API thiên văn học GDPR sẵn sàng cho nhà phát triển EU
API thiên văn đầu tiên có toàn bộ dữ liệu cư trú trong EU. Nếu bạn đang phát triển sản phẩm B2C cho thị trường châu Âu, vấn đề tuân thủ GDPR sẽ xuất hiện ngay trước khi bạn viết dòng code đầu tiên. AstroWay giải quyết điều này mặc định, không có phụ phí hay thủ thuật pháp lý phức tạp.
Tại sao điều này quan trọng?
Phần tiêu đề “Tại sao điều này quan trọng?”Các API thiên văn khác (DivineAPI, AstrologyAPI, Prokerala) đặt máy chủ tại Mỹ/Ấn Độ. Điều này có nghĩa:
- Dữ liệu
birth.date,birth.time,birth.lat,birth.lon(=PII theo nghĩa GDPR) của bạn sẽ đi qua Mỹ/Ấn Độ. - Bạn phải khai báo nhà cung cấp phụ (subprocessor) trong chính sách bảo mật của mình.
- DPA (Data Processing Agreement) — không có sẵn hoặc chỉ dành cho doanh nghiệp lớn với hợp đồng riêng.
- Rủi ro kiểm toán từ Cơ quan Bảo vệ Dữ liệu châu Âu (DPA): chuyển dữ liệu xuyên biên giới mà không có SCC (Standard Contractual Clauses) có thể bị phạt tới 10 triệu euro.
AstroWay ở gói Pro ($59/tháng) cung cấp khả năng cư trú trong EU mặc định: tất cả dữ liệu được xử lý tại Hetzner Nuremberg, không có chuyển dữ liệu xuyên biên giới.
Stack kỹ thuật
Phần tiêu đề “Stack kỹ thuật”| Lớp | Vị trí / nhà cung cấp |
|---|---|
| Compute | Hetzner CPX32, Nuremberg (Đức) |
| Cơ sở dữ liệu | Cư trú trong EU trên cùng VPS — dữ liệu không rời khỏi cơ sở hạ tầng Nuremberg |
| CDN / DNS | Cloudflare với quy tắc cache vùng EU (yêu cầu từ EU được phục vụ bởi các edge tại EU) |
| Email giao dịch | Brevo (tên cũ Sendinblue), đặt tại EU, tuân thủ GDPR SMTP |
| Lưu trữ PDF | Hetzner Storage Box (Nuremberg) — URL ký có TTL 24h, không sao chép xuyên biên giới |
| Phân tích | GA4 với anonymizeIp + không dữ liệu cá nhân trong sự kiện (Plausible self-hosted trong roadmap) |
| Logs | JSON có cấu trúc, chỉ hash IP (không lưu IP thô), giữ logs 30 ngày |
GDPR — những gì chúng tôi cung cấp
Phần tiêu đề “GDPR — những gì chúng tôi cung cấp”Mặc định (cho tất cả khóa Pro+)
Phần tiêu đề “Mặc định (cho tất cả khóa Pro+)”- ✅ Dòng dữ liệu chỉ trong phạm vi EU — dữ liệu sinh nhật không bao giờ rời khỏi Nuremberg
- ✅ Không chuyển dữ liệu cá nhân xuyên biên giới — được xác nhận bởi cấu hình hạ tầng
- ✅ Hash IP — logs chỉ lưu SHA-256 hash + 16 bit đầu tiên để giới hạn tần suất yêu cầu
- ✅ Lưu logs 30 ngày — sau đó logs tự động bị xóa
- ⚠️ Phân tích ẩn danh (GA4) — anonymize_ip + không dữ liệu cá nhân trong sự kiện. Plausible self-hosted (không cookie) — trong roadmap. Trước khi chuyển đổi, chúng tôi khuyên bạn nên có banner cookie riêng trên frontend B2C.
- ✅ Quyền xóa dữ liệu:
DELETE /v1/me/account(Bearer JWT, body{"confirmation": "DELETE"}) — xóa ngay lập tức tài khoản và tất cả dữ liệu liên quan khỏi hệ thống
Theo yêu cầu (người đăng ký Pro+)
Phần tiêu đề “Theo yêu cầu (người đăng ký Pro+)”- 📄 DPA (Data Processing Agreement) — mẫu tiêu chuẩn theo GDPR Art. 28, được ký hai bên trong vòng 5 ngày làm việc. Email tới
legal@astroway.info. - 📋 Danh sách nhà cung cấp phụ — danh sách đầy đủ (Hetzner, Cloudflare, nhà cung cấp SMTP của chúng tôi, Stripe cho khách hàng Stripe) với tài liệu tuân thủ của từng bên. Brevo được liệt kê trong phụ lục DPA cho khách hàng đã ký.
- 🗂️ Đầu vào cho DPIA (Đánh giá tác động bảo vệ dữ liệu) — nếu đội pháp lý của bạn thực hiện DPIA cho sản phẩm, chúng tôi cung cấp tài liệu kỹ thuật từ phía chúng tôi.
Cho khách hàng Enterprise (gói tùy chỉnh)
Phần tiêu đề “Cho khách hàng Enterprise (gói tùy chỉnh)”- 🛡️ SOC 2 Type II — trong roadmap (công ty kiểm toán chưa được xác định, ETA TBD). Nếu điều này chặn tích hợp của bạn — hãy viết tới legal@astroway.info, sẵn sàng xem xét hợp tác kiểm toán riêng.
- 🇪🇺 Pháp nhân trong EU — hiện tại là FOP Ukraine (Maxim Burkhan). Nếu bộ phận mua hàng của bạn yêu cầu EU GmbH (Đức/Estonia) — chúng tôi thảo luận theo trường hợp qua legal@astroway.info, quy trình 4-8 tuần.
- 🔐 Cơ sở hạ tầng dành riêng theo yêu cầu — VPS riêng tại Nuremberg, cơ sở dữ liệu cô lập, không dùng chung compute
- 📞 Kênh trực tiếp về bảo mật —
security@astroway.infođể phản ứng sự cố
So sánh: AstroWay vs đối thủ có máy chủ tại Mỹ
Phần tiêu đề “So sánh: AstroWay vs đối thủ có máy chủ tại Mỹ”| Quan trọng đối với nhà phát triển EU | AstroWay Pro $59 | DivineAPI | AstrologyAPI | Prokerala |
|---|---|---|---|---|
| Compute tại EU | ✅ Hetzner Nuremberg | ❌ Mỹ | ❌ Mỹ | ❌ Ấn Độ |
| DPA tiêu chuẩn sẵn có | ✅ trên Pro+ | ❌ chỉ Enterprise | ❌ chỉ Enterprise | ❌ chỉ Enterprise |
| Tuân thủ GDPR mặc định | ✅ ở cấp hạ tầng | ⚠️ qua SCC | ⚠️ qua SCC | ⚠️ qua SCC |
| Phân tích không cookie | ⚠️ GA4 ẩn danh (Plausible trong roadmap) | ❌ GA4 | ❌ GA4 | ❌ GA4 |
| Đảm bảo dòng dữ liệu chỉ trong EU | ✅ bằng văn bản | ❌ | ❌ | ❌ |
| Đầu vào kỹ thuật cho DPIA | ✅ cung cấp | ❌ | ❌ | ❌ |
| Endpoint quyền xóa dữ liệu | ✅ DELETE /v1/me/account | ❌ qua ticket | ❌ qua ticket | ❌ qua ticket |
Giá cả
Phần tiêu đề “Giá cả”Cư trú trong EU, DPA, tuân thủ GDPR ở cấp hạ tầng — tất cả đều được bao gồm trong gói Pro $59/tháng. Không phải gói riêng, không cần liên hệ phòng kinh doanh, không định giá cá nhân.
Đây là chiến lược có chủ đích: đặt máy chủ tại Hetzner không tốn thêm chi phí (VPS của chúng tôi luôn ở Nuremberg), còn DPA là mẫu tiêu chuẩn được ký qua email. Bạn không phải trả tiền cho quyền riêng tư vốn phải có sẵn.
Câu hỏi thường gặp
Phần tiêu đề “Câu hỏi thường gặp”Tôi có thể dùng gói Free cho dự án nhạy cảm GDPR không?
Phần tiêu đề “Tôi có thể dùng gói Free cho dự án nhạy cảm GDPR không?”Có — gói Free dùng cùng hạ tầng (Hetzner Nuremberg), cùng phân tích ẩn danh, cùng giữ logs 30 ngày. DPA không có sẵn trên Free (đây là overhead hành chính chỉ bù đắp được ở cấp độ trả phí), nhưng về mặt kỹ thuật dữ liệu được xử lý như nhau.
Nếu luật sư của bạn yêu cầu DPA đã ký — ngay cả gói Indie ($5/tháng) cũng không cung cấp. Phương án rẻ nhất có DPA là Pro $59.
Với phán quyết ECJ Schrems II thì sao? CDN Cloudflare của bạn là công ty Mỹ?
Phần tiêu đề “Với phán quyết ECJ Schrems II thì sao? CDN Cloudflare của bạn là công ty Mỹ?”Cloudflare là công ty Mỹ, nhưng chúng tôi sử dụng quy tắc cache vùng EU (yêu cầu từ IP EU được phục vụ bởi edge EU), còn origin server (nơi dữ liệu thực sự được xử lý) là Hetzner Nuremberg. Dữ liệu cá nhân (dữ liệu sinh nhật) đi qua edge Cloudflare trong cùng khu vực và không được lưu tại edge — chỉ đi qua.
Cho những kịch bản cực kỳ nhạy cảm (ứng dụng y tế, B2G), bạn có thể bỏ qua Cloudflare bằng cách định tuyến DNS trực tiếp tới origin — hãy viết tới legal@astroway.info.
Tôi sẽ nhận DPA nhanh như thế nào sau khi đăng ký Pro?
Phần tiêu đề “Tôi sẽ nhận DPA nhanh như thế nào sau khi đăng ký Pro?”- DPA tiêu chuẩn (mẫu của chúng tôi) — ngay lập tức, file
astroway-dpa-v1.pdfcó sẵn trong dashboard sau lần thanh toán đầu tiên. - Chỉnh sửa theo yêu cầu từ luật sư của bạn — 3-5 ngày làm việc. Chúng tôi không tranh luận gay gắt về các điều khoản tiêu chuẩn của Art. 28.
Tôi có cần ký DPA nếu tôi là nhà phát triển B2B không xử lý PII?
Phần tiêu đề “Tôi có cần ký DPA nếu tôi là nhà phát triển B2B không xử lý PII?”Nếu sản phẩm cuối cùng của bạn xử lý PII (và dữ liệu sinh nhật là PII) — thì có, luật sư của bạn có thể yêu cầu DPA đã ký từ tất cả nhà cung cấp phụ. Chúng tôi cung cấp DPA theo tiêu chuẩn. Nếu tích hợp của bạn chỉ nội bộ (chỉ nhân viên sử dụng), có thể DPA không quan trọng, nhưng tốt nhất vẫn nên ký.
AstroWay làm gì khi tôi gọi DELETE /v1/me/account?
Phần tiêu đề “AstroWay làm gì khi tôi gọi DELETE /v1/me/account?”- Khóa API — bị xóa mềm (cooldown chống lạm dụng)
- Liên kết tài khoản-khóa — bị ngắt; khóa không thể tái sử dụng
- Hồ sơ người dùng — được đánh dấu là đã xóa với dấu thời gian
- Logs sử dụng — hash IP không còn là PII, vẫn giữ cho kiểm toán thanh toán
- Lịch sử đơn hàng — được lưu (bảo quản tài chính pháp lý 7 năm theo GDPR Art. 17 §3 e)
- Email giao dịch — tự động xóa bởi nhà cung cấp SMTP sau 90 ngày
Toàn bộ quy trình có sẵn theo yêu cầu qua legal@astroway.info.
Liên hệ
Phần tiêu đề “Liên hệ”- Pháp lý/DPA: legal@astroway.info
- Sự cố bảo mật: security@astroway.info
- Danh sách nhà cung cấp phụ / DPIA: hello@astroway.info