API de astrologia GDPR-pronta para desenvolvedores da UE

A primeira API astrológica com residência total na UE. Se estás a desenvolver um produto B2C para o mercado europeu, a questão da conformidade com o RGPD surge antes mesmo de escreveres a primeira linha de código. O AstroWay resolve isso por defeito, sem custos adicionais nem ginástica jurídica.

Porque é que isto é importante

As restantes APIs astrológicas (DivineAPI, AstrologyAPI, Prokerala) estão alojadas nos EUA / Índia. Isto significa:

Os teus dados de nascimento (birth.date, birth.time, birth.lat, birth.lon = PII no sentido do RGPD) passam pelos EUA/Índia.
Divulgação de sub-processadores para a tua política de privacidade: tens de listar a jurisdição deles.
DPA (Data Processing Agreement) — ou não está disponível, ou só para Enterprise mediante contrato separado.
Risco de auditoria da Autoridade Europeia para a Proteção de Dados: transferência transfronteiriça sem SCC = multas de €10M+.

O AstroWay, no plano Pro ($59/mês), oferece-te residência na UE por defeito: todos os dados são processados em servidores Hetzner em Nuremberga, sem transferência transfronteiriça.

Stack tecnológica

Camada	Localização / Provedor
Compute	Hetzner CPX32, Nuremberga (Alemanha)
Base de dados	Residente na UE no mesmo VPS — os dados não saem da infraestrutura em Nuremberga
CDN / DNS	Cloudflare com regras de cache na região da UE (pedidos da UE são servidos por nós de extremidade da UE)
Email transacional	Brevo (antigo Sendinblue), baseado na UE, SMTP compatível com RGPD
Armazenamento de PDFs	Hetzner Storage Box (Nuremberga) — URLs assinados com TTL de 24h, sem replicação transfronteiriça
Análise	GA4 com anonymizeIp + sem dados pessoais em eventos (Plausible auto-hospedado na roadmap)
Logs	JSON estruturado, apenas hash de IP (sem IPs brutos), retenção de 30 dias

RGPD — o que oferecemos

Por defeito (para todas as chaves Pro+)

✅ Fluxo de dados apenas dentro da UE — dados de nascimento nunca saem de Nuremberga
✅ Sem transferência transfronteiriça de dados pessoais — confirmado pela configuração infra a nível
✅ Hash de IP — nos logs, apenas é guardado o SHA-256 do hash + os primeiros 16 bits para limitar a frequência de pedidos
✅ Retenção de logs por 30 dias — após este período, os logs são automaticamente eliminados
⚠️ Análise anonimizada (GA4) — anonymize_ip + sem dados pessoais em eventos. Plausible auto-hospedado (sem cookies) na roadmap. Até à migração, recomendamos a tua própria cookie banner no frontend B2C.
✅ Direito ao apagamento: DELETE /v1/me/account (Bearer JWT, body {"confirmation": "DELETE"}) — elimina imediatamente a tua conta e todos os dados associados do nosso sistema

Por pedido (assinantes Pro+)

📄 DPA (Data Processing Agreement) — modelo padrão do RGPD Art. 28, assinado bilateralmente em até 5 dias úteis. Envia email para legal@astroway.info.
📋 Lista de sub-processadores — lista completa (Hetzner, Cloudflare, o nosso provedor de SMTP, Stripe para clientes Stripe) com documentação de conformidade de cada um. O Brevo como provedor de SMTP está listado no anexo do DPA para clientes que o assinaram.
🗂️ Acesso ao DPIA (Data Protection Impact Assessment) — se a tua equipa jurídica está a fazer um DPIA para o teu produto, fornecemos um parecer técnico do nosso lado.

Para clientes Enterprise (plano personalizado)

🛡️ SOC 2 Type II — na roadmap (auditor ainda não selecionado, ETA TBD). Se isto bloquear a tua integração — envia email para legal@astroway.info, estamos abertos a considerar uma auditoria separada.
🇪🇺 Entidade jurídica na UE — forma jurídica atual: empresário em nome individual ucraniano (Maxim Burkhan). Se o teu departamento de compras exigir uma GmbH alemã/estoniana — discutimos caso a caso via legal@astroway.info, processo de 4-8 semanas.
🔐 Infraestrutura dedicada, se necessário — VPS separado em Nuremberga, base de dados isolada, compute não partilhado
📞 Canal direto de segurança — security@astroway.info para resposta a incidentes

Comparação: AstroWay vs. concorrentes com alojamento nos EUA

Crítico para desenvolvedores na UE	AstroWay Pro $59	DivineAPI	AstrologyAPI	Prokerala
Compute na UE	✅ Hetzner Nuremberga	❌ EUA	❌ EUA	❌ Índia
DPA padrão disponível	✅ no Pro+	❌ apenas Enterprise	❌ apenas Enterprise	❌ apenas Enterprise
Conformidade RGPD por defeito	✅ ao nível da infraestrutura	⚠️ via SCC	⚠️ via SCC	⚠️ via SCC
Análise sem cookies	⚠️ GA4 anonimizado (Plausible na roadmap)	❌ GA4	❌ GA4	❌ GA4
Garantia de fluxo de dados apenas na UE	✅ por escrito	❌	❌	❌
Acesso técnico ao DPIA	✅ fornecido	❌	❌	❌
Endpoint de direito ao apagamento	✅ `DELETE /v1/me/account`	❌ via ticket	❌ via ticket	❌ via ticket

Preço

Residência na UE, DPA, conformidade RGPD ao nível da infraestrutura — tudo incluído no plano Pro de $59/mês. Não é um plano separado, não é necessário contactar vendas, nem preços personalizados.

Esta é uma estratégia consciente: o alojamento no Hetzner não nos custa nada extra (o nosso VPS já está em Nuremberga de qualquer forma), e o DPA é um modelo padrão assinado uma vez via email. Não tens de pagar pela privacidade aquilo que devia ser padrão.

FAQ

Posso usar o plano Free para um projeto sensível ao RGPD?

Sim — o plano Free tem a mesma infraestrutura (Hetzner Nuremberga), a mesma análise anonimizada, a mesma retenção de logs de 30 dias. O DPA não está disponível no Free (é uma sobrecarga administrativa que só compensa em planos pagos), mas tecnicamente os dados são processados da mesma forma.

Se o teu advogado exigir um DPA assinado, o plano Indie ($5/mês) também não o inclui. A opção mais barata com DPA é o plano Pro de $59.

E o acórdão Schrems II da UE? O vosso CDN Cloudflare é uma empresa dos EUA?

O Cloudflare é dos EUA, mas nós usamos regras de cache na região da UE (pedidos com IP da UE são servidos por nós de extremidade da UE), e o servidor de origem (onde os dados são realmente processados) é o Hetzner em Nuremberga. Os dados pessoais (dados de nascimento) passam pelo nó Cloudflare na mesma região e não são armazenados no edge — apenas em trânsito.

Para cenários críticos (aplicações médicas, B2G), podes contornar o Cloudflare através de roteamento DNS direto para o servidor de origem — envia email para legal@astroway.info.

Quão rápido recebo o DPA após subscrever o plano Pro?

DPA padrão (nosso modelo) — instantaneamente, o ficheiro astroway-dpa-v1.pdf está disponível no dashboard após a primeira cobrança.
Alterações personalizadas do teu advogado — 3-5 dias úteis. Não discutimos agressivamente os pontos padrão do Art. 28.

Tenho de assinar o DPA se sou um desenvolvedor B2B sem PII próprio?

Se o teu produto final processa PII (e os dados de nascimento são PII), então sim, o teu advogado provavelmente vai pedir um DPA assinado com todos os sub-processadores. Nós fornecemos isso por padrão. Se a tua integração for interna (apenas colaboradores), provavelmente o DPA não é crítico, mas mesmo assim recomendamos assiná-lo.

O que faz o AstroWay quando eu executo `DELETE /v1/me/account`?

As chaves da API são suavemente eliminadas (cooldown anti-abuso)
A relação conta-chave é cortada; a chave não pode ser reatribuída
O perfil do utilizador é marcado como eliminado com carimbo de data/hora
Os logs de utilização — o hash de IP já não é PII, permanece para auditoria de faturação
Histórico de encomendas — é guardado (retenção legal financeira de 7 anos por RGPD Art. 17 §3 e)
Emails transacionais — são automaticamente eliminados pelo nosso provedor de SMTP após 90 dias

O fluxo completo está disponível mediante pedido via legal@astroway.info.

Contactos

Legal/DPA: legal@astroway.info
Incidentes de segurança: security@astroway.info
Lista de sub-processadores / DPIA: hello@astroway.info

Útil?

Запропонувати правку

Última atualização: 25 de mai. de 2026

// Anterior

Вартість ендпоінтів

Próximo //

Founders' Lifetime Deal