Resumo da Vaga: Buscamos um(a) Senior Security Engineer com foco em segurança operacional, APIs, ambientes cloud e resposta a incidentes reais, para detectar, conter e aprender com ataques em produção. Principais Destaques: 1. Atuação forte em segurança operacional, APIs e ambientes cloud 2. Responsável por detecção, contenção e aprendizado com ataques em produção 3. Não focado em compliance/GRC, mas em atuação direta em incidentes **Sobre a Gente** ----------------- Tecnologia é o que nos move e sustenta nosso crescimento acelerado. Desde a base, cada moto sai da nossa garagem equipada com um dispositivo IoT, garantindo suporte 24/7 aos entregadores e gerando dados valiosos para a tomada de decisão. Todo o nosso ecossistema tecnológico é desenvolvido internamente: * Sistemas próprios de gestão de frota, manutenção e atendimento; * Aplicativo e plataforma de delivery desenvolvidos do zero; * Arquitetura 100% em nuvem desde o início, com foco em boas práticas e tecnologias modernas. ### **Sobre a posição** Estamos buscando um(a) **Senior Security Engineer** com forte atuação em **segurança operacional**, focado em **APIs, ambientes cloud e resposta a incidentes reais**. Essa pessoa será responsável por **detectar, conter e aprender com ataques em produção**, garantindo segurança **sem comprometer a disponibilidade do negócio**. Não buscamos um perfil focado exclusivamente em compliance, GRC ou pentest isolado. Buscamos alguém que **atua quando o incidente acontece**, toma decisões sob pressão e melhora o sistema depois. ### **Responsabilidades** * Atuar na **detecção, contenção e resposta a incidentes de segurança**, especialmente em **APIs e serviços críticos** * Projetar e manter **playbooks de resposta a incidentes**, com foco em tempo de detecção (MTTD), contenção (MTTC) e impacto controlado * Definir e evoluir **alertas de segurança acionáveis**, reduzindo ruído e falso positivo * Analisar e responder a **ataques DDoS volumétricos e ataques lógicos em APIs**, aplicando estratégias adequadas para cada cenário * Criar, ajustar e validar **regras de WAF, rate limiting e controles de tráfego**, com cuidado para não afetar usuários legítimos * Trabalhar com **logs e telemetria** (API Gateway, auth, aplicação, infraestrutura) para investigação e resposta rápida * Atuar em conjunto com engenharia para **integrar segurança no CI/CD**, sem virar gargalo de entrega * Liderar a resposta a **vazamentos de credenciais, tokens e segredos**, incluindo rotação, contenção e análise de impacto * Coordenar ações de mitigação para **CVE críticas** em produção, priorizando risco real e tempo de exposição * Conduzir ou apoiar **testes ofensivos com foco em aprendizado prático**, transformando achados em melhoria defensiva * Apoiar decisões críticas durante incidentes, incluindo **degradação controlada ou desligamento de serviços**, em alinhamento com liderança técnica e negócio ### **Requisitos técnicos** * Experiência prática com **segurança em ambientes cloud** (AWS, GCP ou Azure) * Experiência sólida com **segurança de APIs** (auth, rate limit, abuso, exploração lógica) * Vivência real em **resposta a incidentes em produção** (não apenas tabletop) * Conhecimento prático de: + WAFs e API Gateways + Rate limiting e controle de tráfego + Logs, métricas e alertas (observabilidade aplicada à segurança) + OAuth2, JWT, tokens de serviço e gestão de segredos * Capacidade de **analisar sinais de ataque antes de virar incidente crítico** * Experiência colaborando com times de engenharia e produto ### **Diferenciais (não obrigatórios)** * Experiência como **on\-call de segurança** ou liderança em incidentes críticos * Atuação prévia com **Blue Team, SecOps ou ProdSec** * Experiência com **simulações de ataque (purple team)** * Conhecimento em ferramentas de EDR e segurança de endpoints * Vivência em ambientes de alta escala ou sistemas críticos de negócio ### **O que esperamos desse perfil** * Capacidade de **tomar decisões sob pressão**, com clareza de trade\-offs * Foco em **reduzir impacto**, não apenas em bloquear tudo * Mentalidade de **aprendizado contínuo pós\-incidente** * Comunicação clara com engenharia, liderança e stakeholders * Visão prática: segurança que **funciona em produção** **O que não combina com a gente** --------------------------------- ### **1\. Resistência ao ritmo acelerado e à pressão** A Mottu tem uma cultura de **alta performance**, com foco em velocidade, entrega e resultado. O ambiente é intenso e muda rápido. Quem não tem **resiliência** ou precisa de **acompanhamento constante** tende a ter dificuldade. Aqui, não há espaço para zona de conforto ou microgestão. ### **2\. ️ Falta de proatividade e aversão à “mão na graxa”** Valorizamos quem **vai até a raiz do problema, entra na operação e resolve**. Esperar que outros tomem a frente, evitar tarefas operacionais ou depender de supervisão constante não combina com nossa cultura. Quem não coloca a mão na massa dificilmente entende o que precisa ser melhorado — e não evolui aqui. E quando falamos de “mão na graxa”, é literal: **vamos para a oficina, atuamos com o time e executamos funções operacionais**. Essa vivência prática traz insights que seriam impossíveis à distância. ### **3\. Baixo espírito de dono e pouca autonomia** Esperamos **atitude de dono**: coragem para decidir, assumir riscos e gerar impacto real. Quem espera ser “mandado” ou depende de validação constante tende a ficar para trás. Aqui, protagonismo não é opcional — é parte do trabalho. E diferente de muitas empresas, **levamos isso a sério**: quem entrega com consistência e atitude é reconhecido, recebe espaço e pode até se tornar sócio. Stock options não são exceção — são consequência. ### **4\. Falta de abertura para feedback e pouca maturidade emocional** Somos uma cultura de **transparência direta**. Feedbacks são frequentes, sinceros — e nem sempre suaves. É preciso **humildade e maturidade** para encarar conversas difíceis, sem ego ou melindres. Quem evita confronto construtivo ou não aceita críticas com boa intenção pode se sentir deslocado. ### **5\. Apego rígido ao horário comercial** A Mottu ainda é uma startup em **crescimento acelerado**. Os desafios mudam rápido, e as demandas nem sempre respeitam o relógio. Não há certo ou errado — o que importa é **resolver o problema**. Se você busca rotina estável e separação rígida entre vida pessoal e trabalho, pode se frustrar aqui. Entregar com qualidade é o foco — e isso nem sempre cabe dentro do horário comercial. ### **6\. Falta de comprometimento e troca frequente de trabalho** Aqui, não buscamos apenas talento — buscamos **gente que queira construir junto**. Se a cada desafio ou obstáculo a primeira reação é procurar a próxima oportunidade, dificilmente haverá tempo para gerar impacto real. A Mottu é feita para quem tem **visão de longo prazo**, veste a camisa e está disposto a atravessar ciclos inteiros de crescimento, mostrar seu espaço e se tornar sócio. Quem não se compromete, não colhe os frutos — e aqui, eles são grandes para quem fica e faz acontecer. ### **\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_** **Se você se identifica com esse ritmo, essa cultura e quer fazer parte de um time que realmente constrói tecnologia de impacto: vem com a gente.**