Как стать сертифицированным технологическим партнёром

Чтобы установить высокий стандарт качества, для проверки приложений в рамках программы сертифицированных технологических партнёров Shopify используются следующие требования. Эти требования сосредоточены на нескольких ключевых областях: доказанная полезность, инфраструктура и производительность, поддержка продавцов, безопасность и конфиденциальность. Они призваны обеспечить лучший опыт для продавцов Shopify Plus на протяжении всего жизненного цикла приложения — от его размещения и установки до онбординга, функциональности, безопасности и качества.

Хотя соответствие этим требованиям не гарантирует принятия в программу, они служат стандартом, которому должны соответствовать все сертифицированные технологические партнёры на протяжении всего своего участия в программе. Кроме того, важно, чтобы партнёры по разработке приложений имели глубокие базовые знания о Shopify Plus, а также подтверждённый опыт успешной работы с многочисленными продавцами Shopify Plus.

1. Общие требования

1.1 Соответствие требованиям Shopify App Store

Независимо от того, являетесь ли вы действующим или потенциальным сертифицированным технологическим партнёром, эти требования применяются в дополнение к требованиям Shopify App Store.

Кроме того, как сертифицированный технологический партнёр, вы должны соблюдать политики Shopify и поддерживать хорошую репутацию.

Соблюдение требований и поддержание хорошей репутации позволит вам и дальше предлагать ценные решения в экосистеме Shopify, сводя к минимуму перебои в доступности вашего приложения и ущерб для репутации.

1.2 Критерии для конкретных категорий

Сертифицированные технологические партнёры обязаны соответствовать критериям для конкретных категорий. Эти критерии служат эталоном качества, гарантирующим, что приложения эффективно отвечают уникальным потребностям пользователей.

Если ваше приложение относится к одной из перечисленных ниже категорий, вы должны соответствовать соответствующим требованиям, чтобы получить статус сертифицированного технологического партнёра:

• Рекламные приложения
• Приложения служб доставки
• Приложения для скидок
• Приложения служб выполнения заказов
• Приложения для счетов и квитанций
• Приложения для комплектов товаров
• Приложения для отзывов о товарах
• Приложения для возвратов и обменов
• Приложения для подписок
• Приложения для форм
• Аналитические приложения
• Приложения для email-маркетинга
• Приложения для SMS-маркетинга
• Приложения для партнёрских программ

Для ясности: от сертифицированных технологических партнёров не требуется соответствие всем требованиям Built for Shopify. Хотя требования к категориям перечислены на странице Built for Shopify, для данной программы они являются независимым требованием. Built for Shopify — это отдельный статус, и одно лишь соответствие этим критериям для категорий не даёт вашему приложению право на полный статус Built for Shopify.

1.3 Страница приложения в Shopify App Store

Приложение должно быть размещено в Shopify App Store и соответствовать всем требованиям, перечисленным в документации для разработчиков.

Страница приложения — это ваша первая точка контакта с продавцом, и именно там он будет решать, подходит ли ему ваше приложение. Как и ваша страница в Partner Directory, страница вашего приложения в Shopify App Store — один из самых полезных маркетинговых инструментов. Эффективная страница приложения побуждает продавцов Shopify попробовать приложение или связаться с вашей командой для получения дополнительной информации. Описание на странице вашего приложения должно быть ясным, кратким и актуальным для заинтересованных продавцов.

Все опубликованные списки приложений должны содержать актуальную информацию о функциях продукта и поддержке.

1.4 Рейтинги и отзывы

Отзывы — это важнейший фактор для завоевания доверия продавцов. Shopify использует рейтинги и отзывы о приложениях из разных источников, чтобы оценить обратную связь и удовлетворенность продавцов. Когда продавец оставляет отзыв о вашем приложении, он должен оценить его по шкале от 1 до 5 и оставить комментарий. Чтобы оставить отзыв, продавец должен установить ваше приложение в свой магазин. После удаления приложения у продавца есть 45 дней, чтобы оставить отзыв, после чего эта возможность аннулируется.

Все сертифицированные технологические партнеры должны получить и поддерживать рейтинг приложения выше 4,0 после получения как минимум 5 отзывов.

Любые новые или неразмещенные в списке приложения рассматриваются командой программы в индивидуальном порядке.

Подробнее об управлении отзывами о приложениях см. в разделе «Управление отзывами о приложениях».

2. Требования к решению

Ваша интеграция с Shopify (как сертифицированного технологического партнера) должна решать проблемы продавцов Shopify Plus и быть создана с использованием новейших доступных технологий для обеспечения наилучшего взаимодействия.

2.1 Управление версиями и внедрение API

Как от сертифицированного технологического партнера, от вас ожидается, что вы будете в авангарде инноваций и станете лидером в экосистеме. Ваше приложение должно использовать две последние рабочие версии, и у вас должна быть четкая стратегия миграции версий API для вашей интеграции.

Кроме того, сертифицированные технологические партнеры несут ответственность за обеспечение надежного и стабильного взаимодействия с продавцами. У вас должен быть задокументированный план использования API, чтобы избежать ограничений по частоте запросов.

3. Требования к поддержке

Предоставление своевременной, профессиональной и качественной поддержки имеет большое значение для продавцов Shopify Plus.

3.1 Ответы на запросы в службу поддержки

Все сертифицированные технологические партнеры должны предоставлять следующее:

• Первый ответ на критически важные запросы в службу поддержки в течение 30 минут. К критически важным запросам относятся массовые (затрагивающие нескольких клиентов) сбои в работе сервиса и сообщения клиентов об уязвимостях в системе безопасности. Телефон, SMS, электронная почта и общение внутри продукта — все это одобренные способы связи.
• Первый ответ на проблемы с высоким приоритетом в течение 12 часов. К запросам в службу поддержки с высоким приоритетом относятся невозможность доступа к продукту у нескольких пользователей (например, несколько пользователей не могут авторизоваться) и другие подобные запросы. Телефон, SMS, электронная почта и общение внутри продукта — все это одобренные способы связи.
• Первый ответ на запросы с низким приоритетом в течение 3 дней по телефону, через SMS, электронную почту или путем общения внутри продукта.
• Круглосуточная поддержка клиентов, доступная по всему миру. Телефон, чат и электронная почта — приемлемые каналы для оказания поддержки.

Ваши ресурсы поддержки должны быть легкодоступны и содержать четкие инструкции, касающиеся интеграции вашего приложения с Shopify. Чтобы узнать больше о написании эффективной справочной документации, см. раздел «Основы».

3.2 Обновления статуса системы

Предоставление продавцам легкодоступных обновлений статуса помогает им понять, работает ли ваше приложение должным образом. Все сертифицированные технологические партнеры должны предоставлять продавцам следующее:

• Панель управления или страница статуса, на которой отображается, работает ли ваша система в штатном режиме, испытывает ли она проблемы или не работает.
• Дежурную команду и план эскалации для устранения сбоев в работе системы.
• Легкодоступный процесс для информирования клиентов о плановых простоях.

Мы рекомендуем сертифицированным технологическим партнерам предоставлять страницу статуса с помощью следующих сервисов: statuspage.io или sorryapp.com.

4. Требования к защите данных

Поскольку продавцы Shopify Plus обычно обрабатывают большие объемы данных клиентов, крайне важно, чтобы и Shopify, и сертифицированные технологические партнеры придерживались высоких стандартов при обработке и хранении данных.

4.1 Данные клиентов

Если вы обрабатываете защищенные данные клиентов, то должны соответствовать всем требованиям Shopify к защите данных.

4.2 GDPR, CCPA, CPRA, VCDPA

Если вы работаете с продавцами Shopify Plus, которые обязаны соблюдать законы о конфиденциальности, такие как Общий регламент по защите данных (GDPR), Закон штата Калифорния о правах на конфиденциальность (CPRA), Закон о конфиденциальности штата Колорадо и Закон штата Вирджиния о защите данных потребителей, вы должны быть в состоянии их поддерживать. Подробнее см. в разделе «Требования к конфиденциальности».

5. Требования к безопасности

Все сертифицированные технологические партнеры должны соответствовать всем перечисленным ниже требованиям безопасности:

• Ваша компания должна ежегодно проводить независимое стороннее тестирование вашего приложения на проникновение в соответствии с методологиями OWASP и NIST.
• Безопасно храните API-токены и секретные ключи Shopify в специальной системе управления секретными ключами или в зашифрованном хранилище с возможностью ротации ключей без изменения кода. Токены доступа должны быть зашифрованы при хранении с использованием AES-128 или выше. Никогда не прописывайте секретные ключи в исходном коде или файлах конфигурации.
• Предоставлять архитектурные схемы вашей инфраструктуры, включая компоненты, обрабатывающие данные Shopify, потоки данных, средства контроля безопасности, облачных поставщиков и регионы.
• Обеспечивать техническое разделение тестовой и рабочей сред.
• Обрабатывать только минимальный объем персональных данных, необходимый для выполнения функциональных требований, и документировать, где хранится каждый тип данных.
• Запрашивать только те области API, которые необходимы для выполнения ваших функциональных требований. Каждая область должна быть обоснована; неиспользуемые или устаревшие области должны отсутствовать.
• Устанавливать периоды хранения для хранилищ данных, содержащих персональные данные, а также удалять или анонимизировать данные по истечении этих периодов.
• Шифровать персональные данные при передаче с помощью TLS 1.2 или выше. Не поддерживать слабые наборы шифров или устаревшие протоколы.
• Шифровать персональные данные при хранении с использованием стандартного отраслевого шифрования (минимум AES-128) с управляемыми службами ключей.
• Шифровать резервные копии данных и тестировать восстановление данных не реже одного раза в 12 месяцев.
• Вести журналы доступа ко всем хранилищам, содержащим персональные данные, с возможностью обнаружения необычных моделей доступа.
• Внедрять управление доступом на основе ролей и ведение журнала аудита в хранилищах данных, содержащих персональные данные.
• Требовать пароли длиной не менее 12 символов и многофакторную аутентификацию для всего персонала, имеющего доступ к рабочим системам, которые содержат данные клиентов.
• Создать программу информирования об уязвимостях с общедоступным контактом по вопросам безопасности и четкими сроками устранения в зависимости от уровня серьезности (критический, высокий, средний и низкий).
• Поддерживать процесс установки исправлений для уязвимостей и отслеживания хода их устранения.
• Разрабатывать и внедрять политики и учебные курсы, посвященные правилам обращения сотрудников с персональными данными.
• Разработать план реагирования на инциденты безопасности с назначенным контактным лицом по вопросам безопасности.
• Уведомлять Shopify об инцидентах безопасности в течение 24 часов после подтверждения нарушения.

6. Требования к инфраструктуре, надежности и производительности

Чтобы приложение было успешным, оно должно обеспечивать стабильное и положительное взаимодействие с продавцами Shopify Plus, которые его используют.

6.1 Нагрузочное тестирование

Важно, чтобы приложения тестировались на быстродействие с точки зрения стабильности и производительности. Все сертифицированные технологические партнеры должны быть в состоянии предоставить:

• Краткое описание того, как они проводят нагрузочное тестирование своей инфраструктуры, и того, включено ли оно в процесс разработки, особенно в периоды высокой нагрузки (например, в BFCM). В описании необходимо указать, какой вид нагрузки партнер использует для тестирования и какие инструменты применяются для нагрузочного тестирования инфраструктуры.
• Среднее время загрузки менее 400 мс.

6.3 Время безотказной работы

Все сертифицированные технологические партнеры должны обеспечивать целевой показатель уровня обслуживания (SLO) по времени безотказной работы на уровне 99,9 %.

6.4 Скорость работы витрины

Только для приложений витрины: если ваше приложение может повлиять на скорость работы магазина продавца, ваша интеграция не должна значительно снижать оценку производительности Lighthouse более чем на 10 баллов.

7. Юридические требования и соответствие нормам

Безопасность и конфиденциальность — важнейшие составляющие любого онлайн-бизнеса, поскольку интернет-приложения могут быть раскрыты или скомпрометированы множеством различных способов. Все сертифицированные технологические партнеры должны обеспечивать безопасность своих приложений, чтобы использующие их продавцы не подвергались риску.

7.1 Политика конфиденциальности

Сертифицированные технологические партнеры должны иметь действующую политику конфиденциальности и (или) соглашение о защите данных.