Comment se qualifier en tant que Partenaire Technologie Certifié

Afin d’établir une norme de qualité élevée, les exigences suivantes sont utilisées pour examiner les applis dans le cadre du Programme de Partenaires Technologies Certifiés de Shopify. Ces exigences sont axées sur plusieurs domaines clés : l’utilité avérée, l’infrastructure et la performance, l’assistance aux marchands, la sécurité et la confidentialité. Elles visent à offrir la meilleure expérience possible aux marchands Shopify Plus tout au long du cycle de vie de l’appli, de la création de la fiche à l’installation, en passant par l’intégration, la fonctionnalité, la sécurité et la qualité.

Bien que le respect de ces exigences ne garantisse pas l’acceptation dans le programme, elles servent de norme que tous les Partenaires Technologies Certifiés doivent respecter tant qu’ils font partie du programme. En général, il est également important que les partenaires développeurs d’applis aient une connaissance approfondie de Shopify Plus, ainsi qu’un bilan de réussite avéré auprès de nombreux marchands Shopify Plus.

1. Exigences générales

1.1 Conformité avec la Shopify App Store

Que vous soyez un Partenaire Technologie Certifié actuel ou potentiel, ces exigences s’appliquent en plus des exigences de la Shopify App Store.

De plus, en tant que Partenaire Technologie Certifié, vous devez rester en règle avec les politiques de Shopify.

Le fait de rester en conformité et en règle vous permet de continuer à offrir des solutions utiles au sein de l’écosystème Shopify, tout en minimisant les interruptions de la disponibilité et de la réputation de votre appli.

1.2 Critères propres à la catégorie

Pour les Partenaires Technologies Certifiés, il est obligatoire de respecter les critères propres à la catégorie. Ces critères servent de référence de qualité pour garantir que les applis répondent efficacement aux besoins uniques de leurs utilisateurs.

Si votre appli appartient à l’une des catégories ci-dessous, vous devez respecter les exigences correspondantes pour vous qualifier en tant que Partenaire Technologie Certifié :

• Applis publicitaires
• Applis de services de transporteur
• Applis de réductions
• Applis de services de traitement des commandes
• Applis de factures et de reçus
• Applis de lots de produits
• Applis d’avis sur les produits
• Applis de retours et d’échanges
• Applis d’abonnement
• Applis de formulaires
• Applis d’analyse de données
• Applis de marketing par e-mail
• Applis de marketing par SMS
• Applis de programmes d’affiliation

Pour des raisons de clarté, les Partenaires Technologies Certifiés ne sont pas tenus de respecter toutes les exigences Built for Shopify. Bien que les exigences de catégorie soient répertoriées sur la page Built for Shopify, elles sont requises indépendamment aux fins de ce programme. Built for Shopify est une désignation à part entière et le seul fait de remplir ces critères propres à la catégorie ne qualifie pas votre appli pour le statut complet Built for Shopify.

1.3 Fiche de l’appli dans la Shopify App Store

L’appli doit être référencée dans la Shopify App Store et doit remplir toutes les exigences répertoriées dans la documentation pour les développeurs.

La fiche de l’appli est votre premier point de contact avec un marchand, et c’est là qu’il décidera si votre appli lui convient. Tout comme votre page dans le Répertoire des Partenaires Technologies de Shopify, la fiche de votre appli dans la Shopify App Store est l’un de vos outils marketing les plus utiles. Une fiche d’appli efficace encourage les marchands Shopify à essayer l’appli eux-mêmes ou à contacter votre équipe pour plus de détails. Votre fiche d’appli doit être claire, concise et pertinente pour les marchands intéressés.

Toutes les fiches d’applications actuellement publiées doivent être mises à jour avec les dernières fonctionnalités du produit et les informations d’assistance.

1.4 Évaluations et commentaires

Les commentaires sont un facteur essentiel pour gagner la confiance des marchands. Shopify utilise les évaluations et les commentaires sur les applis provenant de diverses sources pour comprendre le retour d’expérience et la satisfaction des marchands. Lorsqu’un marchand laisse un commentaire sur votre appli, il doit l’évaluer sur une échelle de 1 à 5 et laisser un commentaire. Pour laisser un commentaire, le marchand doit avoir installé votre appli dans sa boutique. Après avoir désinstallé une appli, un marchand dispose de 45 jours pour laisser un commentaire avant que ce privilège ne soit révoqué.

Tous les Partenaires Technologie certifiés doivent obtenir et maintenir une évaluation d’appli supérieure à 4,0 après avoir atteint un minimum de 5 commentaires.

Toute nouvelle appli ou appli non répertoriée est examinée indépendamment par l’équipe du programme.

Pour en savoir plus sur la gestion des commentaires sur les applis, consultez la page Managing app reviews.

2. Exigences relatives à la solution

En tant que Partenaire Technologie certifié, votre intégration avec Shopify doit résoudre un défi pour les marchands Plus et être conçue à l’aide de la technologie la plus récente disponible pour créer la meilleure expérience possible pour les marchands Plus.

2.1 Contrôle de version et mise en œuvre de l’API

En tant que Partenaire Technologie certifié, vous devez être à la pointe de l’innovation et montrer l’exemple à l’écosystème. Votre appli doit utiliser les deux dernières versions en production et vous devez disposer d’une stratégie claire de migration des versions de l’API pour votre intégration.

De plus, les Partenaires Technologie certifiés sont responsables de la fourniture d’expériences marchand fiables et stables. Vous devez disposer d’un plan d’utilisation de l’API documenté pour éviter le ralentissement dû à la limite de débit.

3. Exigences en matière d’assistance

Offrir une assistance rapide, professionnelle et satisfaisante est important pour les marchands Shopify Plus.

3.1 Répondre aux demandes d’assistance

Tous les Partenaires Technologie certifiés doivent fournir les éléments suivants :

• Une première réponse aux demandes d’assistance critiques dans les 30 minutes. Les demandes d’assistance critiques comprennent les pannes de service généralisées (touchant plusieurs clients) et les signalements de vulnérabilités de sécurité par les clients. Le téléphone, les SMS, l’e-mail et la communication intégrée au produit sont des moyens de communication approuvés.
• Une première réponse aux problèmes hautement prioritaires dans les 12 heures. Les demandes d’assistance hautement prioritaires comprennent l’incapacité de plusieurs utilisateurs à accéder au produit (par exemple, si plusieurs utilisateurs ne peuvent pas se connecter) et d’autres demandes similaires. Le téléphone, les SMS, l’e-mail et la communication intégrée au produit sont des moyens de communication approuvés.
• Une première réponse aux demandes de faible priorité sous 3 jours par téléphone, SMS, e-mail ou communication intégrée au produit.
• Une assistance joignable à tout moment et disponible dans le monde entier. Le téléphone, le chat et l’e-mail sont des moyens d’assistance acceptables.

Vos ressources d’assistance doivent être faciles à trouver et inclure des instructions claires et spécifiques à la manière dont votre appli s’intègre à Shopify. Pour en savoir plus sur la rédaction d’une documentation d’aide efficace, consultez la page Fundamentals.

3.2 Mises à jour de l’état du système

Fournir aux marchands des mises à jour de statut faciles à trouver leur permet de savoir si votre appli fonctionne comme prévu. Tous les Partenaires Technologie certifiés doivent fournir aux marchands les éléments suivants :

• Un tableau de bord ou une page de statut qui indique si votre système fonctionne comme prévu, rencontre des problèmes ou est en panne.
• Une équipe d’astreinte et un plan d’escalade pour gérer les perturbations du système.
• Un processus facilement accessible pour informer les clients des temps d’arrêt planifiés.

Nous recommandons aux Partenaires Technologie certifiés de fournir une page de statut avec les services suivants : statuspage.io ou sorryapp.com.

4. Exigences en matière de protection des données

Comme nos marchands Shopify Plus traitent généralement de grands volumes de données client, il est essentiel que Shopify et ses Partenaires Technologie certifiés appliquent des normes de diligence élevées en ce qui concerne le traitement, la manipulation et le stockage des données.

4.1 Données client

Si vous traitez des Protected customer data, vous devez respecter toutes les exigences de Shopify en matière de protection des données.

4.2 RGPD, CCPA, CPRA, VCDPA

Si vous travaillez avec des marchands Plus qui sont tenus de se conformer à des lois sur la confidentialité telles que le Règlement général sur la protection des données (RGPD), le California Privacy Rights Act (CPRA), le Colorado Privacy Act et le Virginia's Consumer Data Protection Act, vous devez être en mesure de leur apporter votre soutien. Pour en savoir plus, consultez la page Privacy Requirements.

5. Exigences en matière de sécurité

Tous les Partenaires Technologie certifiés doivent satisfaire à toutes les exigences de sécurité suivantes :

• Votre entreprise doit effectuer un test annuel d’intrusion de sécurité de votre application par un tiers indépendant, conformément aux méthodologies OWASP et NIST.
• Stocker en toute sécurité les clés API et les secrets de Shopify dans un système de gestion des secrets dédié ou un stockage chiffré, avec la possibilité de renouveler les secrets sans modifier le code. Les jetons d’accès doivent être chiffrés au repos à l’aide d’AES-128 ou d’un algorithme supérieur. Ne jamais coder en dur les secrets dans le code source ou les fichiers de configuration.
• Fournir des schémas d’architecture de la configuration de votre infrastructure, y compris les composants qui traitent les données Shopify, les flux de données, les contrôles de sécurité, les fournisseurs de services cloud et les régions.
• Assurer que les environnements de test et de production sont techniquement séparés.
• Traiter uniquement la quantité minimale de données personnelles nécessaires pour répondre à vos exigences fonctionnelles, et documenter l’emplacement de stockage de chaque type de données.
• Demander uniquement les portées d’API nécessaires pour répondre à vos exigences fonctionnelles. Chaque portée doit être justifiée ; aucune portée inutilisée ou obsolète ne doit être présente.
• Définir des durées de rétention pour les magasins de données contenant des données personnelles, et supprimer ou anonymiser les données à l’expiration de ces durées.
• Chiffrer les données personnelles en transit à l’aide de TLS 1.2 ou d’une version supérieure. Ne pas prendre en charge les suites de chiffrement faibles ou les protocoles obsolètes.
• Chiffrer les données personnelles au repos à l’aide d’un chiffrement conforme aux normes du secteur (AES-128 au minimum) avec des services de gestion de clés.
• Chiffrer les sauvegardes de données et tester la restauration des données au moins une fois tous les 12 mois.
• Tenir à jour des journaux d’accès pour tous les accès aux magasins de données contenant des données personnelles, avec des capacités de détection des schémas d’accès inhabituels.
• Mettre en œuvre un contrôle d’accès basé sur les rôles et une journalisation d’audit sur les magasins de données contenant des données personnelles.
• Exiger des mots de passe d’au moins 12 caractères et une authentification multifacteur pour tous les employés accédant aux systèmes de production contenant des données client.
• Établir un programme de signalement des vulnérabilités avec un contact de sécurité public et des délais de remédiation explicites par niveau de gravité (critique, élevé, moyen et faible).
• Maintenir un processus de correction des vulnérabilités et de suivi de la progression de la remédiation.
• Développer et appliquer des politiques et des formations sur la manière dont les employés doivent traiter les données personnelles.
• Établir un plan de réponse aux incidents de sécurité avec un contact de sécurité identifié.
• Informer Shopify des incidents de sécurité dans les 24 heures suivant la confirmation d’une faille de sécurité

6. Exigences en matière d’infrastructure, de fiabilité et de performance

Pour qu’une appli réussisse, elle doit offrir une expérience cohérente et positive aux marchands Shopify Plus qui l’utilisent.

6.1 Tests de charge

Il est important que la réactivité des applications soit testée en termes de stabilité et de performance. Tous les Partenaires Technologie certifiés doivent être en mesure de fournir :

• Un bref résumé de la manière dont ils effectuent des tests de charge sur leur infrastructure et si les tests de charge sont intégrés ou non au processus de développement, en particulier pendant les périodes de forte charge de travail (c.-à-d. le BFCM). Ce résumé doit indiquer le type de charge testé par le partenaire et les outils qu’il utilise pour les tests de charge de l’infrastructure.
• Un temps de chargement moyen de <400 ms.

6.3 Temps de disponibilité

Tous les Partenaires Technologie certifiés doivent avoir un objectif de niveau de service (SLO) de 99,9 % de temps de disponibilité.

6.4 Vitesse de la boutique en ligne

Pour les applis de boutique en ligne uniquement, si votre appli est susceptible d’affecter la vitesse de la boutique d’un marchand, votre intégration ne doit pas réduire de manière significative le score Lighthouse performance de la boutique de plus de 10 points.

7. Exigences juridiques et de conformité

La sécurité et la confidentialité sont des aspects essentiels de toute entreprise en ligne, car les applis en ligne peuvent être exposées ou compromises de nombreuses manières. Tous les Partenaires Technologie certifiés doivent s’assurer que leurs applications sont sécurisées afin que les marchands qui les utilisent ne courent aucun risque.

7.1 Politique de confidentialité

Les Partenaires Technologie certifiés doivent avoir une politique de confidentialité et/ou un accord de protection des données.