Cookies va CMP tizimlari siyosati

1) Maqsad va viloyat

Identifikatorlarni (cookies, local storage, SDK) qonuniy saqlash/oʻqishning va CMP orqali rozilikni boshqarishning yagona qoidalarini barcha yuzalarda oʻrnatish: veb, iOS/Android, e-mail/SMS/push, affiliatli lendinglar, oqimlar. Hujjat quyidagilarni toʻldiradi: «GDPR: rozilikni boshqarish», «Yoshni tekshirish», «Reklama standartlari».

2) Huquqiy asoslar (qisqacha)

ePrivacy: har qanday kerakli bo’lmagan cookies/SDK - faqat rozilikdan keyin. «Qat’iy zarur» (autentifikatsiya, savat/balans, xavfsizlik/antifrod) - roziligisiz yo’l qo’yiladi.
GDPR: ishlov berishning qonuniy asosi sifatida rozilik (Art. 6(1)(a)); servis operatsiyalari uchun - shartnomaviy zarurat (Art. 6(1)(b)); qonuniy manfaatlar - cheklangan darajada va e’tiroz bildirish huquqi bilan.
Bolalar/zaif: marketing/shaxsiylashtirish identifikatorlari - taqiqlangan.

3) Qonunning

1. Prior Consent: CMP’da tanlashdan oldin keraksiz teglar yoʻq.
2. Maqsadlar: tahlillar, personallashtirish, marketing, remarketing, geolokatsiya, A/B - alohida tumblerlar.
3. Sharh = bosish: rozilik kabi oson; ishlov berishni bir zumda to’xtatish.
4. Qorong’i namunalarsiz: «Hamma narsani qabul qilish »/« Hamma narsani rad etish »/« Moslash».
5. Isbotlanishi mumkin: matnlar, xeshlar, UI skrinshotlari, firing qoidalari.
6. Minimallashtirish/mahalliylashtirish: biz faqat kerakli hududlarga joylashtiramiz va saqlaymiz.

4) Rollar va RACI

DPO/Compliance (Owner) - siyosat, DPIA, shikoyatlarga javoblar. (A)

Legal - matnlar, mahalliy talablar va saqlash muddatlari. (R)

Product/UX - bannerlar/panellar, foydalanish imkoniyati va lokallar. (R)

Engineering/CMP Owner - blokirovka teglari, SDK, API, versiyalar. (R)

Data/Analytics - de-identifikatsiya rejimlari, roziliklarni hisobga olgan holda o’lchash. (C)

CRM/Ads - qaytarib olingan kelishuvlar boʻyicha suppression. (R)

InfoSec - shifrlash, kalitlar, rozilik loglariga kirish. (C)

Internal Audit - dalillarni tanlash, CAPA. (C)

5) Taksonomiya cookies/SDK

• Sessiya/autentifikatsiya, balans/savat, froddan himoya qilish va yukni taqsimlash, maxfiylik tanlovini saqlab qolish.

• Analitika (user-level, kross-devays ID).
• Personallashtirish (kontent/o’yinlar, tavsiyalar).
• Marketing (e-mail/SMS/push - kanallar alohida).
• Remarketing/Ads (uchinchi shaxslarning piksellari/SDK).
• A/B-test (agar identifikatorlardan foydalansa).
• «Shahar/mintaqa» geolokatsiyasi.

6) CMP: UX-patternlar va matnlar

Birinchi qatlam (banner): qisqa maqsad, 3 teng tugmalar: Hammasini rad etish/Moslash/Hammasini qabul qilish.
Ikkinchi qatlam (panel): maqsadlar tumblerlari, vendorlar roʻyxati va saqlash muddatlari, siyosatga havola.
Preferens-markaz: oʻyinchi profilida - marketingning kanal bayroqlari (e-mail/SMS/push/telefon), «Hamma narsadan obuna boʻlish».
Foydalanish imkoniyati: AA + kontrast, fokus tuzoq, screen-readers, lokalizatsiya, mobil moslashuv.
GPC/Do Not Track: Global signal = hamma narsani rad etish (qatʼiy talab qilinganlaridan tashqari).
Applar: in-app CMP + tizimli OS-prompts; server profilini sinxronlashtirish.

7) IAB TCF 2. 2 (karkas)

TC-qatorlarni yaratish va saqlash, vendor-listning versiyasi, maqsadlarning mappingi bizning bayroqlarimiz.
TC (prior consent) olingunga qadar uchinchi teglarni blokirovka qilish.
Har bir vendor va maqsad bo’yicha ruxsatnomalar/taqiqlarni hurmat qilish.
TCF tashqarisidagi bozorlar uchun - xuddi shunday jurnalga ega bo’lgan kastom CMP.

8) Teglar, Tag Manager va Server-side

Deny by default: TM qoidalari barcha keraksiz teglarni kelishuvgacha bloklaydi.
Server-side tagging: rozilik bo’lmaganda identifikatorlarni nol/niqobli proksi-kontur; konfiguratsiyasi ruxsat etilgan hududda saqlanadi.
SDK-geytlar: marketing/tahliliy SDKni faqat maqsadning true-bayrogʻida boshlash.
Firing-logi: kim/nima/qachon «otilgan», rozilik maqomi qanday.

9) Ma’lumotlar, artefaktlar va retensiya (eng kam model)

consent_id, user_id/device_id, market, locale,
ui_variant_id, policy_version, tcf_string, vendors[],
purpose_id, status{accept    deny    withdraw}, source{web    app    sdk    api},
captured_at_utc, ip_hash, ua_hash, gpc{true    false},
evidence{banner_screenshot_id, copy_hash}, expires_at

WORM-kelishuv/fikr jurnallari, matnlar versiyasi, UI-variantlarning skrinshotlari.
Retensiya: maqsad/munosabatlar amalda bo’lganda + lokal muddatlar; marketing - cheklangan (ko’pincha 24 oylik ≤).

10) Integratsiya: CRM/Ads/Affiliates

Suppression: ko’rib chiqish → kanallar va remarketingning bir zumda deaktivatsiyasi (near-real-time + tungi betchlar).
E-mail/SMS: faqat kanal uchun aniq true (bozorlarda double opt-in) bo’lganda yuboriladi.
Affiliatlar: SMR/valid rozilik maqomiga ega bo’lmagan lidlar - kvalifikatsiya qilinmaydi; version/hash shartlari - majburiydir.

11) Mintaqaviy profillar (shablon)

Market: ______
Required banner elements:...
Retention and localization:...
Requirements for TCF/vendor lists:...
GPC/DNT status:...
Documents/mandatory links:...

12) Nazorat, testlar va audit

CI-linter: «Hamma narsani rad etish», GPC-ishlov berish, tugmalarni rozilikka qadar blokirovka qilish mavjudligini tekshirish.
E2E-testlar: accept/deny/withdraw → CRMdagi firing-log va suppression stsenariylari.
Tanlov: UI rozilik va skrinshot yozuvlarining choraklik auditi; matnlarning versiyalarini solishtirish.
Hodisalar: roziliksiz har qanday tagni ishga tushirish → darhol takedown, sabab/fix, CAPA.

13) KPI/KRI va dashbord

Opt-in Rate maqsadlar/bozorlar/qurilmalar bo’yicha.
Withdraw Rate va Time-to-Apply (mediana).
GPC Honor Rate (to’g "ri ishlov berish globe. ).
Tag Firing Violations (1k yuklab olish uchun).
Suppression Integrity (qaytarilganda marketing = 0).
Complaint Rate / Reg Findings.
Auditability Score (artefaktlarning to’liq to’plami bilan yozuvlar%).

14) Chek-varaqlar

Boshlashdan oldin

• «Hamma narsani rad etish» banneri, lokallar, AA + mavjudligi.
• Maqsadlar toifalari va sotuvchilar ro’yxati kelishilgan (Legal/DPO).
• Tag Manager: deny-by-default; SDK-geytlar.
• GPC tanib olinadi va qoʻllaniladi.
• Kanal bayroqlari bo’lgan va «Hamma narsadan voz kechish» preferens markazi.
• WORM dalillar ombori kiritilgan.

Operatsiyalarda

• Firing-qoidabuzarliklar va GPC monitoringi.
• CRM/Ads da suppression taqqoslash.
• DSAR joriy holat va jurnalni qaytaradi.

Audit/yaxshilash

• Rozilik va UI-skrinshotlarning choraklik namunalari.
• Qora patternlarning yo’qligiga bannerning A/B revyusi.
• Hududiy profillar va matnlarni yangilash.

15) Shablonlar (tez qo’shimchalar)

A) Banner (birinchi qatlam)

B) Panel («Remarketing/Ads» maqsadi)

C) Rozilikni chaqirib olish (tasdiqlash)

D) Shikoyatga javob «rad etish mumkin emas»

16) Texnik ramka va voqealar

События: `cmp_banner_shown`, `consent_given/denied/withdrawn`, `gpc_detected`, `tag_fired_blocked`, `sdk_initialized/blocked`, `marketing_unsubscribed`, `dsar_fulfilled`.

• `GET /consents? user_id=…`
• `POST /consents` (create/withdraw/update)
• `POST /marketing/preferences`
• `POST /gpc/signal`
• Infratuzilma: roziliklar serverining keshi, loglarni geo-bogʻlash, deny uchun identifikatorlarni yashirish.

17) Xavflar va profilaktika

Tag’larni rozilikka qadar ishga tushirish. → Deny-by-default, E2E-testlar, tashvishlar.
Bannerdagi qorong’i patternlar. → Dizayn-revyu, tugmalarning ko’rinishiga teng.
CRM/Ads. → Yagona suppression-servis va kundalik taqqoslashlar.
Keraksiz identifikatorlarni yig’ish. → Minimallashtirish, niqoblash, mintaqaviy profillar.
Dalillar yo’qligi. → WORMdagi skrinshotlar/xeshlar/loglar.

18) 30 kunlik joriy etish rejasi

1 hafta

1. Cookies/maqsadlar taksonomiyasi va matnlar (lokallar) tasdiqlansin; DPIA.
2. CMP (TCF 2 ni tanlash/moslash. 2 + kastom maqsadlar), GPCni kiritish.
3. Ma’lumotlar/artefaktlar modelini, WORM omborini o’ziga xos qilish.

2 hafta

4) Tag Manager-da deny-by-default, kelishuv server keshini, SDK-geytalarni amalga oshirish.
5) Preferens-markaz qurish (kanal bayroqlari, «Hamma narsadan voz kechish»).
6) CRM/Ads va affiliatlarda suppressionni moslash.

3 hafta

7) 10-20% trafik uchuvchisi: Opt-in/Withdraw/GPC Honor, firing-log testi.
8) Fidbek va hodisalar bo’yicha UX/kopirayt/TM qoidalarini tuzatish.

4-hafta

9) To’liq chiqarish; KPI/KRI dashbord va alertlar kiritilsin.
10) Auditlarning choraklik rejasi va CAPA.
11) v1-reja. 1: server-side tagging barcha bozorlar uchun, avto-reportlar kelishuvga ko’ra.

• GDPR: foydalanuvchi roziligini boshqarish
• Yoshni tekshirish va yosh filtrlari
• Reklama standartlari va taqiqlar/Diskleymerlar va reklamaning haqqoniyligi
• Bonus shartlarining shaffofligi
• Yurisdiksiyalar bo’yicha ma’lumotlarni mahalliylashtirish
• Dashbord komplayens va monitoring/Ichki va tashqi audit