# API de astrologia GDPR-pronta para desenvolvedores da UE

**A primeira API astrológica com residência total na UE.** Se estás a desenvolver um produto B2C para o mercado europeu, a questão da conformidade com o RGPD surge antes mesmo de escreveres a primeira linha de código. O AstroWay resolve isso por defeito, sem custos adicionais nem ginástica jurídica.

<GetApiKeyBlock variant="compact" />

## Porque é que isto é importante

As restantes APIs astrológicas (DivineAPI, AstrologyAPI, Prokerala) **estão alojadas nos EUA / Índia**. Isto significa:

- Os teus dados de nascimento (`birth.date`, `birth.time`, `birth.lat`, `birth.lon` = PII no sentido do RGPD) passam pelos EUA/Índia.
- Divulgação de sub-processadores para a tua política de privacidade: tens de listar a jurisdição deles.
- DPA (Data Processing Agreement) — ou não está disponível, ou só para Enterprise mediante contrato separado.
- **Risco de auditoria da Autoridade Europeia para a Proteção de Dados**: transferência transfronteiriça sem SCC = multas de €10M+.

O AstroWay, no plano Pro ($59/mês), oferece-te **residência na UE por defeito**: todos os dados são processados em servidores Hetzner em Nuremberga, sem transferência transfronteiriça.

## Stack tecnológica

| Camada | Localização / Provedor |
|---|---|
| **Compute** | Hetzner CPX32, Nuremberga (Alemanha) |
| **Base de dados** | Residente na UE no mesmo VPS — **os dados não saem da infraestrutura em Nuremberga** |
| **CDN / DNS** | Cloudflare com regras de cache na região da UE (pedidos da UE são servidos por nós de extremidade da UE) |
| **Email transacional** | Brevo (antigo Sendinblue), baseado na UE, SMTP compatível com RGPD |
| **Armazenamento de PDFs** | Hetzner Storage Box (Nuremberga) — URLs assinados com TTL de 24h, sem replicação transfronteiriça |
| **Análise** | GA4 com anonymizeIp + sem dados pessoais em eventos (Plausible auto-hospedado na roadmap) |
| **Logs** | JSON estruturado, apenas hash de IP (sem IPs brutos), retenção de 30 dias |

## RGPD — o que oferecemos

### Por defeito (para todas as chaves Pro+)

- ✅ **Fluxo de dados apenas dentro da UE** — dados de nascimento nunca saem de Nuremberga
- ✅ **Sem transferência transfronteiriça de dados pessoais** — confirmado pela configuração infra a nível
- ✅ **Hash de IP** — nos logs, apenas é guardado o SHA-256 do hash + os primeiros 16 bits para limitar a frequência de pedidos
- ✅ **Retenção de logs por 30 dias** — após este período, os logs são automaticamente eliminados
- ⚠️ **Análise anonimizada (GA4)** — anonymize_ip + sem dados pessoais em eventos. Plausible auto-hospedado (sem cookies) na roadmap. Até à migração, recomendamos a tua própria cookie banner no frontend B2C.
- ✅ **Direito ao apagamento**: `DELETE /v1/me/account` (Bearer JWT, body `{"confirmation": "DELETE"}`) — elimina imediatamente a tua conta e todos os dados associados do nosso sistema

### Por pedido (assinantes Pro+)

- 📄 **DPA (Data Processing Agreement)** — modelo padrão do RGPD Art. 28, assinado bilateralmente em até 5 dias úteis. Envia email para `legal@astroway.info`.
- 📋 **Lista de sub-processadores** — lista completa (Hetzner, Cloudflare, o nosso provedor de SMTP, Stripe para clientes Stripe) com documentação de conformidade de cada um. O Brevo como provedor de SMTP está listado no anexo do DPA para clientes que o assinaram.
- 🗂️ **Acesso ao DPIA (Data Protection Impact Assessment)** — se a tua equipa jurídica está a fazer um DPIA para o teu produto, fornecemos um parecer técnico do nosso lado.

<Aside type="tip">
**O DPA não está vinculado ao plano Enterprise.** Ao contrário dos concorrentes, onde DPA = contacto com vendas → 2 semanas de negociação → preço individual, no nosso caso é assinado no plano Pro padrão de $59/mês, disponível imediatamente via email.
</Aside>

### Para clientes Enterprise (plano personalizado)

- 🛡️ **SOC 2 Type II** — na roadmap (auditor ainda não selecionado, ETA TBD). Se isto bloquear a tua integração — envia email para [legal@astroway.info](mailto:legal@astroway.info), estamos abertos a considerar uma auditoria separada.
- 🇪🇺 **Entidade jurídica na UE** — forma jurídica atual: empresário em nome individual ucraniano (Maxim Burkhan). Se o teu departamento de compras exigir uma GmbH alemã/estoniana — discutimos caso a caso via [legal@astroway.info](mailto:legal@astroway.info), processo de 4-8 semanas.
- 🔐 **Infraestrutura dedicada, se necessário** — VPS separado em Nuremberga, base de dados isolada, compute não partilhado
- 📞 **Canal direto de segurança** — `security@astroway.info` para resposta a incidentes

## Comparação: AstroWay vs. concorrentes com alojamento nos EUA

| Crítico para desenvolvedores na UE | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute na UE | ✅ Hetzner Nuremberga | ❌ EUA | ❌ EUA | ❌ Índia |
| DPA padrão disponível | ✅ no Pro+ | ❌ apenas Enterprise | ❌ apenas Enterprise | ❌ apenas Enterprise |
| Conformidade RGPD por defeito | ✅ ao nível da infraestrutura | ⚠️ via SCC | ⚠️ via SCC | ⚠️ via SCC |
| Análise sem cookies | ⚠️ GA4 anonimizado (Plausible na roadmap) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Garantia de fluxo de dados apenas na UE | ✅ por escrito | ❌ | ❌ | ❌ |
| Acesso técnico ao DPIA | ✅ fornecido | ❌ | ❌ | ❌ |
| Endpoint de direito ao apagamento | ✅ `DELETE /v1/me/account` | ❌ via ticket | ❌ via ticket | ❌ via ticket |

## Preço

Residência na UE, DPA, conformidade RGPD ao nível da infraestrutura — **tudo incluído no plano Pro de $59/mês**. Não é um plano separado, não é necessário contactar vendas, nem preços personalizados.

Esta é uma estratégia consciente: o alojamento no Hetzner não nos custa nada extra (o nosso VPS já está em Nuremberga de qualquer forma), e o DPA é um modelo padrão assinado uma vez via email. Não tens de pagar pela privacidade aquilo que devia ser padrão.

<CtaBlock
  title="Residência na UE, DPA, RGPD — tudo incluído"
  subtitle="Plano Pro padrão. Sem negociações, sem preços personalizados, DPA em 5 dias úteis."
  ctaText="Ativar Pro"
  ctaPriceTag="$59/mês"
  href="/pricing/#pro"
/>

## FAQ

### Posso usar o plano Free para um projeto sensível ao RGPD?

Sim — o plano Free tem a mesma infraestrutura (Hetzner Nuremberga), a mesma análise anonimizada, a mesma retenção de logs de 30 dias. **O DPA não está disponível no Free** (é uma sobrecarga administrativa que só compensa em planos pagos), mas tecnicamente os dados são processados da mesma forma.

Se o teu advogado exigir um DPA assinado, o plano Indie ($5/mês) também não o inclui. A opção mais barata com DPA é o **plano Pro de $59**.

### E o acórdão Schrems II da UE? O vosso CDN Cloudflare é uma empresa dos EUA?

O Cloudflare é dos EUA, mas nós usamos **regras de cache na região da UE** (pedidos com IP da UE são servidos por nós de extremidade da UE), e o **servidor de origem** (onde os dados são realmente processados) é o Hetzner em Nuremberga. Os dados pessoais (dados de nascimento) passam pelo nó Cloudflare na mesma região e não são armazenados no edge — apenas em trânsito.

Para cenários críticos (aplicações médicas, B2G), podes **contornar o Cloudflare** através de roteamento DNS direto para o servidor de origem — envia email para `legal@astroway.info`.

### Quão rápido recebo o DPA após subscrever o plano Pro?

- **DPA padrão** (nosso modelo) — instantaneamente, o ficheiro `astroway-dpa-v1.pdf` está disponível no dashboard após a primeira cobrança.
- **Alterações personalizadas** do teu advogado — 3-5 dias úteis. Não discutimos agressivamente os pontos padrão do Art. 28.

### Tenho de assinar o DPA se sou um desenvolvedor B2B sem PII próprio?

Se o teu produto final processa PII (e os dados de nascimento são PII), então sim, o teu advogado provavelmente vai pedir um DPA assinado com todos os sub-processadores. Nós fornecemos isso por padrão. Se a tua integração for interna (apenas colaboradores), provavelmente o DPA não é crítico, mas mesmo assim recomendamos assiná-lo.

### O que faz o AstroWay quando eu executo `DELETE /v1/me/account`?

- As chaves da API são suavemente eliminadas (cooldown anti-abuso)
- A relação conta-chave é cortada; a chave não pode ser reatribuída
- O perfil do utilizador é marcado como eliminado com carimbo de data/hora
- Os logs de utilização — o hash de IP já não é PII, permanece para auditoria de faturação
- Histórico de encomendas — é guardado (retenção legal financeira de 7 anos por RGPD Art. 17 §3 e)
- Emails transacionais — são automaticamente eliminados pelo nosso provedor de SMTP após 90 dias

O fluxo completo está disponível mediante pedido via [legal@astroway.info](mailto:legal@astroway.info).

## Contactos

- **Legal/DPA**: [legal@astroway.info](mailto:legal@astroway.info)
- **Incidentes de segurança**: [security@astroway.info](mailto:security@astroway.info)
- **Lista de sub-processadores / DPIA**: [hello@astroway.info](mailto:hello@astroway.info)

<CtaBlock
  title="Pronto para começar?"
  subtitle="Plano Pro de $59/mês — residência na UE, DPA, prontidão RGPD por defeito."
  ctaText="Ativar Pro"
  ctaPriceTag="$59/mês"
  href="/pricing/#pro"
/>
