Przejdź do głównej zawartości
AstroWay/api v2.102.11 · pl
wszystkie systemy w normie

GDPR-gotowy astryologiczny API dla deweloperów UE

Pierwsze API astrologiczne z pełną rezydentnością w UE. Jeśli tworzysz produkt B2C dla europejskiego rynku — kwestia zgodności z RODO pojawia się jeszcze zanim napiszesz pierwszą linijkę kodu. AstroWay rozwiązuje ją domyślnie, bez dodatkowych opłat i prawniczych akrobacji.

Pozostałe API astrologiczne (DivineAPI, AstrologyAPI, Prokerala) są hostowane w USA / Indiach. Oznacza to:

  • Twoje birth.date, birth.time, birth.lat, birth.lon (=PII w rozumieniu RODO) przechodzą przez USA/Indie.
  • Ujawnienie subprocesorów w polityce prywatności: musisz wymienić ich jurysdykcję.
  • Umowa o przetwarzaniu danych (DPA) — albo niedostępna, albo tylko w wersji Enterprise za dodatkowy kontrakt.
  • Ryzyko kontroli przez europejski organ ochrony danych: przekazywanie danych poza UE bez SCC = kary do 10 mln €.

AstroWay w cenie Pro ($59/mies.) daje ci rezydentność w UE domyślnie: wszystkie dane są przetwarzane w Hetzner w Norymberdze, bez przekazywania poza granice.

WarstwaLokalizacja / dostawca
ComputeHetzner CPX32, Norymberga (Niemcy)
Baza danychRezydentna w UE na tym samym VPS — dane nie opuszczają infrastruktury w Norymberdze
CDN / DNSCloudflare z regułami cache dla regionu UE (zapytania z UE są obsługiwane przez europejskie edge)
E-mail transactionalBrevo (dawniej Sendinblue), dostawca z UE, zgodny z RODO SMTP
Magazyn PDFHetzner Storage Box (Norymberga) — signed-URL z TTL 24h, bez replikacji poza granice
AnalizaGA4 z anonymizeIp + brak danych osobowych w zdarzeniach (Plausible self-hosted w roadmapie)
Logistrukturyzowany JSON, tylko hash IP (bez surowych adresów IP), retencja 30 dni
  • Przepływ danych wyłącznie w obrębie UE — dane urodzeniowe nigdy nie opuszczają Norymbergi
  • Brak przekazywania danych osobowych poza UE — potwierdzone konfiguracją na poziomie infrastruktury
  • Hashowanie adresów IP — w logach zapisywany jest jedynie skrót SHA-256 + pierwsze 16 bitów w celu ograniczenia częstotliwości zapytań
  • Retencja logów 30 dni — po tym okresie logi są automatycznie usuwane
  • ⚠️ Anonimowa analiza (GA4) — anonymize_ip + brak danych osobowych w zdarzeniach. Plausible self-hosted (bez cookies) — w roadmapie. Do migracji zalecamy własny baner cookies na froncie B2C.
  • Prawo do bycia zapomnianym: DELETE /v1/me/account (Bearer JWT, body {"confirmation": "DELETE"}) — natychmiastowe usunięcie twojego konta i wszystkich powiązanych danych z naszego systemu
  • 📄 Umowa o przetwarzaniu danych (DPA) — standardowy wzór zgodny z art. 28 RODO, podpisywany obustronnie w ciągu 5 dni roboczych. Wiadomość na legal@astroway.info.
  • 📋 Lista subprocesorów — pełna lista (Hetzner, Cloudflare, nasz dostawca SMTP, Stripe dla klientów Stripe) z dokumentami zgodności każdego z nich. Brevo jako dostawca SMTP jest wymieniony w załączniku do DPA dla klientów, którzy ją podpisali.
  • 🗂️ Wkład w ocenę skutków dla ochrony danych (DPIA) — jeśli twój zespół prawny przeprowadza DPIA dla swojego produktu, dostarczamy techniczny wkład z naszej strony.
  • 🛡️ SOC 2 Type II — w roadmapie (firma audytorska nie została jeszcze wybrana, ETA TBD). Jeśli to blokuje twoją integrację — napisz na legal@astroway.info, gotowi rozważyć współpracę audytową.
  • 🇪🇺 Podmiot prawny w UE — obecna forma prawna to ukraiński FOP (Maxim Burkhan). Jeśli twój dział zakupów wymaga EU GmbH (Niemcy / Estonia) — omawiamy indywidualnie przez legal@astroway.info, proces 4-8 tygodni.
  • 🔐 Dedykowana infrastruktura na żądanie — osobny VPS w Norymberdze, izolowana baza danych, nie współdzielony compute
  • 📞 Bezpośredni kanał do zespołu bezpieczeństwasecurity@astroway.info do reagowania na incydenty

Porównanie: AstroWay vs. konkurencja z hostingiem w USA

Dział zatytułowany „Porównanie: AstroWay vs. konkurencja z hostingiem w USA”
Krytyczne dla developera z UEAstroWay Pro $59DivineAPIAstrologyAPIProkerala
Compute w UE✅ Hetzner Norymberga❌ USA❌ USA❌ Indie
Standardowa DPA dostępna✅ w pakiecie Pro+❌ tylko Enterprise❌ tylko Enterprise❌ tylko Enterprise
Zgodność z RODO domyślnie✅ na poziomie infrastruktury⚠️ przez SCC⚠️ przez SCC⚠️ przez SCC
Analiza bez cookies⚠️ GA4 zanonimizowane (Plausible w roadmapie)❌ GA4❌ GA4❌ GA4
Gwarancja przepływu danych wyłącznie w UE✅ pisemne potwierdzenie
Wkład techniczny w DPIA✅ dostępny
Endpoint prawa do usunięciaDELETE /v1/me/account❌ przez ticket❌ przez ticket❌ przez ticket

Rezydentność w UE, DPA, zgodność z RODO na poziomie infrastruktury — wszystko w pakiecie Pro za $59/mies. Nie osobny pakiet, nie kontakt z działem sprzedaży, nie indywidualna wycena.

To świadoma strategia: hosting w Hetzner nie generuje dla nas dodatkowych kosztów (nasz VPS i tak jest w Norymberdze), a DPA to standardowy wzór podpisywany raz przez e-mail. Nie musisz płacić za prywatność, która powinna być domyślna.

Czy mogę używać darmowego pakietu do projektu wrażliwego pod względem RODO?

Dział zatytułowany „Czy mogę używać darmowego pakietu do projektu wrażliwego pod względem RODO?”

Tak — darmowy pakiet ma tę samą infrastrukturę (Hetzner Norymberga), tę samą anonimową analizę, tę samą retencję logów 30 dni. DPA w pakiecie Free nie jest dostępna (to administracyjny overhead, który zwraca się dopiero na płatnym poziomie), ale dane są przetwarzane w ten sam sposób.

Jeśli twój prawnik wymaga podpisanej DPA — pakiet Indie ($5/mies.) też jej nie zapewnia. Najtańsza opcja z DPA to Pro za $59.

Co z wyrokiem TSUE Schrems II? Wasz CDN Cloudflare to firma z USA?

Dział zatytułowany „Co z wyrokiem TSUE Schrems II? Wasz CDN Cloudflare to firma z USA?”

Cloudflare jest amerykański, ale używamy reguł cache dla regionu UE (zapytanie z IP z UE jest obsługiwane przez europejski edge), a serwer origin (gdzie dane są faktycznie przetwarzane) to Hetzner w Norymberdze. Dane osobowe (urodzeniowe) przechodzą przez europejski edge Cloudflare i nie są tam przechowywane — tylko w tranzycie.

W krytycznie wrażliwych scenariuszach (aplikacje medyczne, B2G) możesz ominąć Cloudflare poprzez routing DNS bezpośrednio na origin — napisz na legal@astroway.info.

  • Standardowa DPA (nasz wzór) — natychmiastowo, plik astroway-dpa-v1.pdf dostępny w panelu po pierwszym pobraniu.
  • Indywidualne poprawki od twojego prawnika — 3-5 dni roboczych. Nie prowadzimy agresywnych negocjacji przy standardowych punktach art. 28.

Czy muszę podpisywać DPA, jeśli jestem developerem B2B bez własnych PII?

Dział zatytułowany „Czy muszę podpisywać DPA, jeśli jestem developerem B2B bez własnych PII?”

Jeśli twój produkt końcowy przetwarza PII (a dane urodzeniowe to PII) — tak, twój prawnik prawdopodobnie poprosi o podpisaną DPA ze wszystkimi subprocesorami. My ją standardowo dostarczamy. Jeśli twoja integracja jest wewnętrzna (tylko pracownicy), DPA prawdopodobnie nie jest krytyczna, ale i tak warto ją podpisać.

  • Klucze API — są łagodnie usuwane (okres ochronny przed nadużyciami)
  • Powiązanie konto-klucz — zerwane; klucz nie może być ponownie przypisany
  • Profil użytkownika — oznaczony jako usunięty z datą
  • Logi użycia — hash IP nie jest już PII, pozostaje do audytu rozliczeń
  • Historia zamówień — jest zachowywana (retencja finansowa 7 lat zgodnie z art. 17 §3 e RODO)
  • Transakcyjne e-maile — są automatycznie usuwane przez naszego dostawcę SMTP po 90 dniach

Pełny flow dostępny na żądanie przez legal@astroway.info.

Przydatne?
Запропонувати правку

Ostatnia aktualizacja: