Scanarea și auditarea cookie-urilor: aflați ce setează site-ul dvs.
Nu puteți respecta reglementările privind cookie-urile dacă nu știți ce cookie-uri setează site-ul dvs. Poate părea evident, însă acesta este cel mai frecvent punct de eșec în conformitatea privind cookie-urile. Site-urile evoluează în permanență — se instalează pluginuri noi, se adaugă tag-uri de marketing, scripturile terță parte sunt actualizate — iar fiecare modificare poate introduce noi cookie-uri. Un audit al cookie-urilor nu este o activitate punctuală. Este un proces continuu, care trebuie să țină pasul cu evoluția site-ului dvs.
De ce contează scanarea cookie-urilor
Fiecare obligație de conformitate privind cookie-urile depinde de existența unui inventar exact și complet al cookie-urilor. Fără acesta:
- Bannerul dvs. de cookie-uri este incomplet. Dacă bannerul enumeră patru categorii de cookie-uri, dar site-ul dvs. setează de fapt cookie-uri dintr-o a cincea categorie, utilizatorii nu pot oferi un consimțământ informat. Consimțământul lor este invalid conform GDPR.
- Politica dvs. de cookie-uri este inexactă. Autoritățile de protecție a datelor se așteaptă ca politica dvs. de cookie-uri să enumere fiecare cookie după nume, scop, tip și durată. O politică incompletă sau depășită reprezintă o neconformitate pe care autoritățile o caută activ în timpul auditurilor.
- Mecanismul dvs. de consimțământ ar putea să nu blocheze toate cookie-urile. Dacă un script nou adăugat setează cookie-uri care nu sunt incluse în configurația managementului consimțământului, aceste cookie-uri se activează fără consimțământ — o încălcare directă a articolului 5(3) din Directiva ePrivacy.
- Nu puteți răspunde solicitărilor utilizatorilor. Conform GDPR, utilizatorii au dreptul de a ști ce date colectați despre ei. Dacă nu știți ce cookie-uri setează site-ul dvs., nu puteți oferi răspunsuri exacte la cererile de acces ale persoanelor vizate.
Ce dezvăluie o scanare a cookie-urilor
O scanare temeinică a cookie-urilor identifică:
- Numele cookie-urilor: identificatorul exact al fiecărui cookie (de ex.,
_ga,_fbp,JSESSIONID). - Originea: dacă cookie-ul este propriu (setat de domeniul dvs.) sau terță parte (setat de un domeniu extern).
- Tipul: cookie de sesiune (șters la închiderea browserului) sau cookie persistent (rămâne pentru o durată specificată).
- Durata: cât timp persistă cookie-ul înainte de a expira (de ex., 30 de minute, 1 an, 2 ani).
- Scopul: ce face cookie-ul — gestionarea sesiunii, analiză, publicitate, personalizare sau scopuri funcționale.
- Categoria: categoria de conformitate căreia îi aparține cookie-ul — strict necesar, funcțional, analiză/performanță sau marketing/publicitate.
- Furnizor terță parte: dacă cookie-ul este setat de o terță parte, cărui serviciu îi aparține (Google Analytics, Facebook, HubSpot, Hotjar etc.).
- Datele colectate: ce informații stochează cookie-ul sau a căror colectare o facilitează.
Scanarea manuală a cookie-urilor cu DevTools din browser
Cea mai simplă metodă de scanare a cookie-urilor utilizează instrumentele pentru dezvoltatori integrate în fiecare browser modern. Deși scanarea manuală are limitări importante, este utilă pentru verificări punctuale și pentru a înțelege cum funcționează cookie-urile pe site-ul dvs.
Pas cu pas: audit manual al cookie-urilor în Chrome
- Deschideți o fereastră incognito/privată. Astfel vă asigurați că porniți de la zero — fără cookie-uri existente din vizitele anterioare.
- Deschideți DevTools (apăsați F12 sau faceți clic dreapta și selectați „Inspect”).
- Accesați fila Application (în Chrome) sau fila Storage (în Firefox).
- Extindeți secțiunea „Cookies” din bara laterală din stânga. Veți vedea o listă de domenii.
- Vizitați site-ul dvs. fără a interacționa cu bannerul de cookie-uri. Rețineți ce cookie-uri sunt setate imediat — acestea sunt cookie-urile setate înainte de consimțământ, care ar trebui să fie doar cele strict necesare.
- Acceptați toate cookie-urile din bannerul dvs. Reîmprospătați fila Application/Storage și notați noile cookie-uri care apar.
- Navigați prin paginile-cheie ale site-ului dvs. (pagina principală, paginile de produs, finalizarea comenzii, formularul de contact, blogul). Unele cookie-uri sunt setate doar pe pagini specifice sau după anumite interacțiuni.
- Documentați fiecare cookie: pentru fiecare cookie găsit, notați numele, domeniul, calea, data de expirare, dimensiunea și dacă este HTTP-only sau secure.
- Verificați fila Network pentru urmăriri suplimentare. Unele tehnologii de urmărire folosesc pixeli, beacon-uri sau apeluri API în locul cookie-urilor tradiționale. Fila Network dezvăluie toate cererile trimise către domenii terță parte.
Limitările scanării manuale
Scanarea manuală este valoroasă pentru învățare și verificări punctuale, dar are limitări serioase în scopuri de conformitate:
- Acoperire incompletă. Puteți verifica doar paginile pe care le vizitați manual. Un site mare, cu sute de pagini, poate seta cookie-uri diferite pe pagini diferite. Scanarea manuală nu le poate acoperi practic pe toate.
- Fără categorisire. DevTools vă arată datele brute ale cookie-urilor, dar nu le clasifică după scop sau categorie de conformitate. Trebuie să cercetați fiecare cookie individual.
- Doar la un moment dat. Scanarea manuală vă oferă un instantaneu. Nu detectează cookie-urile noi adăugate după auditul dvs.
- Fără verificarea blocării scripturilor. Scanarea manuală nu poate verifica cu ușurință că platforma dvs. de management al consimțământului blochează corect scripturile înainte de consimțământ.
- Consumatoare de timp. Pentru un site cu doar 20 de pagini, verificarea manuală a fiecărei pagini și documentarea fiecărui cookie durează ore întregi.
Scanarea automată a cookie-urilor
Instrumentele automate de scanare a cookie-urilor abordează limitările scanării manuale prin parcurgerea întregului site, identificarea tuturor cookie-urilor și clasificarea lor sistematică. Un bun instrument de scanare automată oferă:
- Parcurgere completă: scanerul vizitează fiecare pagină a site-ului dvs. (sau un subset definit), inclusiv pagini accesibile doar prin navigare sau căutare.
- Înainte și după consimțământ: scanerul verifică ce cookie-uri sunt setate înainte de acordarea consimțământului, care apar după consimțământ și dacă categoriile refuzate sunt blocate corespunzător.
- Categorisire automată: cookie-urile cunoscute (precum
_gade la Google Analytics sau_fbpde la Facebook) sunt clasificate automat pe baza unor baze de date întreținute cu scopurile cookie-urilor. - Identificarea terților: toate domeniile terță parte care setează cookie-uri sunt identificate și documentate.
- Scanare programată: scanările rulează automat conform unui program (săptămânal, după implementări) pentru a surprinde noile cookie-uri pe măsură ce apar.
- Detectarea modificărilor: scanerul vă avertizează când apar cookie-uri noi sau când cele existente se modifică, astfel încât să vă puteți actualiza mecanismul de consimțământ și politica de cookie-uri.
- Rapoarte de conformitate: rezultatele sunt formatate într-un mod care susține documentația dvs. de conformitate.
Ce să căutați la un instrument de scanare a cookie-urilor
Când evaluați soluțiile automate de scanare a cookie-urilor, luați în considerare:
- Randarea JavaScript: multe cookie-uri sunt setate de cod JavaScript care rulează după încărcarea paginii. Scanerul trebuie să execute JavaScript (folosind un motor de browser real) pentru a detecta aceste cookie-uri. Crawlerele HTTP simple care nu randează JavaScript vor rata majoritatea cookie-urilor terță parte.
- Profunzimea parcurgerii: scanerul ar trebui să urmeze linkurile interne și să parcurgă întregul site, nu doar pagina principală. Cookie-urile setate de videoclipuri încorporate, formulare, widgeturi de chat sau procesatori de plăți pe pagini specifice vor fi ratate dacă se scanează doar pagina principală.
- Simularea primei vizite: scanerul ar trebui să simuleze un vizitator care ajunge pentru prima dată (fără cookie-uri existente, fără consimțământ acordat) pentru a verifica dacă niciun cookie neesențial nu este setat înainte de consimțământ.
- Bază de date de cookie-uri: o bază de date întreținută cu cookie-uri cunoscute, împreună cu scopurile și categoriile acestora, reduce dramatic efortul manual de clasificare.
- Raportare: rapoarte clare, exportabile, care pot fi partajate cu echipele juridice, de marketing și de dezvoltare.
- Programare și alerte: scanare automată conform unui program configurabil, cu notificări atunci când sunt detectate cookie-uri noi.
Procesul de scanare a cookie-urilor
O scanare temeinică a cookie-urilor urmează cinci pași, indiferent dacă este efectuată manual sau cu instrumente automate:
Pasul 1: Parcurgeți toate paginile
Începeți prin construirea unei hărți complete a site-ului dvs. Aceasta include toate paginile publice, paginile autentificate (dacă este cazul), paginile de destinație, paginile de mulțumire, paginile de eroare și orice pagină pe care un vizitator ar putea-o accesa. Nu limitați scanarea la pagina principală — cookie-urile sunt frecvent setate de scripturi terță parte care se încarcă doar pe pagini specifice (de ex., un videoclip YouTube încorporat într-o postare de blog, un procesator de plăți pe pagina de finalizare a comenzii sau un widget de chat care apare doar pe paginile de asistență).
Pasul 2: Identificați toate cookie-urile
Pentru fiecare pagină, înregistrați fiecare cookie setat. Aceasta include atât cookie-urile HTTP (vizibile în antetul Set-Cookie și în stocarea de cookie-uri a browserului), cât și mecanismele de stocare din partea clientului (localStorage, sessionStorage, IndexedDB) care pot funcționa ca tehnologii de urmărire, chiar dacă tehnic nu sunt cookie-uri.
Pasul 3: Determinați originea cookie-urilor
Pentru fiecare cookie, identificați dacă este propriu (setat de propriul dvs. domeniu) sau terță parte (setat de un domeniu extern). Cookie-urile terță parte sunt deosebit de importante pentru conformitate, deoarece implică de obicei partajarea datelor cu organizații externe, ceea ce necesită dezvăluire în politica dvs. de cookie-uri și, în multe cazuri, un acord de prelucrare a datelor.
Pasul 4: Clasificați cookie-urile pe categorii
Atribuiți fiecare cookie unei categorii de conformitate:
- Strict necesare: obligatorii pentru funcționarea site-ului. Nu pot fi dezactivate de utilizator. Exemple: cookie-uri de sesiune, token-uri CSRF, cookie-uri de echilibrare a încărcării, cookie-uri de preferință pentru consimțământul privind cookie-urile.
- Funcționale: permit funcționalități îmbunătățite și personalizare. Exemple: preferințe de limbă, selectarea regiunii, articole vizualizate recent (când nu sunt folosite pentru publicitate).
- Analiză/Performanță: colectează informații despre modul în care vizitatorii folosesc site-ul. Exemple: cookie-uri Google Analytics, Hotjar, Matomo.
- Marketing/Publicitate: urmăresc vizitatorii pe diferite site-uri în scopuri publicitare. Exemple: Facebook Pixel, cookie-uri Google Ads, cookie-uri de retargetare, cookie-uri de urmărire a afiliaților.
Pasul 5: Documentați scopul, durata și tipul
Pentru fiecare cookie, documentați scopul într-un limbaj simplu, pe care o persoană fără cunoștințe tehnice îl poate înțelege, durata (de sesiune sau persistent, iar dacă este persistent, pentru cât timp) și tipul (cookie HTTP, localStorage etc.). Această documentație formează baza politicii dvs. de cookie-uri și a informațiilor prezentate în bannerul dvs. de cookie-uri.
Monitorizare continuă
O scanare a cookie-urilor este valabilă doar în momentul în care este efectuată. Site-ul dvs. nu este static — evoluează cu fiecare implementare, actualizare de plugin și campanie de marketing. Monitorizarea continuă este esențială deoarece:
- Scripturile noi introduc cookie-uri noi. Când un dezvoltator adaugă un nou instrument de analiză, o echipă de marketing instalează un nou pixel de urmărire sau un plugin este actualizat, pot apărea cookie-uri noi pe site-ul dvs. fără ca cineva să fi decis explicit să le adauge.
- Scripturile terță parte se schimbă. Chiar dacă nu vă modificați site-ul, serviciile terță parte pe care le folosiți își pot actualiza scripturile și pot introduce cookie-uri noi. O actualizare Google Analytics, o modificare a unui widget de social media sau o actualizare a configurației CDN pot afecta toate cookie-urile de pe site-ul dvs.
- Conformitatea este continuă. Autoritățile de protecție a datelor se așteaptă ca politica dvs. de cookie-uri și mecanismul de consimțământ să reflecte starea actuală a site-ului dvs. O politică ce era exactă acum șase luni, dar care nu include cookie-urile adăugate de atunci, este neconformă astăzi.
Cea mai bună practică este să rulați scanări automate după fiecare implementare și, cel puțin, lunar. Configurați alerte pentru cookie-uri noi, astfel încât echipa dvs. să le poată evalua, clasifica și adăuga în mecanismul de consimțământ înainte ca acestea să devină o problemă de conformitate.
Scanarea cookie-urilor și politica dvs. de cookie-uri
Politica dvs. de cookie-uri și rezultatele scanării trebuie să rămână sincronizate. Fiecare cookie identificat într-o scanare ar trebui documentat în politica dvs., iar fiecare cookie listat în politica dvs. ar trebui să fie prezent efectiv pe site. O nepotrivire în oricare direcție reprezintă o problemă:
- Cookie-uri pe site, dar nu în politică: aceasta înseamnă că utilizatorii nu sunt informați despre toate urmăririle de pe site-ul dvs. Consimțământul lor, chiar dacă este acordat, ar putea să nu acopere cookie-urile nedezvăluite.
- Cookie-uri în politică, dar nu pe site: deși mai puțin gravă, listarea unor cookie-uri care nu există creează confuzie și subminează încrederea în acuratețea documentației dvs.
Cea mai eficientă abordare este să integrați instrumentul de scanare cu politica dvs. de cookie-uri, astfel încât politica să fie actualizată automat atunci când sunt detectate cookie-uri noi. Aceasta elimină pasul manual de actualizare a politicii după fiecare scanare și reduce riscul ca cele două să iasă din sincronizare.
Cum gestionează Passiro scanarea cookie-urilor
Scanerul Passiro folosește un motor de browser headless pentru a vizita fiecare pagină a site-ului dvs., executând JavaScript exact așa cum ar face-o browserul unui vizitator real. Astfel se asigură că sunt detectate toate cookie-urile setate de scripturi încărcate dinamic, de conținut încorporat și de framework-uri de aplicații single-page. Scanerul rulează înainte și după un consimțământ simulat, pentru a verifica dacă managementul consimțământului funcționează corect — adică dacă cookie-urile neesențiale sunt cu adevărat blocate până la acordarea consimțământului.
Rezultatele scanării sunt clasificate automat folosind o bază de date actualizată continuu cu cookie-uri cunoscute, cu opțiunea de a clasifica sau reclasifica manual orice cookie. Scanările programate rulează pe o bază configurabilă și primiți alerte atunci când apar cookie-uri noi pe site-ul dvs., astfel încât să puteți acționa înainte ca acestea să devină un risc de conformitate.
Cât de des ar trebui să scanați?
Frecvența corectă de scanare depinde de cât de des se modifică site-ul dvs.:
- După fiecare implementare: orice modificare de cod poate introduce cookie-uri noi. Integrați scanarea cookie-urilor în pipeline-ul dvs. CI/CD sau rulați o scanare după fiecare lansare.
- După adăugarea de servicii terță parte: ori de câte ori adăugați un nou instrument de analiză, o platformă de marketing, un widget de chat, un procesator de plăți sau orice script terță parte, scanați imediat.
- Cel puțin lunar: chiar dacă nu faceți nicio modificare, scripturile terță parte de pe site-ul dvs. se pot actualiza și pot introduce cookie-uri noi. O scanare lunară surprinde aceste modificări.
- După actualizările CMP: dacă vă actualizați platforma de management al consimțământului sau modificați categoriile de cookie-uri, scanați pentru a verifica dacă modificările funcționează conform așteptărilor.
- Revizuire trimestrială: pe lângă scanarea automată, efectuați o revizuire manuală trimestrială a inventarului dvs. de cookie-uri pentru a verifica dacă clasificările sunt încă exacte, dacă furnizorii terță parte sunt încă necesari și dacă politica dvs. de cookie-uri reflectă realitatea.
Organizațiile care tratează scanarea cookie-urilor ca pe o întreținere de rutină, mai degrabă decât ca pe un audit periodic, sunt cele care mențin o conformitate continuă — și evită surpriza neplăcută de a descoperi cookie-uri de urmărire nedocumentate în timpul unei investigații a unei autorități de protecție a datelor.
Site-ul tău respectă regulile privind cookie-urile?
Scanează-ți site-ul gratuit și găsește toate cookie-urile în câteva minute.
Scanează-ți cookie-urile gratuit