Qualifikation als zertifizierter Technologiepartner

Um einen hohen Qualitätsstandard zu gewährleisten, werden die folgenden Anforderungen zur Überprüfung von Apps im Programm für zertifizierte Shopify-Technologiepartner herangezogen. Diese Anforderungen konzentrieren sich auf mehrere Schlüsselbereiche: nachgewiesene Nützlichkeit, Infrastruktur und Leistung, Händler-Support, Sicherheit und Datenschutz. Sie sollen das beste Erlebnis für Shopify Plus-Händler:innen über den gesamten App-Lebenszyklus hinweg gewährleisten, vom Listing und der Installation über das Onboarding und die Funktionalität bis hin zu Sicherheit und Qualität.

Obwohl die Erfüllung dieser Anforderungen keine Garantie für die Aufnahme in das Programm ist, dienen sie als Standard, an dem wir alle zertifizierten Technologiepartner messen, solange sie am Programm teilnehmen. Im Allgemeinen ist es für App-Partner:innen auch wichtig, über tiefgreifende Grundkenntnisse von Shopify Plus sowie eine nachgewiesene Erfolgsbilanz bei zahlreichen Shopify Plus-Händler:innen zu verfügen.

1. Allgemeine Anforderungen

1.1 Shopify App Store-Konformität

Unabhängig davon, ob du ein:e bestehende:r oder zukünftige:r zertifizierte:r Technologiepartner:in bist, gelten diese Anforderungen zusätzlich zu den Anforderungen des Shopify App Store.

Zusätzlich musst du als zertifizierter Technologiepartner die Richtlinien von Shopify einhalten.

Wenn du die Richtlinien einhältst, kannst du weiterhin wertvolle Lösungen innerhalb des Shopify-Ökosystems anbieten und gleichzeitig Störungen bei der Verfügbarkeit und dem Ruf deiner App minimieren.

1.2 Kategoriespezifische Kriterien

Für zertifizierte Technologiepartner:innen ist die Erfüllung kategoriespezifischer Kriterien erforderlich. Diese Kriterien dienen als Qualitätsbenchmark, um sicherzustellen, dass Apps effektiv auf die besonderen Bedürfnisse ihrer Nutzer:innen eingehen.

Wenn deine App in eine der folgenden Kategorien fällt, musst du die entsprechenden Anforderungen erfüllen, um dich als zertifizierter Technologiepartner bzw. zertifizierte Technologiepartnerin zu qualifizieren:

• Werbeanzeigen-Apps
• Versanddienstleister-Apps
• Rabatt-Apps
• Fulfillmentdienst-Apps
• Apps für Rechnungen und Belege
• Produkt-Bundle-Apps
• Produktbewertungs-Apps
• Apps für Retouren und Warenumtausch
• Abonnement-Apps
• Formular-Apps
• Analyse-Apps
• E-Mail-Marketing-Apps
• SMS-Marketing-Apps
• Partnerprogramm-Apps

Zur Verdeutlichung: Zertifizierte Technologiepartner:innen müssen nicht alle Anforderungen von „Built for Shopify“ erfüllen. Obwohl die Kategorieanforderungen auf der „Built for Shopify“-Seite aufgeführt sind, sind diese für die Zwecke dieses Programms davon unabhängig erforderlich. „Built for Shopify“ ist eine eigene Auszeichnung, und die alleinige Erfüllung dieser kategoriespezifischen Kriterien qualifiziert deine App nicht für den vollständigen „Built for Shopify“-Status.

1.3 Shopify App Store-Listing

Die App sollte im Shopify App Store gelistet sein und alle Anforderungen erfüllen, die in der Entwicklerdokumentation aufgeführt sind.

Das App-Listing ist dein erster Kontaktpunkt mit einem Händler bzw. einer Händlerin und der Ort, an dem sie entscheiden, ob deine App für sie geeignet ist. Ähnlich wie deine Seite im Shopify Technology Partner Directory ist das Listing deiner App im Shopify App Store eines deiner nützlichsten Marketing-Tools. Ein effektives App-Listing ermutigt Shopify-Händler:innen, die App selbst auszuprobieren oder dein Team für weitere Details zu kontaktieren. Dein App-Listing sollte für interessierte Händler:innen klar, prägnant und relevant sein.

Alle aktuell veröffentlichten App-Listings sind mit den neuesten Produktfunktionen und Support-Informationen zu aktualisieren.

1.4 Bewertungen und Rezensionen

Rezensionen sind ein entscheidender Faktor, um Vertrauen bei Händler:innen aufzubauen. Shopify nutzt App-Bewertungen und Rezensionen aus verschiedenen Quellen, um das Feedback und die Zufriedenheit der Händler:innen nachzuvollziehen. Wenn Händler:innen eine Rezension für deine App hinterlassen, müssen sie diese auf einer Skala von 1 bis 5 bewerten und einen Kommentar abgeben. Um eine Rezension zu hinterlassen, müssen die Händler:innen deine App in ihrem Shop installiert haben. Nachdem Händler:innen eine App deinstalliert haben, haben sie 45 Tage Zeit, um eine Rezension zu schreiben, bevor dieses Recht verfällt.

Alle zertifizierten Technologiepartner:innen müssen eine App-Bewertung von über 4,0 erreichen und beibehalten, sobald mindestens 5 Rezensionen vorliegen.

Alle neuen oder nicht gelisteten Apps werden unabhängig vom Programmteam überprüft.

Weitere Informationen zur Verwaltung von App-Rezensionen findest du unter Rezensionen für Apps verwalten.

2. Lösungsanforderungen

Als zertifizierte:r Technologiepartner:in muss deine Integration mit Shopify eine Herausforderung für Plus-Händler:innen lösen und mit der neuesten verfügbaren Technologie entwickelt werden, um das beste Erlebnis für Plus-Händler:innen zu schaffen.

2.1 API-Versionierung & Implementierung

Als zertifizierte:r Technologiepartner:in wird von dir erwartet, dass du an der Spitze der Innovation stehst und das Ökosystem anführst. Deine App sollte die beiden neuesten Versionen in der Produktion verwenden und du musst eine klare Strategie für die Migration der API-Versionen deiner Integration haben.

Zudem sind zertifizierte Technologiepartner:innen für die Bereitstellung zuverlässiger und stabiler Erlebnisse für Händler:innen verantwortlich. Du musst über einen dokumentierten Plan zur API-Nutzung verfügen, um eine Drosselung durch Ratenlimits zu vermeiden.

3. Support-Anforderungen

Für Shopify Plus-Händler:innen ist es wichtig, dass Support zeitnah, professionell und zufriedenstellend angeboten wird.

3.1 Reaktion auf Support-Anfragen

Alle zertifizierten Technologiepartner:innen müssen Folgendes bereitstellen:

• Erstantwort auf kritische Support-Anfragen innerhalb von 30 Minuten. Zu kritischen Support-Anfragen gehören weitreichende (mehrere Kund:innen betreffende) Dienstausfälle und Meldungen von Sicherheitslücken durch Kund:innen. Telefon, SMS, E-Mail und In-Product-Kommunikation sind allesamt genehmigte Kommunikationsmethoden.
• Erstantwort auf Probleme mit hoher Priorität innerhalb von 12 Stunden. Zu Support-Anfragen mit hoher Priorität gehören Fälle, in denen mehrere Benutzer:innen nicht auf das Produkt zugreifen können (z. B. wenn sich mehrere Benutzer:innen nicht einloggen können), und andere ähnliche Anfragen. Telefon, SMS, E-Mail und In-Product-Kommunikation sind allesamt genehmigte Kommunikationsmethoden.
• Erstantwort auf Anfragen mit niedriger Priorität innerhalb von 3 Tagen per Telefon, SMS, E-Mail oder In-Product-Kommunikation.
• Weltweit verfügbarer Support rund um die Uhr. Telefon, Chat und E-Mail sind akzeptable Foren für den Support.

Deine Support-Ressourcen sollten leicht zu finden sein und klare Anweisungen enthalten, die speziell darauf eingehen, wie deine App in Shopify integriert ist. Um mehr über das Verfassen effektiver Hilfedokumentationen zu erfahren, siehe Grundlagen.

3.2 Systemstatus-Aktualisierungen

Leicht zu findende Status-Aktualisierungen helfen Händler:innen dabei zu wissen, ob deine App wie erwartet funktioniert. Alle zertifizierten Technologiepartner:innen müssen Händler:innen Folgendes bereitstellen:

• Ein Dashboard oder eine Statusseite, die anzeigt, ob dein System wie erwartet läuft, Probleme aufweist oder ausgefallen ist.
• Ein Bereitschaftsteam und ein Eskalationsplan, um auf Systemstörungen zu reagieren.
• Ein leicht zugänglicher Prozess, um Kund:innen über geplante Ausfallzeiten zu informieren.

Wir empfehlen, dass zertifizierte Technologiepartner:innen eine Statusseite mit den folgenden Diensten bereitstellen: statuspage.io oder sorryapp.com.

4. Datenschutzanforderungen

Da unsere Shopify Plus-Händler:innen in der Regel große Mengen an Kundendaten verarbeiten, ist es von entscheidender Bedeutung, dass sowohl Shopify als auch seine zertifizierten Technologiepartner:innen bei der Verarbeitung, Handhabung und Speicherung von Daten ein hohes Maß an Sorgfalt walten lassen.

4.1 Kundendaten

Wenn du geschützte Kundendaten verarbeitest, musst du alle Datenschutzanforderungen von Shopify erfüllen.

4.2 DSGVO, CCPA, CPRA, VCDPA

Wenn du mit Plus-Händler:innen zusammenarbeitest, die Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO), den California Privacy Rights Act (CPRA), den Colorado Privacy Act und den Virginia's Consumer Data Protection Act einhalten müssen, musst du in der Lage sein, sie dabei zu unterstützen. Erfahre mehr über Datenschutzanforderungen.

5. Sicherheitsanforderungen

Alle zertifizierten Technologiepartner müssen alle der folgenden Sicherheitsanforderungen erfüllen:

• Dein Unternehmen muss für deine App jährlich einen unabhängigen Sicherheits-Penetrationstest durch Dritte durchführen lassen, der den OWASP- und NIST-Methoden folgt.
• Sichere Speicherung von Shopify-API-Tokens und Secrets in einem dedizierten System zur Verwaltung von Secrets oder einem verschlüsselten Speicher, mit der Möglichkeit, Secrets ohne Code-Änderungen zu rotieren. Zugriffstokens müssen im Ruhezustand mit AES-128 oder höher verschlüsselt sein. Secrets dürfen niemals im Quellcode oder in Konfigurationsdateien hartcodiert werden.
• Bereitstellung von Architekturdiagrammen deines Infrastruktur-Setups, einschließlich Komponenten, die Shopify-Daten verarbeiten, Datenflüssen, Sicherheitskontrollen, Cloud-Anbietern und Regionen.
• Sicherstellung, dass Test- und Produktionsumgebungen technisch voneinander getrennt sind.
• Verarbeitung nur der minimalen Menge an personenbezogenen Daten, die zur Erfüllung deiner funktionalen Anforderungen erforderlich ist, und Dokumentation des Speicherorts für jeden Datentyp.
• Anforderung nur der API-Bereiche, die zur Erfüllung deiner funktionalen Anforderungen erforderlich sind. Jeder Bereich muss begründet sein; es dürfen keine ungenutzten oder veralteten Bereiche vorhanden sein.
• Festlegung von Aufbewahrungsfristen für Datenspeicher, die personenbezogene Daten enthalten, sowie Löschung oder Anonymisierung der Daten nach Ablauf der Aufbewahrungsfristen.
• Verschlüsselung von personenbezogenen Daten während der Übertragung mit TLS 1.2 oder höher. Keine Unterstützung für schwache Cipher Suites oder veraltete Protokolle.
• Verschlüsselung von personenbezogenen Daten im Ruhezustand mit branchenüblicher Verschlüsselung (mindestens AES-128) unter Verwendung verwalteter Schlüssel-Services.
• Verschlüsselung von Datensicherungen und Testen der Datenwiederherstellung mindestens einmal alle 12 Monate.
• Führung von Zugriffsprotokollen für alle Zugriffe auf Datenspeicher, die personenbezogene Daten enthalten, mit Erkennungsfunktionen für ungewöhnliche Zugriffsmuster.
• Implementierung einer rollenbasierten Zugriffssteuerung und Audit-Protokollierung für Datenspeicher, die personenbezogene Daten enthalten.
• Vorschrift von Passwörtern mit mindestens 12 Zeichen und Multi-Faktor-Authentifizierung für alle Mitarbeiter:innen, die auf Produktionssysteme mit Kundendaten zugreifen.
• Einrichtung eines Programms zur Meldung von Schwachstellen mit einem öffentlichen Sicherheitskontakt und expliziten Fristen für die Fehlerbehebung nach Schweregrad (kritisch, hoch, mittel und niedrig).
• Unterhaltung eines Prozesses zum Patchen von Schwachstellen und zur Verfolgung des Fortschritts bei der Fehlerbehebung.
• Entwicklung und Durchsetzung von Richtlinien und Schulungen dazu, wie Mitarbeiter:innen mit personenbezogenen Daten umgehen sollen.
• Erstellung eines Reaktionsplans für Sicherheitsvorfälle mit einer benannten Ansprechperson für Sicherheit.
• Benachrichtigung von Shopify über Sicherheitsvorfälle innerhalb von 24 Stunden nach einer bestätigten Sicherheitsverletzung

6. Anforderungen an Infrastruktur, Zuverlässigkeit und Leistung

Damit eine App erfolgreich ist, sollte sie den Shopify Plus-Händler:innen, die sie nutzen, ein konsistentes und positives Erlebnis bieten.

6.1 Lasttests

Es ist wichtig, dass Apps hinsichtlich ihrer Stabilität und Leistung auf ihr Reaktionsverhalten getestet werden. Alle zertifizierten Technologiepartner:innen sollten in der Lage sein, Folgendes bereitzustellen:

• Eine kurze Zusammenfassung, wie sie Lasttests für ihre Infrastruktur durchführen und ob Lasttests in den Entwicklungsprozess integriert sind, insbesondere in Zeiten hoher Auslastung (d. h. BFCM). Diese Zusammenfassung sollte beinhalten, gegen welche Art von Last die Partner:innen testen und welche Tools sie für die Lasttests der Infrastruktur verwenden.
• Eine durchschnittliche Ladezeit von unter 400 ms.

6.3 Betriebszeit

Alle zertifizierten Technologiepartner müssen ein Service-Level-Ziel (SLO) für die Betriebszeit von 99,9 % haben.

6.4 Storefront-Geschwindigkeit

Nur für Storefront-Apps: Wenn deine App das Potenzial hat, die Geschwindigkeit des Shops von Händler:innen zu beeinträchtigen, darf deine Integration den Lighthouse performance-Score des Shops nicht um mehr als 10 Punkte reduzieren.

7. Rechtliche und Compliance-Anforderungen

Sicherheit und Datenschutz sind entscheidende Aspekte jedes webbasierten Unternehmens, da Online-Anwendungen auf viele verschiedene Weisen offengelegt oder kompromittiert werden können. Alle zertifizierten Technologiepartner müssen sicherstellen, dass ihre Anwendungen sicher sind, damit die Händler:innen, die sie nutzen, keinem Risiko ausgesetzt sind.

7.1 Datenschutzerklärung

Zertifizierte Technologiepartner müssen über eine Datenschutzerklärung und/oder eine Datenschutzvereinbarung verfügen.