Amplitude Product Analytics Çerez Onayı Entegrasyon Rehberi: 2026 Uygulama El Kitabı

Amplitude, modern veri yığınında alışılmadık bir konum işgal etmektedir. Ne tam olarak bir etiket yöneticisi, ne tam olarak bir müşteri veri platformu, ne de tam olarak bir pazarlama analitik aracıdır — kullanıcının dijital bir ürünle her etkileşimini yakalamak, bu olayları oturumlara ve kullanıcı yolculuklarına dikmek ve sonucu deney, kişiselleştirme ve gelir ilişkilendirmesine geri beslemek için tasarlanmış bir davranışsal analitik ürünüdür. Bu zenginlik, ürünü değerli kılan şeydir. Aynı zamanda onayı, bir ekibin dağıtım yaparken alacağı tek en önemli entegrasyon kararı yapan şeydir. Doğru yaparsanız Amplitude size yıllarca savunulabilir ürün içgörüsü sağlar. Yanlış yaparsanız aynı SDK, bir düzenleyicinin uygulama listesindeki en görünür öğelerden biri haline gelir; çünkü onay öncesinde tetiklenen davranışsal analitik SDK'ları tam olarak EDPB çerez banner görev grubunun, CNIL'in ve ICO'nun son üç yılda hedef aldığı desendir.

Amplitude neden onay gerektiriyor

Varsayılan Amplitude Browser SDK'sı ve Amplitude mobil SDK'ları, sayfa görüntülemelerini kaydetmenin çok ötesinde işler yapar. Başlatma sırasında birinci taraf depolamada bir cihaz tanımlayıcısı ayarlar, bir oturum tanımlayıcısı oluşturur, referrer'ı yakalar, URL'den UTM ve tıklama tanımlayıcılarını ayrıştırır ve otomatik olarak yakalanan olayları kuyruğa almaya başlar: sayfa görüntülemeleri, öğe tıklamaları, form etkileşimleri, dosya indirmeleri ve — en son sürümlerde — oturum tekrar oynatımları. Ayrıca bu olayları IP'den türetilen coğrafi konumla, kullanıcı aracısından türetilen cihaz verileriyle ve yapılandırılmışsa veri ortaklarından üçüncü taraf zenginleştirmesiyle destekler.

Bu adımların her biri ayrı bir onay hukuki dayanağını devreye sokar. Bir cihaz tanımlayıcısının saklanması, Avrupa Ekonomik Alanında, Birleşik Krallıkta ve aynı standardı benimsemiş her yargı bölgesinde önceden, serbestçe verilmiş, belirli, bilgilendirilmiş ve açık bir onay gerektiren ePrivacy Direktifinin 5(3). Maddesi kapsamında bir depolama ve erişim işlemidir. Bu tanımlayıcıyla bağlantılı davranışsal olayların yakalanması, GDPR kapsamında kişisel veri işlemedir. Üçüncü taraf verilerle zenginleştirme, ikinci bir denetleyici ilişkisini ortaya çıkarır. CCPA ve CPRA, yayıncının Amplitude ile uygun kapsamda bir hizmet sağlayıcı sözleşmesine sahip olmadığı sürece aynı işlemi bir satış veya paylaşım olarak sınıflandırır; bu sözleşme mevcuttur, ancak yalnızca entegrasyon reklam özelliklerini devre dışı bırakacak şekilde yapılandırılmışsa.

Amplitude onaydan önce ne topluyor — ve neleri bastırmanız gerekiyor

En yaygın uygulama hatası, Amplitude'ü çerez banner'ıyla yan yana çalışabilecek hafif bir analitik araç olarak ele almaktır. Çalışamaz. Varsayılan amplitude.init() çağrısında SDK, sayfanın ilk boyamasında en az bir çerez veya yerel depolama girişi yazar, bir tanımlama çağrısı gönderir ve olayları tamponlamaya başlar. Bunların hiçbiri, bir kullanıcı ilgili onay kategorisini olumlu olarak kabul etmeden önce izin verilemez.

Bu nedenle uyumlu bir entegrasyon, CMP'nin analitik onay kategorisinin verildiğini sinyalleyene kadar amplitude.init()'i ertelemek zorundadır. SDK, CMP'nin ortaya koyduğu çerçeveye bağlı olarak CMP'nin 8. amaç (analitik) veya 1. amaç (depolama ve erişim) sinyaline bağlı onay korumalı bir <script> etiketinden hiç yüklenmemelidir. SDK'nın daha erken yüklenmesi gerekiyorsa — örneğin uygulama koduna paketlendiği ve tembel getirilemediği için — başlatma çağrısı, onay kaydedilene kadar hiçbir olayın yayılmaması için defaultTracking: false ve optOut: true geçirmelidir; ardından ertelenmiş bir katılım olayı bu bayrakları tersine çevirmelidir.

Amplitude'ün yazdığı çerezler ve depolama

Browser SDK 2.x, varsayılan olarak bir yıllık sona erme süresiyle cihaz tanımlayıcısını ve oturum meta verilerini içeren AMP_{apiKey} adlı tek bir birinci taraf çerezi yazar. Eski sürümler ayrıca amplitude_id_{apiKey} de yazıyordu. Mobil SDK'lar aynı tanımlayıcıyı uygulamanın korumalı alanlı depolamasında saklar. Oturum tekrar oynatımı ikinci bir çerez olan AMP_MKTG_{apiKey}'i ekler ve Amplitude'ün zenginleştirme ortakları, deneme hedefleme veya kitle modülleri etkinleştirilmişse ek üçüncü taraf çerezleri ayarlayabilir. Bunların tümü zorunlu değildir ve onay gerektirir.

Amplitude'ü onay çerçevelerine eşleme

Amplitude, Google Consent Mode v2'yi, IAB TCF'yi veya IAB Global Privacy Platform'u yerel olarak uygulamaz. Bu bir kusur değil — Amplitude bir reklam teknolojisi satıcısı değil, birinci taraf bir analitik platformudur — ancak entegrasyon sorumluluğunun yayıncıya düştüğü anlamına gelir. Pratikte işe yarayan desen, her Amplitude modülünü ayrı bir onay kapısı olarak ele almak ve bunu CMP'nin halihazırda ortaya koyduğu belirli bir sinyale bağlamaktır.

İşe yarayan entegrasyon deseni

Bir düzenleyicinin incelemesinden geçen referans uygulamasının dört hareketli parçası vardır: kullanıcı onayı değiştirdiğinde gerçek zamanlı bir olay ortaya koyan bir CMP, yalnızca o olay ilgili kategori için tetiklendikten sonra Amplitude'ü getiren ertelenmiş bir SDK yükleyici, yasanın izin verdiği durumlarda kullanıcının önceki anonim cihaz tanımlayıcısını kaybetmeden çıkışa saygı gösteren bir oturum düzeyinde koruyucu ve onaydan bağımsız olarak gerçekten toplanması gereken olaylar için — güvenlik telemetrisi veya dolandırıcılık tespiti gibi — kendi hukuki dayanağıyla ayrı bir uç nokta üzerinden yönlendirilen sunucu taraflı bir köprü.

Web uygulaması

Web'de en temiz desen, CMP'nin onay durumunu bir window.__cmp_consent nesnesi veya standart __tcfapi geri araması aracılığıyla ortaya koymak, ardından onay değişikliklerine abone olan küçük bir bootstrap betiğine sahip olmaktır. Analitik onayı false'dan true'ya geçtiğinde, bootstrap Amplitude SDK'yı CMP tarafından yönetilen CDN'den getirir, amplitude.init(apiKey, undefined, { defaultTracking: true })'i çağırır ve onay beklenirken bellekte kuyruğa alınan olayları tekrar oynatır. Onay tekrar false'a geçtiğinde, bootstrap amplitude.setOptOut(true)'yu çağırır, AMP_ çerezini document.cookie sona ermesiyle temizler ve bellek içi herhangi bir durumu kaldırır. Kritik olarak, bootstrap hiçbir zaman Amplitude'ü banner render'ıyla aynı istek akışında tembel olarak başlatmamalıdır — SDK açık bir onayı beklemek zorundadır.

Mobil uygulama

iOS'ta eşdeğeri, Amplitude çerçevesini içe aktarılmış tutmak ancak uygulama içi onay akışı olumlu bir analitik sinyali döndürene kadar Amplitude.instance().initialize(apiKey: apiKey)'yi ertelemektir. ATT bildirimi ayrı bir konudur: ATT, IDFA'yı yönetirken Amplitude'ün tanımlayıcısı, uygulama korumalı alanında saklanan SDK'nın kendi UUID'sidir. Her ikisi de EEA'da onay gerektirir, ancak hukuki dayanaklar ve bildirimler farklıdır. Android'de aynı mantık, SDK sürümüne bağlı olarak Amplitude.getInstance().initializeApolloClient() veya eşdeğeriyle geçerlidir.

Sunucu taraflı mod

Amplitude, HTTP V2 API aracılığıyla sunucu taraflı alımı destekler. Sunucu taraflı olaylar onaydan muaf değildir — hukuki dayanak veriyi takip eder, aktarımı değil — ancak sunucu taraflı alım, yayıncıya hangi alanların gönderileceği üzerinde tam kontrol sağlar ve bu da kısmi onayı yerine getirmeyi kolaylaştırır. Yaygın bir desen, sunucu tarafında meşru çıkar kapsamında minimum düzeyde yalnızca zorunlu olay seti yakalamak ve bu olayları yalnızca kullanıcı istemcide analitik onayını verdikten sonra davranışsal ayrıntılarla zenginleştirmektir.

Entegrasyonu doğrulama

Doğrulama adımı, yayıncıların en sık atladığı ve düzenleyicilerin en sık kontrol ettiği adımdır. Doğru entegre edilmiş bir Amplitude dağıtımı dört kontrolü geçmelidir. Birincisi, onay banner'ı gösterilmiş ancak henüz seçim yapılmamış bir tarayıcı, api.amplitude.com veya api.eu.amplitude.com'a sıfır istek ve document.cookie'de sıfır AMP_ çerezi üretmelidir. İkincisi, analitik kategorisini reddetmek bu durumu korumalıdır — olay yok, çerez yok, AMP_ önekli yerel depolama girişi yok. Üçüncüsü, analitiği kabul etmek, tek bir identify ardından olay trafiği üretmeli ve AMP_ çerezi, yayıncının CMP politikasıyla tutarlı bir SameSite özniteliğiyle görünmelidir. Dördüncüsü, sonradan onayı geri çekmek derhal daha fazla olayı durdurmalı ve saklanan tanımlayıcıları temizlemelidir — gecikmeli temizleme bir bulgudur.

Denetim izi ayrı önem taşır. EDPB'nin 2023 çerez banner yönergeleri ve 2026 için yenilenen görev grubu öncelikleri kapsamında düzenleyiciler, yayıncının Amplitude projesindeki herhangi bir olay için, onu oluşturan kullanıcının yakalama anında geçerli onay verdiğini kanıtlayabilmesini bekler. Bu, CMP'nin onay günlüğünün cihaz tanımlayıcısı veya oturum tanımlayıcısına göre sorgulanabilir olmasını ve Amplitude olay yükünün o günlükle geri bağlantı kuran bir onay sürümü alanı taşımasını gerektirir. Onay dizesini her olayda özel bir kullanıcı özelliği olarak saklamak, bu bağlantıyı denetlenebilir kılmanın en basit yoludur.

Doğru bölgeyi ve veri ikametini seçme

Amplitude iki üretim bölgesi işletmektedir: ABD (api.amplitude.com) ve AB (api.eu.amplitude.com). EEA ve Birleşik Krallık trafiği için AB bölgesi doğru varsayılan seçimdir — verileri EEA içinde tutar ve Schrems II kararı ile AB-ABD Veri Gizliliği Çerçevesinin her analitik incelemesinde merkezi hale getirdiği aktarım riski yüzeyini azaltır. Bölge değiştirme geriye dönük değildir: mevcut veriler ilk alındıkları yerde kalır. Bir CMP dağıtımı planlayan yayıncılar için, ölçeklendirmeden önce bölgeyi onaylamak ve hukuki dayanak zincirinin toplamadan depolamaya kadar temiz olması için seçimi gizlilik bildiriminde belgelemek değer taşır. Doğru seçilmiş bir bölge, doğru şekilde korunan bir SDK ve sorgulanabilir bir onay günlüğüyle eşleştirildiğinde, bir Amplitude dağıtımını düzenleyici bir riskten analitik yığının savunulabilir bir parçasına dönüştüren şeydir.

← Blog Tümünü Oku →