認定テクノロジーパートナーの資格を得る方法

質の高い基準を設定するため、Shopify 認定テクノロジーパートナープログラムでは、以下の要件を用いてアプリを審査します。これらの要件は、実証された有用性、インフラとパフォーマンス、マーチャントサポート、セキュリティ、プライバシーという、いくつかの重要な分野に焦点を当てています。これらの要件は、リスティングやインストールから、オンボーディング、機能、セキュリティ、品質に至るまで、アプリのライフサイクル全体で最高の Shopify Plus マーチャント体験を提供することを目的としています。

これらの要件を満たしてもプログラムへの参加が保証されるわけではありませんが、プログラムに参加している限り、すべての認定テクノロジーパートナーに遵守していただく基準として機能します。一般的に、アプリパートナーには Shopify Plus に関する深い基礎知識と、数多くの Shopify Plus マーチャントとの間で実証された成功実績があることも重要です。

1. 一般要件

1.1 Shopify App Store のコンプライアンス

既存または将来の認定テクノロジーパートナーであるかどうかにかかわらず、これらの要件は Shopify App Store の要件に加えて適用されます。

さらに、認定テクノロジーパートナーは、Shopify のポリシーを遵守し、常に良好な状態を維持する必要があります。

コンプライアンスを遵守して良好な状態を維持することにより、アプリの利用可能性や評判への中断を最小限に抑えながら、Shopify エコシステム内で価値あるソリューションを提供し続けることができます。

1.2 カテゴリー固有の基準

認定テクノロジーパートナーには、カテゴリー固有の基準を満たすことが求められます。これらの基準は、アプリがユーザー固有のニーズに効果的に対応していることを確認するための品質ベンチマークとして機能します。

アプリが以下のいずれかのカテゴリーに属する場合、認定テクノロジーパートナーとしての資格を得るには、対応する要件を満たす必要があります。

• 広告アプリ
• 配送サービスアプリ
• ディスカウントアプリ
• フルフィルメントサービスアプリ
• 請求書・領収書アプリ
• 商品バンドルアプリ
• 商品レビューアプリ
• 返品・交換アプリ
• サブスクリプションアプリ
• フォームアプリ
• 分析アプリ
• メールマーケティングアプリ
• SMS マーケティングアプリ
• アフィリエイトプログラムアプリ

明確にするために記載しますが、認定テクノロジーパートナーは、Built for Shopify の要件をすべて満たす必要はありません。カテゴリー要件は Built for Shopify のページに記載されていますが、このプログラムの目的上、これらは独立して要求されるものです。Built for Shopify は独自の認定であり、これらのカテゴリー固有の基準を満たすだけでは、アプリが完全な Built for Shopify のステータスを得る資格を得ることはできません。

1.3 Shopify App Store のリスティング

アプリは Shopify App Store に掲載されている必要があり、開発者向けドキュメントに記載されているすべての要件を満たす必要があります。

アプリのリスティングはマーチャントとの最初の接点であり、マーチャントはそこでアプリが自社に適しているかどうかを判断します。Shopify Technology Partner Directory のページと同様に、Shopify App Store でのアプリのリスティングは、最も有用なマーケティングツールの1つです。効果的なアプリのリスティングは、Shopify マーチャントにアプリを自分で試してみることや、詳細についてチームに問い合わせることを促します。アプリのリスティングは、関心のあるマーチャントにとって、明確、簡潔で、関連性の高いものである必要があります。

現在公開されているすべてのアプリのリストは、最新の商品機能とサポート情報で更新されている必要があります。

1.4 評価とレビュー

レビューは、マーチャントとの信頼を築くうえで重要な要素です。Shopifyでは、さまざまなソースからのアプリの評価とレビューを使用して、マーチャントからのフィードバックと満足度を把握しています。マーチャントがアプリのレビューを投稿する場合、1〜5段階で評価し、コメントを残す必要があります。レビューを投稿するには、マーチャントがストアにアプリをインストールしている必要があります。マーチャントがアプリをアンインストールした後、45日間はレビューを投稿できますが、その期間を過ぎるとその権限は失効します。

すべての認定テクノロジーパートナーは、レビュー数が5件以上に達した後、4.0を超えるアプリの評価を獲得し、維持する必要があります。

新規または未掲載のアプリは、プログラムチームによって個別に審査されます。

アプリレビューの管理に関する詳細については、「アプリレビューの管理」を参照してください。

2. ソリューションの要件

認定テクノロジーパートナーとして、Shopifyとの連携によってPlusマーチャントの課題を解決し、利用可能な最新テクノロジーを使用して最高のPlusマーチャントエクスペリエンスを創出する必要があります。

2.1 APIのバージョン管理と実装

認定テクノロジーパートナーは、イノベーションの最前線に立ち、エコシステムをリードすることが期待されます。本番環境のアプリでは最新の2つのバージョンを利用し、連携のための明確なAPIバージョン移行戦略を立てる必要があります。

さらに、認定テクノロジーパートナーには、信頼性が高く安定したマーチャントエクスペリエンスを提供する責任があります。レート制限によるスロットリングを回避するため、文書化されたAPI使用計画を策定する必要があります。

3. サポートの要件

タイムリーで専門的、かつ満足度の高い方法でサポートを提供することは、Shopify Plusマーチャントにとって重要です。

3.1 サポートリクエストへの対応

すべての認定テクノロジーパートナーは、以下を提供する必要があります。

• 重大なサポートリクエストへの30分以内の一次回答。重大なサポートリクエストには、広範囲 (複数のお客様) にわたるサービスの停止や、お客様からのセキュリティの脆弱性に関する報告が含まれます。電話、SMS、メール、および製品内のコミュニケーションは、すべて承認されたコミュニケーション方法です。
• 優先度の高い問題への12時間以内の一次回答。優先度の高いサポートリクエストには、複数のユーザーが商品にアクセスできない (例：複数のユーザーがログインできない) 場合や、その他の同様のリクエストが含まれます。電話、SMS、メール、および製品内のコミュニケーションは、すべて承認されたコミュニケーション方法です。
• 電話、SMS、メール、または製品内のコミュニケーションによる、優先度の低い問題への3日以内の一次回答。
• 世界中で利用可能な24時間体制のサポート。電話、チャット、メールが、許容されるサポート手段です。

サポートリソースは簡単に見つけられるようにし、アプリとShopifyの連携に固有の明確な手順を含める必要があります。効果的なヘルプドキュメントの作成について詳しくは、「基本」を参照してください。

3.2 システムステータスの更新

マーチャントが簡単に見つけられるステータスの更新情報を提供することで、マーチャントはアプリが期待どおりに機能しているかどうかを把握できます。すべての認定テクノロジーパートナーは、マーチャントに以下を提供する必要があります。

• システムが期待どおりに稼働しているか、問題が発生しているか、または停止しているかを示すダッシュボードまたはステータスページ。
• システム障害に対応するためのオンコールチームとエスカレーションプラン。
• 計画停止をお客様に通知するための、すぐに利用できるプロセス。

認定テクノロジーパートナーには、statuspage.ioやsorryapp.comなどのサービスを利用したステータスページを提供することをおすすめします。

4. データ保護の要件

Shopify Plusマーチャントは通常、大量の顧客データを扱うため、Shopifyとその認定テクノロジーパートナーの両方が、データの処理、取り扱い、保管に関して高水準の注意を払うことがきわめて重要です。

4.1 顧客データ

保護対象の顧客データを処理する場合、Shopifyのすべてのデータ保護要件を満たす必要があります。

4.2 GDPR、CCPA、CPRA、VCDPA

一般データ保護規則 (GDPR)、カリフォルニア州プライバシー権法 (CPRA)、コロラド州プライバシー法、バージニア州消費者データ保護法などの個人情報保護法を遵守する必要があるPlusマーチャントと連携する場合、それらのマーチャントをサポートできる必要があります。「プライバシー要件」について詳しくはこちら。

5. セキュリティ要件

すべての認定テクノロジーパートナーは、以下のすべてのセキュリティ要件を満たす必要があります。

• OWASPおよびNISTの方法論に従い、アプリケーションの独立した外部のセキュリティペネトレーションテストを年に1回実施する必要があります。
• Shopify APIトークンとシークレットは、専用のシークレット管理システムまたは暗号化されたストレージに安全に保管し、コードを変更せずにシークレットをローテーションできる機能を備える必要があります。アクセストークンは、AES-128以上を使用して保管時に暗号化する必要があります。ソースコードや設定ファイルにシークレットをハードコーディングすることは絶対にしないでください。
• Shopifyデータを扱うコンポーネント、データフロー、セキュリティ管理、クラウドプロバイダー、地域などを含む、インフラストラクチャー設定のアーキテクチャー図を提供する必要があります。
• テスト環境と本番環境を技術的に分離する必要があります。
• 機能要件を満たすために必要な最小限の個人データのみを処理し、各データタイプがどこに保存されるかを文書化する必要があります。
• 機能要件を満たすために必要なAPIスコープのみをリクエストする必要があります。すべてのスコープには正当な理由が必要であり、未使用または非推奨のスコープを含めることはできません。
• 個人データを含むデータストアに保管期間を設定し、保管期間が終了したデータは削除または匿名化する必要があります。
• TLS 1.2以上を使用して転送中の個人データを暗号化する必要があります。脆弱な暗号スイートや古いプロトコルをサポートしてはいけません。
• マネージドキーサービスを使用し、業界標準の暗号化 (最低AES-128) を用いて保管時の個人データを暗号化する必要があります。
• データのバックアップを暗号化し、少なくとも12か月に1回はデータの復元をテストする必要があります。
• 個人データを含むデータストアへのすべてのアクセスについてアクセスログを維持し、異常なアクセスパターンに対する検出機能を備える必要があります。
• 個人データを含むデータストアに、ロールベースのアクセス制御と監査ログを実装する必要があります。
• 顧客データを含む本番システムにアクセスするすべてのスタッフに対して、12文字以上のパスワードと多要素認証を義務付ける必要があります。
• 公開されたセキュリティの連絡先と、重大度レベル (重大、高、中、低) 別の明確な修正タイムラインを備えた、脆弱性報告プログラムを確立する必要があります。
• 脆弱性にパッチを適用し、修正の進捗を追跡するためのプロセスを維持する必要があります。
• 従業員による個人データの取り扱い方法に関するポリシーとトレーニングを策定し、実施する必要があります。
• セキュリティ担当者を特定したうえで、セキュリティインシデント対応計画を策定する必要があります。
• 侵害が確認されてから24時間以内に、Shopifyにセキュリティインシデントを通知する必要があります。

6. インフラストラクチャー、信頼性、パフォーマンスの要件

アプリが成功するためには、それを使用するShopify Plusマーチャントに一貫した良好なエクスペリエンスを提供する必要があります。

6.1 負荷テスト

アプリケーションは、安定性とパフォーマンスの観点から応答性についてテストすることが重要です。すべての認定テクノロジーパートナーは、以下を提供できる必要があります。

• インフラストラクチャーの負荷テストの実施方法、および特に高負荷時 (BFCMなど) に負荷テストが開発プロセスに組み込まれているかについての簡単なサマリー。このサマリーには、パートナーがどのような負荷に対してテストを行っているか、またインフラストラクチャーの負荷テストにどのようなツールを使用しているかを含める必要があります。
• 400ミリ秒未満の平均読み込み時間。

6.3 アップタイム

すべての認定テクノロジーパートナーは、99.9% のアップタイムというサービスレベル目標 (SLO) を達成する必要があります。

6.4 ストアフロントのスピード

ストアフロントアプリのみに適用されます。アプリがマーチャントのストアのスピードに影響を与える可能性がある場合、その統合によってストアの Lighthouse パフォーマンススコアが 10 ポイントを超えて大幅に低下してはなりません。

7. 法務およびコンプライアンス要件

オンラインアプリはさまざまな方法で公開されたり、危険にさらされたりする可能性があるため、ウェブベースのビジネスでは、セキュリティとプライバシーが重要な要素となります。すべての認定テクノロジーパートナーは、自社のアプリが安全であることを確認し、それを使用するマーチャントが危険にさらされないようにする必要があります。

7.1 プライバシーポリシー

認定テクノロジーパートナーは、プライバシーポリシーやデータ保護契約を設ける必要があります。