¿Los navegadores están presionando por un futuro sin cookies?

Leyes recientes como el RGPD europeo, la Directiva de privacidad electrónica, la CCPA de California y las próximas Regulaciones de privacidad electrónica empujaron a los navegadores a unirse a la causa de proteger la privacidad del usuario .

Con Safari ITP y Firefox ETP liderando los esfuerzos, y Google se unió recientemente, los gigantes de Internet están trabajando arduamente para crear una configuración de marco legal uniforme.

Para las empresas que usan herramientas de prueba A/B y personalización que desean extender el tiempo que muestran una personalización o variación a la misma persona, por ejemplo, más de 7 días, la mejor solución es cambiar a DNS sobre HTTP(s), también llamado una configuración de CNAME, para establecer cookies propias.

Este es un movimiento controvertido. Siga leyendo (o mire el video a continuación) para ver por qué lo recomendamos y cómo puede usarlo (o no) correctamente.

¿Qué quieren los navegadores, Europa y la CCPA para los usuarios?

En Europa, establecer cookies (incluso para análisis, pruebas A/B o personalización) sin consentimiento es una práctica cuestionable, ya que algunas de ellas contienen datos personales y eso es un GRAN problema.

Los navegadores como Safari y Firefox (y, en menor medida, Chrome) también quieren proteger a sus usuarios de este tipo de cookies, que se utilizan para crear perfiles de usuarios e intereses de compra. Esta información luego se venderá y utilizará para orientar a los usuarios en otros sitios. El vendedor de anuncios obtendrá una mayor ganancia en una ubicación de anuncio con intención verificada que en una impresión de anuncio simple. Los líderes de la industria publicitaria entienden que el camino a seguir es menos seguimiento y más ubicaciones de anuncios que coincidan con la intención del usuario en la página (mediante el uso de la coincidencia de anuncios de contenido).

Este cambio está cambiando significativamente la industria de la publicidad en línea. Ahora tenemos empresas que se comunican con solicitudes como: "cambie su DNS por CNAME en este trabajo de 2 minutos y continuamos como de costumbre".

Esta práctica introdujo el término CNAME Cloaking y BAM, estamos ingresando al lado oscuro de la útil función CNAME. Las redes publicitarias pueden esconderse detrás de un subdominio de la empresa y seguir recopilando información personal y creando perfiles para obtener mayores ingresos publicitarios.

Esto es exactamente lo que los navegadores y las leyes europeas intentan evitar .

Hablemos de la idea detrás de estas leyes y las tecnologías de navegación que se están implementando. Están destinados a ofrecer transparencia a los visitantes del sitio web y hacer que acepten explícitamente las solicitudes. También tienen por objeto evitar la recogida de datos ocultos y la elaboración de perfiles personalizados sin que los usuarios sean conscientes de ello.

La web se está convirtiendo lentamente en un lugar espeluznante donde algunos jugadores importantes saben más sobre ti que tu compañero de vida.

¡Para de hacer eso! Tienes que dejar de dar tanto acceso a las redes publicitarias a los datos de tus usuarios. ¡Período!

¿Hack tecnológico o batalla permanente?

Puede ver esto como un juego de tecnología del gato y el ratón que puede ganar, pero todo lo que está haciendo es posponer lo inevitable.

Al hacerlo, está limitando sus otros esfuerzos de marketing que todavía se consideran seguros.

Los navegadores o las leyes de privacidad no quieren que pierda su conversión como comercializador una vez que se le muestre un anuncio (incluso si es dentro de un mes). No les importa que use un inicio de sesión universal para múltiples sitios o que use análisis anónimos en su sitio para medir el impacto. Sin embargo, les importa que usted (o su proveedor, Google o Facebook) infiltró secuencias de comandos de seguimiento en todas partes para crear perfiles de usuario al mismo tiempo. Los usuarios querían iniciar sesión, no compartir que iniciaron sesión con Facebook y ahora serían empujados a hacer +1 en alguna categoría de anuncios que les interesara. Si haces eso, te cortarán el paso, pero nuevas iniciativas te ayudarán a recolectar esa conversión (sigue leyendo…)

Webkit, la organización detrás de ITP en Safari, explica esto en su Política de Prevención de Rastreo:

Impacto no deseado de ITP

Hay prácticas en la web que no tenemos la intención de interrumpir, pero que pueden verse afectadas sin querer porque se basan en técnicas que también se pueden usar para el seguimiento. Consideramos que se trata de un impacto no deseado. Estas prácticas incluyen:

Financiación de sitios web mediante publicidad dirigida o personalizada (consulte Medición de clics privados a continuación).

• Medición de la efectividad de la publicidad.

• Inicio de sesión federado utilizando un proveedor de inicio de sesión de terceros.

• Inicio de sesión único en varios sitios web controlados por la misma organización.

• Medios integrados que utilizan la identidad del usuario para respetar sus preferencias.

• Botones de “Me gusta”, comentarios federados u otros widgets sociales.

• Prevención del fraude.

• Detección de bots.

• Mejora de la seguridad de la autenticación de clientes.

• Analítica en el ámbito de un solo sitio web.

• Medición de audiencia.

Cuando nos enfrentamos a una compensación, generalmente priorizaremos los beneficios para el usuario sobre la preservación de las prácticas actuales del sitio web. Creemos que esa es la función de un navegador web, también conocido como agente de usuario.

Sin embargo, intentaremos limitar el impacto no deseado. Podemos alterar los métodos de prevención de rastreo para permitir ciertos casos de uso, particularmente cuando un mayor rigor dañaría la experiencia del usuario. En otros casos, diseñaremos e implementaremos nuevas tecnologías web para volver a habilitar estas prácticas sin volver a introducir capacidades de seguimiento. Ejemplos de estos incluyen la API de acceso al almacenamiento y la medición de clics privados .

Estoy seguro de que otros navegadores comparten esta idea.

Aunque su tecnología y velocidad de implementación pueden reflejar su política y visión, todos están trabajando para aumentar la transparencia y la aceptación de los usuarios en uno u otro. Una herramienta útil para rastrear todos sus esfuerzos es Cookie Status de Simo Ahava.

CNAME como solución temporal

Cuando utiliza servicios como CookieSaver y TraceDock, que pretenden devolverle el "negocio como siempre", y el foco está en lo que " cree que se está perdiendo ", es posible que se pierda la lógica detrás de las nuevas leyes de privacidad y los cambios en el navegador. .

Pero sé claro, ¡algunas cookies debes mantenerlas alejadas de CNAME! Es un mundo nuevo en el que las personas eligen si quieren renunciar a toda su privacidad por comodidad y optar por registrarse e iniciar sesión. No puede seguir quitando la privacidad a las personas para cumplir con sus objetivos comerciales. Ya no puedes ser tan egoísta. Debe confiar en que, al hacer lo correcto, su negocio crecerá. Confía y mide….

Navegadores como Chrome y Safari están trabajando en iniciativas que le darán acceso a información de usuario personalizada que el usuario aprobó. Alguna personalización será posible en base a eso (todavía faltan dos años).

Chrome y Webkit (Safari) están trabajando en tecnologías que le permiten recuperar las conversiones de anuncios mediante una API. Esto significa que podrá seguir haciendo algunas atribuciones e incluso realizar un seguimiento de las conversiones de 3 a 60 días a partir del día de la impresión.

El problema con esto es que las leyes de privacidad se aplican ahora, mientras que estas alternativas aún no están disponibles.

El hecho de que CNAME pueda ser una opción en este momento para ampliar el seguimiento de las redes publicitarias y permitirles crear perfiles personales, no lo convierte en una solución viable a largo plazo.

Es la intención de los navegadores proteger a los usuarios de esto. Si extiende la vida útil de las cookies que permiten crear perfiles de usuarios en su sitio y los redirige a otro lugar, o peor aún, crea perfiles de usuario y los vende... es cuando los navegadores y los terceros comenzarán a crear listas de bloqueo para esas redes dudosas.

Debe dejar de admitir cualquier sistema que cree perfiles personales fuera de su dominio . Esto es lo que quieren los usuarios, los navegadores y las leyes de privacidad. Es lo que te morderá si no lo haces. Asegúrese de que alguien exponga su marca por hacer esto.

Esta práctica también podría agregar un riesgo de seguridad a su sitio web.

Cuando mueve rastreadores de anuncios que tienen una cookie de terceros a una cookie propia usando CNAME, esto agrega el riesgo de que sus secuencias de comandos puedan leer autenticaciones y cookies de inicio de sesión de sus usuarios.

La mayoría de los artículos sobre el encubrimiento de CNAME se centran en los sistemas de anuncios que crean perfiles en los usuarios. Nos gustaría distanciarnos de esta práctica.

Las herramientas de personalización y pruebas A/B han tenido cookies propias durante años. Ya han podido manipular todo el sitio y los sistemas de inicio de sesión como parte del sistema que tienen. Para esos tipos de herramientas, nada cambia con el uso de CNAME, excepto que las experiencias pueden ser consistentes durante 30 a 60 días en lugar de 7 días.

Las normas europeas de privacidad electrónica siguen a los navegadores

Europa está trabajando en sus últimos borradores de las Regulaciones de privacidad electrónica que permiten colocar cookies para análisis y optimización de sitios web. Esto envía una señal clara de que, a partir de ahora, solo se permitirán cookies esenciales, como el almacenamiento de sesiones de inicio de sesión o productos en carritos de compras, así como análisis y pruebas A/B en beneficio del usuario.

El 8 de noviembre de 2019, el gobierno finlandés emitió una propuesta revisada para el Reglamento de privacidad electrónica con algunas enmiendas.

Gaming Tech Law lo resume así:

El uso de cookies (y archivos/etiquetas similares) requiere consentimiento en general. Sin embargo, el Reglamento ePrivacy prevé numerosas exenciones, incluidas las exenciones ya conocidas (cookies necesarias por razones técnicas o de comunicación), así como nuevas exenciones como (ciertas formas de) análisis, seguridad (incluida la prevención del fraude), actualizaciones de software y ejecución. de las tareas de los empleados, así como las demás exenciones enumeradas anteriormente.

Para fines de prueba A/B, lo más probable es que no necesite consentimiento y pueda colocar cookies sin problemas, como establece el último borrador de las Regulaciones de privacidad electrónica (noviembre de 2019) en el artículo 21a :

Las cookies también pueden ser una herramienta legítima y útil, por ejemplo, para evaluar la eficacia de un servicio de la sociedad de la información prestado, por ejemplo, el diseño y la publicidad de un sitio web, o para ayudar a medir el número de usuarios finales que visitan un sitio web, determinadas páginas de un sitio web o el número de usuarios finales de una aplicación. Este no es el caso, sin embargo, con respecto a las cookies e identificadores similares utilizados para determinar la naturaleza de quién está utilizando el sitio, que siempre requiere el consentimiento del usuario final.

El borrador del Reglamento de privacidad electrónica se centra en la idea de que el seguimiento y el análisis están permitidos sin consentimiento, siempre que no se utilicen para crear perfiles de usuario, como se menciona en el artículo 17AA:

Dado que los usuarios finales otorgan un gran valor a la confidencialidad de sus comunicaciones, incluidos sus movimientos físicos, dichos datos no se pueden utilizar para determinar la naturaleza o las características de un usuario final o para crear un perfil de un usuario final, con el fin de, por ejemplo, evitar que los datos se utilicen con fines de segmentación, para monitorear el comportamiento de un usuario final específico o para sacar conclusiones sobre la vida privada de un usuario final. Por la misma razón, se debe proporcionar al usuario final información sobre estas actividades de procesamiento que se están llevando a cabo y se le debe otorgar el derecho a oponerse a dicho procesamiento.

¿Qué dirá el borrador final?

Tendremos que esperar a la versión final de las Regulaciones y luego a que las leyes nacionales realmente comiencen a discutir las pautas más a fondo. Pero la Directiva de privacidad electrónica actual ofrece buenas esperanzas para las pruebas A/B. Paul Schmitt me señaló que aunque la ICO (la autoridad de privacidad del Reino Unido) y la CNIL (la autoridad de privacidad francesa) regularon que las cookies para pruebas y análisis A/B necesitaban consentimiento, las últimas pautas de la CNIL (en francés) de Github dicen de lo contrario. Aquí hay una traducción:

Benefíciese de la exención de consentimiento, sujeto a un cierto número de condiciones, las cookies utilizadas para la medición de audiencia están exentas de consentimiento. Estas condiciones, tal como se especifica en las pautas sobre cookies y otros rastreadores, son (1) informar a los usuarios de su uso; (2) para darles el poder de oponerse a ella; (3) limitar el sistema únicamente a los siguientes propósitos: medición de audiencia y pruebas A/B.

En resumen, tanto los navegadores como las leyes de privacidad quieren lo mismo. No están aquí para detener sus esfuerzos por analizar a los usuarios (en su sitio) o para realizar pruebas A/B para mejorar y optimizar la experiencia del usuario.

No Cookies… Usemos Huellas Dactilares

La toma de huellas dactilares significa crear un identificador único mediante la combinación de múltiples propiedades que en sí mismas no son exclusivas para usted, eludiendo las restricciones del navegador sobre las cookies e incluso pudiendo rastrearlo en todos los dispositivos (es algo que las cookies no pueden hacer).

Algunas de estas propiedades son su dirección IP, la versión de su sistema operativo, la versión de su navegador, el idioma de su computadora, su tiempo, el tamaño de su pantalla, la densidad de píxeles de su pantalla, qué tan rápido es su computadora, y la lista sigue y sigue. en.

Puede considerar no usar cookies en absoluto para técnicas específicas. Sin embargo, esto no significa que pueda renunciar a las preocupaciones de transparencia y privacidad ocultando lo que hace a los visitantes individuales del lado del servidor o en el borde de CDN. Esa es una de las razones por las que promovemos la transparencia absoluta en los esfuerzos de prueba y personalización que se ejecutan en nuestro sitio.

Puede configurar pruebas A/B en el borde sin cookies (en Fastly), pero eso no es transparente y puede estar mal visto. Los navegadores están limitando la información que obtienes para crear una experiencia hash/única para alguien.

Las normas de privacidad electrónica son claras: no permiten la toma de huellas dactilares. Los navegadores y las autoridades de privacidad lo pelearán aún más por las huellas dactilares que por las cookies. No vayas allí.

Más transparencia, no menos

Convert Experiences es nuestra herramienta de personalización y pruebas A/B. No permite construir perfiles de usuario usando datos personales por defecto.

Agregamos datos en informes y enviamos advertencias cuando los segmentos se vuelven tan pequeños que hacen que los usuarios sean identificables o cuando sospechamos que se agregaron datos personales en campos donde no deberían estar.

Nuestra herramienta suele ser utilizada por marcas que se preocupan por el cumplimiento de todas las leyes de privacidad en todo el mundo. Ofrecemos opciones en las que los propietarios de sitios web pueden compartir un enlace o una tecla de acceso directo para ser transparentes sobre qué experiencias se ejecutan en el sitio web y en qué experiencias se encuentran los usuarios.

Alentamos a nuestros clientes a crear experiencias que mejoren la experiencia del usuario y optimicen el flujo.

Si quieres construir un mundo mejor, haz formas mejores y más cortas . Los navegadores, los usuarios y las leyes de privacidad lo respaldan en eso. Lo que no admitirán es una prueba A/B en la que se coló una venta adicional marcada de forma predeterminada. Mejore sus propiedades y luego no habrá ningún problema en ser transparente al respecto. Las pruebas A/B benefician a los usuarios y pueden ser buenas para los negocios, ya que ofrece las mejores experiencias en línea.

Entonces, cuando instale CNAME para su herramienta de prueba A/B, asegúrese de que su herramienta no esté creando perfiles de usuario. No use identificadores como género, edad, raza y religión para orientar (algunas herramientas, no las nuestras, ofrecen eso). No vayas ahí, no vale la pena y ya nadie quiere esto.

Configure un CNAME para herramientas en las que confíe. No permita que canalicen información sobre sus visitantes a sitios y ubicaciones de terceros. Usted y solo usted es responsable de lo que estas herramientas almacenan y hacen con los datos. Puede ver cada herramienta y las toneladas de fragmentos que levantan con la herramienta (puede usar Colisión; vea la imagen a continuación). Configure CNAME solo para una empresa en la que tenga un DPA (Acuerdo de procesamiento de datos) firmado; encuentre el nuestro aquí.

¿Ahora que?

Expuse todo lo que sé sobre CNAME en esta publicación. Espero que lo haya encontrado útil y que arroje algo de luz sobre este complicado tema.

No dude en conectarse conmigo en LinkedIn o leer cómo cambiamos completamente hacia un enfoque de privacidad en 2018.

Mire cómo tratamos con el Escudo de privacidad, SCC, CCPA y nuestros esfuerzos generales en este espacio.

Espero que este artículo haya dejado en claro cómo puede usar CNAME en sus esfuerzos por extender sus experimentos de prueba A/B de 7 a 30 días. No compre herramientas CNAME que extiendan la vida de las cookies publicitarias que crean perfiles de usuario, por favor.

Realice una prueba gratuita de nuestro software de prueba A/B, si desea ver cómo funciona una herramienta consciente de la privacidad. Nosotros (al igual que las Regulaciones de privacidad electrónica) estamos convencidos de que las pruebas A/B son un método positivo que puede ayudar a validar los esfuerzos de las empresas para brindar una mejor experiencia a los usuarios y no explotarlos.