Como se qualificar como parceiro de tecnologia certificado

Para definir um alto padrão de qualidade, os requisitos a seguir são usados para analisar os apps no Programa de parceiros de tecnologia certificados da Shopify. Esses requisitos se concentram em várias áreas importantes: utilidade comprovada, infraestrutura e desempenho, atendimento ao lojista, segurança e privacidade. O objetivo é proporcionar a melhor experiência para o lojista do Shopify Plus em todo o ciclo de vida do app, desde a listagem e instalação até a adesão, a funcionalidade, a segurança e a qualidade.

Embora o cumprimento desses requisitos não garanta a aceitação no programa, eles são o padrão que todos os parceiros de tecnologia certificados precisam seguir enquanto estiverem no programa. Em geral, também é importante que os parceiros de apps tenham um conhecimento básico aprofundado do Shopify Plus, bem como um histórico comprovado de sucesso com vários lojistas do Shopify Plus.

1. Requisitos gerais

1.1. Conformidade com a Shopify App Store

Seja você um parceiro de tecnologia certificado atual ou em potencial, estes requisitos se aplicam, além dos requisitos da Shopify App Store.

Além disso, como parceiro de tecnologia certificado, você precisa estar em situação regular com as políticas da Shopify.

Estar em conformidade e em situação regular permite que você continue a oferecer soluções valiosas no ecossistema Shopify, minimizando interrupções na disponibilidade e na reputação do seu app.

1.2. Critérios específicos da categoria

Para os parceiros de tecnologia certificados, é obrigatório atender aos critérios específicos da categoria. Esses critérios servem como um benchmark de qualidade para garantir que os apps atendam com eficácia às necessidades exclusivas de seus usuários.

Se seu app pertence a uma das categorias abaixo, você precisa atender aos requisitos correspondentes para se qualificar como um parceiro de tecnologia certificado:

Para esclarecer, os parceiros de tecnologia certificados não precisam atender a todos os requisitos do Built for Shopify. Embora os requisitos de categoria estejam listados na página do Built for Shopify, eles são exigidos independentemente para fins deste programa. O Built for Shopify é uma designação própria, e o cumprimento apenas desses critérios específicos da categoria não qualifica seu app para o status completo do Built for Shopify.

1.3. Listagem na Shopify App Store

O app deve estar listado na Shopify App Store e precisa cumprir todos os requisitos listados na documentação do desenvolvedor.

A listagem do app é o primeiro ponto de contato com um lojista e o local em que ele decidirá se o app é o ideal para ele. Assim como sua página no Shopify Technology Partner Directory, a listagem do seu app na Shopify App Store é uma de suas ferramentas de marketing mais úteis. Uma listagem de app eficaz incentiva os lojistas da Shopify a experimentar o app ou entrar em contato com sua equipe para mais informações. A listagem do app deve ser clara, concisa e relevante para os lojistas interessados.

Todas as listagens de app publicadas precisam ser atualizadas com as informações de atendimento e os recursos de produto mais recentes.

1.4. Classificações e avaliações

As avaliações são um fator fundamental para conquistar a confiança dos lojistas. A Shopify usa as classificações e avaliações de apps de várias fontes para entender o feedback e a satisfação do lojista. Quando um lojista deixa uma avaliação para o app, ele precisa classificá-lo em uma escala de 1 a 5 e deixar um comentário. Para deixar uma avaliação, o lojista precisa ter o app instalado na loja. Depois de desinstalar um app, o lojista tem 45 dias para deixar uma avaliação antes que o privilégio seja revogado.

Todos os parceiros de tecnologia certificados precisam estabelecer e manter uma classificação de app superior a 4,0 após atingir um mínimo de 5 avaliações.

Quaisquer apps novos ou não listados são analisados de forma independente pela equipe do Programa.

Para saber mais sobre o gerenciamento de avaliações de apps, consulte Gerenciar avaliações de apps.

2. Requisitos da solução

Como parceiro de tecnologia certificado, sua integração com a Shopify precisa resolver um desafio dos lojistas do Plus e ser desenvolvida com a tecnologia mais recente disponível para criar a melhor experiência para eles.

2.1. Controle de versão e implementação da API

Como parceiro de tecnologia certificado, espera-se que você esteja na vanguarda da inovação e lidere o ecossistema. Seu app deve utilizar as duas versões mais recentes em produção, e você precisa ter uma estratégia clara de migração de versão da API para sua integração.

Além disso, os parceiros de tecnologia certificados são responsáveis por oferecer experiências confiáveis e estáveis aos lojistas. É preciso ter um plano documentado de uso da API para evitar a limitação por limite de taxa.

3. Requisitos de atendimento

É importante para os lojistas do Shopify Plus que o atendimento seja oferecido de maneira rápida, profissional e satisfatória.

3.1. Resposta a solicitações de atendimento

Todos os parceiros de tecnologia certificados precisam fornecer o seguinte:

  • Primeira resposta a solicitações de atendimento críticas em até 30 minutos. Solicitações de atendimento críticas incluem interrupções de serviço generalizadas (vários clientes) e relatórios de vulnerabilidades de segurança de clientes. Telefone, SMS, e-mail e comunicação no produto são todos os métodos de comunicação aprovados.
  • Primeira resposta a problemas de alta prioridade em até 12 horas. As solicitações de atendimento de alta prioridade incluem a incapacidade de acessar o produto por vários usuários (por exemplo, vários usuários não conseguem fazer login) e outras solicitações semelhantes. Telefone, SMS, e-mail e comunicação no produto são todos os métodos de comunicação aprovados.
  • Primeira resposta para solicitações de baixa prioridade em até 3 dias por telefone, SMS, e-mail ou comunicação no produto.
  • Atendimento disponível 24 horas por dia, 7 dias por semana, em todo o mundo. Telefone, chat e e-mail são meios aceitáveis para o atendimento.

Os recursos de atendimento precisam ser fáceis de encontrar e incluir instruções claras e específicas sobre como o app se integra à Shopify. Para saber mais sobre como escrever uma documentação de ajuda eficaz, consulte Princípios básicos.

3.2. Atualizações de status do sistema

Fornecer aos lojistas atualizações de status fáceis de encontrar os ajuda a saber se o app está funcionando como esperado. Todos os parceiros de tecnologia certificados precisam fornecer aos lojistas o seguinte:

  • Um painel de controle ou uma página de status que mostre se o sistema está funcionando como esperado, enfrentando problemas ou fora do ar.
  • Uma equipe de plantão e um plano de escalonamento para lidar com interrupções do sistema.
  • Um processo disponível para informar os clientes sobre inatividades planejadas.

Recomendamos que os parceiros de tecnologia certificados forneçam uma página de status com os seguintes serviços: statuspage.io ou sorryapp.com.

4. Requisitos de proteção de dados

Como nossos lojistas do Shopify Plus costumam lidar com grandes volumes de dados de clientes, é fundamental que tanto a Shopify quanto seus parceiros de tecnologia certificados tenham um alto padrão de cuidado ao processar, manusear e armazenar dados.

4.1. Dados do cliente

Se você processa dados de clientes protegidos, precisa atender a todos os requisitos de proteção de dados da Shopify.

4.2. GDPR, CCPA, CPRA e VCDPA

Se você trabalha com lojistas do Plus que precisam estar em conformidade com as leis de privacidade, como o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Direitos de Privacidade da Califórnia (CPRA), a Lei de Privacidade do Colorado e a Lei de Proteção de Dados do Consumidor da Virgínia, você precisa ter capacidade para atendê-los. Saiba mais sobre os Requisitos de privacidade.

5. Requisitos de segurança

Todos os parceiros de tecnologia certificados precisam atender a todos os seguintes requisitos de segurança:

  • A empresa precisa realizar anualmente um teste de penetração de segurança independente e de terceiros em seu app, seguindo as metodologias OWASP e NIST.
  • Armazene os tokens da Shopify API e os secrets com segurança em um sistema de gerenciamento de secrets dedicado ou em armazenamento criptografado, com a capacidade de rotacionar secrets sem alterações no código. Os tokens de acesso precisam ser criptografados em repouso usando AES-128 ou superior. Nunca inclua secrets diretamente no código-fonte ou em arquivos de configuração.
  • Forneça diagramas de arquitetura da configuração de sua infraestrutura, incluindo componentes que lidam com dados da Shopify, fluxos de dados, controles de segurança, provedores de nuvem e regiões.
  • Garanta que os ambientes de teste e de produção estejam tecnicamente separados.
  • Processe apenas a quantidade mínima de dados pessoais necessária para atender aos seus requisitos funcionais e documente onde cada tipo de dado é armazenado.
  • Solicite apenas os escopos da API necessários para atender aos seus requisitos funcionais. Cada escopo precisa ser justificado, não devendo haver escopos não utilizados ou obsoletos.
  • Defina períodos de retenção para armazenamentos de dados que contenham dados pessoais e exclua ou anonimize os dados quando os períodos de retenção expirarem.
  • Criptografe os dados pessoais em trânsito usando TLS 1.2 ou superior. Não ofereça compatibilidade com conjuntos de cifras fracos ou protocolos desatualizados.
  • Criptografar dados pessoais em repouso usando criptografia padrão do setor (AES-128 no mínimo) com serviços de chaves gerenciadas.
  • Criptografar backups de dados e testar a restauração de dados pelo menos uma vez a cada 12 meses.
  • Manter logs de acesso para todos os acessos a repositórios de dados que contenham dados pessoais, com funcionalidades de detecção para padrões de acesso incomuns.
  • Implementar controle de acesso baseado em função e registro de auditoria em repositórios de dados que contenham dados pessoais.
  • Exigir senhas de no mínimo 12 caracteres e autenticação multifator para todos os membros da equipe que acessam sistemas de produção com dados de clientes.
  • Estabelecer um programa de notificação de vulnerabilidades com um contato de segurança público e cronogramas de correção explícitos por nível de gravidade (crítico, alto, médio e baixo).
  • Manter um processo para corrigir vulnerabilidades e acompanhar o progresso da correção.
  • Desenvolver e aplicar políticas e treinamentos sobre como os funcionários devem lidar com dados pessoais.
  • Estabelecer um plano de resposta a incidentes de segurança com uma pessoa de contato de segurança identificada.
  • Notificar a Shopify sobre incidentes de segurança em até 24 horas após a confirmação de uma violação

6. Requisitos de infraestrutura, confiabilidade e desempenho

Para um app ter sucesso, ele deve oferecer uma experiência consistente e positiva para os lojistas do Shopify Plus que o utilizam.

6.1 Teste de carga

É importante que os apps sejam testados quanto à capacidade de resposta em termos de estabilidade e desempenho. Todos os parceiros de tecnologia certificados devem ser capazes de fornecer:

  • Um breve resumo de como realizam o teste de carga da infraestrutura e se o teste de carga está incorporado ao processo de desenvolvimento, especialmente durante períodos de alta carga de trabalho (por exemplo, na BFCM). Isso deve incluir o tipo de carga que o parceiro usa para fazer o teste e quais ferramentas são usadas para o teste de carga da infraestrutura.
  • Tempo de carregamento médio de <400 ms.

6.3 Tempo de atividade

Todos os parceiros de tecnologia certificados devem ter um objetivo de nível de serviço (SLO) de tempo de atividade de 99,9%.

6.4 Velocidade da vitrine virtual

Apenas para apps de vitrine virtual: se o app tiver o potencial de afetar a velocidade da loja de um lojista, a integração não poderá reduzir significativamente a pontuação de Lighthouse performance da loja em mais de 10 pontos.

Segurança e privacidade são partes essenciais de qualquer negócio na web, já que os apps online podem ser expostos ou comprometidos de várias maneiras. Todos os parceiros de tecnologia certificados precisam garantir que os apps sejam seguros para que os lojistas que os usam não corram riscos.

7.1 Política de privacidade

Os parceiros de tecnologia certificados devem ter uma política de privacidade e/ou um contrato de proteção de dados.