen — a Free tarifának ugyanaz az infrastruktúrája (Hetzner Nürnberg), ugyanaz az anonimizált analitika, ugyanaz a 30 napos log megtartás. A Free tarifán nem elérhető a DPA (ez adminisztratív overhead, ami csak a fizetős szinteken térül meg), de technikailag az adatok ugyanúgy kerülnek feldolgozásra.
Ha a jogászod DPA-t igényel, az Indie ($5/hó) szinten sem elérhető. A legolcsóbb DPA-val rendelkező opció a Pro $59.
Mi a helyzet az ECJ Schrems II-vel? A Cloudflare CDN-etek amerikai cég?
Szekció neve “Mi a helyzet az ECJ Schrems II-vel? A Cloudflare CDN-etek amerikai cég?”A Cloudflare amerikai, de mi EU-regiós cache szabályokat használunk (EU IP-ből érkező kérések EU edge-ről szolgálódnak ki), és az origin server (ahol az adatok ténylegesen feldolgozódnak) a Hetzner Nürnbergben van. A PII (birth-adatok) csak átmenetileg haladnak át a Cloudflare EU edge-en, és nem kerülnek tárolásra — csak tranzitálnak.
Kritikusan érzékeny esetekben (orvosi alkalmazások, B2G) a Cloudflare megkerülhető DNS-útvonalazással az originre — írj a legal@astroway.info címre.
Milyen gyorsan kapom meg a DPA-t a Pro csatlakozás után?
Szekció neve “Milyen gyorsan kapom meg a DPA-t a Pro csatlakozás után?”- Standard DPA (a mi sablonunk) — azonnal, az
astroway-dpa-v1.pdffájl elérhető a dashboardban az első leírás után. - Egyéni módosítások a jogászodtól — 3-5 munkanap. Az Art. 28 standard pontjait nem vitatjuk agresszívan.
Kell-e DPA-t aláírnom, ha B2B-fejlesztő vagyok, és nem kezelek PII-t?
Szekció neve “Kell-e DPA-t aláírnom, ha B2B-fejlesztő vagyok, és nem kezelek PII-t?”Ha a végterméked PII-t kezel (és a birth-adatok PII-k), akkor igen, a jogászod valószínűleg kérni fogja a DPA-t az összes sub-processorral. Mi standard módon biztosítjuk. Ha az integrációd belső (csak alkalmazottak), a DPA nem kritikus, de ajánlott aláírni.
Mit csinál az AstroWay, ha végrehajtottam a DELETE /v1/me/account endpointot?
Szekció neve “Mit csinál az AstroWay, ha végrehajtottam a DELETE /v1/me/account endpointot?”- Az API-kulcsok — lágyan törlődnek (anti-abuse cooldown)
- A fiók-kulcs kapcsolat — megszakad; a kulcs nem rendelhető újra
- A felhasználói profil — „törölt” jelzéssel, időbélyeggel
- A használati naplók — az IP-hash már nem PII, audit célokra megmarad
- A rendelési előzmények — megőrzésre kerülnek (7 éves pénzügyi megtartás a GDPR Art. 17 §3 e szerint)
- Tranzakciós emailek — az SMTP-szolgáltatónk 90 napon belül automatikusan törli őket
A teljes folyamat lekérhető a legal@astroway.info címen.
Kapcsolat
Szekció neve “Kapcsolat”- Jogi/DPA: legal@astroway.info
- Biztonsági incidensek: security@astroway.info
- Subprocessor lista / DPIA: hello@astroway.info