Evästeiden (cookies) käyttö pitää rajata mahdollisimman tiukasti ainoastaan niitä tarvitsevien palveluiden käyttöön. Mahdollisia kaikilla selaimilla toimivia rajauskeinoja ovat Path-parametri sekä Secure- ja HttpOnly-attribuutit.
Evästeiden nimeämisessä kannattaa lisäksi käyttää __Secure- -etuliitettä niille evästeille, jotka on asetettu HTTPS-lähteestä. Jos eväste voidaan rajata vain tiettyyn palvelinnimeen, nimi kannattaa aloittaa __Host- -etuliitteellä, joka sisältää myös __Secure- -toiminnallisuuden. Alidomainit eivät tarvitse evästeitä.
Kaikkien käytettyjen evästeiden tulisi poistua käyttäjän selaimesta, kun käyttäjä sulkee selaimen. Tämä toteutetaan jättämällä evästeestä pois Expires-arvo. Mikäli kehitettävässä palvelussa ilmenee tarve evästeiden säilyttämiselle selaimessa selaimen sulkemisen jälkeen, pitää siihen liittyvä tietoturvariski arvioida.
Lisäksi kaikissa evästeiden käytössä tulee huomioida tietosuojaan liittyvät vaatimukset ja organisaatiokohtaiset evästeohjeistukset
Eväste (cookie) on pieni tekstitiedosto, jonka selain tallentaa verkkosivuston vierailijan laitteelle. Evästeet tallentavat tietoja sivuston käyttäjästä, käyttäjän sivustolla tekemistä valinnoista ja tämän laitteesta. Evästeillä kerätään yleistä tietoa sivuston käytöstä, parannetaan asiakaskokemusta tai seurataan käyttäjän mieltymyksiä tai käyttäytymistä.
Eväste voi tallentua sivustolla vierailun ajaksi (session cookie), jolloin selaimen sulkeminen poistaa evästeen, tai pysyvästi (stored cookie), jolloin sivulle palaavan käyttäjän tiedot muistetaan.
Evästeet ovat ensimmäisen tai kolmannen osapuolen evästeitä sen mukaan, mistä ne ovat peräisin. Ensimmäisen osapuolen evästeet ovat peräisin juuri sillä hetkellä auki olevalta sivustolta ja kolmannen osapuolen evästeet ovat peräisin muualta kuin auki olevalta sivustolta.
Välttämättömät evästeet
Välttämättömät evästeet ovat nimensä mukaisesti välttämättömiä sivuston teknisen toiminnan ja toiminnallisuuksien kannalta. Niitä tarvitaan, jotta verkkosivusto ja sen perustoiminnot, kuten esimerkiksi sisäänkirjautuminen, ylipäätään toimivat.
Ei-välttämättömät evästeet
Ei-välttämättömät evästeet keräävät tietoja käyttäjän mieltymyksistä ja toiminnasta sivustolla ja niitä käytetään esimerkiksi personalisointiin, tilastointiin, seurantaan ja markkinointiin.
Kolmansien osapuolien evästeet
Kolmansien osapuolten evästeet asentuvat käyttäjän laitteeseen muun kuin avoinna olevan verkkosivuston toimesta, eikä kyseisen sivuston ylläpitäjä hallitse niitä.
Kolmansien osapuolien evästeet eivät ole välttämättömiä sivuston toiminnan kannalta, vaan ne keräävät tietoja käyttäjän mieltymyksistä ja toiminnasta. Kolmas osapuoli on usein yritys, joka on erikoistunut mainonnan kohdentamiseen tai käyttäytymisen seurantaan, ja joka jalostaa evästedataa ja myy tiedot eteenpäin.
Kolmas osapuoli voi olla myös verkkoanalytiikkapalvelun tarjoaja, joka toimii ”ensimmäisen osapuolen” toimesta. Nämäkään evästeet eivät ole välttämättömiä, vaikka niiden käyttö olisi sivuston ylläpitäjä etu. Tilastoinnissa ja kävijäseurannassa hyödynnettäviä analytiikkapalveluita ovat esimerkiksi Google Analytics ja Matomo (entinen Piwik Pro)
Evästeohjeistus palveluntarjoajille https://www.traficom.fi/fi/saadokset/evasteohjeistus-palveluntarjoajille