Come ottenere la qualifica di Certified Technology Partner

Per definire uno standard di qualità elevato, i seguenti requisiti vengono utilizzati per esaminare le app nel programma Certified Technology Partner di Shopify. Questi requisiti si concentrano su diverse aree chiave: utilità comprovata, infrastruttura e performance, assistenza ai merchant, sicurezza e privacy. Hanno lo scopo di fornire la migliore esperienza ai merchant Shopify Plus durante l'intero ciclo di vita dell'app: dall'inserzione e installazione all'onboarding, alla funzionalità, alla sicurezza e alla qualità.

Anche se il rispetto di questi requisiti non garantisce l'accettazione nel programma, essi servono da standard a cui tutti i Certified Technology Partner devono attenersi per tutta la durata della loro partecipazione al programma. In generale, è anche importante che i partner che sviluppano app abbiano una profonda conoscenza di base di Shopify Plus, nonché una comprovata esperienza di successo con numerosi merchant Shopify Plus.

1. Requisiti generali

1.1 Conformità allo Shopify App Store

Che tu sia un Certified Technology Partner esistente o potenziale, questi requisiti si applicano in aggiunta ai requisiti dello Shopify App Store.

Inoltre, in qualità di Certified Technology Partner, devi essere in regola con le informative di Shopify.

Rimanere conformi e in regola ti consente di continuare a offrire soluzioni preziose all'interno dell'ecosistema Shopify, riducendo al minimo le interruzioni della disponibilità e della reputazione dell’app.

1.2 Criteri specifici per categoria

Per i Certified Technology Partner, è necessario soddisfare i criteri specifici per categoria. Questi criteri fungono da benchmark di qualità per garantire che le app rispondano in modo efficace alle esigenze specifiche dei loro utenti.

Se la tua app appartiene a una delle categorie seguenti, devi soddisfare i requisiti corrispondenti per ottenere la qualifica di Certified Technology Partner:

• App per annunci
• App dei servizi di corriere
• App per sconti
• App dei servizi di evasione ordini
• App per fatture e ricevute
• App per pacchetti di prodotti
• App per recensioni di prodotti
• App per resi e cambi
• App per abbonamenti
• App per moduli
• App di analisi
• App di email marketing
• App di marketing via SMS
• App per programmi di affiliazione

Per chiarezza, i Certified Technology Partner non sono tenuti a soddisfare tutti i requisiti di Built for Shopify. Sebbene i requisiti di categoria siano elencati nella pagina Built for Shopify, questi sono richiesti in modo indipendente ai fini di questo programma. Built for Shopify è una designazione a sé stante e il solo soddisfacimento di questi criteri specifici per categoria non qualifica un'app per lo stato completo di Built for Shopify.

1.3 Scheda sullo Shopify App Store

L'app deve essere presente sullo Shopify App Store e deve soddisfare tutti i requisiti elencati nella documentazione per sviluppatori.

La scheda dell'app è il tuo primo punto di contatto con un merchant ed è lì che deciderà se l'app fa al caso suo. Come la tua pagina nella Shopify Technology Partner Directory, la scheda della tua app nello Shopify App Store è uno dei tuoi strumenti di marketing più utili. Una scheda dell'app efficace incoraggia i merchant Shopify a provare l'app o a contattare il tuo team per maggiori dettagli. La scheda della tua app deve essere chiara, concisa e pertinente per i merchant interessati.

Tutte le schede app attualmente pubblicate dovrebbero essere aggiornate con le ultime funzionalità del prodotto e informazioni di assistenza.

1.4 Valutazioni e recensioni

Le recensioni sono un fattore fondamentale per creare un rapporto di fiducia con i merchant. Shopify utilizza le valutazioni e le recensioni delle app da varie fonti per comprendere il feedback e la soddisfazione dei merchant. Quando un merchant lascia una recensione per un'app, deve valutarla su una scala da 1 a 5 e lasciare un commento. Per lasciare una recensione, il merchant deve aver installato l'app nel proprio negozio. Dopo che un merchant ha disinstallato un'app, ha 45 giorni di tempo per lasciare una recensione prima che tale facoltà venga revocata.

Tutti i Certified Technology Partner devono raggiungere e mantenere una valutazione dell'app superiore a 4,0 dopo aver raggiunto un minimo di 5 recensioni.

Tutte le app nuove o non in elenco vengono esaminate in modo indipendente dal team del Programma.

Per maggiori dettagli sulla gestione delle recensioni delle app, consulta la pagina Managing app reviews.

2. Requisiti della soluzione

In qualità di Certified Technology Partner, la tua integrazione con Shopify deve risolvere un problema dei merchant Plus ed essere realizzata utilizzando la tecnologia più recente disponibile per creare la migliore esperienza per i merchant Plus.

2.1 Controllo delle versioni e implementazione delle API

In qualità di Certified Technology Partner, ci si aspetta che tu sia all'avanguardia nell'innovazione e che guidi l'ecosistema. La tua app dovrebbe utilizzare le due versioni più recenti in produzione e devi disporre di una chiara strategia di migrazione della versione API per la tua integrazione.

Inoltre, i Certified Technology Partner sono responsabili di fornire esperienze affidabili e stabili ai merchant. Devono disporre di un piano documentato per l'utilizzo delle API al fine di evitare il throttling del limite di richieste.

3. Requisiti di assistenza

Offrire assistenza in modo tempestivo, professionale e soddisfacente è importante per i merchant Shopify Plus.

3.1 Risposta alle richieste di assistenza

Tutti i Certified Technology Partner devono fornire quanto segue:

• Prima risposta alle richieste di assistenza critiche entro 30 minuti. Le richieste di assistenza critiche includono le interruzioni del servizio su larga scala (che interessano più clienti) e le segnalazioni di vulnerabilità di sicurezza da parte dei clienti. Telefono, SMS, email e comunicazione all'interno del prodotto sono tutti metodi di comunicazione approvati.
• Prima risposta ai problemi ad alta priorità entro 12 ore. Le richieste di assistenza ad alta priorità includono l'impossibilità di accedere al prodotto da parte di più utenti (ad esempio, più utenti non riescono ad accedere) e altre richieste simili. Telefono, SMS, email e comunicazione all'interno del prodotto sono tutti metodi di comunicazione approvati.
• Prima risposta alle richieste a bassa priorità entro 3 giorni tramite telefono, SMS, email o comunicazione all'interno del prodotto.
• Assistenza 24/7 disponibile in tutto il mondo. Telefono, chat ed email sono forum accettabili per l'assistenza.

Le risorse di assistenza devono essere facili da trovare e includere istruzioni chiare e specifiche sulle modalità di integrazione dell'app con Shopify. Per maggiori informazioni su come scrivere una documentazione del centro assistenza efficace, consulta la pagina Fundamentals.

3.2 Aggiornamenti sullo stato del sistema

Fornire ai merchant aggiornamenti di stato facili da trovare li aiuta a sapere se l'app funziona come previsto. Tutti i Certified Technology Partners devono fornire ai merchant quanto segue:

• Una dashboard o una pagina di stato che mostri se il sistema funziona come previsto, se presenta problemi o se non è attivo.
• Un team reperibile e un piano di escalation per gestire le interruzioni del sistema.
• Un processo facilmente disponibile per informare i clienti dei tempi di inattività pianificati.

Consigliamo ai Certified Technology Partner di fornire una pagina di stato con i seguenti servizi: statuspage.io o sorryapp.com.

4. Requisiti per la protezione dei dati

Poiché i nostri merchant Shopify Plus gestiscono in genere grandi volumi di dati dei clienti, è fondamentale che sia Shopify che i suoi Certified Technology Partner adottino un elevato standard di cura per quanto riguarda l'elaborazione, la gestione e l'archiviazione dei dati.

4.1 Dati dei clienti

Se tratti Protected customer data, devi soddisfare tutti i requisiti di Shopify per la protezione dei dati.

4.2 GDPR, CCPA, CPRA, VCDPA

Se lavori con merchant Plus che sono tenuti a rispettare le leggi sulla privacy, come il Regolamento generale sulla protezione dei dati (GDPR), il California Privacy Rights Act (CPRA), il Colorado Privacy Act e il Virginia's Consumer Data Protection Act, devi essere in grado di supportarli. Scopri di più sui Privacy Requirements.

5. Requisiti di sicurezza

Tutti i Certified Technology Partner devono soddisfare tutti i seguenti requisiti di sicurezza:

• L'azienda deve eseguire un penetration test di sicurezza annuale indipendente e di terze parti sull'applicazione, seguendo le metodologie OWASP e NIST.
• Archivia in modo sicuro i token API di Shopify e i secret in un sistema di gestione dei secret dedicato o in uno spazio di archiviazione crittografato, con la possibilità di ruotare i secret senza modifiche al codice. I token di accesso devono essere crittografati at-rest utilizzando AES-128 o superiore. Non includere mai i secret a livello di codice nel codice sorgente o nei file di configurazione.
• Fornisci i diagrammi di architettura della configurazione dell'infrastruttura, includendo i componenti che gestiscono i dati di Shopify, i flussi di dati, i controlli di sicurezza, i provider cloud e le aree geografiche.
• Assicurati che gli ambienti di test e di produzione siano tecnicamente separati.
• Elabora solo la quantità minima di dati personali necessaria per soddisfare i requisiti funzionali e documenta dove viene archiviato ogni tipo di dati.
• Richiedi solo gli ambiti API necessari per soddisfare i requisiti funzionali. Ogni ambito deve essere giustificato; non devono essere presenti ambiti inutilizzati o deprecati.
• Imposta periodi di conservazione per gli archivi di dati contenenti dati personali ed elimina o anonimizza i dati alla scadenza di tali periodi.
• Crittografa i dati personali in transito utilizzando TLS 1.2 o superiore. Non supportare pacchetti di crittografia deboli o protocolli obsoleti.
• Crittografa i dati personali at-rest utilizzando la crittografia standard del settore (minimo AES-128) con servizi di gestione delle chiavi.
• Crittografa i backup dei dati e testa il ripristino dei dati almeno una volta ogni 12 mesi.
• Conserva i registri per tutti gli accessi agli archivi di dati contenenti dati personali, con funzionalità di rilevamento per modelli di accesso insoliti.
• Implementa il controllo di accesso basato sui ruoli e la registrazione di controllo sugli archivi di dati contenenti dati personali.
• Richiedi password di almeno 12 caratteri e l'autenticazione a più fattori per tutto lo staff che accede ai sistemi di produzione contenenti dati dei clienti.
• Istituisci un programma di segnalazione delle vulnerabilità con un contatto di sicurezza pubblico e tempistiche di correzione esplicite per livello di gravità (critico, alto, medio e basso).
• Mantieni un processo per l'applicazione di patch alle vulnerabilità e per il monitoraggio dell'avanzamento della correzione.
• Sviluppa e applica policy e formazione su come i dipendenti devono gestire i dati personali.
• Istituisci un piano di risposta agli incidenti di sicurezza con una persona di contatto per la sicurezza identificata.
• Notifica a Shopify gli incidenti di sicurezza entro 24 ore da una violazione confermata.

6. Requisiti di infrastruttura, affidabilità e performance

Affinché un'app abbia successo, dovrebbe offrire un'esperienza coerente e positiva ai merchant Shopify Plus che la utilizzano.

6.1 Test di carico

È importante che le applicazioni siano testate per la reattività in termini di stabilità e performance. Tutti i Certified Technology Partner dovrebbero essere in grado di fornire:

• Un breve riepilogo di come eseguono il test di carico della loro infrastruttura e se il test di carico è incorporato o meno nel processo di sviluppo, soprattutto durante i periodi di carico di lavoro elevato (ad es. BFCM). Il riepilogo deve includere il tipo di carico con cui il partner esegue i test e gli strumenti che utilizza per eseguire il test di carico dell'infrastruttura.
• Un tempo di caricamento medio inferiore a 400 ms.

6.3 Tempo di attività

Tutti i Technology Partner certificati devono avere un obiettivo di livello di servizio (SLO) con tempo di attività del 99,9%.

6.4 Velocità della vetrina virtuale

Solo per le app per vetrine virtuali, se la tua app può influire sulla velocità del negozio di un merchant, l’integrazione non deve ridurre in modo significativo di oltre 10 punti il punteggio Lighthouse performance del negozio.

7. Requisiti legali e di conformità

Sicurezza e privacy sono elementi fondamentali di qualsiasi attività basata sul web, poiché le app online possono essere esposte o compromesse in molti modi diversi. Tutti i Technology Partner certificati devono assicurarsi che le loro app siano sicure, in modo che i merchant che le utilizzano non corrano rischi.

7.1 Informativa sulla privacy

I Technology Partner certificati devono disporre di un’informativa sulla privacy e/o di un accordo sulla protezione dei dati.