콘텐츠로 이동
AstroWay/api v2.102.11 · ko
모든 시스템 정상 작동 중

개발자용 GDPR 준비된 아스트로로지 API

첫 번째 EU рези던시 기반의 점성술 REST API. 유럽 시장을 타겟으로 하는 B2C 제품을 개발한다면, GDPR 준수 문제는 첫 번째 코드를 작성하기도 전에 이미 고려해야 할 사항입니다. AstroWay는 추가 비용이나 복잡한 법적 절차 없이 기본적으로 이러한 문제를 해결합니다.

다른 점성술 API(DivineAPI, AstrologyAPI, Prokerala)들은 미국/인도에 서버를 두고 있습니다. 이는 다음과 같은 문제를 야기합니다:

  • birth.date, birth.time, birth.lat, birth.lon(=GDPR상 PII)이 미국/인도로 전송됩니다.
  • 개인정보 보호 정책에 서브프로세서의 관할 지역을 명시해야 합니다.
  • DPA(Data Processing Agreement)는 Enterprise 요금제에서만 제공되거나 별도의 계약이 필요합니다.
  • EU-EUR 데이터 보호 당국 감사 위험: SCC 없이 국경 간 데이터 전송은 최대 1천만 유로 이상의 벌금으로 이어질 수 있습니다.

AstroWay Pro 요금제($59/월)에서는 기본적으로 EU рези던시를 제공합니다. 모든 데이터는 독일 뉘른베르크의 Hetzner에서 처리되며, 국경 간 데이터 전송이 없습니다.

레이어위치 / 제공업체
컴퓨팅Hetzner CPX32, 뉘른베르크(독일)
데이터베이스동일한 VPS의 EU рези던트 — 데이터는 뉘른베르크 인프라를 벗어나지 않음
CDN / DNSCloudflare with EU-region cache rules(EU IP 요청은 EU 엣지에서 처리)
트랜잭션 이메일Brevo(구 Sendinblue), EU 기반, GDPR 준수 SMTP
PDF 저장Hetzner Storage Box(뉘른베르크) — signed-URL TTL 24시간, 국경 간 복제 없음
분석GA4 with anonymizeIp + 이벤트에 개인 데이터 없음(Plausible self-hosted 예정)
로그구조화된 JSON, IP 해시만 저장(원본 IP 없음), 30일 retention
  • EU 내 데이터 흐름만 — birth-data는 뉘른베르크를 벗어나지 않음
  • 개인 데이터의 국경 간 전송 없음 — 인프라 수준 구성으로 확인됨
  • IP 해싱 — 로그에는 SHA-256 해시 + 요청 빈도 제한을 위한 첫 16비트만 저장
  • 로그 30일 저장 — 이후 자동 삭제
  • ⚠️ 비식별 분석(GA4) — anonymize_ip + 이벤트에 개인 데이터 없음. Plausible self-hosted(쿠키 없음)는 계획 중. 마이그레이션 전까지 B2C 프론트엔드에 자체 쿠키 배너를 권장합니다.
  • 삭제 요청 권리: DELETE /v1/me/account (Bearer JWT, 본문 {"confirmation": "DELETE"}) — 계정 및 관련 데이터 즉시 삭제
  • 📄 DPA(Data Processing Agreement) — 표준 GDPR Art. 28 템플릿, 양측 서명 완료까지 5 영업일. legal@astroway.info로 문의.
  • 📋 서브프로세서 목록 — 각 업체의 준수 문서 포함(완전한 목록: Hetzner, Cloudflare, SMTP 제공업체, Stripe). Brevo는 DPA 부록에 명시된 SMTP 벤더입니다.
  • 🗂️ DPIA(Data Protection Impact Assessment) 입력 — 고객사의 법률팀이 DPIA를 수행한다면 AstroWay 측 기술 참고 자료 제공.
  • 🛡️ SOC 2 Type II — 계획 중(감사 firm 미정, ETA TBD). 블로킹 이슈가 있다면 legal@astroway.info로 문의 가능.
  • 🇪🇺 EU 내 법인 — 현재는 우크라이나 ФОП(Maxim Burkhan) 형태. 구매팀에서 독일/에스토니아 EU GmbH를 요구한다면 legal@astroway.info로 개별 협의(4-8주 소요).
  • 🔐 전용 인프라(선택 사항) — 뉘른베르크의 분리된 VPS, 격리된 DB, 공유 컴퓨팅 없음
  • 📞 보안 직접 연락처 — 보안 사고 대응을 위한 security@astroway.info

비교: AstroWay vs 미국 호스팅 경쟁사

섹션 제목: “비교: AstroWay vs 미국 호스팅 경쟁사”
EU 개발자에게 중요한 요소AstroWay Pro $59DivineAPIAstrologyAPIProkerala
EU 내 컴퓨팅✅ Hetzner 뉘른베르크❌ 미국❌ 미국❌ 인도
표준 DPA 제공✅ Pro+에서 즉시 가능❌ Enterprise만❌ Enterprise만❌ Enterprise만
GDPR 기본 준수✅ 인프라 수준에서 보장⚠️ SCC를 통한 준수⚠️ SCC를 통한 준수⚠️ SCC를 통한 준수
쿠키 없는 분석⚠️ GA4 비식별(Plausible 계획 중)❌ GA4❌ GA4❌ GA4
EU 내 데이터 흐름 보장✅ 서면 확인
DPIA 기술 입력✅ 제공
삭제 요청 엔드포인트DELETE /v1/me/account❌ 티켓을 통한 처리❌ 티켓을 통한 처리❌ 티켓을 통한 처리

EU рези던시, DPA, 인프라 수준의 GDPR 준수 — 모두 Pro $59/월에 포함됩니다. 별도 요금, 영업팀 문의, 맞춤형 가격 책정 없이 제공됩니다.

이는 AstroWay의 conscious 전략입니다: Hetzner 뉘른베르크 호스팅은 추가 비용이 들지 않으며(어차피 VPS는 뉘른베르크에 위치), DPA는 표준 템플릿을 이메일로 즉시 서명할 수 있습니다. 프라이버시는 기본이어야 할 사항이며, 추가 비용을 지불할 필요가 없습니다.

GDPR에 민감한 프로젝트에 Free 요금제를 사용할 수 있나요?

섹션 제목: “GDPR에 민감한 프로젝트에 Free 요금제를 사용할 수 있나요?”

네 — Free 요금제도 동일한 인프라(Hetzner 뉘른베르크), 동일한 비식별 분석, 동일한 30일 로그 보존을 제공합니다. Free 요금제에서는 DPA를 제공하지 않습니다(관리 오버헤드로, 유료 요금제에서만 비용 효율적). 기술적으로 데이터 처리는 동일합니다.

당신의 법률팀에서 서명된 DPA를 요구한다면, Indie($5/월)도 DPA를 제공하지 않습니다. 가장 저렴한 DPA 제공 요금제는 Pro $59입니다.

ECJ Schrems II 판결은 어떻게 되나요? Cloudflare CDN은 미국 기업 아닌가요?

섹션 제목: “ECJ Schrems II 판결은 어떻게 되나요? Cloudflare CDN은 미국 기업 아닌가요?”

Cloudflare는 미국 기업이지만, EU-region cache rules을 사용합니다(EU IP 요청은 EU 엣지에서 처리됩니다). 또한 원본 서버(실제 데이터 처리)는 Hetzner 뉘른베르크에 위치합니다. PII(birth-data)는 Cloudflare 엣지를 통과하지만 동일한 지역 내에 있으며 엣지에 저장되지 않고 투명하게 전달됩니다.

의료 애플리케이션, B2G 등 민감한 시나리오의 경우 Cloudflare 우회를 위해 DNS 라우팅을 원본 서버로 설정할 수 있습니다. legal@astroway.info로 문의하세요.

Pro 요금제 구독 후 DPA를 얼마나 빨리 받을 수 있나요?

섹션 제목: “Pro 요금제 구독 후 DPA를 얼마나 빨리 받을 수 있나요?”
  • 표준 DPA(AstroWay 템플릿) — 즉시 제공됩니다. 첫 결제 후 대시보드에서 astroway-dpa-v1.pdf 파일을 확인할 수 있습니다.
  • 고객사의 맞춤형 수정 — 3-5 영업일 소요. Art. 28 표준 조항에 대해서는 적극적으로 논의하지 않습니다.

PII가 없는 B2B 개발자라도 DPA를 서명해야 하나요?

섹션 제목: “PII가 없는 B2B 개발자라도 DPA를 서명해야 하나요?”

최종 제품이 PII를 처리한다면(예: birth-data는 PII에 해당) — 네, 당신의 법률팀은 모든 서브프로세서와의 DPA 서명을 요청할 가능성이 높습니다. AstroWay는 표준 DPA를 제공합니다. 내부용 통합(직원만 사용)인 경우 DPA가 필요 없을 수 있지만, 그래도 서명하는 것이 좋습니다.

DELETE /v1/me/account를 호출하면 AstroWay는 어떻게 처리하나요?

섹션 제목: “DELETE /v1/me/account를 호출하면 AstroWay는 어떻게 처리하나요?”
  • API 키 — 부드럽게 삭제됩니다(악용 방지 쿨다운 적용)
  • 계정-키 연결 — 끊어지며, 키는 재할당되지 않음
  • 사용자 프로필 — 삭제된 것으로 표시되며 타임스탬프 기록
  • 사용 로그 — IP 해시는 더 이상 PII가 아니므로 청구 감사용으로 남음
  • 주문 내역 — GDPR Art. 17 §3 e에 따라 7년간 재정 retention을 위해 보관
  • 트랜잭션 이메일 — SMTP 제공업체에서 90일 후 자동 삭제

전체 플로우는 legal@astroway.info로 요청 시 제공됩니다.

도움이 되었나요?
Запропонувати правку

마지막 업데이트: