针对安全性和GDPR要求的AEM Cookie分类、行为和合规性验证
Cookie通常显示在AEM支持的网站上,但未明确说明其来源、用途或分类,这会产生GDPR和合规风险,尤其是当Cookie在同意之前加载或团队必须记录他们是否存储个人数据时。 AEM和Adobe Experience Cloud集成将功能性和身份相关的Cookie设置为预期行为,并且它们通常不会直接存储个人数据;默认情况下,同意管理平台可能会错误分类它们,并且某些Cookie源自基础设施或第三方。
要解决此问题,请识别每个Cookie及其源,确定它是否存储个人数据,为同意工具正确分类个人数据,并应用支持的安全属性。
描述 description
环境
- Adobe Experience Manager as a Cloud Service
- Adobe Experience Manager Managed Services
- Adobe Experience Manager 6.5 (ContextHub)
问题/症状
- Cookie在网站上显示时没有明确的来源、目的或分类。
- 特定Cookie(如
AMCV_、AMCVS_、affinity、demdex、AWSALB)需要确认它们是否存储个人数据。 - 在同意管理平台中,Cookie在用户同意之前显示。
- 迁移到Adobe Cloud后,出现未知Cookie(如
dextp)。 - 合规性或法律团队需要有关Cookie是存储IP地址还是个人数据的文档。
根本原因
AEM和Adobe Experience Cloud集成将功能性和身份相关的Cookie设置为预期行为的一部分,并且它们通常不会直接存储个人数据。 当客户启用其他Adobe服务(如Analytics、Audience Manager或Target)时,关联的Cookie(例如,demdex、AMCV、mbox、at_check)会显示。 基础结构级服务(如AWS应用程序负载平衡器)设置它们自己的Cookie。 默认情况下,同意管理平台可能会对Cookie进行错误分类,从而导致它们在同意前加载,并且某些Cookie(如RT)源自第三方。
重现问题的步骤
- 在浏览器开发人员工具中检查 应用程序/存储
>Cookie 下的Cookie,并检查每个Cookie的域、路径和名称。 - 将每个Cookie与其已知的Adobe、基础架构或第三方来源进行比较。
- 检查Cookie值以确认它们不包含可读的个人数据。
解决方法 resolution
要解决此问题:
-
识别Cookie及其源。 打开浏览器开发人员工具,转到应用程序/存储
>Cookie,查看域、路径和名称,并将每个Cookie映射到其来源:AMCV_,AMCVS_,TEST_AMCV_COOKIE_WRITE- Adobe Experience Cloud ID服务demdex,dextp- Adobe Audience ManagerAWSALB,AWSALBCORS- AWS应用程序负载平衡器mbox,at_check,mboxEdgeCluster- Adobe Targetaffinity- AEM负载平衡器路由CookieRT— 第三方真实用户监控Cookie
-
确定Cookie是存储个人数据还是敏感数据:
AMCV/AMCVS存储ECID(匿名访客ID)并且不包含PII。demdex,dextp提供访客ID同步功能,但不存储PII。AWSALBCookie不存储PII。mbox/at_check存储活动和会话信息,但不存储PII。affinity不存储PII。RT不是由Adobe设置的,通常是第三方性能Cookie。
-
对GDPR和同意工具的Cookie进行分类,然后与您的法律或隐私团队确认分类:
- 严格必要的/技术:
affinity、AWSALB、TEST_AMCV_COOKIE_WRITE以及核心功能所需的许多ECID Cookie。 - 性能/定位:用于分析、个性化或构建受众时的
AMCV、AMCVS、demdex、mbox。 - 第三方:
RT。
- 严格必要的/技术:
-
确保在必要时同意之前不加载Cookie。 在您的同意工具中,将Cookie分类到上一步中定义的组中。 然后,清除浏览器存储,重新加载页面,并确认在征得同意之前不存在需要同意的Cookie(如
demdex和AMCV)。 确认同意脚本在批准之前阻止Adobe库(Analytics、Target、Launch)。 -
根据合规性要求,配置Secure或HttpOnly标记(仅限Managed Services,不适用于AEM as a Cloud Service)。 在AEM Web控制台中,转到/system/console/configMgr,打开
org.apache.felix.http配置,并为标准HTTP Cookie启用Secure标记。 确保通过HTTPS专门提供站点,这是Secure标记所必需的。 请注意,HttpOnly无法应用于AMCV/AMCVSCookie,因为需要JavaScript访问权限。 -
验证ContextHub的客户端存储(仅限AEM 6.5 Managed Services)。 使用开发人员工具中的应用程序
>本地存储,确认数据存储在浏览器 localStorage 或 sessionStorage 中,除非另外明确配置。 -
验证结果。 清除浏览器存储并重新加载以确认Cookie仅在正确的管制类别下加载,检查Cookie值以确认其中不包含个人数据,并验证Secure标记是否正确应用于已配置的HTTPS页面(仅限Managed Services)。
-
如果无法识别Cookie,该Cookie似乎存储了可读的个人信息,或者在分类后同意之前仍加载了该信息,请联系Adobe支持,提供Cookie值的屏幕快照、环境类型(AEMaaCS或Managed Services)、已启用的Adobe解决方案(Analytics、Target、Audience Manager)的列表以及同意工具配置。