Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 1-2 h
Cookies и tracking преди съгласие
Поправете аналитични, маркетингови и third-party скриптове, които се активират преди посетителят да е направил избор за съгласие.
Покрива: pre_consent_analytics_cookie, pre_consent_marketing_cookie, pre_consent_tracker
- Re-run the scan in a fresh session and confirm the finding disappears.
- Verify that no non-essential cookies are set before interaction.
Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 30-90 min
Липсва banner за съгласие
Възстановете или внедрете banner за съгласие от първо ниво, преди да започне какъвто и да е опционален tracking или съхранение.
Покрива: no_consent_banner, no_consent_banner_cmp_signals
- Clear cookies and re-open the site to confirm the banner appears immediately.
- Reject optional cookies and verify the site remains usable.
Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 15-60 min
Няма опция за отказ или тя е скрита
Направете отказа толкова лесен и видим, колкото приемането, като коригирате липсващи, скрити или отслабени Reject действия.
Покрива: no_reject_option, reject_suppressed, reject_below_fold
- Verify Reject is visible and clickable above the fold on both desktop and mobile.
- Click Reject and confirm optional tags do not fire.
Тежест: ВисокаОтговорник: РазработкаВреме за корекция: 1-2 h
Cookie wall
Премахнете модели, които блокират достъпа до съдържание, докато посетителят не приеме опционален tracking.
Покрива: cookie_wall
- Reject optional cookies and confirm content remains visible and usable.
- Confirm only optional processing is disabled, not the page itself.
Тежест: СреднаОтговорник: MarketingВреме за корекция: 30-120 min
Некласифицирани cookies
Класифицирайте непознатите cookies, документирайте целта им и спрете да пускате недекларирано съхранение в продукция.
Покрива: unclassified_cookie
- Re-run cookie inventory after categorizing the unknown entries.
- Confirm declarations and CMP category labels match the runtime cookies.
Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 1-2 h
Несъответствие в Google Consent Mode
Поправете случаите, в които Google таговете се държат така, сякаш има съгласие, въпреки че runtime състоянието е denied.
Покрива: consent_mode_mismatch, consent_mode_default_granted, consent_mode_runtime_conflict
- Reject optional consent and confirm that Google analytics or ads requests do not fire.
- Accept consent and confirm requests start only after the consent update.
Тежест: ВисокаОтговорник: РазработкаВреме за корекция: 1-3 h
Third-party заявки преди съгласие
Спрете опционалните доставчици да правят мрежови извиквания, преди посетителят да е решил дали да ги позволи.
Покрива: pre_consent_third_party_request, third_party_data_flow_before_consent
- Confirm that only essential third-party requests remain before consent.
- Accept optional consent and verify optional vendors load only afterward.
Тежест: СреднаОтговорник: РазработкаВреме за корекция: 30-90 min
Google Fonts преди съгласие или външно зареждане на шрифтове
Хоствайте шрифтовете локално и премахнете отдалечени извиквания, които изпращат заявки преди opt-in.
Покрива: pre_consent_external_font, google_fonts_before_consent
- Reload the page with a clean cache and confirm no Google Fonts requests occur.
- Check multiple templates and breakpoints to ensure no remote font reference remains.
Тежест: СреднаОтговорник: РазработкаВреме за корекция: 30-120 min
Незащитени tracking cookies (проблеми със Secure или SameSite)
Подсилете атрибутите на cookies, така че опционалните cookies да не се доставят със слаби настройки за сигурност на браузъра.
Покрива: tracking_cookie_missing_secure, tracking_cookie_missing_samesite, insecure_tracking_cookie
- Inspect cookies again after deployment and confirm attributes changed as expected.
- Test in Chrome and another major browser to catch cross-browser differences.
Тежест: ВисокаОтговорник: РазработкаВреме за корекция: 1-3 h
Fingerprinting преди съгласие
Отложете или заменете скриптове, които изследват възможностите на браузъра, преди посетителят да е взел решение за съгласие.
Покрива: pre_consent_fingerprinting_signal, fingerprinting_risk_before_consent
- Confirm fingerprinting-sensitive APIs no longer run before consent.
- Re-test after Accept to ensure optional vendors still work when consent is granted.
Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 1-2 h
Google Consent Mode не е засечен
Внедрете default стойности и updates за Consent Mode така, че Google таговете да получават изричен статус на съгласие, вместо да работят без сигнал.
Покрива: consent_mode_not_detected, consent_mode_missing
- Потвърдете, че default стойностите на Consent Mode съществуват още при първото зареждане преди optional таговете.
- Потвърдете, че Reject държи Google storage стойностите в denied състояние.
Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 30-90 min
Analytics преди съгласие
Спрете analytics инструментите да се зареждат или да пишат в storage, преди посетителят да е дал изрично съгласие.
Покрива: pre_consent_analytics_cookie, analytics_before_consent
- Потвърдете, че не излиза нито една analytics заявка преди съгласие.
- Потвърдете, че analytics cookies не се задават, докато потребителят не приеме.
Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 30-90 min
Marketing cookies преди съгласие
Блокирайте advertising и retargeting cookies и скриптове, докато потребителят не приеме изрично marketing-а.
Покрива: pre_consent_marketing_cookie, marketing_cookie_before_consent
- Потвърдете, че няма marketing cookies преди съгласие.
- Потвърдете, че не излизат заявки към ad networks, докато потребителят не приеме.
Тежест: ВисокаОтговорник: MarketingВреме за корекция: 30-60 min
Meta Pixel преди съгласие
Спрете Meta Pixel да се зарежда или да изпраща events, преди посетителят да е дал необходимото marketing съгласие.
Покрива: meta_pixel_before_consent, pre_consent_meta_pixel
- Потвърдете, че не се изпращат Meta заявки преди съгласие.
- Потвърдете, че Meta cookies продължават да липсват в denied състояние.
Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 30-60 min
GA4 преди съгласие
Отложете инициализацията на Google Analytics 4, докато няма валидно analytics съгласие, и проверете дали Consent Mode параметрите работят последователно.
Покрива: ga4_before_consent, pre_consent_ga4
- Потвърдете, че не излиза нито едно GA4 повикване преди analytics съгласие.
- Потвърдете, че `_ga` cookies липсват преди opt-in.
Тежест: ВисокаОтговорник: РазработкаВреме за корекция: 1-2 h
GTM тагове се изпълняват преди съгласие
Поправете GTM trigger-ите така, че optional таговете да не изпълняват нищо, докато няма необходимото съгласие.
Покрива: gtm_tags_before_consent, pre_consent_gtm_fire
- Потвърдете в Preview, че никой optional GTM tag не се изпълнява преди съгласие.
- Потвърдете, че при първото зареждане активни остават само essential таговете.
Тежест: ВисокаОтговорник: CMP администраторВреме за корекция: 15-45 min
Reject само във втория слой
Покажете бутона Reject още в първия слой, вместо да принуждавате потребителя да отваря preferences или да прави допълнителни кликвания, за да откаже optional processing.
Покрива: reject_in_second_layer, reject_not_first_layer
- Потвърдете, че Reject присъства в първия слой на desktop и mobile.
- Потвърдете, че Reject от първия слой блокира optional таговете.
Тежест: ВисокаОтговорник: РазработкаВреме за корекция: 30-90 min
Banner-ът за съгласие не се показва на mobile
Поправете viewport, CSS и lazy-load проблеми, заради които banner-ът изчезва или не се render-ва на mobile.
Покрива: mobile_banner_missing, consent_banner_mobile
- Потвърдете, че banner-ът се показва на реално mobile устройство.
- Потвърдете, че потребителят може да използва Accept и Reject на mobile.
Тежест: СреднаОтговорник: РазработкаВреме за корекция: 30-90 min
Състоянието на съгласието не се запазва
Поправете storage и reload поведението така, че изборът на посетителя да се запазва и да се прилага между страници и сесии.
Покрива: consent_not_persisted, consent_state_lost
- Потвърдете, че същият избор се запазва след reload и cross-page navigation.
- Потвърдете, че Reject остава denied при следващо посещение.
Тежест: ВисокаОтговорник: РазработкаВреме за корекция: 1-2 h
Third-party embeds преди съгласие
Отложете зареждането на YouTube, карти, chat, booking и други third-party embeds, докато посетителят не даде съгласие или изрично не избере да ги зареди.
Покрива: pre_consent_embed, third_party_embed_before_consent
- Потвърдете, че embedded provider-ите не получават requests при първото зареждане.
- Потвърдете, че embed-ът се зарежда само след opt-in или click-to-load.
Тежест: ВисокаОтговорник: MarketingВреме за корекция: 15-45 min
Hotjar преди съгласие
Спрете Hotjar да зарежда session replay или heatmap скриптове, преди посетителят да е дал analytics или marketing съгласие.
Покрива: hotjar_before_consent, pre_consent_hotjar
- Потвърдете, че Hotjar не се зарежда преди съгласие.
- Потвърдете, че Hotjar cookies липсват в pre-consent състояние.
Тежест: СреднаОтговорник: MarketingВреме за корекция: 30-120 min
Cookie декларацията е остаряла
Синхронизирайте публикуваната cookie декларация с cookies и vendors, които реално се наблюдават в runtime evidence.
Покрива: cookie_declaration_outdated, declaration_mismatch
- Потвърдете, че всеки наблюдаван cookie присъства в декларацията.
- Потвърдете, че премахнатите vendors вече не се показват, ако вече не работят.
Тежест: ВисокаОтговорник: РазработкаВреме за корекция: 1-2 h
Cookies продължават да се задават след Reject
Поправете потоци, при които optional cookies или requests продължават, въпреки че посетителят изрично е отказал tracking.
Покрива: cookies_after_reject, reject_not_enforced
- Reject и reload: потвърдете, че optional cookies продължават да липсват.
- Reject и reload: потвърдете, че optional requests остават блокирани.
Тежест: СреднаОтговорник: РазработкаВреме за корекция: 30-90 min
Consent banner-ът е блокиран от CSP
Обновете Content Security Policy така, че CMP script, styles или iframe ресурси да могат да се зареждат без ненужно отслабване на сигурността.
Покрива: cmp_blocked_by_csp, consent_banner_csp_error
- Потвърдете, че CSP грешките, свързани с CMP assets, изчезват.
- Потвърдете, че banner-ът се render-ва нормално и приема user interaction.
Тежест: ВисокаОтговорник: РазработкаВреме за корекция: 1-3 h
Проблеми със съгласието при server-side GTM
Синхронизирайте routing-а на server-side GTM и предаването на съгласието така, че server-side tagging да не заобикаля consent статуса на посетителя.
Покрива: ssgtm_consent_issue, server_side_gtm_before_consent
- Потвърдете, че optional events не се proxy-ват към server-side GTM преди съгласие.
- Потвърдете, че Accept активира желания event поток, а Reject го държи в denied състояние.