Gerente de Application Security (AppSec) | DevSecOps & Segurança Ofensiva

Descrição

Resumo da Vaga: Liderar a estratégia, implementação e governança de Application Security, supervisionando iniciativas de segurança ofensiva e conformidade com padrões seguros de engenharia. Principais Destaques: 1. Liderança estratégica em Application Security e segurança ofensiva. 2. Atuação com DevSecOps e segurança ofensiva no mercado financeiro. 3. Foco em inovação, segurança e eficiência no setor financeiro. **Muito prazer, Somos a Evertec!** A **Evertec** é uma empresa especializada em **tecnologia para o setor financeiro**, com mais de 27 anos de atuação e presença em 26 países da América Latina e Caribe. Com mais de 11 bilhões de transações processadas anualmente, somos referência em soluções que impulsionam a transformação digital do mercado. Oferecemos um portfólio completo de **soluções em software**, atendendo instituições financeiras, empresas e fintechs que buscam **inovação, segurança e eficiência**. Nosso compromisso é com a **excelência tecnológica**, a inclusão financeira e a geração de valor sustentável para clientes, colaboradores e parceiros, promovendo um ecossistema mais conectado e acessível. Requisitos: A área de **Segurança da Informação** é responsável por garantir a observância de controles técnicos de segurança robustos, oferecendo suporte às áreas de negócio e contribuindo para a contínua redução de riscos organizacionais. Buscamos um **Gerente de Application Security (AppSec) \| DevSecOps \& Segurança Ofensiva** para compor nosso time na maior empresa de desenvolvimento de softwares e produtos para o mercado financeiro do Brasil, onde acreditamos que a inovação tecnológica inspira a evolução. O ***Gerente*** será responsável por liderar a estratégia, implementação e governança de Application Security, além de supervisionar iniciativas de Threat Emulation, teste de segurança ofensiva, hardening de aplicações e conformidade com padrões seguros de engenharia. Atuará de forma estratégica e hands\-on junto às equipes de desenvolvimento, arquitetura e produto, garantindo que aplicações e APIs sejam construídas de forma resiliente, segura e alinhada às melhores práticas do mercado financeiro. **Esse cargo será responsável por:** * Desenvolver, implementar e manter o Programa Corporativo de Desenvolvimento Seguro (SDL/SSDLC), garantindo segurança desde a concepção até a operação dos produtos. * Definir e evoluir padrões de Application Security, incluindo revisão de código seguro, guidelines, controles, bibliotecas e frameworks. * Liderar iniciativas de Threat Emulation, Threat Modeling (STRIDE, DREAD, MITRE ATT\&CK) e simulações ofensivas orientadas a riscos. * Implementar pipeline de segurança em CI/CD com ferramentas como SAST, SCA, DAST e análise de containers. * Avaliar, orientar e acompanhar correções de vulnerabilidades identificadas em aplicações, APIs, microserviços e integrações. * Conduzir revisões arquiteturais, apoiando equipes de engenharia na definição de padrões seguros. Trabalhar com o modelo Zero Trust, garantindo que aplicações e APIs sigam princípios de autenticação e autorização fortes. * Criar, manter e evoluir mecanismos de segurança em APIs, microsserviços e aplicações distribuídas. * Construir fluxos de automação e governança em ferramentas de tickets para solicitações, auditorias e demandas de AppSec. * Trabalhar em conjunto com equipes de engenharia para identificação, mitigação e prevenção de riscos em código e arquitetura. * Realizar e supervisionar testes ofensivos internos (Threat Emulation), como pentests direcionados, exploração de APIs e simulações de ataques. * Apoiar times de desenvolvimento e SRE na aplicação de patches, correções e mitigação de vulnerabilidades. * Garantir conformidade com padrões regulatórios do mercado financeiro, incluindo normas do Banco Central, NIST, ISO 27001, OWASP e requisitos de auditoria. * Gerenciar iniciativas de melhoria contínua, elevar o nível de maturidade em AppSec e atuar como referência técnica interna. **Para dar \#match, essa vaga necessita que atenda alguns requisitos obrigatórios:** * Atuação consolidada em Application Security (AppSec), com liderança de iniciativas estratégicas e técnicas. * Vivência prática com SDL/SSDLC e integração de segurança no ciclo de desenvolvimento de software. * Conhecimento sólido em segurança ofensiva aplicada a aplicações, incluindo análise de vulnerabilidades, revisão segura de código, APIs e Threat Modeling. * Experiência com práticas e ferramentas de DevSecOps, como SAST, SCA, DAST e análise de containers, com foco em automação. * Boa compreensão de padrões e frameworks de segurança (OWASP, NIST, ISO 27001, Zero Trust). * Capacidade de análise arquitetural com orientação a decisões técnicas seguras para aplicações e APIs. * Vivência em gerir times multidisciplinares. * Formação Superior. * Inglês avançado. **Caso possua o conhecimento ou atuação abaixo, será um diferencial:** * Experiência em implantação de SDL/SSDLC e segurança em ambientes DevOps/DevSecOps. SAST, SCA, DAST, IAST, container scanning e hardening de aplicações. * Acompanhamento e priorização de vulnerabilidades (CVSS, CWE, OWASP Top 10, API Security Top 10\). * Requisitos de segurança para APIs e microsserviços. * Revisões de código seguro e análise de arquitetura. * Experiência com Threat Modeling, simulações MITRE ATT\&CK e testes de segurança direcionados. * Execução ou supervisão de pentests internos. * Análise de exploração, vetores de ataque, falhas lógicas e segurança de APIs. * Experiência avançada com Zero Trust aplicado a aplicações. * Experiência com integração de AppSec no pipeline DevOps (Azure DevOps, GitLab, GitHub). * Ferramentas de orquestração, APIs, scripts (PowerShell, Python). Benefícios **E ai, se identificou com o que leu até agora? Então, vou te contar o que você encontrará aqui, além de um ambiente dinâmico:** * Vale refeição ou alimentação; * Benefício Flexível (Flash); * Assistência médica; * Parceiros para atendimento psicológico, jurídico, financeiro e nutricional (CLUDE, C4LIFE E ASQ); * Psicologia Viva; * Assistência Odontológica; * Auxílio creche; * Auxílio para filhos com necessidades especiais; * Auxílio fertilização; * Extensão Licença Maternidade e Paternidade; * Vale transporte ou Auxílio Home Office (para contrato teletrabalho); * Gympass (Wellhub) e TotalPass; * Horários flexíveis; * Seguro de vida; * Clube de parcerias; * Parceria com Sesc; * Just dress no code (sem código de vestimenta); * Day off no aniversário; * Beca (programa de incentivo a educação); * PPR ou Bônus \- conforme atingimento de metas e resultados. Valorizamos a **diversidade** e entendemos que o que acrescenta é justamente ideias e pontos de vistas variados. Por isso raça, cor, religião, gênero e identidade de gênero, nacionalidade, deficiência, orientação sexual, ascendência ou idade, não serão impeditivos de você fazer parte do nosso time.