Classificação de cookies, comportamento e validação de conformidade do AEM para requisitos de segurança e GDPR
Os cookies geralmente aparecem em sites alimentados pela AEM sem uma explicação clara de sua origem, finalidade ou classificação, o que cria riscos de conformidade e GDPR, especialmente quando os cookies são carregados antes do consentimento ou quando as equipes precisam documentar se armazenam dados pessoais. As integrações da AEM e da Adobe Experience Cloud definem cookies funcionais e relacionados à identidade como comportamento esperado e, em geral, eles não armazenam dados pessoais diretamente; as plataformas de gerenciamento de consentimento podem classificá-los incorretamente por padrão e alguns cookies são originários da infraestrutura ou de terceiros.
Para resolver isso, identifique cada cookie e sua origem, determine se ele armazena dados pessoais, classifique-o corretamente para ferramentas de consentimento e aplique os atributos de segurança compatíveis.
Descrição description
Ambiente
- Adobe Experience Manager as a Cloud Service
- Adobe Experience Manager Managed Services
- Adobe Experience Manager 6.5 (ContextHub)
Problema/Sintomas
- Os cookies aparecem no site sem uma origem, finalidade ou classificação clara.
- Cookies específicos (como
AMCV_,AMCVS_,affinity,demdex,AWSALB) exigem confirmação do armazenamento de dados pessoais. - Os cookies são exibidos antes do consentimento do usuário nas plataformas de gerenciamento de consentimento.
- Cookies desconhecidos (como
dextp) são exibidos após a migração para a Adobe Cloud. - Equipes de conformidade ou legais exigem documentação que especifique se os cookies armazenam endereços IP ou dados pessoais.
Causa raiz
As integrações do AEM e da Adobe Experience Cloud definem cookies funcionais e relacionados à identidade como parte do comportamento esperado e geralmente não armazenam dados pessoais diretamente. Quando os clientes habilitam serviços adicionais da Adobe, como o Analytics, Audience Manager ou Target, os cookies associados (por exemplo, demdex, AMCV, mbox, at_check) são exibidos. Os serviços no nível da infraestrutura, como o Balanceador de carga de aplicativo do AWS, definem seus próprios cookies. As plataformas de gerenciamento de consentimento podem classificar cookies incorretamente por padrão, fazendo com que eles sejam carregados antes do consentimento, e alguns cookies (como RT) são originários de terceiros.
Etapas a serem reproduzidas
- Inspecione os cookies nas ferramentas do desenvolvedor do navegador em Aplicativo/Armazenamento
>Cookies e examine o domínio, o caminho e o nome de cada cookie. - Compare cada cookie com sua Adobe conhecida, infraestrutura ou origem de terceiros.
- Inspecione os valores de cookies para confirmar se nenhum contém dados pessoais legíveis.
Resolução resolution
Para corrigir o problema:
-
Identifique o cookie e sua origem. Abra as ferramentas de desenvolvedor do navegador, vá para Cookies do Aplicativo/Armazenamento
>, revise o domínio, caminho e nome e mapeie cada cookie para sua origem:AMCV_,AMCVS_,TEST_AMCV_COOKIE_WRITE- Serviço da Adobe Experience Cloud IDdemdex,dextp- Adobe Audience ManagerAWSALB,AWSALBCORS- Balanceador de Carga de Aplicativo AWSmbox,at_check,mboxEdgeCluster- Adobe Targetaffinity- Cookie de roteamento do balanceador de carga do AEMRT- cookie de Monitoramento de usuário real de terceiros
-
Determine se o cookie armazena dados pessoais ou confidenciais:
AMCV/AMCVSarmazenam a ECID (uma ID de visitante anônima) e não contêm PII.demdex,dextpfornecem sincronização de ID de visitante e não armazenam PII.- Os cookies
AWSALBnão armazenam PII. mbox/at_checkarmazenam informações de atividade e sessão, mas não de PII.affinitynão armazena PII.RTnão é definido pela Adobe e geralmente é um cookie de desempenho de terceiros.
-
Classifique o cookie para o GDPR e as ferramentas de consentimento e, em seguida, confirme as classificações com sua equipe jurídica ou de privacidade:
- Estritamente necessário / técnico:
affinity,AWSALB,TEST_AMCV_COOKIE_WRITE, e muitos cookies ECID quando necessário para a funcionalidade principal. - Desempenho / direcionamento:
AMCV,AMCVS,demdex,mboxquando usado para análise, personalização ou criação de público. - Terceiros:
RT.
- Estritamente necessário / técnico:
-
Certifique-se de que os cookies não sejam carregados antes do consentimento, quando necessário. Na ferramenta de consentimento, categorize os cookies nos grupos definidos na etapa anterior. Em seguida, limpe o armazenamento do navegador, recarregue a página e confirme se os cookies necessários ao consentimento (como
demdexeAMCV) estão ausentes até que o consentimento seja dado. Confirme se as bibliotecas do Adobe (Analytics, Target, Launch) estão bloqueadas pelo script de consentimento até a aprovação. -
Configure sinalizadores Seguros ou HttpOnly quando exigido por conformidade (somente Managed Services, não AEM as a Cloud Service). No Console da Web do AEM, vá para /system/console/configMgr, abra a configuração
org.apache.felix.httpe habilite o sinalizador Seguro para cookies HTTP padrão. Verifique se o site é distribuído exclusivamente por HTTPS, que é necessário para o sinalizador Seguro. Observe que HttpOnly não pode ser aplicado aos cookiesAMCV/AMCVSporque o acesso JavaScript é necessário. -
Validar o armazenamento no lado do cliente para o ContextHub (somente AEM 6.5 Managed Services). Confirme se os dados estão armazenados no navegador localStorage ou sessionStorage, a menos que configurado explicitamente de outra forma, usando o Aplicativo
>Armazenamento Local nas ferramentas do desenvolvedor. -
Valide o resultado. Limpe o armazenamento e o recarregamento do navegador para confirmar se os cookies são carregados somente na categoria regulamentar correta, inspecione os valores de cookie para confirmar se nenhum contém dados pessoais e verifique se os sinalizadores seguros se aplicam corretamente nas páginas HTTPS, onde configurado (somente Managed Services).
-
Se um cookie não puder ser identificado, parecer armazenar informações pessoais legíveis ou ainda for carregado antes do consentimento após a classificação, entre em contato com o Suporte da Adobe com uma captura de tela dos valores de cookie, o tipo de ambiente (AEMaaCS ou Managed Services), a lista de soluções habilitadas da Adobe (Analytics, Target, Audience Manager) e a configuração da ferramenta de consentimento.