API-Nutzungsrichtlinie
Übersetzungshinweis
⚠️ WICHTIGER HINWEIS: Dieses Dokument wurde aus dem Türkischen übersetzt. Bei Unstimmigkeiten zwischen dieser Übersetzung und dem türkischen Original ist die türkische Version maßgebend.
Das türkische Originaldokument finden Sie unter: https://evaste.co/tr/legal-center/api-usage-policy
1. Einführung und Geltungsbereich
1.1. Zweck
Diese API-Nutzungsrichtlinie ("Richtlinie") regelt die Nutzung der Evaste-APIs, einschließlich Bedingungen, Einschränkungen und Anforderungen. Durch die Nutzung der API können Sie programmatisch auf die Datenschutz- und Einwilligungsverwaltungsdienste von Evaste zugreifen.
1.2. Definitionen
"API": Application Programming Interface - Schnittstelle für den programmatischen Zugriff auf Evaste-Dienste.
"API-Schlüssel": Eindeutiger Authentifizierungsschlüssel für den API-Zugriff.
"Endpoint": Eine bestimmte Funktion oder Ressource, die über die API zugänglich ist.
"Rate Limit": Maximale Anzahl von API-Aufrufen in einem bestimmten Zeitraum.
"Webhook": HTTP-Callbacks, die Evaste an Kundensysteme sendet, wenn bestimmte Ereignisse eintreten.
"SDK": Software Development Kit - Bibliotheken zur Erleichterung der API-Integration.
1.3. Geltungsbereich
Diese Richtlinie gilt für: REST API (v2), GraphQL API, Webhook-Zustellungssystem, JavaScript SDK, Server-seitige SDKs (Node.js, Python, PHP, Ruby).
2. API-Zugang und Authentifizierung
2.1. Zugriffsanforderungen
Für den API-Zugriff ist erforderlich: Aktives Evaste-Konto, Abonnementplan mit API-Zugang, Generierter API-Schlüssel, Akzeptanz dieser Richtlinie.
2.2. API-Schlüssel-Typen
| Schlüsseltyp | Umfang | Anwendungsfall |
|---|---|---|
| Public Key | Nur-Lesen | Frontend-Integrationen |
| Secret Key | Vollzugriff | Backend-Integrationen |
| Webhook Key | Verifizierung | Webhook-Signaturprüfung |
| Test Key | Sandbox | Entwicklung/Test |
2.3. Authentifizierungsmethoden: API Key Authentication (X-API-Key Header), Bearer Token Authentication, OAuth 2.0 (Enterprise-Pläne).
2.4. API-Schlüssel-Sicherheit (OBLIGATORISCH): Secret Keys niemals im Client-seitigen Code verwenden, API-Schlüssel nicht im Quellcode speichern, Umgebungsvariablen oder sichere Vault-Systeme verwenden, API-Schlüssel regelmäßig rotieren (empfohlen: 90 Tage).
3. Nutzungslimits und Kontingente
3.1. Rate Limiting
| Plan | Anfragen/Minute | Anfragen/Stunde | Anfragen/Tag |
|---|---|---|---|
| Pro | 100 | 3.000 | 50.000 |
| Enterprise | 1.000 | 30.000 | 500.000 |
| Enterprise Plus | 10.000 | 300.000 | 5.000.000 |
3.2. Endpoint-spezifische Limits: Read (GET) = Plan-Limit, Write (POST/PUT) = Plan-Limit x 0,5, Delete = Plan-Limit x 0,2, Bulk Operations = Plan-Limit x 0,1.
3.3. Burst-Limit: Pro (200/s für 10s), Enterprise (500/s für 30s), Enterprise Plus (2.000/s für 60s).
3.4. Rate Limit-Überschreitung: HTTP 429 Antwort, Retry-After Header gibt Wartezeit an, Kontinuierliche Überschreitung kann zur Kontosperrung führen.
4. API-Nutzungsregeln
4.1. Allgemeine Regeln: API nur für dokumentierte Zwecke verwenden, Alle API-Aufrufe über HTTPS, Fehlerantworten angemessen behandeln.
4.2. Client-Anforderungen: Gültiger User-Agent Header, Content-Type: application/json, Accept: application/json.
4.3. Datenformat: Anfragen/Antworten in JSON, Daten im ISO 8601 Format (UTC), Kodierung UTF-8.
4.4. Paginierung: Standard-Seitengröße 20, Maximum 100, Cursor-basierte Paginierung bevorzugt.
4.5. Idempotenz: Idempotency-Key Header für kritische Schreiboperationen verwenden, UUID v4 Format empfohlen.
5. Datensicherheit und Datenschutz
5.1. Datenverschlüsselung: Gesamter API-Verkehr mit TLS 1.2+ verschlüsselt, Mindest-Cipher-Stärke AES-256.
5.2. Verarbeitung personenbezogener Daten: DSGVO- und KVKK-Anforderungen einhalten, Datenminimierungsprinzip anwenden, Betroffenenrechte unterstützen.
5.3. Audit-Logging: Alle API-Aufrufe werden protokolliert, 90 Tage Online-Zugriff, 1 Jahr Archivierung.
6. API-Versionierung
6.1. Versionspolitik: Semantische Versionierung (vMajor.Minor), Aktuelle stabile Version: v2, Legacy-Version v1 (deprecated, endet Q4 2026).
6.2. Version angeben: URL-Pfad (empfohlen): /api/v2/consents, Header: X-API-Version: 2.
6.3. Abwärtskompatibilität: Minor-Updates sind abwärtskompatibel.
6.4. Deprecation-Politik: Deprecated Features mindestens 12 Monate unterstützt, Breaking Changes 6 Monate Vorankündigung.
7. Integrationsanforderungen
7.1. Offizielle SDKs: JavaScript (@evaste/js-sdk), Python (evaste-python), PHP (evaste/php-sdk), Ruby (evaste-ruby), Java (evaste-java), .NET (Evaste.SDK).
7.2. SDK-Nutzung EMPFOHLEN: Automatischer Retry-Mechanismus, Rate-Limit-Handling, Fehlerbehandlung, Type Safety.
7.3. Webhook-Integration: HTTPS-Endpoint erforderlich, POST-Anfragen akzeptieren, Antwort innerhalb von 5 Sekunden, 2xx Antwortcode. Signaturprüfung ist OBLIGATORISCH.
7.4. Testumgebung: Base URL: https://api.sandbox.evaste.co
8. Fehlerbehandlung
8.1. HTTP-Statuscodes: 200 (Erfolg), 400 (Fehlerhafte Anfrage), 401 (Nicht autorisiert), 403 (Verboten), 404 (Nicht gefunden), 429 (Zu viele Anfragen), 500 (Serverfehler).
8.2. Retry-Strategie: Exponential Backoff verwenden, Erster Retry: 1 Sekunde, Maximum: 5 Versuche, Jitter hinzufügen.
9. Verbotene Nutzungen
9.1. Streng verboten: Ausnutzung von API-Sicherheitslücken, Authentifizierungs-Bypass-Versuche, DDoS/DoS-Angriffe, Scraping, Illegale Aktivitäten.
9.2. Eingeschränkte Nutzungen (schriftliche Genehmigung erforderlich): Hochvolumige Datenübertragung (1M+ Anfragen/Tag), API-Nutzung in Drittanwendungen, White-Label-Integrationen.
10. Haftung und Garantien
10.1. Evaste verpflichtet sich: API funktioniert wie dokumentiert, Sicherheitslücken zeitnah beheben, Geplante Wartungen vorankündigen.
10.2. Garantieausschluss: API wird "WIE BESEHEN" bereitgestellt. Evaste garantiert NICHT: Unterbrechungsfreien Zugang, Fehlerfreien Betrieb.
10.3. Haftungsbeschränkung: Maximale Haftung auf die in den letzten 12 Monaten gezahlten Gebühren begrenzt.
11. API-Änderungen und Beendigung
11.1. Änderungsbenachrichtigung: Neue Funktion (sofort), Minor-Änderung (30 Tage), Breaking Change (6 Monate), API-Beendigung (12 Monate).
11.2. Benachrichtigungskanäle: api-updates@evaste.co, Developer Blog, Dashboard-Benachrichtigungen.
11.3. Datenexport: 30 Tage Exportfrist vor Beendigung.
Kontaktinformationen
Evaste API-Team
API-Support: api-support@evaste.co
Sicherheit: security@evaste.co
Dokumentation: https://docs.evaste.co
API-Referenz: https://api.evaste.co/docs
Sandbox: https://api.sandbox.evaste.co
API-Nutzungsrichtlinie
Übersetzungshinweis
⚠️ WICHTIGER HINWEIS: Dieses Dokument wurde aus dem Türkischen übersetzt. Bei Unstimmigkeiten zwischen dieser Übersetzung und dem türkischen Original ist die türkische Version maßgebend.
Das türkische Originaldokument finden Sie unter: https://evaste.co/tr/legal-center/api-usage-policy
1. Einführung und Geltungsbereich
1.1. Zweck
Diese API-Nutzungsrichtlinie ("Richtlinie") regelt die Nutzung der Evaste-APIs, einschließlich Bedingungen, Einschränkungen und Anforderungen. Durch die Nutzung der API können Sie programmatisch auf die Datenschutz- und Einwilligungsverwaltungsdienste von Evaste zugreifen.
1.2. Definitionen
"API": Application Programming Interface - Schnittstelle für den programmatischen Zugriff auf Evaste-Dienste.
"API-Schlüssel": Eindeutiger Authentifizierungsschlüssel für den API-Zugriff.
"Endpoint": Eine bestimmte Funktion oder Ressource, die über die API zugänglich ist.
"Rate Limit": Maximale Anzahl von API-Aufrufen in einem bestimmten Zeitraum.
"Webhook": HTTP-Callbacks, die Evaste an Kundensysteme sendet, wenn bestimmte Ereignisse eintreten.
"SDK": Software Development Kit - Bibliotheken zur Erleichterung der API-Integration.
1.3. Geltungsbereich
Diese Richtlinie gilt für: REST API (v2), GraphQL API, Webhook-Zustellungssystem, JavaScript SDK, Server-seitige SDKs (Node.js, Python, PHP, Ruby).
2. API-Zugang und Authentifizierung
2.1. Zugriffsanforderungen
Für den API-Zugriff ist erforderlich: Aktives Evaste-Konto, Abonnementplan mit API-Zugang, Generierter API-Schlüssel, Akzeptanz dieser Richtlinie.
2.2. API-Schlüssel-Typen
| Schlüsseltyp | Umfang | Anwendungsfall |
|---|---|---|
| Public Key | Nur-Lesen | Frontend-Integrationen |
| Secret Key | Vollzugriff | Backend-Integrationen |
| Webhook Key | Verifizierung | Webhook-Signaturprüfung |
| Test Key | Sandbox | Entwicklung/Test |
2.3. Authentifizierungsmethoden: API Key Authentication (X-API-Key Header), Bearer Token Authentication, OAuth 2.0 (Enterprise-Pläne).
2.4. API-Schlüssel-Sicherheit (OBLIGATORISCH): Secret Keys niemals im Client-seitigen Code verwenden, API-Schlüssel nicht im Quellcode speichern, Umgebungsvariablen oder sichere Vault-Systeme verwenden, API-Schlüssel regelmäßig rotieren (empfohlen: 90 Tage).
3. Nutzungslimits und Kontingente
3.1. Rate Limiting
| Plan | Anfragen/Minute | Anfragen/Stunde | Anfragen/Tag |
|---|---|---|---|
| Pro | 100 | 3.000 | 50.000 |
| Enterprise | 1.000 | 30.000 | 500.000 |
| Enterprise Plus | 10.000 | 300.000 | 5.000.000 |
3.2. Endpoint-spezifische Limits: Read (GET) = Plan-Limit, Write (POST/PUT) = Plan-Limit x 0,5, Delete = Plan-Limit x 0,2, Bulk Operations = Plan-Limit x 0,1.
3.3. Burst-Limit: Pro (200/s für 10s), Enterprise (500/s für 30s), Enterprise Plus (2.000/s für 60s).
3.4. Rate Limit-Überschreitung: HTTP 429 Antwort, Retry-After Header gibt Wartezeit an, Kontinuierliche Überschreitung kann zur Kontosperrung führen.
4. API-Nutzungsregeln
4.1. Allgemeine Regeln: API nur für dokumentierte Zwecke verwenden, Alle API-Aufrufe über HTTPS, Fehlerantworten angemessen behandeln.
4.2. Client-Anforderungen: Gültiger User-Agent Header, Content-Type: application/json, Accept: application/json.
4.3. Datenformat: Anfragen/Antworten in JSON, Daten im ISO 8601 Format (UTC), Kodierung UTF-8.
4.4. Paginierung: Standard-Seitengröße 20, Maximum 100, Cursor-basierte Paginierung bevorzugt.
4.5. Idempotenz: Idempotency-Key Header für kritische Schreiboperationen verwenden, UUID v4 Format empfohlen.
5. Datensicherheit und Datenschutz
5.1. Datenverschlüsselung: Gesamter API-Verkehr mit TLS 1.2+ verschlüsselt, Mindest-Cipher-Stärke AES-256.
5.2. Verarbeitung personenbezogener Daten: DSGVO- und KVKK-Anforderungen einhalten, Datenminimierungsprinzip anwenden, Betroffenenrechte unterstützen.
5.3. Audit-Logging: Alle API-Aufrufe werden protokolliert, 90 Tage Online-Zugriff, 1 Jahr Archivierung.
6. API-Versionierung
6.1. Versionspolitik: Semantische Versionierung (vMajor.Minor), Aktuelle stabile Version: v2, Legacy-Version v1 (deprecated, endet Q4 2026).
6.2. Version angeben: URL-Pfad (empfohlen): /api/v2/consents, Header: X-API-Version: 2.
6.3. Abwärtskompatibilität: Minor-Updates sind abwärtskompatibel.
6.4. Deprecation-Politik: Deprecated Features mindestens 12 Monate unterstützt, Breaking Changes 6 Monate Vorankündigung.
7. Integrationsanforderungen
7.1. Offizielle SDKs: JavaScript (@evaste/js-sdk), Python (evaste-python), PHP (evaste/php-sdk), Ruby (evaste-ruby), Java (evaste-java), .NET (Evaste.SDK).
7.2. SDK-Nutzung EMPFOHLEN: Automatischer Retry-Mechanismus, Rate-Limit-Handling, Fehlerbehandlung, Type Safety.
7.3. Webhook-Integration: HTTPS-Endpoint erforderlich, POST-Anfragen akzeptieren, Antwort innerhalb von 5 Sekunden, 2xx Antwortcode. Signaturprüfung ist OBLIGATORISCH.
7.4. Testumgebung: Base URL: https://api.sandbox.evaste.co
8. Fehlerbehandlung
8.1. HTTP-Statuscodes: 200 (Erfolg), 400 (Fehlerhafte Anfrage), 401 (Nicht autorisiert), 403 (Verboten), 404 (Nicht gefunden), 429 (Zu viele Anfragen), 500 (Serverfehler).
8.2. Retry-Strategie: Exponential Backoff verwenden, Erster Retry: 1 Sekunde, Maximum: 5 Versuche, Jitter hinzufügen.
9. Verbotene Nutzungen
9.1. Streng verboten: Ausnutzung von API-Sicherheitslücken, Authentifizierungs-Bypass-Versuche, DDoS/DoS-Angriffe, Scraping, Illegale Aktivitäten.
9.2. Eingeschränkte Nutzungen (schriftliche Genehmigung erforderlich): Hochvolumige Datenübertragung (1M+ Anfragen/Tag), API-Nutzung in Drittanwendungen, White-Label-Integrationen.
10. Haftung und Garantien
10.1. Evaste verpflichtet sich: API funktioniert wie dokumentiert, Sicherheitslücken zeitnah beheben, Geplante Wartungen vorankündigen.
10.2. Garantieausschluss: API wird "WIE BESEHEN" bereitgestellt. Evaste garantiert NICHT: Unterbrechungsfreien Zugang, Fehlerfreien Betrieb.
10.3. Haftungsbeschränkung: Maximale Haftung auf die in den letzten 12 Monaten gezahlten Gebühren begrenzt.
11. API-Änderungen und Beendigung
11.1. Änderungsbenachrichtigung: Neue Funktion (sofort), Minor-Änderung (30 Tage), Breaking Change (6 Monate), API-Beendigung (12 Monate).
11.2. Benachrichtigungskanäle: api-updates@evaste.co, Developer Blog, Dashboard-Benachrichtigungen.
11.3. Datenexport: 30 Tage Exportfrist vor Beendigung.
Kontaktinformationen
Evaste API-Team
API-Support: api-support@evaste.co
Sicherheit: security@evaste.co
Dokumentation: https://docs.evaste.co
API-Referenz: https://api.evaste.co/docs
Sandbox: https://api.sandbox.evaste.co