Os navegadores estão pressionando por um futuro sem cookies?

Leis recentes, como o GDPR europeu, a diretiva de privacidade eletrônica, a CCPA da Califórnia e os próximos regulamentos de privacidade eletrônica incentivaram os navegadores a se unirem à causa de proteger a privacidade do usuário .

Com o Safari ITP e o Firefox ETP liderando os esforços, e o Google recentemente se juntando, os gigantes da Internet estão trabalhando duro para criar uma estrutura legal uniforme.

Para empresas que usam ferramentas de teste A/B e personalização que desejam estender o tempo de exibição de uma personalização ou variação para a mesma pessoa — por exemplo, mais de 7 dias — a melhor solução é migrar para DNS sobre HTTP(s), também chamado uma configuração CNAME, para definir cookies primários.

Este é um movimento controverso. Continue lendo (ou assista ao vídeo abaixo) para ver por que o recomendamos e como você pode usá-lo (ou não) corretamente.

O que os navegadores, a Europa e a CCPA querem para os usuários?

Na Europa, configurar cookies (mesmo para fins de análise, teste A/B ou personalização) sem consentimento é uma prática questionável, pois alguns deles contêm dados pessoais e isso é um GRANDE problema.

Navegadores como Safari e Firefox (e, em menor grau, Chrome) também desejam proteger seus usuários desses tipos de cookies, que são usados ​​para criar perfis de usuários e interesses de compra. Essas informações serão vendidas e usadas para segmentar usuários em outros sites. O vendedor de anúncios obterá um lucro maior em um posicionamento de anúncio com intenção verificada em comparação com uma impressão de anúncio simples. Os líderes do setor de anúncios entendem que o caminho a seguir é menos rastreamento e mais posicionamentos de anúncios que correspondam à intenção do usuário na página (usando a correspondência de anúncios de conteúdo).

Essa mudança está mudando significativamente a indústria de anúncios online. Agora temos empresas entrando em contato com solicitações como: “mude seu DNS para CNAME neste trabalho de 2 minutos e continuamos os negócios como de costume”.

Esta prática introduziu o termo CNAME Cloaking e BAM, estamos entrando no lado escuro da útil função CNAME. As redes de anúncios podem se esconder atrás de um subdomínio da empresa e continuar coletando informações pessoais e criando perfis para aumentar a receita de anúncios.

Isso é exatamente o que os navegadores e as leis europeias estão tentando evitar .

Vamos falar sobre a ideia por trás dessas leis e as tecnologias de navegador que estão sendo lançadas. Eles visam oferecer transparência aos visitantes do site e fazer com que eles concordem explicitamente com as solicitações. Eles também visam impedir a coleta de dados ocultos e a criação de perfis personalizados sem que os usuários estejam cientes disso.

A web está lentamente se tornando um lugar assustador, onde alguns grandes jogadores sabem mais sobre você do que seu parceiro de vida.

Pare de fazer isso! Você precisa parar de dar tanto acesso às redes de anúncios aos dados de seus usuários. Período!

Tecnologia Hack ou Batalha Permanente?

Você pode ver isso como um jogo de tecnologia de gato e rato que você pode ganhar, mas tudo o que você está fazendo é adiar o inevitável.

Ao fazer isso, você está limitando seus outros esforços de marketing que ainda são considerados seguros.

Navegadores ou leis de privacidade não querem que você perca sua conversão como profissional de marketing depois que um anúncio for exibido (mesmo que seja daqui a um mês). Eles não se importam que você use um login universal para vários sites ou use análises anônimas em seu site para medir o impacto. Eles se importam, no entanto, que você (ou seu provedor, Google ou Facebook) se infiltrou em scripts de rastreamento em todos os lugares para criar perfis de usuário ao mesmo tempo. Os usuários queriam fazer login, não compartilhar que fizeram login com o Facebook e agora seriam empurrados para +1 em alguma categoria de anúncio de seu interesse. Se você fizer isso, eles o cortarão, mas novas iniciativas ajudarão você a coletar essa conversão (leia mais…)

Webkit, a organização por trás do ITP no Safari, explica isso em sua Política de Prevenção de Rastreamento:

Impacto não intencional ITP

Existem práticas na web que não pretendemos interromper, mas que podem ser afetadas inadvertidamente porque dependem de técnicas que também podem ser usadas para rastreamento. Consideramos que este é um impacto não intencional. Essas práticas incluem:

Financiar sites usando publicidade direcionada ou personalizada (consulte Medição de cliques privados abaixo).

• Medir a eficácia da publicidade.

• Login federado usando um provedor de login de terceiros.

• Logon único para vários sites controlados pela mesma organização.

• Mídia incorporada que usa a identidade do usuário para respeitar suas preferências.

• Botões “Curtir”, comentários federados ou outros widgets sociais.

• Prevenção de fraudes.

• Detecção de bot.

• Melhorar a segurança da autenticação do cliente.

• Analytics no âmbito de um único website.

• Medição de audiência.

Quando nos deparamos com uma troca, normalmente priorizamos os benefícios do usuário sobre a preservação das práticas atuais do site. Acreditamos que esse é o papel de um navegador da web, também conhecido como agente do usuário.

No entanto, tentaremos limitar o impacto não intencional. Podemos alterar os métodos de prevenção de rastreamento para permitir certos casos de uso, principalmente quando um maior rigor prejudicar a experiência do usuário. Em outros casos, projetaremos e implementaremos novas tecnologias da Web para reativar essas práticas sem reintroduzir os recursos de rastreamento. Exemplos disso incluem API de acesso ao armazenamento e medição de cliques privados .

Tenho certeza de que outros navegadores compartilham essa ideia.

Embora sua tecnologia e velocidade de implementação possam refletir sua política e visão, todos estão trabalhando para aumentar a transparência e a adesão dos usuários em um ou outro. Uma ferramenta útil para acompanhar todos os seus esforços é o Cookie Status de Simo Ahava.

CNAME como solução temporária

Quando você usa serviços como CookieSaver e TraceDock, que fingem devolver o “business as usual”, e o foco está no que você “ acha que está perdendo ”, você pode perder a lógica por trás das novas leis de privacidade e mudanças no navegador .

Mas fique claro, alguns cookies você deve manter fora do CNAME! É um mundo novo onde as pessoas escolhem se querem abrir mão de toda a sua privacidade por conforto e opt-in e log-in. Você não pode continuar tirando a privacidade das pessoas para atingir suas metas de negócios. Você não pode mais ser tão egoísta. Você precisa confiar que, fazendo a coisa certa, seu negócio crescerá. Confiar e medir….

Navegadores como Chrome e Safari estão trabalhando em iniciativas que lhe darão acesso a informações personalizadas do usuário que o usuário aprovou. Alguma personalização será possível com base neles (ainda faltam dois anos).

O Chrome e o Webkit (Safari) estão trabalhando em tecnologias que permitem recuperar as conversões de anúncios usando uma API. Isso significa que você poderá continuar fazendo algumas atribuições e até acompanhar as conversões de 3 a 60 dias a partir do dia da impressão.

O problema com isso é que as leis de privacidade são aplicadas agora, enquanto essas alternativas ainda não estão disponíveis.

Só porque o CNAME pode ser uma opção agora para estender o rastreamento de redes de anúncios e permitir que eles criem perfis pessoais, isso não o torna uma solução viável a longo prazo.

É a intenção dos navegadores proteger os usuários disso. Se você prolongar a vida dos cookies que permitem criar perfis de usuários em seu site e redirecioná-los para outro lugar, ou pior ainda, criar perfis de usuários e vendê-los…

Você deve parar de oferecer suporte a qualquer sistema que crie perfis pessoais fora do seu domínio . É isso que os usuários, navegadores e leis de privacidade desejam. É o que vai te morder se você não o fizer. Certifique-se de que alguém irá expor sua marca por fazer isso.

Essa prática também pode adicionar um risco de segurança ao seu site.

Quando você move rastreadores de anúncios que têm um cookie de terceiros para um cookie primário usando CNAME, isso aumenta o risco de que seus scripts possam ler autenticações e cookies de login de seus usuários.

A maioria dos artigos sobre CNAME Cloaking se concentra na criação de perfis de usuários de sistemas de anúncios. Gostaríamos de nos distanciar dessa prática.

As ferramentas de teste A/B e personalização têm cookies primários há anos. Eles já conseguiram manipular todo o site e os sistemas de login como parte do sistema que possuem. Para esses tipos de ferramentas, nada muda usando CNAMEs, exceto que as experiências podem ser consistentes por 30 a 60 dias em vez de 7 dias.

Os regulamentos europeus de privacidade eletrônica estão seguindo os navegadores

A Europa está trabalhando em seus últimos rascunhos dos Regulamentos de privacidade eletrônica que permitem a colocação de cookies para análise e otimização de sites. Isso envia um sinal claro de que, a partir de agora, apenas cookies essenciais, como armazenamento de sessões de login ou produtos em carrinhos de compras, também análises e testes A/B para benefício do usuário, serão permitidos.

Em 8 de novembro de 2019, o governo finlandês emitiu uma proposta revisada para o Regulamento de privacidade eletrônica com algumas alterações.

A Lei de Tecnologia de Jogos resume assim:

O uso de cookies (e arquivos/tags semelhantes) requer consentimento em geral. No entanto, o Regulamento ePrivacy prevê inúmeras isenções, incluindo isenções já conhecidas (cookies necessários para comunicação ou motivos técnicos), bem como novas isenções, como (certas formas de) análise, segurança (incluindo prevenção de fraudes), atualizações de software e execução das tarefas dos funcionários, bem como as outras isenções listadas acima.

Para fins de teste A/B, você provavelmente não precisa de consentimento e pode colocar cookies sem problemas, como o último rascunho dos Regulamentos de privacidade eletrônica (novembro de 2019) afirma no artigo 21a :

Os cookies também podem ser uma ferramenta legítima e útil, por exemplo, para avaliar a eficácia de um serviço da sociedade da informação fornecido, por exemplo, de design e publicidade de sites ou ajudando a medir o número de usuários finais que visitam um site, determinadas páginas de um site ou o número de usuários finais de um aplicativo. Não é o caso, no entanto, de cookies e identificadores semelhantes usados ​​para determinar a natureza de quem está usando o site, o que sempre requer o consentimento do usuário final.

O rascunho dos regulamentos de privacidade eletrônica se concentra na ideia de que rastreamento e análise são permitidos sem consentimento, desde que não sejam usados ​​para criar perfis de usuário, conforme mencionado no artigo 17AA:

Como os usuários finais atribuem grande valor à confidencialidade de suas comunicações, incluindo seus movimentos físicos, esses dados não podem ser usados ​​para determinar a natureza ou características de um usuário final ou para construir um perfil de usuário final, a fim de, por exemplo, evite que os dados sejam usados ​​para fins de segmentação, para monitorar o comportamento de um usuário final específico ou para tirar conclusões sobre a vida privada de um usuário final. Pela mesma razão, o usuário final deve receber informações sobre essas atividades de processamento que estão ocorrendo e ter o direito de se opor a tal processamento.

O que dirá o rascunho final?

Teremos que esperar a versão final do Regulamento e depois as leis nacionais realmente começarem a discutir as diretrizes com mais profundidade. Mas a atual diretiva de privacidade eletrônica dá uma boa esperança para testes A/B. Paul Schmitt apontou para mim que, embora a ICO (autoridade de privacidade do Reino Unido) e a CNIL (autoridade de privacidade francesa) regulamentassem que os cookies para testes e análises A/B precisavam de consentimento, as diretrizes mais recentes da CNIL (em francês) do Github dizem por outro lado. Aqui está uma tradução:

Beneficie da isenção de consentimento, sujeito a um certo número de condições, os cookies utilizados para medição de audiência estão isentos de consentimento. Essas condições, conforme especificado nas diretrizes sobre cookies e outros rastreadores, são (1) informar os usuários sobre seu uso; (2) dar-lhes o poder de se opor; (3) limitar o sistema apenas aos seguintes propósitos: medição de audiência e teste A/B.

Para resumir, ambos os navegadores e as leis de privacidade querem a mesma coisa. Eles não estão aqui para interromper seus esforços de analisar usuários (em seu site) ou fazer testes A/B para melhorar e otimizar a experiência do usuário.

Sem cookies… Vamos usar a impressão digital

A impressão digital significa criar um identificador exclusivo combinando várias propriedades que por si só não são exclusivas para você, ignorando as restrições do navegador sobre cookies e até mesmo sendo capaz de rastreá-lo em vários dispositivos (é algo que os cookies não podem fazer).

Algumas dessas propriedades são o seu endereço IP, a versão do seu sistema operacional, a versão do seu navegador, o idioma do seu computador, seu tempo, o tamanho da sua tela, a densidade de pixels da sua tela, a velocidade do seu computador e a lista continua e sobre.

Você pode considerar não usar cookies para técnicas específicas. No entanto, isso não significa que você pode renunciar às preocupações de transparência e privacidade, ocultando o que você faz para os visitantes individuais no lado do servidor ou na borda da CDN. Essa é uma razão pela qual promovemos transparência absoluta nos esforços de teste e personalização que estão sendo executados em nosso site.

Você pode configurar o teste A/B na borda sem cookies (no Fastly), mas isso não é transparente e pode ser desaprovado. Os navegadores estão limitando as informações que você está recebendo para criar uma experiência única para alguém.

Os regulamentos de privacidade eletrônica são claros - eles não permitem impressões digitais. Os navegadores e as autoridades de privacidade vão lutar com você ainda mais por impressões digitais do que por cookies. Não vá lá.

Mais transparência, não menos

O Convert Experiences é nossa ferramenta de teste A/B e personalização. Ele não permite criar perfis de usuário usando dados pessoais por padrão.

Agregamos dados em relatórios e enviamos avisos quando os segmentos se tornam tão pequenos, tornam os usuários identificáveis ​​ou quando suspeitamos que dados pessoais foram adicionados em campos onde não deveriam.

Nossa ferramenta é frequentemente usada por marcas que se preocupam com a conformidade com todas as leis de privacidade em todo o mundo. Oferecemos opções em que os proprietários de sites podem compartilhar um link ou uma tecla de atalho para serem transparentes sobre quais experiências são executadas no site e em quais experiências os usuários estão.

Incentivamos nossos clientes a criar experiências que melhorem a experiência do usuário e otimizem o fluxo.

Se você quer construir um mundo melhor, faça formulários melhores e mais curtos . Navegadores, usuários e as leis de privacidade o apoiam nisso. O que eles não suportam é um teste A/B onde você conseguiu um upsell verificado por padrão. Melhore suas propriedades e então não haverá problema em ser transparente sobre isso. O teste A/B beneficia os usuários e pode ser bom para os negócios, porque você oferece as melhores experiências online.

Portanto, ao instalar o CNAME para sua ferramenta de teste A/B, certifique-se de que sua ferramenta não esteja criando perfis de usuário. Não use identificadores como sexo, idade, raça e religião para segmentar (algumas ferramentas – não as nossas – oferecem isso). Não vá lá, não vale a pena e ninguém quer mais isso.

Configure um CNAME para ferramentas nas quais você confia. Não permita que eles canalizem informações sobre seus visitantes para sites e locais de terceiros. Você e somente você é responsável pelo que essas ferramentas armazenam e fazem com os dados. Você pode ver cada ferramenta e as toneladas de snippets que eles levantam com a ferramenta (você pode usar Collision - veja a imagem abaixo). Configure o CNAME apenas para uma empresa onde você tem um DPA (Acordo de Processamento de Dados) assinado — encontre o nosso aqui.

O que agora?

Eu expus tudo o que sei sobre o CNAME neste post - espero que você tenha achado útil e que lance alguma luz sobre esse tópico complicado.

Sinta-se à vontade para se conectar comigo no LinkedIn ou ler como mudamos completamente para um foco de privacidade em 2018.

Veja como lidamos com Privacy Shield, SCC, CCPA e nossos esforços gerais neste espaço.

Espero que este artigo tenha deixado claro como você pode usar o CNAME em seus esforços para estender seus experimentos de teste A/B de 7 para 30 dias. Não compre ferramentas CNAME que prolongam a vida de cookies de anúncios que criam perfis de usuários, por favor.

Faça um teste gratuito do nosso software de teste A/B, se quiser ver como uma ferramenta de privacidade é executada. Nós (assim como os regulamentos de privacidade eletrônica) estamos convencidos de que o teste A/B é um método positivo que pode ajudar a validar os esforços das empresas em fornecer uma experiência melhor aos usuários e não explorá-los.