쿠키 및 CMP 시스템 정책

1) 목적과 지역

웹, iOS/Android, 전자 메일/SMS/푸시, 제휴 랜딩 페이지, 스트림 등 모든 표면에서 CMP를 통해 식별자 (쿠키, 로컬 스토리지, SDK) 및 동의 관리의 법적 저장/판독에 대한 균일 한 규칙을 설정하십시오. 이 문서는 "GDPR: Consent Management", "Age Verification", "Advertising Standards" 를 보완합니다.

2) 법적 근거 (브리핑)

ePrivacy: 엄격하지 않은 필수 쿠키/SDK-동의 후에 만 가능합니다. "엄격히 필요한" (인증, 바구니/균형, 보안/사기 방지) -동의없이 허용됩니다.
GDPR: 처리를위한 법적 근거로서의 동의 (Art 6 (1) (a)); 서비스 운영 - 계약 요구 (Art 6 (1) (b)); 합법적 인 관심-제한적이고 이의를 제기 할 권리.
어린이/취약성: 마케팅/개인화 ID-금지.

3) 원칙

1. 사전 동의: CMP에서 선택하기 전에 불필요한 태그가 없습니다.
2. 목표 분리: 분석, 개인화, 마케팅, 발표, 지리 위치, A/B-별도의 토글 스위치.
3. 피드백 = 클릭시: 동의만큼 간단합니다. 처리의 즉각적인 종료.

4. 어두운 패턴 없음: 동일한 가시성 "모두 수락 "/" 모두 거부 "/" 사용자 정의"

5. 확실성: 텍스트 버전, 해시, UI 스크린 샷, 발사 규칙 로그.
6. 최소화/현지화: 허용 가능한 지역에 필요한 것만 넣고 저장합니다.

4) 역할 및 RACI

DPO/준수 (소유자) -정책, DPIA, 불만에 대한 응답. (A)

법률-텍스트, 지역 요구 사항 및 보존 기간. (R)

제품/UX-배너/패널, 가용성 및 로케일. (R)

엔지니어링/CMP 소유자-태그 잠금, SDK, API, 버전. (R)

데이터/분석-식별 해제 모드, 동의를 고려한 측정. (C)

CRM/Ads-철회 동의에 의한 억제. (R)

InfoSec-암호화, 키, 동의 로그 액세스. (C)

내부 감사-증거 샘플, CAPA. (C)

5) 쿠키/SDK 분류법

• 세션/인증, 잔액/바구니, 사기 방지 및로드 배포, 개인 정보 보호 선택.

• 분석 (사용자 수준, 교차 장치 ID).
• 개인화 (컨텐츠/게임, 권장 사항).
• 마케팅 (전자 메일/SMS/푸시-채널별로).
• 리마케팅/광고 (타사 픽셀/SDK).
• A/B 테스트 (식별자 사용).
• 지리적 위치 "도시/지역" (엄격하지 않음).

6) CMP: UX 패턴 및 텍스트

첫 번째 레이어 (배너): 짧은 목표, 3 개의 동등한 버튼: 모든 것을 거부/사용자 정의/수락

두 번째 계층 (패널): 대상 토글 스위치, 공급 업체 목록 및 유효 기간, 정책 링크.

선호 센터: 플레이어의 프로필-채널 마케팅 플래그 (e-mail/SMS/push/phone), "모든 것에서 탈퇴"

접근성: AA + 대비, 포커스 트랩, 스크린 리더, 현지화, 모바일 적응.

GPC/추적하지 마십시오: 전역 신호 = 모든 것을 거부합니다 (엄격히 필요한 경우 제외)

앱: 인앱 CMP + 시스템 OS 프롬프트; 서버 프로파일과 동기화합니다.

7) IAB TCF 2. 2 (프레임 워크)

TC 라인, 공급 업체 목록 버전, 대상 매핑 플래그의 생성 및 저장.
TC (사전 동의) 가 수신 될 때까지 세 번째 태그를 차단합니다.
각 공급 업체 및 대상에 대한 허가/금지 존중.
TCF 이외의 시장-유사한 로깅이있는 맞춤형 CMP.

8) 태그, 태그 관리자 및 서버 측

기본적으로 거부: TM 규칙은 동의 할 때까지 모든 불필요한 태그를 차단합니다.
서버 측 태깅: 동의없이 식별자의 0으로/마스킹되는 프록시 루프; 구성은 허용 된 영역에 저장됩니다.
SDK Gates-대상이 참일 때만 마케팅/분석 SDK를 초기화합니다.
발사 로그: 동의 상태에 따라 누가/무엇을/언제 "샷" 하는지.

9) 데이터, 아티팩트 및 보존 (최소 모델)

consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, status{accept    deny    withdraw}, source{web    app    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

동의/리뷰의 WORM 로그, 텍스트 버전, UI 변형의 스크린 샷.
유지: 목표/관계가 유효하지만 + 지역 마감일; 마케팅 - 제한적 (종종 24 개월 동안 활동이 없음).

10) 통합: CRM/광고/제휴

억제: 철회 → 채널의 즉각적인 비활성화 및 재발 행 (거의 실시간 + 야간 배치).
이메일/SMS: 채널에 명시 적으로 적용되는 경우에만 전송 (시장별 이중 옵트 인).
제휴: CIW/유효한 동의 상태가없는 리드-자격이 없습니다. 버전/해시 조건-필요합니다.

11) 지역 프로필 (템플릿)

Market: ______
Required banner elements:...
Retention and localization:...
Requirements for TCF/vendor lists:...
GPC/DNT status:...
Documents/mandatory links:...

12) 통제, 테스트 및 감사

CI 라인터: 거부 모든, GPC 처리, 동의 할 때까지 태그 차단을 확인하십시오.
E2E 테스트: 스크립트 수락/거부/스크립트 내에서 → CRM에서 발사 로그 및 억제를 확인합니다.
샘플: 동의 기록 및 UI 스크린 샷에 대한 분기 별 감사; 다양한 텍스트.
사건: 동의없이 태그를 발사하면 → 즉시 게시 중단, 이유/수정, CAPA.

13) KPI/KRI 및 대시 보드

목표/시장/장치 별 옵트 인 요금.
인출 속도 및 적용 시간 (중앙값).
GPC Honor Rate (올바른 지구 처리. 신호).
태그 발사 위반 (1k 다운로드 당).
억제 무결성 (리콜 마케팅 = 0).
불만 제기 속도/처리 결과.
감사 점수 (아티팩트 전체 패키지가있는 레코드의%).

14) 점검표

출시 전

• 모든 배너, 로케일, AA + 가용성을 거부합니다.
• 대상 범주 및 공급 업체 목록에 동의했습니다 (Legal/DPO).
• 태그 관리자: 기본값으로 거부; SDK 게이트.
• GPC가 인식되고 적용됩니다.
• 채널 플래그와 "모든 것에서 탈퇴" 가있는 선호 센터.
• WORM 증거 저장이 활성화되었습니다.

작업 중

• 발사 위반 및 GPC 모니터.
• CRM/Ads 억제 조정.
• DSAR은 현재 상태와 로그를 반환합니다.

감사/개선

• 분기 별 동의 샘플 및 UI 스크린 샷.
• 어두운 패턴이없는 배너의 A/B 검토.
• 지역 프로필 및 텍스트를 업데이트하십시오

15) 템플릿 (빠른 삽입)

A) 배너 (첫 번째 레이어)

B) 패널 (대상 "리마케팅/광고")

키> ID가 외부 사이트에 개인화 된 광고를 표시하도록 허용합니다 이 없이는 타사 픽셀/SDK를 사용하지 않습니다.

C) 동의 철회 (확인)

키> 설정이 업데이트되었습니다. 개인화 된 광고 및 마케팅 ID가 비활성화되었습 여전히 서비스를 재생하고 사용할 수 있습니다.

D) "거부 할 수없는" 불만에 대한 답변

16) 기술 프레임 워크 및 이벤트

다음은 'cmp _ banner _ showed', 'constitution _ given/decised/removed', 'gpc _ decented', 'tag _ fired _ blocking', 'sdk _ integrated/blocking', 'marketing _ uninquition', 'dsar _ identeded' 입니다.

애플리케이션

'GET/동의? user _ id =... '

'POST/consents' (생성/철회/업데이트)

'POST/마케팅/선호'

'POST/gpc/signal'

인프라: 동의의 서버 캐시, 로그의 지리 바인딩, 거부시 마스킹 식별자.

17) 위험 및 예방

동의하기 전에 태그를 실행합니다. → 기본값으로 거부, E2E 테스트, 알람.
배너의 어두운 패턴. → 디자인 검토, 버튼의 가시성이 동일합니다.
CRM/Ads의 상태 불일치 → 단일 억제 서비스 및 일일 조정.
불필요한 식별자 수집. → 최소화, 마스킹, 지역 프로파일.
증거 부족. → WORM의 스크린 샷/해시/로그.

18) 30 일 이행 계획

1 주차

1. 쿠키/대상 및 텍스트 (로케일) 의 분류법을 승인합니다. DPIA.

2. CMP 선택/설정 (TCF 2) 2 + 사용자 정의 대상), GPC 활성화

3. 데이터/아티팩트 모델 인 WORM 스토리지를 지정하십시오.

둘째 주

4) SDK 게이트의 서버 캐시 인 Tag Manager에서 기본적으로 거부를 구현합니다.
5) 선호 센터를 구축하십시오 (채널 플래그, "모든 것에서 탈퇴").
6) CRM/Ads 및 제휴 피드에서 억제를 설정하십시오.

셋째 주

7) 트래픽의 10-20% 에 대한 파일럿: 옵트 인/철회/GPC 명예, 발사 로그 테스트.
8) UX/Copyright/TM Fidbeck 및 사건 규칙에 대한 수정.

넷째 주

9) 정식 출시; KPI/KRI 대시 보드 및 경고를 활성화하십시오.
10) 분기 별 감사 및 CAPA 계획.
11) 계획 v1. 1: 모든 시장에 대한 서버 측 태깅, 동의에 의한 자동보고.

• GDPR: 사용자 동의 관리
• 연령 확인 및 연령 필터
• 광고 표준 및 금지/면책 조항 및 광고의 진실성
• 보너스 조건의 투명성
• 관할 구역별 데이터 현지화
• 준수 대시 보드 및 모니터링/내부 및 외부 감사