针对安全性和GDPR要求的AEM Cookie分类、行为和合规性验证

Cookie通常显示在AEM支持的网站上,但未明确说明其来源、用途或分类,这会产生GDPR和合规风险,尤其是当Cookie在同意之前加载或团队必须记录他们是否存储个人数据时。 AEM和Adobe Experience Cloud集成将功能性和身份相关的Cookie设置为预期行为,并且它们通常不会直接存储个人数据;默认情况下,同意管理平台可能会错误分类它们,并且某些Cookie源自基础设施或第三方。

要解决此问题,请识别每个Cookie及其源,确定它是否存储个人数据,为同意工具正确分类个人数据,并应用支持的安全属性。

描述 description

环境

  • Adobe Experience Manager as a Cloud Service
  • Adobe Experience Manager Managed Services
  • Adobe Experience Manager 6.5 (ContextHub)

问题/症状

  • Cookie在网站上显示时没有明确的来源、目的或分类。
  • 特定Cookie(如AMCV_AMCVS_affinitydemdexAWSALB)需要确认它们是否存储个人数据。
  • 在同意管理平台中,Cookie在用户同意之前显示。
  • 迁移到Adobe Cloud后,出现未知Cookie(如dextp)。
  • 合规性或法律团队需要有关Cookie是存储IP地址还是个人数据的文档。

根本原因

AEM和Adobe Experience Cloud集成将功能性和身份相关的Cookie设置为预期行为的一部分,并且它们通常不会直接存储个人数据。 当客户启用其他Adobe服务(如Analytics、Audience Manager或Target)时,关联的Cookie(例如,demdexAMCVmboxat_check)会显示。 基础结构级服务(如AWS应用程序负载平衡器)设置它们自己的Cookie。 默认情况下,同意管理平台可能会对Cookie进行错误分类,从而导致它们在同意前加载,并且某些Cookie(如RT)源自第三方。

重现问题的步骤

  • 在浏览器开发人员工具中检查 应用程序/存储> Cookie 下的Cookie,并检查每个Cookie的域、路径和名称。
  • 将每个Cookie与其已知的Adobe、基础架构或第三方来源进行比较。
  • 检查Cookie值以确认它们不包含可读的个人数据。

解决方法 resolution

要解决此问题:

  1. 识别Cookie及其源。 打开浏览器开发人员工具,转到应用程序/存储> Cookie,查看域、路径和名称,并将每个Cookie映射到其来源:

    • AMCV_AMCVS_TEST_AMCV_COOKIE_WRITE - Adobe Experience Cloud ID服务
    • demdexdextp - Adobe Audience Manager
    • AWSALBAWSALBCORS - AWS应用程序负载平衡器
    • mboxat_checkmboxEdgeCluster - Adobe Target
    • affinity - AEM负载平衡器路由Cookie
    • RT — 第三方真实用户监控Cookie
  2. 确定Cookie是存储个人数据还是敏感数据:

    • AMCV/AMCVS存储ECID(匿名访客ID)并且不包含PII。
    • demdexdextp提供访客ID同步功能,但不存储PII。
    • AWSALB Cookie不存储PII。
    • mbox/at_check存储活动和会话信息,但不存储PII。
    • affinity不存储PII。
    • RT不是由Adobe设置的,通常是第三方性能Cookie。
  3. 对GDPR和同意工具的Cookie进行分类,然后与您的法律或隐私团队确认分类:

    • 严格必要的/技术: affinityAWSALBTEST_AMCV_COOKIE_WRITE以及核心功能所需的许多ECID Cookie。
    • 性能/定位:用于分析、个性化或构建受众时的AMCVAMCVSdemdexmbox
    • 第三方: RT
  4. 确保在必要时同意之前不加载Cookie。 在您的同意工具中,将Cookie分类到上一步中定义的组中。 然后,清除浏览器存储,重新加载页面,并确认在征得同意之前不存在需要同意的Cookie(如demdexAMCV)。 确认同意脚本在批准之前阻止Adobe库(Analytics、Target、Launch)。

  5. 根据合规性要求,配置Secure或HttpOnly标记(仅限Managed Services,不适用于AEM as a Cloud Service)。 在AEM Web控制台中,转到/system/console/configMgr,打开org.apache.felix.http配置,并为标准HTTP Cookie启用Secure标记。 确保通过HTTPS专门提供站点,这是Secure标记所必需的。 请注意,HttpOnly无法应用于AMCV/AMCVS Cookie,因为需要JavaScript访问权限。

  6. 验证ContextHub的客户端存储(仅限AEM 6.5 Managed Services)。 使用开发人员工具中的应用程序>本地存储,确认数据存储在浏览器 localStoragesessionStorage 中,除非另外明确配置。

  7. 验证结果。 清除浏览器存储并重新加载以确认Cookie仅在正确的管制类别下加载,检查Cookie值以确认其中不包含个人数据,并验证Secure标记是否正确应用于已配置的HTTPS页面(仅限Managed Services)。

  8. 如果无法识别Cookie,该Cookie似乎存储了可读的个人信息,或者在分类后同意之前仍加载了该信息,请联系Adobe支持,提供Cookie值的屏幕快照、环境类型(AEMaaCS或Managed Services)、已启用的Adobe解决方案(Analytics、Target、Audience Manager)的列表以及同意工具配置。

相关阅读

recommendation-more-help
experience-cloud-kcs-help-kbarticles