Servizi

Servizi di sviluppo API per piattaforme USA e UE

API contract-first che vengono rilasciate e restano in produzione. OpenAPI 3.1 per REST pubblico, GraphQL Federation per frontend multi-team, gRPC + protobuf per il service-to-service interno. Progettiamo la spec prima che venga scritto un handler, configuriamo correttamente OAuth 2.1 / OIDC, generiamo SDK tipizzati in oltre 7 linguaggi e instrumentiamo ogni endpoint con OpenTelemetry fin dal primo giorno. Versioning con finestre di deprecazione esplicite (RFC 8594), gateway e WAF in cima, SLO per endpoint con alert di burn-rate. Senior backend engineer in orario CET con sovrapposizione sulla costa est degli Stati Uniti. Da 12.000 EUR/mese per team dedicato; design sprint API di 6-8 settimane da 35.000 EUR fisso.

Servizi di sviluppo API che collegano i sistemi backend e abilitano lo scambio dati

Un'API è un contratto che non si può revocare. Una volta che un cliente pagante integra contro la vostra /v1, siete responsabili di quella superficie per anni. La maggior parte dei fallimenti delle API non sono bug di implementazione — sono decisioni di contratto prese troppo in fretta, da persone che non hanno mai dovuto gestire una migrazione a v2. Noi progettiamo contract-first: OpenAPI 3.1, GraphQL SDL o protobuf risiede in un repo di spec versionato, viene revisionato in PR da prodotto, frontend, mobile e consumer esterni prima che esista un handler, e viene lintato da Spectral rispetto alla style guide. openapi-diff blocca le breaking change in CI. I mock server vengono distribuiti automaticamente per branch così i consumer si sbloccano subito. Versioning, deprecation, autenticazione, rate limiting e osservabilità vengono progettati prima della prima riga di codice, non aggiunti al lancio quando è troppo tardi.

Cosa è incluso in un engagement API

Design contract-first

OpenAPI 3.1 / GraphQL SDL / protobuf in un repo di spec versionato, linting con Spectral, CI gate per le breaking change tramite openapi-diff, mock server Prism / Mockoon distribuiti automaticamente per branch, revisione del design con frontend + mobile + consumer esterni.

REST, GraphQL, gRPC

REST + OpenAPI 3.1 per le superfici pubbliche. GraphQL con Apollo Federation 2 o Hot Chocolate per i frontend multi-team. gRPC + protobuf per il service-to-service interno ad alto throughput / bassa latenza. Lo strumento giusto per ogni consumer, non per gusto ingegneristico.

Autenticazione, gateway, rate limiting

OAuth 2.1 + OIDC, mTLS + SPIFFE per il service-to-service, JWT con RS256/EdDSA. Gateway tramite Kong / Tyk / API Gateway / APIM / Apigee. Rate limiting sliding-window o GCRA, WAF in cima, API key dei partner firmate con HMAC.

SDK in oltre 7 linguaggi

SDK tipizzati auto-generati (TS, Python, Go, Java, C#, Swift, Kotlin, Ruby) tramite openapi-generator o stainless.com, pubblicati su npm / PyPI / Maven / NuGet con disciplina semver e pipeline di release CI.

Osservabilità e SLO

OpenTelemetry fin dal primo giorno (trace, metriche, log), trace ID in ogni risposta di errore, dashboard di metriche RED, SLO per endpoint con alert di burn-rate, monitoraggio sintetico tramite k6 cloud o Checkly da US-East e EU-West.

Versioning e deprecation

Contratto di supporto N-2, header Sunset/Deprecation RFC 8594, finestre di deprecation di 12 mesi con promemoria via email cadenzati, changelog pubblico, regole di evoluzione protobuf applicate, @deprecated GraphQL con telemetria di utilizzo da Apollo Studio o Hive.

Tecnologie API che utilizziamo ogni giorno

OpenAPI 3.1 JSON Schema 2020-12 GraphQL Federation 2 gRPC + Protobuf Connect-RPC AsyncAPI 3.0 Spectral openapi-diff Prism / Mockoon Stainless / openapi-generator Kong / Tyk AWS API Gateway Azure API Management Apigee OAuth 2.1 / OIDC SPIFFE / SPIRE mTLS Apollo Studio / Hive OpenTelemetry k6 cloud / Checkly Pact contract testing

Come costruiamo un'API

  1. 01

    Design sprint

    Settimane 1-4: workshop con i consumer, modello delle risorse, bozza OpenAPI 3.1 / SDL / proto, error envelope, contratto di paginazione, design dell'autenticazione, policy di versioning. Spec revisionata in PR e approvata.

  2. 02

    Foundation

    Mock server attivo per branch, lint CI + gate per le breaking change configurati, gateway provisionato, integrazione OAuth/OIDC, baseline di osservabilità, pipeline SDK configurata per i 3 linguaggi di lancio.

  3. 03

    Build e iterazione

    Implementazione degli handler rispetto alla spec, test di contratto Pact in CI, k6 load test rispetto agli SLO, release alpha degli SDK ai primi beta integrators, demo settimanale con prodotto e partner di design.

  4. 04

    Lancio e operatività

    Cutover GA con policy WAF + rate-limit ottimizzate, changelog pubblico, SDK GA in tutti i linguaggi di lancio, monitoraggio sintetico attivo, on-call rota documentata, revisione SLO post-lancio a 30/60/90 giorni.

Modelli di ingaggio

Design sprint

6-8 settimane, prezzo fisso. Spec OpenAPI 3.1, design dell'autenticazione, scelta del gateway, pipeline SDK, policy di versioning, implementazione di riferimento MVP. L'output è una decisione sull'API surface pronta per il board. Da 35.000 EUR fisso.

Team API dedicato

Pod di 3 persone (TPM + 2 senior backend engineer) che costruisce e rilascia l'API end-to-end. Co-delivery con il vostro team, demo settimanale, steering mensile. Da 12.000 EUR/mese per team.

Retainer operativo

Gestione degli SLO post-lancio, cadenza di release degli SDK, escalation del supporto partner, revisione trimestrale del contratto, on-call 24/7 per la superficie API. Da 6.500 EUR/mese.

NDA, DPA allineato al GDPR con SCC, cessione IP al cliente firmati prima del kickoff. Spec, codice e CI risiedono nei vostri repo fin dal primo giorno.

Perché le aziende USA e UE scelgono YuSMP per le API

Conforme GDPR · Pronto per ISO 27001 · SOC 2 Type II in corso · Compatibile HIPAA · CCPA riconosciuto

Contract-first, non code-first

La spec viene revisionata e approvata prima del primo handler. La CI rompe la build ad ogni modifica retroincompatibile. Mock server per branch. Risultato: zero incidenti di tipo «abbiamo rilasciato per errore una breaking change» in produzione presso i clienti.

Data residency UE by design

Region Frankfurt / Irlanda / Parigi predefinite per i dati dei consumer UE, DPA allineato al GDPR con SCC, flussi dati allineati a Schrems II, audit log cifrati con chiavi gestite dal cliente e replicati solo all'interno dell'UE.

SDK che non mentono

Gli SDK vengono generati dalla stessa spec che il server valida, quindi la documentazione e il runtime non possono divergere. Rilasciamo in oltre 7 linguaggi con un'unica pipeline di release CI, disciplina semver e un changelog che il cliente può leggere davvero.

Per le API fintech / healthtech consegniamo rispetto a PSD2 / Open Banking, HL7 FHIR R5, ISO 20022 e altri contratti di dominio — con integrazioni di esempio e suite di test di conformità inclusi nel repo della spec.

Cosa dicono i clienti

La sincronizzazione ERP in tempo reale per un catalogo di ricambi auto è più difficile di quanto sembri — i prezzi cambiano ogni ora e il catalogo si aggiorna continuamente. YuSMP ha costruito un'integrazione 1C bidirezionale che funziona semplicemente, con uno storefront pulito che i clienti navigano senza frizioni.
Kevin Brandt, CTO, AutoPartsVedi il caso →
Pubblichiamo decine di articoli sportivi al giorno. YuSMP ha costruito una pipeline editoriale usando un bot Telegram come CMS — i redattori pubblicano una volta sola, il contenuto arriva sul web, su iOS e su Android istantaneamente. L'architettura non richiede alcuna manutenzione quotidiana.
Ryan O'Connor, CEO, Media ArenaVedi il caso →

Domande frequenti

REST, GraphQL o gRPC — come scegliete?

La scelta è guidata dal profilo del consumer, non dal gusto ingegneristico. Le API pubbliche e le integrazioni con terze parti utilizzano REST con OpenAPI 3.1 — è il contratto universale, supportato da ogni generatore di SDK, da ogni API gateway, interrogabile con curl da qualsiasi cliente. GraphQL quando si dispone di un frontend multi-team (web + iOS + Android) che accede a un object graph profondo e il problema di under/over-fetching è reale, federato tramite Apollo Federation 2 o Hot Chocolate quando più team possiedono diversi subgraph. gRPC per il traffico interno service-to-service dove i budget di latenza sono ridotti (<10ms p99) e entrambi i lati sono sotto il vostro controllo — protobuf offre contratti tipizzati, streaming e multiplexing delle connessioni. Non usiamo mai GraphQL per la comunicazione service-to-service e non usiamo mai gRPC per le API pubbliche.

Come si presenta concretamente il design contract-first?

OpenAPI 3.1 (o il file proto, o GraphQL SDL) risiede in un repo di spec versionato, separato dall'implementazione. La revisione in PR della spec avviene prima che venga scritto qualsiasi codice del handler — il prodotto, il frontend, il mobile e almeno un consumer esterno (se applicabile) approvano il contratto. Spectral linta la spec rispetto alla vostra style guide (camelCase vs snake_case, forma dell'error envelope, contratto di paginazione, ecc.). Le modifiche alla spec passano attraverso openapi-diff con un CI gate per le breaking change — una PR che rompe il contratto richiede un'etichetta esplicita di version bump. I mock server (Prism per REST, Mockoon, mock subgraph per GraphQL) vengono distribuiti automaticamente per branch, così i team frontend si sbloccano immediatamente.

Come gestite il versioning, la deprecation e la compatibilità con le versioni precedenti?

REST: versioning tramite URI-path (/v1, /v2) per le API pubbliche (più chiaro per le terze parti), basato su header per quello interno dove i consumer sono controllati. Ci impegniamo al supporto N-2: quando arriva la v3, la v1 entra in una finestra di deprecazione di 12 mesi con gli header Sunset e Deprecation (RFC 8594), email di promemoria a 90, 30 e 7 giorni ai proprietari delle API key, e un changelog pubblico. GraphQL: direttive @deprecated a livello di field con motivo e suggerimento di migrazione, telemetria di utilizzo da Apollo Studio o Hive per confermare traffico zero prima della rimozione. gRPC: regole di evoluzione protobuf applicate rigorosamente (non rinumerare mai i field, non riutilizzare i numeri di field, solo modifiche additive senza un major version bump).

Autenticazione, rate limiting e gateway — con cosa costruite?

OAuth 2.1 + OIDC per l'autenticazione lato utente (Auth0, WorkOS, Clerk, o il vostro Keycloak/Ory Hydra se richiesto il self-hosting). mTLS + SPIFFE/SPIRE per il service-to-service. API key con firma HMAC per le integrazioni con partner, JWT con RS256 o EdDSA (mai HS256 con shared secret nel 2026, e mai RSA sotto i 2048 bit). La scelta del gateway dipende dallo stack: Kong o Tyk per il self-hosted, AWS API Gateway / Azure APIM / Apigee per il cloud-managed, Cloudflare Workers + Hyperdrive per l'edge-first. Rate limiting a livello di gateway (sliding window o GCRA, mai la naïf fixed-window), con soglie per chiave, per IP e globali. WAF sempre in cima.

Come rendete le API realmente osservabili in produzione?

OpenTelemetry fin dal primo giorno — trace, metriche e log con semantic convention coerenti, esportati al vostro backend (Datadog, Honeycomb, Grafana Tempo + Mimir + Loki, o Elastic). Ogni richiesta ha un trace ID esposto nelle risposte di errore, così il supporto può recuperare la trace completa con un clic. SLO definiti per endpoint (latenza p95/p99, tasso di errore, disponibilità), error budget tracciati in Grafana, alert di burn-rate che avvisano l'on-call prima che l'SLO venga violato. Dashboard di metriche RED (Rate, Errors, Duration) generate automaticamente dalla spec OpenAPI. Monitoraggio sintetico tramite k6 cloud o Checkly che colpisce i percorsi critici ogni minuto da US-East e EU-West.

Come sono strutturati prezzi e tempi per un engagement API?

Il team API dedicato parte da 12.000 EUR/mese per pod (TPM + 2 senior backend engineer). Per API pubbliche greenfield, un design sprint di 6–8 settimane a 35.000 EUR fisso produce la spec OpenAPI 3.1, il design dell'autenticazione, la scelta del gateway, la pipeline di generazione SDK, la policy di versioning e un'implementazione di riferimento MVP. La generazione degli SDK per le lingue aggiuntive (TS, Python, Go, Java, C#, Swift, Kotlin) è inclusa tramite openapi-generator o stainless.com. Il retainer di operation a lungo termine con on-call è disponibile da 6.500 EUR/mese.

Pronti a rilasciare un'API che i vostri clienti integreranno ancora nel 2030?

Prenota una chiamata di analisi

Richiedi una proposta

Condividete alcuni dettagli e un consulente senior risponderà entro un giorno lavorativo.

Preferite parlare direttamente? ☎ Call +374 44 871 811 ✉ sales@yusmpgroup.com