I browser spingono per un futuro senza cookie?

Leggi recenti come il GDPR europeo, la Direttiva ePrivacy, il CCPA della California e le imminenti normative ePrivacy hanno spinto i browser a unirsi alla causa della protezione della privacy degli utenti .

Con Safari ITP e Firefox ETP a guidare gli sforzi e Google che si è recentemente unito, i giganti di Internet stanno lavorando sodo per elaborare un quadro giuridico uniforme.

Per le aziende che utilizzano strumenti di test A/B e personalizzazione che desiderano estendere il tempo in cui mostrano una personalizzazione o una variazione alla stessa persona, ad esempio fino a 7 giorni, la soluzione migliore è passare a DNS su HTTP(s), chiamato anche una configurazione CNAME, per impostare cookie proprietari.

Questa è una mossa controversa. Continua a leggere (o guarda il video qui sotto) per vedere perché lo consigliamo e come puoi usarlo (o meno) correttamente.

Cosa vogliono i browser, l'Europa e il CCPA per gli utenti?

In Europa, l'impostazione dei cookie (anche per scopi di analisi, test A/B o personalizzazione) senza consenso è una pratica discutibile, poiché alcuni di essi contengono dati personali e questo è un GRANDE problema.

Browser come Safari e Firefox (e, in misura minore, Chrome) vogliono anche proteggere i propri utenti da questi tipi di cookie, che vengono utilizzati per creare profili e interessi di acquisto degli utenti. Queste informazioni verranno quindi vendute e utilizzate per indirizzare gli utenti su altri siti. Il venditore di annunci realizzerà un profitto maggiore su un posizionamento dell'annuncio con intento verificato rispetto a una semplice impressione dell'annuncio. I leader del settore pubblicitario capiscono che la via da seguire è un minor monitoraggio e più posizionamenti di annunci che corrispondono alle intenzioni dell'utente sulla pagina (utilizzando la corrispondenza degli annunci di contenuto).

Questo cambiamento sta cambiando in modo significativo il settore della pubblicità online. Ora abbiamo aziende che contattano con richieste del tipo: "cambia il tuo DNS per CNAME in questo lavoro di 2 minuti e continuiamo come al solito".

Questa pratica ha introdotto il termine CNAME Cloaking e BAM, stiamo entrando nel lato oscuro dell'utile funzione CNAME. Le reti pubblicitarie possono nascondersi dietro un sottodominio aziendale e continuare a raccogliere informazioni personali e creare profili per aumentare le entrate pubblicitarie.

Questo è esattamente ciò che i browser e le leggi europee stanno cercando di impedire .

Parliamo dell'idea alla base di queste leggi e delle tecnologie dei browser in fase di lancio. Hanno lo scopo di offrire trasparenza ai visitatori del sito Web e di accettare esplicitamente le richieste. Hanno anche lo scopo di impedire la raccolta di dati nascosti e la creazione di profili personalizzati senza che gli utenti ne siano a conoscenza.

Il web sta lentamente diventando un luogo inquietante in cui alcuni grandi giocatori sanno di più su di te del tuo compagno di vita.

Smettila! Devi smettere di concedere così tanto accesso alle reti pubblicitarie ai dati dei tuoi utenti. Periodo!

Hack tecnologico o battaglia permanente?

Potresti vederlo come un gioco di tecnologia del gatto e del topo che puoi vincere, ma tutto ciò che stai facendo è rimandare l'inevitabile.

In tal modo, stai limitando gli altri tuoi sforzi di marketing che sono ancora considerati sicuri.

I browser o le leggi sulla privacy non vogliono che tu perda la tua conversione come marketer una volta che ti viene mostrato un annuncio (anche se tra un mese). A loro non importa se utilizzi un accesso universale per più siti o utilizzi analisi anonime sul tuo sito per misurare l'impatto. Si preoccupano, tuttavia, che tu (o il tuo provider, Google o Facebook) vi siate intrufolati nel tracciamento degli script ovunque per creare profili utente allo stesso tempo. Gli utenti volevano accedere, non condividere che avevano effettuato l'accesso con Facebook e ora sarebbero stati spinti a +1 su alcune categorie di annunci che avevano il loro interesse. Se lo fai, ti interromperanno, ma nuove iniziative ti aiuteranno a raccogliere quella conversione (continua a leggere...)

Webkit, l'organizzazione dietro ITP in Safari, lo spiega nella loro Politica di prevenzione del monitoraggio:

Impatto indesiderato dell'ITP

Ci sono pratiche sul web che non intendiamo interrompere, ma che potrebbero essere inavvertitamente influenzate perché si basano su tecniche che possono essere utilizzate anche per il tracciamento. Riteniamo che questo sia un impatto non intenzionale. Queste pratiche includono:

Finanziare siti web utilizzando pubblicità mirata o personalizzata (vedi Misurazione dei clic privati ​​di seguito).

• Misurare l'efficacia della pubblicità.

• Accesso federato utilizzando un provider di accesso di terze parti.

• Accesso singolo a più siti Web controllati dalla stessa organizzazione.

• Supporti incorporati che utilizzano l'identità dell'utente per rispettare le sue preferenze.

• Pulsanti “Mi Piace”, commenti federati o altri widget sociali.

• Prevenzione delle frodi.

• Rilevamento di bot.

• Miglioramento della sicurezza dell'autenticazione del client.

• Analytics nell'ambito di un singolo sito web.

• Misurazione dell'audience.

Di fronte a un compromesso, in genere daremo la priorità ai vantaggi per gli utenti rispetto alla conservazione delle attuali pratiche del sito Web. Riteniamo che questo sia il ruolo di un browser web, noto anche come user agent.

Tuttavia, cercheremo di limitare l'impatto indesiderato. Potremmo alterare i metodi di prevenzione del tracciamento per consentire determinati casi d'uso, in particolare quando una maggiore severità danneggerebbe l'esperienza dell'utente. In altri casi, progetteremo e implementeremo nuove tecnologie web per riattivare queste pratiche senza reintrodurre le capacità di tracciamento. Esempi di questi includono l' API di accesso allo storage e la misurazione dei clic privati .

Sono sicuro che altri browser condividono questa idea.

Sebbene la loro tecnologia e velocità di implementazione possano riflettere la loro politica e visione, stanno tutti lavorando per aumentare la trasparenza e l'adesione degli utenti all'uno o all'altro. Uno strumento utile per tenere traccia di tutti i loro sforzi è Cookie Status di Simo Ahava.

CNAME come soluzione temporanea

Quando utilizzi servizi come CookieSaver e TraceDock, che fingono di restituirti il ​​"business as usual", e l'attenzione è concentrata su ciò che " pensi che ti manchi ", potresti perdere la logica alla base delle nuove leggi sulla privacy e delle modifiche al browser .

Ma sia chiaro, alcuni cookie dovresti tenere lontani da CNAME! È un nuovo mondo in cui le persone scelgono se vogliono rinunciare a tutta la loro privacy per il massimo comfort, opt-in e log-in. Non puoi continuare a privare la privacy delle persone per raggiungere i tuoi obiettivi aziendali. Non puoi più essere così egoista. Devi avere fiducia che, facendo la cosa giusta, la tua attività crescerà. Fidati e misura….

Browser come Chrome e Safari stanno lavorando su iniziative che ti daranno accesso a informazioni utente personalizzate che l'utente ha approvato. Alcune personalizzazioni saranno possibili in base a quelle (mancano ancora due anni).

Chrome e Webkit (Safari) stanno lavorando su tecnologie che ti consentono di recuperare le conversioni di annunci utilizzando un'API. Ciò significa che potrai continuare a eseguire alcune attribuzioni e persino monitorare le conversioni 3-60 giorni dal giorno dell'impressione.

Il problema è che le leggi sulla privacy sono ora applicate, mentre queste alternative non sono ancora disponibili.

Solo perché CNAME potrebbe essere un'opzione in questo momento per estendere il tracciamento delle reti pubblicitarie e consentire loro di creare profili personali, non lo rende una soluzione praticabile a lungo termine.

È intenzione del browser proteggere gli utenti da questo. Se prolunghi la vita dei cookie che consentono di creare profili di utenti sul tuo sito e reindirizzarli altrove, o peggio ancora, creare profili utente e venderli... è allora che i browser e le terze parti inizieranno a creare liste di blocco per tali reti dubbie.

Dovresti smettere di supportare qualsiasi sistema che crea profili personali al di fuori del tuo dominio . Questo è ciò che vogliono gli utenti, i browser e le leggi sulla privacy. È ciò che ti morderà se non lo fai. Assicurati che qualcuno esporrà il tuo marchio per farlo.

Questa pratica potrebbe anche aggiungere un rischio per la sicurezza del tuo sito web.

Quando sposti i tracker degli annunci che hanno un cookie di terze parti in un cookie di prima parte utilizzando CNAME, ciò aumenta il rischio che i loro script possano leggere le autenticazioni e i cookie di accesso dei tuoi utenti.

La maggior parte degli articoli su CNAME Cloaking si concentra sui sistemi pubblicitari che creano profili sugli utenti. Vorremmo prendere le distanze da questa pratica.

Gli strumenti di test A/B e personalizzazione dispongono da anni di cookie proprietari. Sono già stati in grado di manipolare l'intero sito e i sistemi di accesso come parte del sistema che hanno. Per questi tipi di strumenti, non cambia nulla utilizzando i CNAME, tranne per il fatto che le esperienze potrebbero essere coerenti per 30-60 giorni invece di 7 giorni.

I regolamenti europei sulla ePrivacy stanno seguendo i browser

L'Europa sta lavorando alle sue ultime bozze dei regolamenti ePrivacy che consentono l'inserimento di cookie per l'analisi e l'ottimizzazione del sito web. Questo invia un chiaro segnale che, d'ora in poi, saranno consentiti solo i cookie essenziali, come la memorizzazione delle sessioni di accesso o dei prodotti nei carrelli della spesa, anche gli analytics e i test A/B a beneficio dell'utente.

L'8 novembre 2019 il governo finlandese ha emesso una proposta rivista per il regolamento ePrivacy con alcune modifiche.

Gaming Tech Law lo riassume come:

L'uso dei cookie (e file/tag simili) richiede il consenso in generale. Tuttavia, il Regolamento ePrivacy prevede numerose esenzioni, comprese sia esenzioni già note (cookie necessari per motivi di comunicazione o tecnici) sia nuove esenzioni come (alcune forme di) analisi, sicurezza (inclusa prevenzione delle frodi), aggiornamenti software ed esecuzione delle mansioni dei dipendenti nonché le ulteriori esenzioni sopra elencate.

Ai fini del test A/B, molto probabilmente non hai bisogno del consenso e puoi inserire i cookie senza problemi, come afferma l'ultima bozza del Regolamento ePrivacy (novembre 2019) nell'articolo 21a :

I cookie possono anche essere uno strumento legittimo e utile, ad esempio, per valutare l'efficacia di un servizio fornito della società dell'informazione, ad esempio per la progettazione e la pubblicità di siti Web o aiutando a misurare il numero di utenti finali che visitano un sito Web, determinate pagine di un sito Web o il numero di utenti finali di un'applicazione. Non è il caso, invece, di cookie e identificatori simili utilizzati per determinare la natura di chi sta utilizzando il sito, che richiede sempre il consenso dell'utente finale.

La bozza del Regolamento ePrivacy si concentra sull'idea che il monitoraggio e l'analisi siano consentiti senza consenso, purché non vengano utilizzati per creare profili utente, come menzionato nell'articolo 17AA:

Poiché gli utenti finali attribuiscono un grande valore alla riservatezza delle loro comunicazioni, compresi i loro movimenti fisici, tali dati non possono essere utilizzati per determinare la natura o le caratteristiche di un utente finale o per costruire un profilo di un utente finale, al fine di, ad esempio, evitare che i dati siano utilizzati a fini di segmentazione, per monitorare il comportamento di un determinato utente finale o per trarre conclusioni sulla vita privata di un utente finale. Per lo stesso motivo, l'utente finale deve essere informato sulle attività di trattamento in corso e deve avere il diritto di opporsi a tale trattamento.

Cosa dirà la bozza finale?

Bisognerà attendere la versione definitiva dei Regolamenti e poi che le leggi nazionali inizino davvero a discutere le linee guida in modo più approfondito. Ma l'attuale Direttiva ePrivacy dà buone speranze per i test A/B. Paul Schmitt mi ha fatto notare che anche se l'ICO (l'autorità per la privacy del Regno Unito) e la CNIL (l'autorità per la privacy francese) hanno regolato che i cookie per i test A/B e le analisi richiedono il consenso, le ultime linee guida della CNIL (in francese) di Github affermano altrimenti. Ecco una traduzione:

Beneficiano dell'esenzione dal consenso, fatto salvo un certo numero di condizioni, i cookie utilizzati per la misurazione dell'audience sono esenti dal consenso. Queste condizioni, come specificato nelle linee guida sui cookie e altri tracker, sono (1) informare gli utenti del loro utilizzo; (2) conferire loro il potere di opporsi; (3) limitare il sistema alle sole finalità seguenti: misurazione dell'audience e test A/B.

Per riassumere, sia i browser che le leggi sulla privacy vogliono la stessa cosa. Non sono qui per fermare i tuoi sforzi per analizzare gli utenti (sul tuo sito) o per eseguire test A/B per migliorare e ottimizzare l'esperienza dell'utente.

Nessun cookie... Usiamo l'impronta digitale

Fingerprinting significa creare un identificatore univoco combinando più proprietà che di per sé non sono uniche per te, aggirando le restrizioni del browser sui cookie e persino essendo in grado di tracciarti su tutti i dispositivi (è qualcosa che i cookie non possono fare).

Alcune di queste proprietà sono il tuo indirizzo IP, la versione del tuo sistema operativo, la versione del tuo browser, la lingua del tuo computer, il tuo tempo, le dimensioni del tuo schermo, la densità dei pixel del tuo schermo, la velocità del tuo computer e l'elenco potrebbe continuare e Su.

Potresti considerare di non utilizzare affatto i cookie per tecniche specifiche. Tuttavia, questo non significa che puoi rinunciare a problemi di trasparenza e privacy nascondendo ciò che fai ai singoli visitatori lato server o sul bordo della CDN. Questo è uno dei motivi per cui promuoviamo l'assoluta trasparenza sugli sforzi di test e personalizzazione in corso sul nostro sito.

Potresti impostare test A/B al limite senza cookie (su Fastly), ma non è trasparente e può essere disapprovato. I browser stanno limitando le informazioni che stai ricevendo per creare un'esperienza hash/unica per qualcuno.

Le normative ePrivacy sono chiare: non consentono il rilevamento delle impronte digitali. I browser e le autorità per la privacy ti combatteranno ancora più duramente per le impronte digitali di quanto farebbero per i cookie. Non andare lì.

Più trasparenza, non meno

Convert Experiences è il nostro strumento di personalizzazione e test A/B. Per impostazione predefinita, non consente la creazione di profili utente utilizzando i dati personali.

Aggreghiamo i dati nei rapporti e inviamo avvisi quando i segmenti diventano così piccoli da rendere gli utenti identificabili o quando sospettiamo che i dati personali siano stati aggiunti in campi in cui non dovrebbero essere.

Il nostro strumento è spesso utilizzato da marchi che si preoccupano del rispetto di tutte le leggi sulla privacy in tutto il mondo. Offriamo opzioni in cui i proprietari di siti Web possono condividere un collegamento o un tasto di scelta rapida per essere trasparenti su quali esperienze vengono eseguite sul sito Web e in quali esperienze si trovano gli utenti.

Incoraggiamo i nostri clienti a creare esperienze che migliorino l'esperienza dell'utente e ottimizzino il flusso.

Se vuoi costruire un mondo migliore, rendi i moduli migliori e più brevi . I browser, gli utenti e le leggi sulla privacy ti supportano in questo. Quello che non supporteranno è un test A/B in cui ti sei intrufolato in un upsell controllato per impostazione predefinita. Migliora le tue proprietà e quindi non ci saranno problemi ad essere trasparenti al riguardo. I test A/B avvantaggiano gli utenti e possono essere utili per gli affari, perché offri le migliori esperienze online.

Quindi, quando installi CNAME per il tuo strumento di test A/B, assicurati che il tuo strumento non stia creando profili utente. Non utilizzare identificatori come sesso, età, razza e religione per il targeting (alcuni strumenti, non i nostri, lo offrono). Non andateci, non ne vale la pena e nessuno lo vuole più.

Imposta un CNAME per gli strumenti di cui ti fidi. Non consentire loro di incanalare informazioni sui tuoi visitatori verso siti e località di terze parti. Tu e tu solo sei responsabile di ciò che questi strumenti archiviano e fanno con i dati. Puoi guardare ogni strumento e le tonnellate di frammenti che sollevano con lo strumento (puoi usare Collisione - vedi l'immagine sotto). Imposta CNAME solo per un'azienda in cui hai un DPA (Accordo sull'elaborazione dei dati) firmato: trova il nostro qui.

E adesso?

Ho esposto tutto ciò che so su CNAME in questo post: spero che tu l'abbia trovato utile e che abbia fatto luce su questo argomento complicato.

Sentiti libero di connetterti con me su LinkedIn o di leggere come ci siamo spostati completamente verso un focus sulla privacy nel 2018.

Guarda come trattiamo Privacy Shield, SCC, CCPA e i nostri sforzi generali in questo spazio.

Spero che questo articolo abbia chiarito come utilizzare CNAME nei tuoi sforzi per estendere i tuoi esperimenti di test A/B da 7 a 30 giorni. Non acquistare strumenti CNAME che prolungano la vita dei cookie pubblicitari che creano profili utente, per favore.

Fai una prova gratuita del nostro software di test A/B, se desideri vedere come funziona uno strumento attento alla privacy. Noi (proprio come le normative ePrivacy) siamo convinti che i test A/B siano un metodo positivo che può aiutare a convalidare gli sforzi delle aziende nel fornire una migliore esperienza agli utenti e non sfruttarli.