Küpsiste skaneerimine ja auditeerimine: tea, mida su veebisait seab
Sa ei saa küpsiste regulatsioonidele vastata, kui sa ei tea, milliseid küpsiseid su veebisait seab. See tundub ilmselge, kuid see on kõige levinum küpsiste vastavuse ebaõnnestumise põhjus. Veebisaidid arenevad pidevalt — installitakse uusi pluginaid, lisatakse turundussilte, uuendatakse kolmandate osapoolte skripte — ja iga muudatus võib tuua kaasa uusi küpsiseid. Küpsiste audit ei ole ühekordne tegevus. See on jätkuv protsess, mis peab su veebisaidi arenguga sammu pidama.
Miks küpsiste skaneerimine on oluline
Iga küpsiste vastavuskohustus sõltub sellest, et sul on täpne ja täielik ülevaade oma küpsistest. Ilma selleta:
- Su küpsisebänner on puudulik. Kui su bänner loetleb neli küpsiste kategooriat, kuid su sait seab tegelikult küpsiseid ka viiendas kategoorias, ei saa kasutajad anda teadlikku nõusolekut. Nende nõusolek on GDPR-i kohaselt kehtetu.
- Su küpsistepoliitika on ebatäpne. Andmekaitseasutused eeldavad, et su küpsistepoliitika loetleb iga küpsise nime, eesmärgi, tüübi ja kestuse järgi. Puudulik või aegunud poliitika on vastavusrikkumine, mida andmekaitseasutused auditite käigus aktiivselt otsivad.
- Su nõusolekumehhanism ei pruugi kõiki küpsiseid blokeerida. Kui äsja lisatud skript seab küpsiseid, mida su nõusolekuhalduse konfiguratsioon ei sisalda, käivituvad need küpsised ilma nõusolekuta — see on ePrivacy direktiivi artikli 5(3) otsene rikkumine.
- Sa ei suuda vastata kasutajate päringutele. GDPR-i kohaselt on kasutajatel õigus teada, milliseid andmeid sa nende kohta kogud. Kui sa ei tea, milliseid küpsiseid su sait seab, ei suuda sa anda täpseid vastuseid andmesubjekti juurdepääsutaotlustele.
Mida küpsiste skaneerimine paljastab
Põhjalik küpsiste skaneerimine tuvastab:
- Küpsiste nimed: iga küpsise täpne identifikaator (nt
_ga,_fbp,JSESSIONID). - Päritolu: kas küpsis on esimese osapoole (seatud sinu domeeni poolt) või kolmanda osapoole (seatud välise domeeni poolt).
- Tüüp: seansiküpsis (kustutatakse brauseri sulgemisel) või püsiküpsis (jääb alles määratud ajaks).
- Kestus: kui kaua küpsis püsib enne aegumist (nt 30 minutit, 1 aasta, 2 aastat).
- Eesmärk: mida küpsis teeb — seansihaldus, analüütika, reklaam, personaliseerimine või funktsionaalsed eesmärgid.
- Kategooria: vastavuskategooria, kuhu küpsis kuulub — rangelt vajalik, funktsionaalne, analüütika/jõudlus või turundus/reklaam.
- Kolmanda osapoole teenusepakkuja: kui küpsise seab kolmas osapool, siis millisele teenusele see kuulub (Google Analytics, Facebook, HubSpot, Hotjar jne).
- Kogutavad andmed: milliseid andmeid küpsis salvestab või mille kogumist see võimaldab.
Käsitsi küpsiste skaneerimine brauseri arendajatööriistadega
Kõige lihtsam küpsiste skaneerimise meetod kasutab igasse kaasaegsesse brauserisse sisseehitatud arendajatööriistu. Kuigi käsitsi skaneerimisel on olulisi piiranguid, on see kasulik punktkontrolliks ja selle mõistmiseks, kuidas küpsised su saidil töötavad.
Samm-sammult: käsitsi küpsiste audit Chrome'is
- Ava inkognito-/privaataken. See tagab, et alustad puhtalt lehelt — ilma varasematest külastustest pärit küpsisteta.
- Ava arendajatööriistad (vajuta F12 või tee paremklikk ja vali "Inspekteeri").
- Liigu vahekaardile Application (Chrome'is) või Storage (Firefoxis).
- Laienda vasakus külgribas jaotist "Cookies". Näed domeenide loendit.
- Külasta oma veebisaiti küpsisebänneriga suhtlemata. Pane tähele, millised küpsised seatakse kohe — need on enne nõusolekut seatud küpsised, mis peaksid olema ainult rangelt vajalikud küpsised.
- Nõustu kõigi küpsistega oma küpsisebänneril. Värskenda vahekaarti Application/Storage ja pane tähele ilmuvad uued küpsised.
- Liigu läbi oma veebisaidi põhilehtede (avaleht, tootelehed, kassa, kontaktivorm, blogi). Mõned küpsised seatakse alles kindlatel lehtedel või pärast kindlaid interaktsioone.
- Dokumenteeri iga küpsis: iga leitud küpsise puhul salvesta selle nimi, domeen, tee, aegumiskuupäev, suurus ning kas see on HTTP-only või turvaline (secure).
- Kontrolli vahekaarti Network täiendava jälgimise osas. Mõned jälgimistehnoloogiad kasutavad traditsiooniliste küpsiste asemel piksleid, majakaid või API-kutseid. Vahekaart Network paljastab kõik väljaminevad päringud kolmandate osapoolte domeenidele.
Käsitsi skaneerimise piirangud
Käsitsi skaneerimine on väärtuslik õppimiseks ja punktkontrolliks, kuid sellel on vastavuse tagamise seisukohalt tõsised piirangud:
- Puudulik ulatus. Sa saad kontrollida ainult neid lehti, mida käsitsi külastad. Suur veebisait sadade lehtedega võib seada erinevatel lehtedel erinevaid küpsiseid. Käsitsi skaneerimine ei suuda neid kõiki praktiliselt katta.
- Kategoriseerimise puudumine. Arendajatööriistad näitavad küpsiste toorandmeid, kuid ei kategoriseeri küpsiseid eesmärgi ega vastavuskategooria järgi. Iga küpsist tuleb eraldi uurida.
- Ainult hetkeseis. Käsitsi skaneerimine annab sulle hetketõmmise. See ei tuvasta pärast auditit lisatud uusi küpsiseid.
- Skriptide blokeerimise kontrollimise puudumine. Käsitsi skaneerimisega ei ole lihtne kontrollida, kas su nõusolekuhalduse platvorm blokeerib skriptid enne nõusolekut korrektselt.
- Ajamahukas. Isegi 20 lehega saidi puhul võtab iga lehe käsitsi kontrollimine ja iga küpsise dokumenteerimine tunde.
Automaatne küpsiste skaneerimine
Automaatsed küpsiste skaneerimise tööriistad lahendavad käsitsi skaneerimise piirangud, roomates läbi kogu su veebisaidi, tuvastades kõik küpsised ja kategoriseerides need süstemaatiliselt. Hea automaatne skaneerimistööriist pakub:
- Põhjalik roomamine: skanner külastab su saidi iga lehte (või määratud alamhulka), sealhulgas lehti, mis on ligipääsetavad ainult navigeerimise või otsingu kaudu.
- Enne ja pärast nõusolekut: skanner kontrollib, millised küpsised seatakse enne nõusoleku andmist, millised ilmuvad pärast nõusolekut ja kas tagasilükatud kategooriad on korrektselt blokeeritud.
- Automaatne kategoriseerimine: tuntud küpsised (nagu Google Analyticsi
_gavõi Facebooki_fbp) kategoriseeritakse automaatselt hooldatud küpsiste eesmärkide andmebaaside põhjal. - Kolmandate osapoolte tuvastamine: kõik küpsiseid seadvad kolmandate osapoolte domeenid tuvastatakse ja dokumenteeritakse.
- Ajastatud skaneerimine: skaneerimised toimuvad automaatselt ajakava alusel (iganädalaselt, pärast juurutusi), et tabada uusi küpsiseid, kui need ilmuvad.
- Muudatuste tuvastamine: skanner hoiatab sind, kui ilmuvad uued küpsised või olemasolevad küpsised muutuvad, et saaksid oma nõusolekumehhanismi ja küpsistepoliitikat uuendada.
- Vastavusaruanded: tulemused on vormindatud viisil, mis toetab su vastavusdokumentatsiooni.
Mida küpsiste skaneerimise tööriista puhul otsida
Automaatsete küpsiste skaneerimise lahenduste hindamisel arvesta järgmisega:
- JavaScripti renderdamine: paljud küpsised seatakse JavaScripti abil, mis käivitub pärast lehe laadimist. Skanner peab nende küpsiste tuvastamiseks JavaScripti käivitama (kasutades päris brauserimootorit). Lihtsad HTTP-roomajad, mis JavaScripti ei renderda, jätavad enamiku kolmandate osapoolte küpsistest tuvastamata.
- Roomamise sügavus: skanner peaks järgima sisemisi linke ja roomama läbi kogu su saidi, mitte ainult avalehe. Kindlatel lehtedel manustatud videote, vormide, vestlusvidinate või makseteenuse pakkujate seatud küpsised jäävad tuvastamata, kui skaneeritakse ainult avalehte.
- Esimese külastuse simuleerimine: skanner peaks simuleerima esmakordset külastajat (küpsiseid pole, nõusolekut pole antud), et kontrollida, et enne nõusolekut ei seata ühtegi mittehädavajalikku küpsist.
- Küpsiste andmebaas: hooldatud tuntud küpsiste andmebaas koos nende eesmärkide ja kategooriatega vähendab oluliselt klassifitseerimise käsitööd.
- Aruandlus: selged, eksporditavad aruanded, mida saab jagada õigus-, turundus- ja arendusmeeskondadega.
- Ajastamine ja hoiatused: automaatne skaneerimine seadistatava ajakava alusel koos teavitustega, kui tuvastatakse uusi küpsiseid.
Küpsiste skaneerimise protsess
Põhjalik küpsiste skaneerimine järgib viit sammu, olenemata sellest, kas seda tehakse käsitsi või automaatsete tööriistadega:
Samm 1: rooma läbi kõik lehed
Alusta oma veebisaidi täieliku kaardi koostamisest. See hõlmab kõiki avalikke lehti, autenditud lehti (kui asjakohane), maandumislehti, tänulehti, vealehti ja iga lehte, millele külastaja võib ligi pääseda. Ära piira oma skaneerimist avalehega — küpsiseid seavad sageli kolmandate osapoolte skriptid, mis laaditakse ainult kindlatel lehtedel (nt YouTube'i manus blogipostituses, makseteenuse pakkuja kassalehel või vestlusvidin, mis ilmub ainult tugilehtedel).
Samm 2: tuvasta kõik küpsised
Salvesta iga lehe puhul iga seatud küpsis. See hõlmab nii HTTP-küpsiseid (nähtavad Set-Cookie päises ja brauseri küpsistesalvestuses) kui ka kliendipoolseid salvestusmehhanisme (localStorage, sessionStorage, IndexedDB), mis võivad toimida jälgimistehnoloogiatena, kuigi tehniliselt pole nad küpsised.
Samm 3: määra küpsise päritolu
Tuvasta iga küpsise puhul, kas see on esimese osapoole (seatud sinu enda domeeni poolt) või kolmanda osapoole (seatud välise domeeni poolt). Kolmanda osapoole küpsised on vastavuse seisukohalt eriti olulised, kuna need hõlmavad tavaliselt andmete jagamist väliste organisatsioonidega, mis nõuab avaldamist su küpsistepoliitikas ja paljudel juhtudel andmetöötluslepingut.
Samm 4: klassifitseeri küpsised kategooriate järgi
Määra iga küpsis vastavuskategooriasse:
- Rangelt vajalikud: vajalikud veebisaidi toimimiseks. Kasutaja ei saa neid keelata. Näited: seansiküpsised, CSRF-tokenid, koormusjaotuse küpsised, küpsiste nõusoleku eelistuste küpsised.
- Funktsionaalsed: võimaldavad täiustatud funktsionaalsust ja personaliseerimist. Näited: keele-eelistused, piirkonna valik, hiljuti vaadatud tooted (kui neid ei kasutata reklaamiks).
- Analüütika/jõudlus: koguvad teavet selle kohta, kuidas külastajad veebisaiti kasutavad. Näited: Google Analytics, Hotjar, Matomo küpsised.
- Turundus/reklaam: jälgivad külastajaid veebisaitidel reklaami eesmärkidel. Näited: Facebook Pixel, Google Ads küpsised, taassuunamisküpsised, partnerprogrammi jälgimisküpsised.
Samm 5: dokumenteeri eesmärk, kestus ja tüüp
Dokumenteeri iga küpsise puhul selle eesmärk lihtsas keeles, mida mittetehniline inimene mõistab, selle kestus (seansi- või püsiküpsis ja püsiküpsise puhul kui kaua) ning selle tüüp (HTTP-küpsis, localStorage jne). See dokumentatsioon moodustab su küpsistepoliitika ja su küpsisebänneris esitatava teabe aluse.
Jätkuv jälgimine
Küpsiste skaneerimine kehtib ainult selle teostamise hetkel. Su veebisait ei ole staatiline — see areneb iga juurutuse, plugina uuenduse ja turunduskampaaniaga. Jätkuv jälgimine on hädavajalik, sest:
- Uued skriptid toovad uusi küpsiseid. Kui arendaja lisab uue analüütikatööriista, turundusmeeskond installib uue jälgimispiksli või pluginat uuendatakse, võivad su saidile ilmuda uued küpsised, ilma et keegi oleks otsesõnu otsustanud neid lisada.
- Kolmandate osapoolte skriptid muutuvad. Isegi kui sa oma veebisaiti ei muuda, võivad kasutatavad kolmandate osapoolte teenused oma skripte uuendada ja uusi küpsiseid lisada. Google Analyticsi uuendus, sotsiaalmeediavidina muudatus või CDN-i konfiguratsiooni uuendus võivad kõik mõjutada su saidi küpsiseid.
- Vastavus on pidev. Andmekaitseasutused eeldavad, et su küpsistepoliitika ja nõusolekumehhanism peegeldavad su veebisaidi hetkeseisu. Poliitika, mis oli kuus kuud tagasi täpne, kuid ei sisalda pärast seda lisatud küpsiseid, on täna mittevastav.
Parim praktika on käivitada automaatsed skaneerimised pärast iga juurutust ja minimaalselt kord kuus. Seadista uute küpsiste jaoks hoiatused, et su meeskond saaks need hinnata, kategoriseerida ja lisada oma nõusolekumehhanismi enne, kui need muutuvad vastavusprobleemiks.
Küpsiste skaneerimine ja su küpsistepoliitika
Su küpsistepoliitika ja su küpsiste skaneerimise tulemused peavad olema sünkroonis. Iga skaneerimisel tuvastatud küpsis peaks olema su poliitikas dokumenteeritud ja iga su poliitikas loetletud küpsis peaks tegelikult su saidil olemas olema. Mittevastavus kummaski suunas on probleem:
- Küpsised saidil, kuid mitte poliitikas: see tähendab, et kasutajaid ei teavitata kogu jälgimisest su saidil. Nende nõusolek, isegi kui see on antud, ei pruugi katta avalikustamata küpsiseid.
- Küpsised poliitikas, kuid mitte saidil: kuigi vähem tõsine, tekitab mitteeksisteerivate küpsiste loetlemine segadust ja õõnestab usaldust su dokumentatsiooni täpsuse vastu.
Kõige tõhusam lähenemine on integreerida oma skaneerimistööriist küpsistepoliitikaga, nii et poliitika uuendatakse automaatselt, kui tuvastatakse uusi küpsiseid. See kõrvaldab pärast iga skaneerimist poliitika uuendamise käsitöö ja vähendab riski, et need kaks satuvad sünkroonist välja.
Kuidas Passiro küpsiste skaneerimist käsitleb
Passiro skanner kasutab peata brauserimootorit, et külastada su veebisaidi iga lehte, käivitades JavaScripti täpselt nii, nagu teeks seda päris külastaja brauser. See tagab, et tuvastatakse kõik dünaamiliselt laaditud skriptide, manustatud sisu ja üheleherakenduste raamistike seatud küpsised. Skanner töötab enne ja pärast simuleeritud nõusolekut, et kontrollida, kas su nõusolekuhaldus töötab korrektselt — et mittehädavajalikud küpsised on tõesti blokeeritud, kuni nõusolek on antud.
Skaneerimistulemused kategoriseeritakse automaatselt pidevalt uuendatava tuntud küpsiste andmebaasi abil, võimalusega iga küpsist käsitsi klassifitseerida või ümber klassifitseerida. Ajastatud skaneerimised toimuvad seadistatava ajakava alusel ja sa saad hoiatusi, kui su saidil ilmuvad uued küpsised, et saaksid tegutseda enne, kui need muutuvad vastavusriskiks.
Kui sageli peaksite skaneerima?
Õige skaneerimissagedus sõltub sellest, kui sageli su veebisait muutub:
- Pärast iga juurutust: iga koodimuudatus võib potentsiaalselt tuua uusi küpsiseid. Integreeri küpsiste skaneerimine oma CI/CD-torustikku või käivita skaneerimine pärast iga väljalaset.
- Pärast kolmandate osapoolte teenuste lisamist: alati, kui lisad uue analüütikatööriista, turundusplatvormi, vestlusvidina, makseteenuse pakkuja või mõne kolmanda osapoole skripti, skaneeri kohe.
- Minimaalselt kord kuus: isegi kui sa muudatusi ei tee, võivad su saidil olevad kolmandate osapoolte skriptid uueneda ja uusi küpsiseid tuua. Igakuine skaneerimine tabab need muudatused.
- Pärast CMP uuendusi: kui uuendad oma nõusolekuhalduse platvormi või muudad oma küpsiste kategooriaid, skaneeri, et kontrollida, kas muudatused toimivad ootuspäraselt.
- Kvartaalne ülevaatus: lisaks automaatsele skaneerimisele tee kord kvartalis oma küpsiste ülevaate käsitsi ülevaatus, et kontrollida, kas kategoriseerimised on endiselt täpsed, kolmandate osapoolte teenusepakkujad on endiselt vajalikud ja su küpsistepoliitika peegeldab tegelikkust.
Organisatsioonid, kes käsitlevad küpsiste skaneerimist rutiinse hoolduse, mitte perioodilise auditina, on need, kes säilitavad pideva vastavuse — ja väldivad ebameeldivat üllatust, mis tuleneb dokumenteerimata jälgimisküpsiste avastamisest andmekaitseasutuse uurimise käigus.
Kas sinu veebisait vastab kupsiste reeglitele?
Skanni oma veebisaiti tasuta ja leia koik kupsised monikuminutiga.
Skanni oma kupsiseid tasuta