कुकी और सीएमपी सिस्टम नीति

1) उद्देश्य और क्षेत्

सभी सतहों में सीएमपी के माध्यम से कानूनी भंडारण/पहचानकर्ताओं (कुकीज़, स्थानीय भंडारण, एसडीके) और सहमति प्रबंधन के लिए समान नियम स्थापित करें: वेब, आईओएस/एंड्रॉइड, ई-मेल/एसएमएस/पुश, संबद्ध लैंडिंग पेज, धारा। दस्तावेज़ पूरक: "जीडीपीआर: सहमति प्रबंधन", "आयु सत्यापन", "विज्ञापन मानक"।

2) कानूनी आधार (संक्षिप्त)

ईप्रोफाइल: कोई भी गैर-सख्त आवश्यक कुकीज ़/एसडीके - केवल सहमति के बाद। "कड़ाई से आवश्यक" (प्रमाणीकरण, टोकरी/संतुलन, सुरक्षा/विरोधी धोखाधड़ी) - बिना सहमति के अनुमति।

जीडीपीआर: प्रसंस्करण के लिए कानूनी आधार के रूप में सहमति (आर्ट। 6 (1) (ए)); सेवा संचालन के लिए - संविदात्मक आवश्यकता (आर्ट। 6 (1) (बी)); वैध हित - सीमित और वस्तु के अधिकार के साथ।

बच्चे/कमजोर: विपणन/निजीकरण आईडी - प्रतिबंधित।

3) सिद्धांत

1. पूर्व सहमति: सीएमपी में चयन से पहले कोई अनावश्यक टैग नहीं।

2. लक्ष्यों का पृथक्करण: एनालिटिक्स, निजीकरण, विपणन, उल्लेखनीय, जियोलोकेशन, ए/बी - अलग टॉगल स्विच।

3. प्रतिक्रिया = क्लिक पर: सहमति के रूप में सरल; प्रसंस्करण की तात्कालिक समाप्ति।

4. कोई डार्क पैटर्न नहीं: समान दृश्यता "सभी को स्वीकार करें "/" सभी को अस्वीकार करें "/" कस्टमाइज़करें "।

5. उत्पादकता: पाठ संस्करण, हैश, यूआई स्क्रीनशॉट, फायरिंग नियम लॉग।

6. न्यूनतम स्थानीयकरण: हम केवल वही डालते हैं जो स्वीकार्य क्षेत्रों में आवश्यक है।

4) भूमिकाएँ और आरएसीआई

डीपीओ/अनुपालन (मालिक) - नीति, डीपीआईए, शिकायतों की प्रतिक्रिया। (ए)

कानूनी - ग्रंथ, स्थानीय आवश्यकताएं और अवधारण अवधि। (आर)

उत्पाद/यूएक्स - बैनर/पैनल, उपलब्धता और स्थान। (आर)

इंजीनियरिंग/सीएमपी मालिक - टैग लॉक, एसडीके, एपीआई, संस्करण। (आर)

डेटा/एनालिटिक्स - डी-आइडेंटिफिकेशन मोड, माप को ध्यान में रखते हुए सहमति। (सी)

सीआरएम/विज्ञापन - वापस ली गई सहमति से दमन। (आर)

InfoSec - एन्क्रिप्शन, कुंजी, सहमति लॉग तक पहुंच। (सी)

आंतरिक लेखा परीक्षा - साक्ष्य नमूने, CAPA। (सी)

5) कुकी/एसडीके टैक्सोनॉमी

• सत्र/प्रमाणीकरण, शेष/बास्केट, धोखाधड़ी संरक्षण और लोड वितरण, गोपनीयता चयन।

• एनालिटिक्स (उपयोगकर्ता-स्तर, क्रॉस-डिवाइस आईडी)।
• निजीकरण (सामग्री/खेल, सिफारिशें)।
• विपणन (ई-मेल/एसएमएस/पुश - चैनल अलग से)।
• उल्लेखनीय/विज्ञापन (तृतीय-पक्ष पिक्सेल/एसडीके)।
• A/B परीक्षण (यदि पहचानकर्ता का उपयोग कर रहा है)।
• जियोलोकेशन "शहर/क्षेत्र" (गैर-सख्त)।

6) सीएमपी: यूएक्स पैटर्न और ग्रंथ

पहली परत (बैनर): छोटा लक्ष्य, 3 समतुल्य बटन: सभी को अस्वीकार/कस्टमाइज ़/स्वीकार करें।

दूसरी परत (पैनल): लक्ष्य टॉगल स्विच, विक्रेताओं की सूची और शेल्फ जीवन, नीति से लिंक।

वरीयता केंद्र: खिलाड़ी की प्रोफाइल में - चैनल मार्केटिंग फ्लैग्स (ई-मेल/एसएमएस/पुश/फोन), "सब कुछ से सदस्यता लें।"

एक्सेसिबिलिटी: एए + कंट्रास्ट, फोकस ट्रैप, स्क्रीन-रीडर्स, स्थानीयकरण, मोबाइल अनुकूलन।

जीपीसी/ट्रैक न करें: वैश्विक संकेत = सभी को अस्वीकार करें (कड़ाई से आवश्यक को छोड़ कर)।

एप्लिकेशन: इन-ऐप सीएमपी + सिस्टम ओएस-प्रांप्ट; सर्वर प्रोफ़ाइल के साथ तुल्यकालित करें।

7) IAB TCF 2। 2 (ढांचा)

टीसी-लाइनों का उत्पादन और भंडारण, विक्रेता सूची संस्करण, लक्ष्य मानचित्रण - हमारे झंडे।

टीसी (पूर्व सहमति) प्राप्त होने तक तीसरे टैग को अवरुद्ध करना।

प्रत्येक विक्रेता और लक्ष्य के लिए परमिट/निषेध का सम्मान।

समान लॉगिंग के साथ टीसीएफ - कस्टम सीएमपी के बाहर के बाजारों के लिए।

8) टैग, टैग प्रबंधक और सर्वर-साइड

डिफ़ॉल्ट रूप से इनकार करें: टीएम में नियम सहमति तक सभी अनावश्यक टैग को अवरुद्ध करते हैं।

सर्वर-साइड टैगिंग: सहमति के अभाव में शून्य/पहचानकर्ताओं के मास्किंग के साथ प्रॉक्सी लूप; विन्यास अनुमत क्षेत्र में संग्रहीत है।

एसडीके गेट्स - लक्ष्य सत्य होने पर ही विपणन/विश्लेषिकी एसडीके आरंभ करें।

फायरिंग लॉग: कौन/क्या/कब "शॉट", सहमति की स्थिति के तहत।

9) डेटा, कलाकृतियां और प्रतिधारण (न्यूनतम मॉडल)

consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, status{accept    deny    withdraw}, source{web    app    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

WORM सहमति/समीक्षा, ग्रंथों के संस्करण, UI वेरिएंट के स्क्रीनशॉट के लॉग।

प्रतिधारण: जबकि लक्ष्य/संबंध वैध + स्थानीय समय सीमा है; विपणन - सीमित (अक्सर ≤ 24 महीने की निष्क्रियता)।

10) एकीकरण: सीआरएम/विज्ञापन/सहयोगी

दमन: निरसन - चैनलों और उल्लेखनीय (निकट-वास्तविक समय + रात के बैच) का त्वरित निष्क्रिय।

ई-मेल/एसएमएस: चैनल के लिए स्पष्ट रूप से सही होने पर ही भेजना (डबल ऑप्ट-इन बाय मार्केट)।

सहयोगी: CIW/वैध सहमति स्थिति के बिना लीड - योग्य न हों; संस्करण/हैश की स्थिति - आवश्यक।

11) क्षेत्रीय प्रोफाइल (टेम्पलेट)

Market: ______
Required banner elements:...
Retention and localization:...
Requirements for TCF/vendor lists:...
GPC/DNT status:...
Documents/mandatory links:...

12) नियंत्रण, परीक्षण और लेखा परीक्षा

CI लिंटर: रिजेक्ट ऑल, GPC प्रोसेसिंग, टैग ब्लॉकिंग के लिए सहमति तक जांचें।

E2E परीक्षण: स्क्रिप्ट के भीतर/इनकार/स्वीकार करें → सीआरएम में फायरिंग लॉग और दमन की जाँच करें।

नमूने: सहमति रिकॉर्ड और यूआई स्क्रीनशॉट का त्रैमासिक ऑडिट; वर्शनिंग ग्रंथ।

घटनाएं: सहमति के बिना टैग का कोई भी लॉन्च - तत्काल टेकडाउन, कारण/फिक्स, CAPA।

13) केपीआई/केआरआई और डैशबोर्ड

लक्ष्य/बाजार/उपकरण द्वारा ऑप्ट-इन दर।

वापस लेने की दर और समय-से-आवेदन (मंझला)।

जीपीसी ऑनर रेट (सही ग्लोब प्रोसेसिंग। सिग्नल)।

टैग फायरिंग उल्लंघन (प्रति 1k डाउनलोड)।

दमन अखंडता (रिकॉल मार्केटिंग = 0)।

शिकायत दर/Reg निष्कर्ष।

श्रव्यता स्कोर (कलाकृतियों के पूर्ण पैकेज के साथ रिकॉर्ड का%)।

14) चेकलिस्ट

लॉन्च से पहले

• सभी बैनर, स्थानों, एए + उपलब्धता को अस्वीकार करें।
• लक्ष्य श्रेणियों और विक्रेता सूची सहमत (कानूनी/डीपीओ)।
• टैग प्रबंधक: इनकार-दर-डिफ़ॉल्ट; एसडीके द्वार।
• GPC मान्यता प्राप्त और लागू है।
• चैनल झंडे के साथ वरीयता केंद्र और "सब कुछ से सदस्यता"।
• WORM साक्ष्य भंडारण सक्षम है।

ऑपरेशन में

• फायरिंग उल्लंघन और जीपीसी की निगरानी करें।
• CRM/Ads दमन सुलह।
• DSAR मौजूदा स्थिति और लॉग लौटाता है.

लेखा परीक्षा/सुधार

• सहमति और यूआई स्क्रीनशॉट के त्रैमासिक नमूने।
• अंधेरे पैटर्न की अनुपस्थिति के लिए बैनर की ए/बी समीक्षा।
• क्षेत्रीय प्रोफाइल और ग्रंथों को अद्यतन क

15) साँचा (त्वरित आवेषण)

ए) बैनर (पहली परत)

बी) पैनल (लक्ष्य "उल्लेखनीय/विज्ञापन")

कुंजी> आईडी को बाहरी साइटों पर व्यक्तिगत विज्ञापन प्रदर्शित करने की अनुमति दें। इसके बिना, हम तृतीय-पक्ष पिक्सेल/एसडीके का उपयोग नहीं करेंगे।

सी) सहमति वापस लेना (पुष्टि)

कुंजी> आपकी सेटिंग अद्यतन की गई है. व्यक्तिगत विज्ञापन और विपणन आईडी अक्षम हैं। आप अभी भी खेल सकते हैं और सेवा का उपयोग कर सकते हैं।

डी) "इनकार करने के लिए असंभव" शिकायत की प्रतिक्रिया

16) तकनीकी ढांचा और घटनाएँ

События: 'cmp _ banner _ downed', 'consent _ giended/devent/exited', 'gpc _ distected', 'tag _ field _ blocked/blocked', 'मार्केटिंग _ unsubscrided', '।

• 'GET/सहमति? user_id=...'
• 'POST/सहमति' (बनाएं/वापस लेना/अद्यतन)
• 'POST/मार्केटिंग/प्राथमिकताएं'
• 'POST/gpc/signal'
• बुनियादी ढांचा: सहमति का सर्वर कैश, लॉग का भू-बंधन, इनकार करने पर मास्किंग पहचानकर्ता।

17) जोखिम और रोकथाम

सहमति से पहले टैग चलाएँ। → Deny-by-default, E2E जाँच, अलार्म।

बैनर में डार्क पैटर्न। → डिजाइन समीक्षा, बटन की समान दृश्यता।

सीआरएम/विज्ञापनों में स्थिति बेमेल। - एक एकल दमन सेवा और दैनिक सामंजस्य।

अनावश्यक पहचानकर्ताओं को एकत्र करना। → न्यूनतम, मास्किंग, क्षेत्रीय प्रोफाइल।

सबूतों की कमी। WORM में → स्क्रीनशॉट/हैश/लॉग।

18) 30-दिवसीय कार्यान्वयन योजना

सप्ताह 1

1. कुकीज ़/लक्ष्य और ग्रंथों (स्थान) के वर्गीकरण को मंजूरी; DPIA।

2. सीएमपी (टीसीएफ 2) चुनें/कॉन्फ़िगर करें। 2 + कस्टम लक्ष्य), GPC सक्षम करें।

3. डेटा/कलाकृति मॉडल, WORM भंडारण निर्दिष्ट करें।

सप्ताह 2

4) टैग मैनेजर में इनकार-दर-डिफ़ॉल्ट, सहमति का सर्वर कैश, एसडीके गेट्स को लागू करें।

5) एक वरीयता केंद्र (चैनल झंडे, "सब कुछ से सदस्यता") बनाएं।

6) सीआरएम/विज्ञापनों और संबद्ध फीड में दमन स्थापित करें।

सप्ताह 3

7) यातायात के 10-20% के लिए पायलट: ऑप्ट-इन/निकासी/जीपीसी ऑनर, फायरिंग लॉग टेस्ट।

8) यूएक्स/कॉपीराइट/टीएम फिडबेक और हादसा नियम के लिए फिक्स।

सप्ताह 4

9) पूर्ण रिलीज; केपीआई/केआरआई डैशबोर्ड और अलर्ट सक्षम करें।

10) त्रैमासिक ऑडिट और CAPA योजना।

11) योजना v1। 1: सभी बाजारों के लिए सर्वर-साइड टैगिंग, सहमति से ऑटो-रिपोर्टिंग।

• GDPR: उपयोगकर्ता सहमति प्रबंधन
• आयु सत्यापन और आयु फिल्टर
• विज्ञापन मानक और निषेध/अस्वीकरण और विज्ञापन की सच्चाई
• बोनस शर्तों की पारदर्शिता
• न्यायालयों द्वारा डेटा का स्थानीयकरण
• अनुपालन डैशबोर्ड और निगरानी/आंतरिक और बाहरी लेखा परीक्षा