# API astrologico GDPR-ready per sviluppatori UE

**La prima API astrologica con piena residenza nell'UE.** Se stai sviluppando un prodotto B2C per il mercato europeo, la conformità al GDPR diventa un problema prima ancora di scrivere la prima riga di codice. AstroWay lo risolve di default, senza costi aggiuntivi né contorsioni legali.

<GetApiKeyBlock variant="compact" />

## Perché è importante

Gli altri API astrologici (DivineAPI, AstrologyAPI, Prokerala) **sono ospitati negli USA / India**. Questo significa:

- I tuoi `birth.date`, `birth.time`, `birth.lat`, `birth.lon` (=PII ai sensi del GDPR) passano attraverso gli USA/India.
- Disclosure dei sub-processor nella tua privacy policy: devi elencare le loro giurisdizioni.
- DPA (Data Processing Agreement) — o non disponibile o solo per Enterprise con un contratto separato.
- **Rischio di audit da parte dell'Autorità Europea per la Protezione dei Dati**: trasferimento transfrontaliero senza SCC = multe superiori a €10M.

AstroWay, con il piano Pro ($59/mese), ti offre **residenza nell'UE di default**: tutti i dati vengono elaborati su Hetzner a Norimberga, senza trasferimenti transfrontalieri.

## Stack tecnico

| Livello | Posizione / provider |
|---|---|
| **Compute** | Hetzner CPX32, Norimberga (Germania) |
| **Database** | Residente nell'UE sullo stesso VPS — **i dati non lasciano l'infrastruttura di Norimberga** |
| **CDN / DNS** | Cloudflare con regole di cache nella regione UE (le richieste dall'UE vengono gestite dagli edge UE) |
| **Email transazionali** | Brevo (ex Sendinblue), basato nell'UE, SMTP conforme al GDPR |
| **Archiviazione PDF** | Hetzner Storage Box (Norimberga) — URL firmati con TTL 24h, nessuna replica transfrontaliera |
| **Analitiche** | GA4 con anonymizeIp + nessun dato personale negli eventi (Plausible auto-ospitato in roadmap) |
| **Logs** | JSON strutturato, solo hash dell'IP (nessun IP grezzo), conservazione 30 giorni |

## GDPR — cosa offriamo

### Di default (per tutte le chiavi Pro+)

- ✅ **Flusso dati solo all'interno dell'UE** — i dati di nascita non lasciano mai Norimberga
- ✅ **Nessun trasferimento transfrontaliero di dati personali** — confermato dalla configurazione infrastrutturale
- ✅ **Hashing dell'IP** — nei log viene memorizzato solo l'hash SHA-256 + i primi 16 bit per limitare la frequenza delle richieste
- ✅ **Conservazione dei log per 30 giorni** — dopo questo periodo i log vengono automaticamente eliminati
- ⚠️ **Analitiche anonime (GA4)** — anonymize_ip + nessun dato personale negli eventi. Plausible auto-ospitato (senza cookie) è in roadmap. Fino alla migrazione, ti consigliamo di implementare un banner per i cookie sul tuo frontend B2C.
- ✅ **Diritto all'oblio**: `DELETE /v1/me/account` (Bearer JWT, body `{"confirmation": "DELETE"}`) — elimina istantaneamente il tuo account e tutti i dati associati dal nostro sistema

### Su richiesta (sottoscrittori Pro+)

- 📄 **DPA (Data Processing Agreement)** — modello standard GDPR Art. 28, firmato bilateralmente entro 5 giorni lavorativi. Invia una mail a `legal@astroway.info`.
- 📋 **Elenco dei sub-processor** — lista completa (Hetzner, Cloudflare, il nostro provider SMTP, Stripe per i clienti Stripe) con documenti di conformità di ciascuno. Brevo come fornitore SMTP è incluso nell'allegato DPA per i clienti che lo hanno sottoscritto.
- 🗂️ **Accesso al DPIA (Data Protection Impact Assessment)** — se il tuo team legale sta effettuando un DPIA per il tuo prodotto, forniamo una relazione tecnica da parte nostra.

<Aside type="tip">
**La DPA non è vincolata al piano Enterprise.** A differenza dei competitor, dove la DPA richiede di contattare le vendite → 2 settimane di negoziazione → pricing individuale, da noi viene firmata immediatamente con il piano Pro a $59/mese, disponibile tramite email.
</Aside>

### Per i clienti Enterprise (tariffa personalizzata)

- 🛡️ **SOC 2 Type II** — in roadmap (la società di revisione non è ancora stata selezionata, ETA TBD). Se questo blocca la tua integrazione, scrivi a [legal@astroway.info](mailto:legal@astroway.info): siamo aperti a valutare una collaborazione separata con un auditor.
- 🇪🇺 **Sede legale nell'UE** — attualmente la nostra forma giuridica è un FOP ucraino (Maxim Burkhan). Se il tuo reparto acquisti richiede una GmbH tedesca/estone (Germania/Estonia), possiamo discuterne su base individuale via [legal@astroway.info](mailto:legal@astroway.info), processo di 4-8 settimane.
- 🔐 **Infrastruttura dedicata su richiesta** — VPS separato a Norimberga, database isolato, nessun compute condiviso
- 📞 **Canale diretto per la sicurezza** — `security@astroway.info` per la risposta agli incidenti

## Confronto: AstroWay vs competitor con hosting negli USA

| Critico per uno sviluppatore UE | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute nell'UE | ✅ Hetzner Norimberga | ❌ USA | ❌ USA | ❌ India |
| DPA standard disponibile | ✅ su Pro+ | ❌ solo Enterprise | ❌ solo Enterprise | ❌ solo Enterprise |
| Conformità GDPR di default | ✅ a livello infrastrutturale | ⚠️ tramite SCC | ⚠️ tramite SCC | ⚠️ tramite SCC |
| Analitiche senza cookie | ⚠️ GA4 anonimo (Plausible in roadmap) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Garanzia di flusso dati solo nell'UE | ✅ confermato per iscritto | ❌ | ❌ | ❌ |
| Accesso tecnico al DPIA | ✅ fornito | ❌ | ❌ | ❌ |
| Endpoint per il diritto all'oblio | ✅ `DELETE /v1/me/account` | ❌ tramite ticket | ❌ tramite ticket | ❌ tramite ticket |

## Prezzi

Residenza nell'UE, DPA, conformità GDPR a livello infrastrutturale — **tutto incluso nel piano Pro a $59/mese**. Non è un piano separato, non serve contattare le vendite, non c'è pricing personalizzato.

Questa è una scelta consapevole: l'hosting su Hetzner non ci costa nulla di extra (il nostro VPS è già a Norimberga), e la DPA è un modello standard che viene firmato una volta via email. Non devi pagare per la privacy ciò che dovrebbe essere garantito di default.

<CtaBlock
  title="Residenza UE, DPA, GDPR — tutto incluso"
  subtitle="Piano standard Pro. Senza negoziazioni, senza custom pricing, DPA in 5 giorni lavorativi."
  ctaText="Attiva Pro"
  ctaPriceTag="$59/mese"
  href="/pricing/#pro"
/>

## FAQ

### Posso usare il piano Free per un progetto sensibile al GDPR?

Sì — il piano Free utilizza la stessa infrastruttura (Hetzner Norimberga), le stesse analitiche anonime, la stessa conservazione dei log per 30 giorni. **La DPA non è disponibile nel piano Free** (è un overhead amministrativo che si giustifica solo con i piani a pagamento), ma tecnicamente i dati vengono elaborati allo stesso modo.

Se il tuo legale richiede una DPA firmata, anche il piano Indie ($5/mese) non la include. L'opzione più economica con DPA è il **piano Pro a $59**.

### Cosa succede con la sentenza Schrems II? Il vostro CDN Cloudflare è un'azienda statunitense?

Cloudflare è statunitense, ma utilizziamo **regole di cache nella regione UE** (le richieste da IP UE vengono gestite dagli edge UE), e il **server di origine** (dove i dati vengono effettivamente elaborati) è su Hetzner a Norimberga. I dati personali sensibili (dati di nascita) transitano attraverso gli edge Cloudflare nella stessa regione e non vengono memorizzati sugli edge — solo in transito.

Per scenari critici (applicazioni mediche, B2G), puoi **bypassare Cloudflare** tramite routing DNS diretto all'origine — scrivi a `legal@astroway.info`.

### Quanto tempo ci vuole per ottenere la DPA dopo la sottoscrizione al piano Pro?

- **DPA standard** (il nostro modello) — immediato, il file `astroway-dpa-v1.pdf` è disponibile nella dashboard dopo il primo addebito.
- **Modifiche personalizzate** da parte del tuo legale — 3-5 giorni lavorativi. Non discutiamo aggressivamente i punti standard dell'Art. 28.

### Devo firmare la DPA se sono uno sviluppatore B2B senza PII proprietario?

Se il tuo prodotto finale elabora PII (e i dati di nascita sono PII), allora sì, il tuo legale probabilmente chiederà una DPA firmata con tutti i sub-processor. Noi la forniamo standard. Se la tua integrazione è interna (solo dipendenti), probabilmente la DPA non è critica, ma è comunque consigliabile firmarla.

### Cosa fa AstroWay quando eseguo `DELETE /v1/me/account`?

- Le chiavi API — vengono eliminate in modo soft (cooldown anti-abuse)
- Il collegamento account-chiave — viene interrotto; la chiave non può essere riutilizzata
- Il profilo utente — viene contrassegnato come eliminato con timestamp
- I log di utilizzo — l'hash dell'IP non è più PII, rimane per l'audit di fatturazione
- La cronologia degli ordini — viene conservata (conservazione finanziaria legale di 7 anni ai sensi dell'Art. 17 §3 e GDPR)
- Le email transazionali — vengono automaticamente eliminate dal nostro provider SMTP dopo 90 giorni

Il flusso completo è disponibile su richiesta via [legal@astroway.info](mailto:legal@astroway.info).

## Contatti

- **Legale/DPA**: [legal@astroway.info](mailto:legal@astroway.info)
- **Incidenti di sicurezza**: [security@astroway.info](mailto:security@astroway.info)
- **Elenco sub-processor / DPIA**: [hello@astroway.info](mailto:hello@astroway.info)

<CtaBlock
  title="Pronto a iniziare?"
  subtitle="Pro $59/mese — residenza UE, DPA, conformità GDPR di default."
  ctaText="Attiva Pro"
  ctaPriceTag="$59/mese"
  href="/pricing/#pro"
/>
