Senior Application Security Engineer( Cardsmobile (Приложение «Кошелёк») )

компания "cardsmobile (приложение «кошелёк»)" привет!кошелёк — мобильное приложение, которое заменяет физический бумажник с пластиковыми картами.наша миссия — сделать покупки удобнее и выгоднее для пользователей и избавить мир от пластиковых карт. вы можете перенести существующие банковские и дисконтные карты в приложение «кошелёк», а также выпустить новые карты из каталога приложения.в приложении уже зарегистрировано более 30 миллионов пользователей. в нашей команде более 250 сотрудников, большая часть команды работает в главном офисе в петербурге. мы находимся в поисках application security engineer - специалиста, который понимает как строить безопасность по, имеет хорошие знания в разработке и опыт анализа исходного кода и архитектуры. чем предстоит заниматься: формирование видения приложения и его функционала совместно с product ownerchr(39)ом и взаимодействие с командами разработки для развития продукта и функционала безопасности; обеспечение защиты информации в мобильном приложении и backend сервисах. анализ текущей архитектуры и методов защиты, разработка дорожной карты по снижению выявленных рисков и устранению уязвимостей; разработка моделей нарушителя и моделей угроз с определением актуальных угроз безопасности информации. реализация в приложении методов защиты от рисков мошенничества; внедрение и совершенствование процесса безопасной разработки; экспертиза, тестирование безопасности решений и оценка реализации требований информационной безопасности; проверка исходного кода и инфраструктуры с помощью сканера и инструментов анализа защищенности; адаптация opensource-инструментов и разработка собственных для автоматизации проверок безопасности (бизнес-логика, кастомные проверки). что мы ждём от вас: высшее образование (информационные технологии, информационная безопасность); знание принципов микросервисной архитектуры, знание технологического стека, механизмов и рисков контейнеризации; знание протоколов аутентификации (например, oauth 2.0), принципов защиты банковских систем, криптографии, стандартов pci dss, nist, iso 27xxx, методов выявления слабых мест архитектуры, приводящих к появлениям угроз из owasp top 10; опыт экспертного участия в процессах безопасной разработки по ssdlc, ci/cd, devsecops, sast, dast, sca; знание технологий и инструментов для предотвращения реинжиниринга и обеспечения защиты исходного кода от детального анализа; знание методов и механизмов реализации в мобильных приложениях сессионного антифрода; понимание принципов безопасной разработки на стеке java/springboot; знание механизмов безопасности и опыт работы с docker/k8s, cloud security, ansible/terraform, waf, elk, burp suite, metasploit, owasp zap, acunetix, checkmarx, kali linux, понимание ос *nix; понимание индикаторов компрометации и методов их обнаружения; знание техник, тактик и процедур, используемых атакующими, знание mitre att&ck; понимание методов, инструментов и процессов реагирования на инциденты информационной безопасности; практический опыт выявления и расследования инцидентов, разработка рекомендаций для их предотвращения, знание принципов форензики; будет плюсом: опыт проведения собственных исследований, участие в bugbounty программах и конкурсах ctf; экспертные знания и практический опыт threat intelligence, poc, red team, blue team; наличие сертификатов ceh, case, gweb, cissp. со своей стороны предлагаем: участие в развитии полезного и популярного приложения (12 млн mau); работу с сильной инженерной командой; оформление по тк рф, дмс с первого дня работы; гибкий график работы, возможна полностью удалённая работа; оплату профильных курсов и конференций; спорт четыре раза в неделю в офисе — йога и силовые тренировки; командные мероприятия; комфортный офис в центре города (5 минут от станции метро чкаловская).