Bỏ qua để đến nội dung
AstroWay/api v2.102.11 · vi
tất cả hệ thống hoạt động bình thường

API thiên văn học GDPR sẵn sàng cho nhà phát triển EU

API thiên văn đầu tiên có toàn bộ dữ liệu cư trú trong EU. Nếu bạn đang phát triển sản phẩm B2C cho thị trường châu Âu, vấn đề tuân thủ GDPR sẽ xuất hiện ngay trước khi bạn viết dòng code đầu tiên. AstroWay giải quyết điều này mặc định, không có phụ phí hay thủ thuật pháp lý phức tạp.

Các API thiên văn khác (DivineAPI, AstrologyAPI, Prokerala) đặt máy chủ tại Mỹ/Ấn Độ. Điều này có nghĩa:

  • Dữ liệu birth.date, birth.time, birth.lat, birth.lon (=PII theo nghĩa GDPR) của bạn sẽ đi qua Mỹ/Ấn Độ.
  • Bạn phải khai báo nhà cung cấp phụ (subprocessor) trong chính sách bảo mật của mình.
  • DPA (Data Processing Agreement) — không có sẵn hoặc chỉ dành cho doanh nghiệp lớn với hợp đồng riêng.
  • Rủi ro kiểm toán từ Cơ quan Bảo vệ Dữ liệu châu Âu (DPA): chuyển dữ liệu xuyên biên giới mà không có SCC (Standard Contractual Clauses) có thể bị phạt tới 10 triệu euro.

AstroWay ở gói Pro ($59/tháng) cung cấp khả năng cư trú trong EU mặc định: tất cả dữ liệu được xử lý tại Hetzner Nuremberg, không có chuyển dữ liệu xuyên biên giới.

LớpVị trí / nhà cung cấp
ComputeHetzner CPX32, Nuremberg (Đức)
Cơ sở dữ liệuCư trú trong EU trên cùng VPS — dữ liệu không rời khỏi cơ sở hạ tầng Nuremberg
CDN / DNSCloudflare với quy tắc cache vùng EU (yêu cầu từ EU được phục vụ bởi các edge tại EU)
Email giao dịchBrevo (tên cũ Sendinblue), đặt tại EU, tuân thủ GDPR SMTP
Lưu trữ PDFHetzner Storage Box (Nuremberg) — URL ký có TTL 24h, không sao chép xuyên biên giới
Phân tíchGA4 với anonymizeIp + không dữ liệu cá nhân trong sự kiện (Plausible self-hosted trong roadmap)
LogsJSON có cấu trúc, chỉ hash IP (không lưu IP thô), giữ logs 30 ngày
  • Dòng dữ liệu chỉ trong phạm vi EU — dữ liệu sinh nhật không bao giờ rời khỏi Nuremberg
  • Không chuyển dữ liệu cá nhân xuyên biên giới — được xác nhận bởi cấu hình hạ tầng
  • Hash IP — logs chỉ lưu SHA-256 hash + 16 bit đầu tiên để giới hạn tần suất yêu cầu
  • Lưu logs 30 ngày — sau đó logs tự động bị xóa
  • ⚠️ Phân tích ẩn danh (GA4) — anonymize_ip + không dữ liệu cá nhân trong sự kiện. Plausible self-hosted (không cookie) — trong roadmap. Trước khi chuyển đổi, chúng tôi khuyên bạn nên có banner cookie riêng trên frontend B2C.
  • Quyền xóa dữ liệu: DELETE /v1/me/account (Bearer JWT, body {"confirmation": "DELETE"}) — xóa ngay lập tức tài khoản và tất cả dữ liệu liên quan khỏi hệ thống
  • 📄 DPA (Data Processing Agreement) — mẫu tiêu chuẩn theo GDPR Art. 28, được ký hai bên trong vòng 5 ngày làm việc. Email tới legal@astroway.info.
  • 📋 Danh sách nhà cung cấp phụ — danh sách đầy đủ (Hetzner, Cloudflare, nhà cung cấp SMTP của chúng tôi, Stripe cho khách hàng Stripe) với tài liệu tuân thủ của từng bên. Brevo được liệt kê trong phụ lục DPA cho khách hàng đã ký.
  • 🗂️ Đầu vào cho DPIA (Đánh giá tác động bảo vệ dữ liệu) — nếu đội pháp lý của bạn thực hiện DPIA cho sản phẩm, chúng tôi cung cấp tài liệu kỹ thuật từ phía chúng tôi.
  • 🛡️ SOC 2 Type II — trong roadmap (công ty kiểm toán chưa được xác định, ETA TBD). Nếu điều này chặn tích hợp của bạn — hãy viết tới legal@astroway.info, sẵn sàng xem xét hợp tác kiểm toán riêng.
  • 🇪🇺 Pháp nhân trong EU — hiện tại là FOP Ukraine (Maxim Burkhan). Nếu bộ phận mua hàng của bạn yêu cầu EU GmbH (Đức/Estonia) — chúng tôi thảo luận theo trường hợp qua legal@astroway.info, quy trình 4-8 tuần.
  • 🔐 Cơ sở hạ tầng dành riêng theo yêu cầu — VPS riêng tại Nuremberg, cơ sở dữ liệu cô lập, không dùng chung compute
  • 📞 Kênh trực tiếp về bảo mậtsecurity@astroway.info để phản ứng sự cố

So sánh: AstroWay vs đối thủ có máy chủ tại Mỹ

Phần tiêu đề “So sánh: AstroWay vs đối thủ có máy chủ tại Mỹ”
Quan trọng đối với nhà phát triển EUAstroWay Pro $59DivineAPIAstrologyAPIProkerala
Compute tại EU✅ Hetzner Nuremberg❌ Mỹ❌ Mỹ❌ Ấn Độ
DPA tiêu chuẩn sẵn có✅ trên Pro+❌ chỉ Enterprise❌ chỉ Enterprise❌ chỉ Enterprise
Tuân thủ GDPR mặc định✅ ở cấp hạ tầng⚠️ qua SCC⚠️ qua SCC⚠️ qua SCC
Phân tích không cookie⚠️ GA4 ẩn danh (Plausible trong roadmap)❌ GA4❌ GA4❌ GA4
Đảm bảo dòng dữ liệu chỉ trong EU✅ bằng văn bản
Đầu vào kỹ thuật cho DPIA✅ cung cấp
Endpoint quyền xóa dữ liệuDELETE /v1/me/account❌ qua ticket❌ qua ticket❌ qua ticket

Cư trú trong EU, DPA, tuân thủ GDPR ở cấp hạ tầng — tất cả đều được bao gồm trong gói Pro $59/tháng. Không phải gói riêng, không cần liên hệ phòng kinh doanh, không định giá cá nhân.

Đây là chiến lược có chủ đích: đặt máy chủ tại Hetzner không tốn thêm chi phí (VPS của chúng tôi luôn ở Nuremberg), còn DPA là mẫu tiêu chuẩn được ký qua email. Bạn không phải trả tiền cho quyền riêng tư vốn phải có sẵn.

Tôi có thể dùng gói Free cho dự án nhạy cảm GDPR không?

Phần tiêu đề “Tôi có thể dùng gói Free cho dự án nhạy cảm GDPR không?”

Có — gói Free dùng cùng hạ tầng (Hetzner Nuremberg), cùng phân tích ẩn danh, cùng giữ logs 30 ngày. DPA không có sẵn trên Free (đây là overhead hành chính chỉ bù đắp được ở cấp độ trả phí), nhưng về mặt kỹ thuật dữ liệu được xử lý như nhau.

Nếu luật sư của bạn yêu cầu DPA đã ký — ngay cả gói Indie ($5/tháng) cũng không cung cấp. Phương án rẻ nhất có DPA là Pro $59.

Với phán quyết ECJ Schrems II thì sao? CDN Cloudflare của bạn là công ty Mỹ?

Phần tiêu đề “Với phán quyết ECJ Schrems II thì sao? CDN Cloudflare của bạn là công ty Mỹ?”

Cloudflare là công ty Mỹ, nhưng chúng tôi sử dụng quy tắc cache vùng EU (yêu cầu từ IP EU được phục vụ bởi edge EU), còn origin server (nơi dữ liệu thực sự được xử lý) là Hetzner Nuremberg. Dữ liệu cá nhân (dữ liệu sinh nhật) đi qua edge Cloudflare trong cùng khu vực và không được lưu tại edge — chỉ đi qua.

Cho những kịch bản cực kỳ nhạy cảm (ứng dụng y tế, B2G), bạn có thể bỏ qua Cloudflare bằng cách định tuyến DNS trực tiếp tới origin — hãy viết tới legal@astroway.info.

Tôi sẽ nhận DPA nhanh như thế nào sau khi đăng ký Pro?

Phần tiêu đề “Tôi sẽ nhận DPA nhanh như thế nào sau khi đăng ký Pro?”
  • DPA tiêu chuẩn (mẫu của chúng tôi) — ngay lập tức, file astroway-dpa-v1.pdf có sẵn trong dashboard sau lần thanh toán đầu tiên.
  • Chỉnh sửa theo yêu cầu từ luật sư của bạn — 3-5 ngày làm việc. Chúng tôi không tranh luận gay gắt về các điều khoản tiêu chuẩn của Art. 28.

Tôi có cần ký DPA nếu tôi là nhà phát triển B2B không xử lý PII?

Phần tiêu đề “Tôi có cần ký DPA nếu tôi là nhà phát triển B2B không xử lý PII?”

Nếu sản phẩm cuối cùng của bạn xử lý PII (và dữ liệu sinh nhật là PII) — thì có, luật sư của bạn có thể yêu cầu DPA đã ký từ tất cả nhà cung cấp phụ. Chúng tôi cung cấp DPA theo tiêu chuẩn. Nếu tích hợp của bạn chỉ nội bộ (chỉ nhân viên sử dụng), có thể DPA không quan trọng, nhưng tốt nhất vẫn nên ký.

AstroWay làm gì khi tôi gọi DELETE /v1/me/account?

Phần tiêu đề “AstroWay làm gì khi tôi gọi DELETE /v1/me/account?”
  • Khóa API — bị xóa mềm (cooldown chống lạm dụng)
  • Liên kết tài khoản-khóa — bị ngắt; khóa không thể tái sử dụng
  • Hồ sơ người dùng — được đánh dấu là đã xóa với dấu thời gian
  • Logs sử dụng — hash IP không còn là PII, vẫn giữ cho kiểm toán thanh toán
  • Lịch sử đơn hàng — được lưu (bảo quản tài chính pháp lý 7 năm theo GDPR Art. 17 §3 e)
  • Email giao dịch — tự động xóa bởi nhà cung cấp SMTP sau 90 ngày

Toàn bộ quy trình có sẵn theo yêu cầu qua legal@astroway.info.

Hữu ích chứ?
Запропонувати правку

Cập nhật lần cuối: