Shopify Plus認定アプリプログラムの資格を得る方法

品質に関する高い基準を設定するために、Shopify Plus認定アプリプログラムに適用されるアプリの審査に以下の要件を使用します。これらの要件は、実績のある有用性、インフラストラクチャとパフォーマンス、マーチャントサポート、セキュリティ、プライバシーなど、いくつかの主要な商品分野に焦点を当てています。これらの商品は、リストとインストールから、オンボード、機能、セキュリティ、品質に至るまで、アプリのライフサイクル全体で最高のShopify Plusマーチャント体験を提供することを目的としています。

これらの要件を満たすことはプログラムへの受け入れを保証するものではありませんが、プログラムに参加している限り、要件はすべてのShopify Plusアプリパートナーが責任を負うべき基準として機能します。一般的に、アプリパートナーがShopify Plusの深い基礎知識を持つこと、ならびに多数のShopify Plusマーチャントで成功を収めた追跡記録の実績も重要です。

Shopify Plusアプリ認定の要件は、Shopify App Storeの要件に加えて適用されます。

1. 一般的な要件とBuilt for Shopifyの達成要件

Built for Shopifyの達成基準は、このセクションの他の要件と併せて必要になります。すべての要件は、Shopify Plus認定アプリプログラムにおける既存のアプリまたは登録が見込まれるアプリに適用されます。申込書を提出する前に、各セクションを注意深く確認してください。

1.1 Shopify App Storeのリスト

アプリはShopify App Storeに掲載されており、開発者向けのドキュメントに記載されているすべての要件を満たす必要があります。

アプリのリストは、マーチャントとの最初の接点であり、あなたのアプリがマーチャントに適切であるかどうかを確認するところになります。Shopify Plusアプリディレクトリーのページ同様、Shopify App Storeでのアプリのリストは、最も便利なマーケティングツールの1つです。効果的なアプリのリストを使用すると、Shopifyのマーチャントがアプリを試したり、チームに連絡して詳細を確認したりできます。アプリのリストは、明確で簡潔で関心のあるマーチャントに関連している必要があります。

現在公開されているすべてのアプリのリストは、最新の商品機能とサポート情報で更新する必要があります。

1.2 評価とレビュー

レビューはマーチャントとの信頼関係を築く上で重要な要素です。Shopifyでは、さまざまな情報源からのアプリの評価とレビューを使用して、マーチャントのフィードバックと満足度を把握します。マーチャントがアプリのレビューを残すと、1〜5のスケールで評価し、コメントを残しておく必要があります。レビューを残すには、マーチャントがストアにあなたのアプリをインストールしている必要があります。マーチャントがアプリをアンインストールした後、権限が取り消されるまでに、レビューを残す時間は45日あります。

すべてのShopify Plus認定アプリパートナーは、最低でも20件のレビューに達した後、4.0を超えるアプリ評価を確立し、維持する必要があります。

新規またはリストに記載されていないアプリは、Shopify Plusアプリパートナーシップチームによって個別にレビューされます。

アプリレビューの管理の詳細については、「アプリレビューの管理」を参照してください。

2. ソリューションの要件

Plus認定アプリとして、Shopifyとの統合では、Plusマーチャントの課題を解決すると同時に、利用可能な最新テクノロジーを使用して最高のPlusマーチャント環境を構築する必要があります。

2.1 バージョン

認定パートナーとしての利用者には、イノベーションの最前線に立ってエコシステムをリードすることが期待されています。アプリでは、本番環境において2つの最新バージョンが使用されている必要があります。また統合環境については、明確なAPIバージョン移行戦略が必要です。

2.2 APIの実装

ストアフロントアプリのみについては、その統合機能がShopifyマーチャントのフロントエンドやテーマと直接的に相互処理する場合、デザインと商品に関するShopifyの最新要件に準拠する必要があります。すべてのアプリについては、レート制限スロットリングを避けるための、API使用計画も必要です。理想としては、Graph QLと一括APIに対応させるか、その対応を検討するようにしてください。

2.3 チェックアウトの拡張機能

現在、checkout.liquidを通じてチェックアウトを変更する機能がある場合、アプリをアップグレードするか、Checkout Extensibilityに対応できるようにする必要があります。

2.4 Plus機能の互換性

統合は、B2B、Markets/Markets Pro、Flowなどの主要なShopify Plus機能と互換性がなければなりません。

3. サポートに関する要件

Shopify Plusマーチャントにとって、タイムリーな、プロフェッショナルで、かつ満足できる方法でサポートを提供することは重要です。

3.1 サポートリクエストへの対応

Shopify Plus認定アプリパートナーには、以下を提供する必要があります。

  • 重要なサポートリクエストに対しては、30分以内に最初の対応をします。重要なサポートリクエストには、お客様からの広範囲に及ぶ (複数のお客様の) サービス停止やセキュリティの脆弱性に関するレポートが含まれます。電話、SMS、メール、商品間のコミュニケーションは、すべて承認されたコミュニケーション方法です。
  • 優先度の高い問題に対しては、12時間以内に最初の対応をします。優先度の高いサポートリクエストには、複数のユーザーからの商品へのアクセスができない (たとえば、複数のユーザーがログインできない) などのリクエストがあります。電話、SMS、メール、商品間のコミュニケーションは、すべて承認されたコミュニケーション方法です。
  • 優先度の低いものに対しては、電話、SMS、メール、商品間のコミュニケーションを通じて、3日以内に最初の対応をします。
  • 世界中で24時間体制のサポートが利用可能です。電話、チャット、メールはサポートのために受け入れられるフォーラムです。
  • 緊急リクエストを受け取るためにすぐに対応できる連絡先となる、24時間体制の緊急開発者の連絡先番号。

サポートの連絡先情報とコンテンツを簡単に見つけられるようにしてください。アプリとShopifyの統合方法に関する具体的で明確な手順が含まれている必要があります。効果的なヘルプドキュメントの記載の詳細については、ヘルプドキュメントを参照してください。

3.2 システムステータスの更新

見つけやすいステータスの更新をマーチャントに提供することで、アプリが思ったとおりに機能しているかどうかを知ることができます。すべてのShopify Plus認定アプリパートナーは、以下をマーチャントに提供する必要があります。

  • システムが期待したとおりに動作しているか、問題が発生しているか、または利用できないかを示すダッシュボードまたはステータスページ。
  • システムの中断に対処するためのオンコールチームとエスカレーションプラン。
  • 計画ダウンタイムをお客様に通知するための、すぐに利用可能なプロセス。

Shopify Plus認定アプリパートナーで、statuspage.ioまたはsorryapp.comというサービスを備えたステータスページの提供をおすすめします。

4. データ保護に関する要件

ShopifyのPlusマーチャントは、一般的に大量の顧客データを取り扱うため、データの処理、取り扱い、保存に関して、ShopifyとPlus認定アプリパートナーの両者が高いレベルで注意を払う必要があります。

4.1 顧客データ

保護されたお客様データを処理する場合は、Shopifyの全データ保護要件を満たす必要があります。また、プライバシーポリシーやデータ保護契約も締結している必要があります。

4.2 GDPR、CCPA、CPRA

GDPR、CCPA、CPRAのいずれかに準拠する必要があるPlusマーチャントと連携する場合は、これに対応できる必要があります。これについては、こちらの開発者用文書の詳細なガイダンスを参照してください。

4.3 多要素認証 (MFA)

会社では、顧客データが保存されているシステムにアクセスまたはこれを使用する従業員に対して、多要素認証の使用を強制する必要があります。

5. セキュリティ要件

会社は、アプリケーションのセキュリティ侵入テストを少なくとも年1回行う必要があります。

Shopify Plus Certified Appパートナーは全員、以下のセキュリティ要件を満たす必要があります。

  • Shopify APIトークンを安全に保管する。
  • トークンの切り替えのための明確な手順を実装する。
  • インフラストラクチャの設定に関する詳細と図 (クラウドプロバイダー、データベース、サーバーに関する視覚データや説明を含む) を提供する。
  • 機能要件を満たすために必要な最小限の個人データのみを処理する。
  • 機能要件を満たすために必要なスコープのみをリクエストする。
  • 個人データを含むデータストアの保管期間を設定する。
  • データ転送時には、Transport Layer Security (TLS) やSSLなどの技術的手法を使用して、転送中の個人データを暗号化する。
  • AESまたはその他の対称型暗号方式のような技術的手法を使用して、保存時の個人データを暗号化する。
  • 確認と改善に関するポリシーとタイムラインを使用して、脆弱性報告プログラムを確立する。
  • 独立した外部サービスのセキュリティ評価を実施し、関連する認証を取得する。
  • AESまたはその他の対称型暗号方式のような技術的手法を使用して、データのバックアップを暗号化する。
  • 個人データを含むデータストアへのアクセスすべてに関するアクセスログを維持する。
  • テストインスタンスと本番環境インスタンスを分離し、テストシステムが本番環境データを保存または処理しないようにする。
  • すべてのスタッフアカウントとサービスアカウントに強力なパスワードと2つ目の要素をリクエストする。
  • 従業員が個人データにアクセスする方法に関するポリシーおよびトレーニングを開発し、実施する。
  • セキュリティ事象への対応プロセスおよびプランを確立する。
  • データ損失の防止策を実装する。

6. インフラストラクチャ、信頼性、パフォーマンスに関する要件

アプリを成功させるには、それを使用するShopify Plusマーチャントに対して、一貫したポジティブな体験を提供する必要があります。Shopifyへのアプリ統合の品質は、アプリケーションプロセス中において重要な検討事項です。

6.1 信頼できるインフラストラクチャ

すべてのShopify Plus認定アプリパートナーは、以下の信頼できるクラウドプロバイダーのいずれかを使用することを強くおすすめします。

  • AWS
  • Azure
  • Google Cloud Platform

パートナーが上記のプラットフォームのいずれかを使用していない場合は、安全な物理的セキュリティ、冗長性、環境回復力を備えたオンプレミスのインフラストラクチャを持っていることを確認する必要があります。

6.2 負荷テスト

アプリケーションを安定性とパフォーマンスの視点で、応答性に関してテストをすることは重要です (たとえば、マーチャントにとって特に高い作業負荷をアプリケーションがどの程度処理できるかなど)。すべてのShopify Plus認定アプリパートナーは、以下の情報を提供する必要があります。

  • インフラストラクチャの負荷テスト方法と、負荷テストが開発プロセスに組み込まれているかどうかの簡単なサマリー。これには、パートナーがテストする負荷の種類と、インフラストラクチャの負荷テストに使用するツールが含まれます。
  • 平均読み込み時間が400ミリ秒未満です。

6.3 アップタイム

すべてのShopify Plus認定アプリパートナーは、99.9%のアップタイムサービスレベル目標 (SLO) を持つ必要があります。

6.4 埋め込み式アプリの基準

管理画面にアプリを埋め込む場合は、Shopify App Bridge 2.0を使用するか、これに移行する必要があります。App Bridge 1.0や非推奨の埋め込み式アプリSDKは使用しないでください。

6.5 ストアフロントの処理速度

ストアフロントアプリでは、アプリがマーチャントのストアの処理速度に影響を与える可能性がある場合、統合によってストアのLighthouseのパフォーマンススコアが10ポイントを超えて大幅に低下してはなりません。

7. 法令とコンプライアンスに関する要件

オンラインアプリはさまざまな方法で公開される、または危険にさらされるため、セキュリティとプライバシーはウェブベースでのビジネスの重要な要素です。すべてのShopify パートナーは、アプリケーションを使用するマーチャントが危険にさらされないように、アプリケーションの安全を確認する必要があります。

7.1 利用規約

すべてのShopify Plus認定アプリパートナーは、Shopify App StoreShopify Plusのアプリディレクトリーのリストにリンクされている公開可能な利用規約を用意する必要があります。マーチャントは、オンボーディングプロセスの一環として利用規約を提供する必要があります。

7.2 情報セキュリティ

情報セキュリティとは、情報に対する脅威の防止、検出、文書化、および対策に必要なプロセス、ツール、ポリシーを管理するために、テクノロジー企業が必要とする一連の戦略を意味します。

Shopifyでは、情報セキュリティを重要視しているため、すべてのShopify Plus認定アプリパートナーに対して、詳細な情報セキュリティポリシーを維持管理して共有することを推奨しています。すべてのパートナーは、情報セキュリティポリシーへのリンクを提供する必要があります。さらに、データセキュリティの脆弱性は24時間以内にチェックしてShopifyに通知し、パートナーの利用規約の一部として情報提供される必要があります。

またこれについては、会社が、アプリケーション、会社、インフラストラクチャ全体 (PCIやSOC2 Type 2など) を対象とする有効なセキュリティ認証を取得することが理想です。

7.3 プライバシーポリシー

Shopify Plusマーチャントは、Shopifyとそのパートナーのエコシステムに依存しており、データが安全かつ非公開で取り扱われるようにします。Shopify Plusのマーチャントの信頼を得て維持するために、データセキュリティ基準を定めることは重要です。

パートナーは、プライバシーポリシーやデータ保護に関する契約を締結している必要があります。

7.4 保険

サービスとしてのソフトウェア (SAAS) をお客様に提供するパートナーには、固有のリスクプロファイルが存在します。このためパートナーは、以下の種類の保険契約の証明を提供することが理想的です。

  • 技術的エラー&欠落 (E&O) 保険
  • サイバー賠償責任保険
  • 取締役&役員保険 (D&O)
  • 雇用慣行賠償責任保険 (EPLI)
  • 一般賠償責任/損害保険