Classificação de cookies, comportamento e validação de conformidade do AEM para requisitos de segurança e GDPR

Os cookies geralmente aparecem em sites alimentados pela AEM sem uma explicação clara de sua origem, finalidade ou classificação, o que cria riscos de conformidade e GDPR, especialmente quando os cookies são carregados antes do consentimento ou quando as equipes precisam documentar se armazenam dados pessoais. As integrações da AEM e da Adobe Experience Cloud definem cookies funcionais e relacionados à identidade como comportamento esperado e, em geral, eles não armazenam dados pessoais diretamente; as plataformas de gerenciamento de consentimento podem classificá-los incorretamente por padrão e alguns cookies são originários da infraestrutura ou de terceiros.

Para resolver isso, identifique cada cookie e sua origem, determine se ele armazena dados pessoais, classifique-o corretamente para ferramentas de consentimento e aplique os atributos de segurança compatíveis.

Descrição description

Ambiente

  • Adobe Experience Manager as a Cloud Service
  • Adobe Experience Manager Managed Services
  • Adobe Experience Manager 6.5 (ContextHub)

Problema/Sintomas

  • Os cookies aparecem no site sem uma origem, finalidade ou classificação clara.
  • Cookies específicos (como AMCV_, AMCVS_, affinity, demdex, AWSALB) exigem confirmação do armazenamento de dados pessoais.
  • Os cookies são exibidos antes do consentimento do usuário nas plataformas de gerenciamento de consentimento.
  • Cookies desconhecidos (como dextp) são exibidos após a migração para a Adobe Cloud.
  • Equipes de conformidade ou legais exigem documentação que especifique se os cookies armazenam endereços IP ou dados pessoais.

Causa raiz

As integrações do AEM e da Adobe Experience Cloud definem cookies funcionais e relacionados à identidade como parte do comportamento esperado e geralmente não armazenam dados pessoais diretamente. Quando os clientes habilitam serviços adicionais da Adobe, como o Analytics, Audience Manager ou Target, os cookies associados (por exemplo, demdex, AMCV, mbox, at_check) são exibidos. Os serviços no nível da infraestrutura, como o Balanceador de carga de aplicativo do AWS, definem seus próprios cookies. As plataformas de gerenciamento de consentimento podem classificar cookies incorretamente por padrão, fazendo com que eles sejam carregados antes do consentimento, e alguns cookies (como RT) são originários de terceiros.

Etapas a serem reproduzidas

  • Inspecione os cookies nas ferramentas do desenvolvedor do navegador em Aplicativo/Armazenamento > Cookies e examine o domínio, o caminho e o nome de cada cookie.
  • Compare cada cookie com sua Adobe conhecida, infraestrutura ou origem de terceiros.
  • Inspecione os valores de cookies para confirmar se nenhum contém dados pessoais legíveis.

Resolução resolution

Para corrigir o problema:

  1. Identifique o cookie e sua origem. Abra as ferramentas de desenvolvedor do navegador, vá para Cookies do Aplicativo/Armazenamento >, revise o domínio, caminho e nome e mapeie cada cookie para sua origem:

    • AMCV_, AMCVS_, TEST_AMCV_COOKIE_WRITE - Serviço da Adobe Experience Cloud ID
    • demdex, dextp - Adobe Audience Manager
    • AWSALB, AWSALBCORS - Balanceador de Carga de Aplicativo AWS
    • mbox, at_check, mboxEdgeCluster - Adobe Target
    • affinity - Cookie de roteamento do balanceador de carga do AEM
    • RT - cookie de Monitoramento de usuário real de terceiros
  2. Determine se o cookie armazena dados pessoais ou confidenciais:

    • AMCV/AMCVS armazenam a ECID (uma ID de visitante anônima) e não contêm PII.
    • demdex, dextp fornecem sincronização de ID de visitante e não armazenam PII.
    • Os cookies AWSALB não armazenam PII.
    • mbox/at_check armazenam informações de atividade e sessão, mas não de PII.
    • affinity não armazena PII.
    • RT não é definido pela Adobe e geralmente é um cookie de desempenho de terceiros.
  3. Classifique o cookie para o GDPR e as ferramentas de consentimento e, em seguida, confirme as classificações com sua equipe jurídica ou de privacidade:

    • Estritamente necessário / técnico: affinity, AWSALB, TEST_AMCV_COOKIE_WRITE, e muitos cookies ECID quando necessário para a funcionalidade principal.
    • Desempenho / direcionamento: AMCV, AMCVS, demdex, mbox quando usado para análise, personalização ou criação de público.
    • Terceiros: RT.
  4. Certifique-se de que os cookies não sejam carregados antes do consentimento, quando necessário. Na ferramenta de consentimento, categorize os cookies nos grupos definidos na etapa anterior. Em seguida, limpe o armazenamento do navegador, recarregue a página e confirme se os cookies necessários ao consentimento (como demdex e AMCV) estão ausentes até que o consentimento seja dado. Confirme se as bibliotecas do Adobe (Analytics, Target, Launch) estão bloqueadas pelo script de consentimento até a aprovação.

  5. Configure sinalizadores Seguros ou HttpOnly quando exigido por conformidade (somente Managed Services, não AEM as a Cloud Service). No Console da Web do AEM, vá para /system/console/configMgr, abra a configuração org.apache.felix.http e habilite o sinalizador Seguro para cookies HTTP padrão. Verifique se o site é distribuído exclusivamente por HTTPS, que é necessário para o sinalizador Seguro. Observe que HttpOnly não pode ser aplicado aos cookies AMCV/AMCVS porque o acesso JavaScript é necessário.

  6. Validar o armazenamento no lado do cliente para o ContextHub (somente AEM 6.5 Managed Services). Confirme se os dados estão armazenados no navegador localStorage ou sessionStorage, a menos que configurado explicitamente de outra forma, usando o Aplicativo > Armazenamento Local nas ferramentas do desenvolvedor.

  7. Valide o resultado. Limpe o armazenamento e o recarregamento do navegador para confirmar se os cookies são carregados somente na categoria regulamentar correta, inspecione os valores de cookie para confirmar se nenhum contém dados pessoais e verifique se os sinalizadores seguros se aplicam corretamente nas páginas HTTPS, onde configurado (somente Managed Services).

  8. Se um cookie não puder ser identificado, parecer armazenar informações pessoais legíveis ou ainda for carregado antes do consentimento após a classificação, entre em contato com o Suporte da Adobe com uma captura de tela dos valores de cookie, o tipo de ambiente (AEMaaCS ou Managed Services), a lista de soluções habilitadas da Adobe (Analytics, Target, Audience Manager) e a configuração da ferramenta de consentimento.

Leitura relacionada

recommendation-more-help
experience-cloud-kcs-help-kbarticles