Skip to main content

Sīkfailu skenēšana un audits: uzziniet, ko iestata jūsu vietne

Jūs nevarat ievērot sīkfailu regulējumu, ja nezināt, kādus sīkfailus iestata jūsu vietne. Tas šķiet pašsaprotami, tomēr tieši šī ir visbiežāk sastopamā kļūme sīkfailu atbilstības jomā. Vietnes pastāvīgi attīstās — tiek instalēti jauni spraudņi, pievienoti mārketinga tagi, atjaunināti trešo pušu skripti — un katrs no šiem grozījumiem var ieviest jaunus sīkfailus. Sīkfailu audits nav vienreizējs pasākums. Tas ir pastāvīgs process, kam jāiet līdzi jūsu vietnes attīstībai.

Kāpēc sīkfailu skenēšana ir svarīga

Ikviens sīkfailu atbilstības pienākums balstās uz precīzu un pilnīgu jūsu sīkfailu inventarizāciju. Bez tās:

  • Jūsu sīkfailu baneris ir nepilnīgs. Ja jūsu banerī uzskaitītas četras sīkfailu kategorijas, bet vietne faktiski iestata sīkfailus arī piektajā kategorijā, lietotāji nevar sniegt informētu piekrišanu. Viņu piekrišana saskaņā ar GDPR ir spēkā neesoša.
  • Jūsu sīkfailu politika ir neprecīza. Datu aizsardzības iestādes sagaida, ka jūsu sīkfailu politikā katrs sīkfails ir uzskaitīts pēc nosaukuma, mērķa, veida un darbības ilguma. Nepilnīga vai novecojusi politika ir atbilstības trūkums, ko datu aizsardzības iestādes aktīvi meklē auditos.
  • Jūsu piekrišanas mehānisms var nenobloķēt visus sīkfailus. Ja tikko pievienots skripts iestata sīkfailus, kas nav iekļauti jūsu piekrišanas pārvaldības konfigurācijā, šie sīkfaili aktivizējas bez piekrišanas — kas ir tiešs ePrivacy direktīvas 5. panta 3. punkta pārkāpums.
  • Jūs nevarat atbildēt uz lietotāju pieprasījumiem. Saskaņā ar GDPR lietotājiem ir tiesības zināt, kādus datus jūs par viņiem apkopojat. Ja nezināt, kādus sīkfailus jūsu vietne iestata, jūs nevarat sniegt precīzas atbildes uz datu subjektu piekļuves pieprasījumiem.

Ko atklāj sīkfailu skenēšana

Rūpīga sīkfailu skenēšana nosaka:

  • Sīkfailu nosaukumus: katra sīkfaila precīzu identifikatoru (piemēram, _ga, _fbp, JSESSIONID).
  • Izcelsmi: vai sīkfails ir pirmās puses (iestata jūsu domēns) vai trešās puses (iestata ārējs domēns).
  • Veidu: sesijas sīkfails (izdzēsts, aizverot pārlūkprogrammu) vai pastāvīgs sīkfails (saglabājas noteiktu laiku).
  • Darbības ilgumu: cik ilgi sīkfails saglabājas līdz beigu termiņam (piemēram, 30 minūtes, 1 gads, 2 gadi).
  • Mērķi: ko sīkfails dara — sesijas pārvaldība, analītika, reklāma, personalizācija vai funkcionāli mērķi.
  • Kategoriju: atbilstības kategoriju, kurai sīkfails pieder — stingri nepieciešams, funkcionāls, analītikas/veiktspējas vai mārketinga/reklāmas.
  • Trešās puses pakalpojumu sniedzēju: ja sīkfailu iestata trešā puse, kuram pakalpojumam tas pieder (Google Analytics, Facebook, HubSpot, Hotjar utt.).
  • Apkopotos datus: kādu informāciju sīkfails saglabā vai ļauj apkopot.

Manuāla sīkfailu skenēšana ar pārlūkprogrammas izstrādātāju rīkiem

Vienkāršākā sīkfailu skenēšanas metode izmanto izstrādātāju rīkus, kas iebūvēti katrā mūsdienu pārlūkprogrammā. Lai gan manuālai skenēšanai ir būtiski ierobežojumi, tā ir noderīga izlases pārbaudēm un izpratnei par to, kā sīkfaili darbojas jūsu vietnē.

Solis pa solim: manuāls sīkfailu audits pārlūkā Chrome

  1. Atveriet inkognito/privāto logu. Tas nodrošina, ka sākat ar tīru lapu — bez esošiem sīkfailiem no iepriekšējiem apmeklējumiem.
  2. Atveriet izstrādātāju rīkus (DevTools) (nospiediet F12 vai ar peles labo pogu noklikšķiniet un atlasiet "Inspect").
  3. Dodieties uz cilni Application (pārlūkā Chrome) vai cilni Storage (pārlūkā Firefox).
  4. Izvērsiet sadaļu "Cookies" kreisajā sānjoslā. Redzēsiet domēnu sarakstu.
  5. Apmeklējiet savu vietni, nemijiedarbojoties ar sīkfailu baneri. Ievērojiet, kuri sīkfaili tiek iestatīti nekavējoties — tie ir sīkfaili, kas iestatīti pirms piekrišanas, un tiem vajadzētu būt tikai stingri nepieciešamiem sīkfailiem.
  6. Pieņemiet visus sīkfailus savā sīkfailu banerī. Atsvaidziniet cilni Application/Storage un ievērojiet jaunos sīkfailus, kas parādās.
  7. Pārvietojieties pa galvenajām lapām savā vietnē (sākumlapa, produktu lapas, izrakstīšanās, kontaktu forma, emuārs). Daži sīkfaili tiek iestatīti tikai noteiktās lapās vai pēc konkrētas mijiedarbības.
  8. Dokumentējiet katru sīkfailu: par katru atrasto sīkfailu ierakstiet tā nosaukumu, domēnu, ceļu, derīguma termiņu, izmēru un to, vai tas ir HTTP-only vai secure.
  9. Pārbaudiet cilni Network, lai atklātu papildu izsekošanu. Dažas izsekošanas tehnoloģijas izmanto pikseļus, bākas vai API izsaukumus, nevis tradicionālos sīkfailus. Cilne Network atklāj visus izejošos pieprasījumus uz trešo pušu domēniem.

Manuālas skenēšanas ierobežojumi

Manuāla skenēšana ir vērtīga mācībām un izlases pārbaudēm, taču tai ir nopietni ierobežojumi atbilstības nolūkiem:

  • Nepilnīgs pārklājums. Jūs varat pārbaudīt tikai tās lapas, kuras apmeklējat manuāli. Liela vietne ar simtiem lapu var iestatīt dažādus sīkfailus dažādās lapās. Manuāla skenēšana praktiski nevar aptvert tās visas.
  • Nav kategorizēšanas. DevTools rāda neapstrādātus sīkfailu datus, bet nekategorizē sīkfailus pēc mērķa vai atbilstības kategorijas. Katrs sīkfails jāizpēta atsevišķi.
  • Tikai konkrētajā brīdī. Manuāla skenēšana sniedz momentuzņēmumu. Tā neatklāj jaunus sīkfailus, kas pievienoti pēc jūsu audita.
  • Nav skriptu bloķēšanas pārbaudes. Manuāla skenēšana nevar viegli pārbaudīt, vai jūsu piekrišanas pārvaldības platforma pareizi bloķē skriptus pirms piekrišanas.
  • Laikietilpīga. Pat vietnei ar 20 lapām katras lapas manuāla pārbaude un katra sīkfaila dokumentēšana aizņem stundas.

Automatizēta sīkfailu skenēšana

Automatizētie sīkfailu skenēšanas rīki novērš manuālas skenēšanas ierobežojumus, apmeklējot visu jūsu vietni, nosakot visus sīkfailus un tos sistemātiski kategorizējot. Labs automatizēts skenēšanas rīks nodrošina:

  • Visaptverošu apmeklēšanu: skeneris apmeklē katru lapu jūsu vietnē (vai noteiktu apakškopu), tostarp lapas, kas pieejamas tikai caur navigāciju vai meklēšanu.
  • Pirms un pēc piekrišanas: skeneris pārbauda, kuri sīkfaili tiek iestatīti pirms piekrišanas sniegšanas, kuri parādās pēc piekrišanas un vai noraidītās kategorijas ir pareizi bloķētas.
  • Automātisku kategorizēšanu: zināmie sīkfaili (piemēram, Google Analytics _ga vai Facebook _fbp) tiek automātiski kategorizēti, balstoties uz uzturētām sīkfailu mērķu datubāzēm.
  • Trešo pušu identificēšanu: tiek noteikti un dokumentēti visi trešo pušu domēni, kas iestata sīkfailus.
  • Ieplānotu skenēšanu: skenēšana notiek automātiski pēc grafika (iknedēļas, pēc izvietošanas), lai atklātu jaunus sīkfailus, tiklīdz tie parādās.
  • Izmaiņu atklāšanu: skeneris jūs brīdina, kad parādās jauni sīkfaili vai mainās esošie, lai jūs varētu atjaunināt savu piekrišanas mehānismu un sīkfailu politiku.
  • Atbilstības pārskatus: rezultāti tiek formatēti tā, lai atbalstītu jūsu atbilstības dokumentāciju.

Kam pievērst uzmanību sīkfailu skenēšanas rīkā

Novērtējot automatizētos sīkfailu skenēšanas risinājumus, apsveriet:

  1. JavaScript renderēšanu: daudzus sīkfailus iestata JavaScript, kas darbojas pēc lapas ielādes. Skenerim ir jāizpilda JavaScript (izmantojot reālu pārlūkprogrammas dzinēju), lai atklātu šos sīkfailus. Vienkārši HTTP skeneri, kas nerenderē JavaScript, palaidīs garām lielāko daļu trešo pušu sīkfailu.
  2. Apmeklēšanas dziļumu: skenerim jāseko iekšējām saitēm un jāapmeklē visa jūsu vietne, ne tikai sākumlapa. Sīkfaili, ko iestata iegultie video, formas, tērzēšanas logrīki vai maksājumu apstrādātāji konkrētās lapās, tiks palaisti garām, ja tiek skenēta tikai sākumlapa.
  3. Pirmā apmeklējuma simulāciju: skenerim jāsimulē pirmreizējs apmeklētājs (bez esošiem sīkfailiem, bez sniegtas piekrišanas), lai pārbaudītu, ka pirms piekrišanas netiek iestatīti nekādi neobligāti sīkfaili.
  4. Sīkfailu datubāzi: uzturēta zināmo sīkfailu datubāze ar to mērķiem un kategorijām būtiski samazina manuālo klasifikācijas darbu.
  5. Atskaites: skaidras, eksportējamas atskaites, ko var kopīgot ar juridiskajām, mārketinga un izstrādes komandām.
  6. Plānošanu un brīdinājumus: automātisku skenēšanu pēc konfigurējama grafika ar paziņojumiem, kad tiek atklāti jauni sīkfaili.

Sīkfailu skenēšanas process

Rūpīga sīkfailu skenēšana notiek piecos soļos neatkarīgi no tā, vai tā tiek veikta manuāli vai ar automatizētiem rīkiem:

1. solis: apmeklējiet visas lapas

Sāciet, izveidojot pilnīgu savas vietnes karti. Tā ietver visas publiskās lapas, autentificētās lapas (ja attiecas), galvenās lapas, pateicības lapas, kļūdu lapas un jebkuru lapu, kurai apmeklētājs varētu piekļūt. Neierobežojiet skenēšanu tikai ar sākumlapu — sīkfailus bieži iestata trešo pušu skripti, kas ielādējas tikai konkrētās lapās (piemēram, YouTube iegulnējums emuāra ierakstā, maksājumu apstrādātājs izrakstīšanās lapā vai tērzēšanas logrīks, kas parādās tikai atbalsta lapās).

2. solis: nosakiet visus sīkfailus

Katrai lapai ierakstiet katru iestatīto sīkfailu. Tas ietver gan HTTP sīkfailus (redzami Set-Cookie galvenē un pārlūkprogrammas sīkfailu krātuvē), gan klienta puses krātuves mehānismus (localStorage, sessionStorage, IndexedDB), kas var darboties kā izsekošanas tehnoloģijas, kaut arī tehniski tie nav sīkfaili.

3. solis: nosakiet sīkfailu izcelsmi

Katram sīkfailam nosakiet, vai tas ir pirmās puses (iestata jūsu paša domēns) vai trešās puses (iestata ārējs domēns). Trešo pušu sīkfaili ir īpaši svarīgi atbilstībai, jo tie parasti ietver datu kopīgošanu ar ārējām organizācijām, kas prasa atklāšanu jūsu sīkfailu politikā un daudzos gadījumos arī datu apstrādes līgumu.

4. solis: klasificējiet sīkfailus pēc kategorijas

Piešķiriet katram sīkfailam atbilstības kategoriju:

  • Stingri nepieciešamie: vajadzīgi, lai vietne darbotos. Lietotājs tos nevar atspējot. Piemēri: sesijas sīkfaili, CSRF žetoni, slodzes līdzsvarošanas sīkfaili, sīkfailu piekrišanas preferenču sīkfaili.
  • Funkcionālie: nodrošina uzlabotu funkcionalitāti un personalizāciju. Piemēri: valodas preferences, reģiona izvēle, nesen skatītās preces (ja netiek izmantotas reklāmai).
  • Analītikas/veiktspējas: apkopo informāciju par to, kā apmeklētāji izmanto vietni. Piemēri: Google Analytics, Hotjar, Matomo sīkfaili.
  • Mārketinga/reklāmas: izseko apmeklētājus vairākās vietnēs reklāmas nolūkos. Piemēri: Facebook Pixel, Google Ads sīkfaili, atkārtotas mērķauditorijas sīkfaili, partnerprogrammu izsekošanas sīkfaili.

5. solis: dokumentējiet mērķi, darbības ilgumu un veidu

Katram sīkfailam dokumentējiet tā mērķi vienkāršā valodā, ko var saprast arī cilvēks bez tehniskām zināšanām, tā darbības ilgumu (sesijas vai pastāvīgs, un, ja pastāvīgs, tad cik ilgi) un tā veidu (HTTP sīkfails, localStorage utt.). Šī dokumentācija veido pamatu jūsu sīkfailu politikai un sīkfailu banerī sniegtajai informācijai.

Pastāvīga uzraudzība

Sīkfailu skenēšana ir spēkā tikai tās veikšanas brīdī. Jūsu vietne nav statiska — tā attīstās ar katru izvietošanu, spraudņa atjauninājumu un mārketinga kampaņu. Pastāvīga uzraudzība ir būtiska, jo:

  • Jauni skripti ievieš jaunus sīkfailus. Kad izstrādātājs pievieno jaunu analītikas rīku, mārketinga komanda instalē jaunu izsekošanas pikseli vai tiek atjaunināts spraudnis, jūsu vietnē var parādīties jauni sīkfaili, nevienam apzināti nepieņemot lēmumu tos pievienot.
  • Trešo pušu skripti mainās. Pat ja jūs nemainiet savu vietni, izmantotie trešo pušu pakalpojumi var atjaunināt savus skriptus un ieviest jaunus sīkfailus. Google Analytics atjauninājums, sociālo mediju logrīka izmaiņas vai CDN konfigurācijas atjauninājums — tie visi var ietekmēt jūsu vietnes sīkfailus.
  • Atbilstība ir nepārtraukta. Datu aizsardzības iestādes sagaida, ka jūsu sīkfailu politika un piekrišanas mehānisms atspoguļo jūsu vietnes pašreizējo stāvokli. Politika, kas bija precīza pirms sešiem mēnešiem, bet neietver kopš tā laika pievienotos sīkfailus, šodien neatbilst prasībām.

Labākā prakse ir veikt automatizētu skenēšanu pēc katras izvietošanas un vismaz reizi mēnesī. Iestatiet brīdinājumus par jauniem sīkfailiem, lai jūsu komanda varētu tos novērtēt, kategorizēt un pievienot piekrišanas mehānismam, pirms tie kļūst par atbilstības problēmu.

Sīkfailu skenēšana un jūsu sīkfailu politika

Jūsu sīkfailu politikai un sīkfailu skenēšanas rezultātiem jāpaliek saskaņotiem. Katram skenēšanā konstatētajam sīkfailam jābūt dokumentētam jūsu politikā, un katram politikā uzskaitītajam sīkfailam faktiski jābūt jūsu vietnē. Neatbilstība jebkurā virzienā ir problēma:

  • Sīkfaili vietnē, bet ne politikā: tas nozīmē, ka lietotāji nav informēti par visu izsekošanu jūsu vietnē. Viņu piekrišana, pat ja sniegta, var neaptvert neatklātos sīkfailus.
  • Sīkfaili politikā, bet ne vietnē: lai gan mazāk nopietni, neeksistējošu sīkfailu uzskaitīšana rada neskaidrības un mazina uzticēšanos jūsu dokumentācijas precizitātei.

Efektīvākā pieeja ir integrēt skenēšanas rīku ar savu sīkfailu politiku, lai politika tiktu automātiski atjaunināta, kad tiek atklāti jauni sīkfaili. Tas novērš manuālo soli politikas atjaunināšanai pēc katras skenēšanas un samazina risku, ka abas dokumentācijas kļūst nesaskaņotas.

Kā Passiro apstrādā sīkfailu skenēšanu

Passiro skeneris izmanto bezgalvas (headless) pārlūkprogrammas dzinēju, lai apmeklētu katru jūsu vietnes lapu, izpildot JavaScript tieši tā, kā to darītu reāla apmeklētāja pārlūkprogramma. Tas nodrošina, ka tiek atklāti visi sīkfaili, ko iestata dinamiski ielādēti skripti, iegultais saturs un vienlapas lietojumprogrammu ietvari. Skeneris darbojas pirms un pēc simulētas piekrišanas, lai pārbaudītu, ka jūsu piekrišanas pārvaldība darbojas pareizi — ka neobligātie sīkfaili patiešām tiek bloķēti, kamēr piekrišana nav sniegta.

Skenēšanas rezultāti tiek automātiski kategorizēti, izmantojot pastāvīgi atjauninātu zināmo sīkfailu datubāzi, ar iespēju jebkuru sīkfailu manuāli klasificēt vai pārklasificēt. Ieplānotā skenēšana notiek pēc konfigurējama grafika, un jūs saņemat brīdinājumus, kad jūsu vietnē parādās jauni sīkfaili, lai varētu rīkoties, pirms tie kļūst par atbilstības risku.

Cik bieži vajadzētu skenēt?

Pareizais skenēšanas biežums ir atkarīgs no tā, cik bieži mainās jūsu vietne:

  • Pēc katras izvietošanas: jebkuras koda izmaiņas var ieviest jaunus sīkfailus. Integrējiet sīkfailu skenēšanu savā CI/CD konveijerā vai veiciet skenēšanu pēc katra laidiena.
  • Pēc trešo pušu pakalpojumu pievienošanas: ikreiz, kad pievienojat jaunu analītikas rīku, mārketinga platformu, tērzēšanas logrīku, maksājumu apstrādātāju vai jebkuru trešās puses skriptu, veiciet skenēšanu nekavējoties.
  • Vismaz reizi mēnesī: pat ja neveicat nekādas izmaiņas, trešo pušu skripti jūsu vietnē var tikt atjaunināti un ieviest jaunus sīkfailus. Ikmēneša skenēšana atklāj šīs izmaiņas.
  • Pēc CMP atjauninājumiem: ja atjaunināt savu piekrišanas pārvaldības platformu vai maināt sīkfailu kategorijas, veiciet skenēšanu, lai pārbaudītu, ka izmaiņas darbojas, kā paredzēts.
  • Ceturkšņa pārskats: papildus automatizētajai skenēšanai reizi ceturksnī veiciet manuālu sava sīkfailu inventāra pārskatu, lai pārbaudītu, ka kategorizācijas joprojām ir precīzas, ka trešo pušu pakalpojumu sniedzēji joprojām ir nepieciešami un ka jūsu sīkfailu politika atspoguļo realitāti.

Tās organizācijas, kas sīkfailu skenēšanu uztver kā ikdienas uzturēšanas darbu, nevis periodisku auditu, ir tās, kas saglabā nepārtrauktu atbilstību — un izvairās no nepatīkamā pārsteiguma atklāt nedokumentētus izsekošanas sīkfailus datu aizsardzības iestādes izmeklēšanas laikā.

Vai jūsu tīmekļa vietne atbilst sīkdatņu noteikumiem?

Skenējiet savu tīmekļa vietni bezmaksas un atrodiet visas sīkdatnes dažu minūšu laikā.

Skenēt savas sīkdatnes bezmaksas