Senior Product Security Engineer / Architect 100 %
Taurus SA
- Anstellung
- Vollzeit
- Ort
- Lausanne
- Unternehmen
- Taurus SA, Place Ruth-BÖSIGER 6, 1201 Genève
- Erstmals ausgeschrieben
Link: https://join.com/companies/taurusgroup/16394548-senior-product-security-engineer-architect-lausanne
Möchten Sie Teil eines neuen Unternehmungsabenteuers sein und dazu beitragen, die nächste globale FinTech zu bauen? Vielleicht haben wir den richtigen Job für Sie.
Aufgaben:
Eine Rolle als individueller Beitragender, die tiefgreifend operativ ist, bei der Sie das Sicherheitsniveau des Produkts selbst erhöhen. Sie sind der Sicherheitspartner, den die Ingenieure im Raum haben möchten: jemand, der in der Lage ist, einen Diff zu öffnen, die Angriffsfläche zu verstehen, die Automatisierung zu erstellen, die das Fixing erzwingt, und es am selben Tag auszuliefern. Da ein großer Teil dieser Fläche kryptografisch ist (Schlüssel, Signaturen, HSM und die Vertrauensgrenze, die sie umgibt), ist es hier, wo Sie den größten Einfluss haben werden.
Verantwortlichkeiten
Sicherheit des Produkts für alle digitalen Vermögenswerte sicherstellen: Taurus-PROTECT, Taurus-CAPITAL, Taurus-EXPLORER und Taurus-NETWORK. Beitrag zur Sicherheit des Finanzdienstleistungsprodukts.
Beitrag zur Sicherheitsarchitektur für HSM, Confidential Computing, MPC und kryptografische Systeme
Durchführung von Sicherheitsprüfungen des Anwendungscode, kryptografischer Workflows, Smart Contracts, HSM-Integrationen und Komponenten, die auf Enclaves basieren
Modellierung von Bedrohungen neuer Funktionen und Überprüfung der architektonischen Entwürfe vor ihrer Produktion
Leitung und Überwachung von Penetrationstests, Wiederholung der Ergebnisse und Validierung der Sanierungspläne
Erstellung und Wartung der Automatisierung, die die Sicherheitssperren erzwingt - auf CI/CD-Pipelines, Software-Lieferketten, Kubernetes-Umgebungen und Bereitstellungsplattformen
Zusammenarbeit mit den Produktentwicklungsteams, um Korrekturen zu entwerfen und bereitzustellen, und nicht nur Feststellungen zu melden
Überprüfung der Autorisierungsmodelle, der Privilegienverwaltung, der Identitätsintegrationen und der operativen Zugriffskontrollen
Unterstützung bei der Reaktion auf Vorfälle, der Verwaltung von Schwachstellen und der Sicherheitsuntersuchungen
Unterstützung bei Kundenaudits, Ausschreibungen (RFP), Sicherheitsworkshops und regulatorischen Diskussionen
Übersetzung der regulatorischen und Konformitätsanforderungen in konkrete technische Kontrollen
Sicherstellung der Überwachung der aktuellen Entwicklungen und Trends im Bereich Sicherheit; Identifizierung des potenziellen Einflusses auf die Produkte und Gewährleistung der schnellen Anwendung korrigierender Maßnahmen
Profil:
Master oder Doktortitel in Informatik, IT-Sicherheitsingenieurwesen oder Kryptografie
7 Jahre Mindesterfahrung in Anwendungssicherheit, Produktsicherheit, offensiver Sicherheit oder Sicherheitsingenieurwesen
Erfahrung in sicherheitskritischen Umgebungen - Finanzdienstleistungen, Zahlungen, Identität, Vermögensverwahrung (Custody), eingebettete Systeme oder regulierte Plattformen
Fließendes Englisch, sowohl schriftlich als auch mündlich
Schlüssel-Anforderungen
Anwendungssicherheit und Produktsicherheit:
Solide Erfahrung in der Sicherheitscode-Überprüfung in mindestens zwei der folgenden Sprachen: Go, C/C++, TypeScript, Python
Bedrohungsmodellierung, sicherheitsgerechte Entwurfsprüfung und Penetrationstests
Fähigkeit, Logiklücken, Autorisierungsprobleme, kryptografische Missbrauchsfälle und komplexe Angriffspfade zu identifizieren
Kryptografie und Schlüsselverwaltung:
Solide Grundlagen in angewandter Kryptografie: PKI, TLS, X.509; AES, RSA, ECDSA, EdDSA; Schlüsselverwaltung und Zeremonien; sichere Schlüsselspeicherung und Signatur-Workflows
Erfahrung mit HSM-Technologien und PKCS#11-Umgebungen
Infrastruktursicherheit und Cloud:
Solide Erfahrung in Kubernetes- und Containern-Sicherheit
Vertrautheit mit Cloud-Identitäts- und Zugriffsverwaltung (IAM), Workload-Identität, Geheimnisverwaltung und Policy-as-Code
Ein Bauherren-Geist - Sie implementieren Sicherheitskontrollen, nicht nur überprüfen Sie sie
Sichere Hardware und vertrauliches Computing:
Erfahrung mit einem oder mehreren der folgenden Elemente: Thales / Luna HSM, AWS CloudHSM, Azure Managed HSM, Intel SGX, AMD SEV-SNP, AWS Nitro Enclaves, Azure Confidential Computing
Beziehungs- und Kommunikationsfähigkeiten:
Sichere Kommunikation mit Sicherheitsteams, Auditoren, Regulierungsbehörden, Unternehmenskunden und CISO-Kandidaten
Fähigkeit, komplexe Sicherheitsthemen auf klare und pragmatische Weise zu erklären
Ein wichtiger Vorteil
Blockchain-Sicherheit und Smart Contracts
MPC und Threshold-Signatur-Systeme
Fuzzing und Sicherheitstests für Software
Konformität und regulatorische Sicherheitsrahmen (FINMA, DORA, MiCA, ISO 27001, SOC 2, FIPS 140-3)
Öffentliche Sicherheitsforschung, CVE, Bug-Bounty-Erfahrung oder Open-Source-Beiträge zur Sicherheit
Erfahrung in der Unterstützung von Ausschreibungen (RFP), Sicherheitsfragebögen und Due-Diligence-Prüfungen
Diplom in Informatik, Sicherheit oder gleichwertige praktische Erfahrung
Vorteile
Eine Gelegenheit, an der Schnittstelle zwischen digitalen Vermögenswerten und Finanzen zu arbeiten
Ein qualifiziertes und erfahrenes Team, das weltweit anerkannte Experten umfasst
Eine dynamische Lernumgebung, ein unternehmerischer Geist und ein starkes Teamgefühl
Ein idealer Zeitpunkt, um sich der Firma anzuschließen, während sie wächst und sich entwickelt
Eine Spitzen-Technologie und -Infrastruktur
Hybride Fernarbeit und flexible Arbeitszeiten
Gemütliche Team-Events
Da das Unternehmen in einer dynamischen und innovativen Umgebung agiert, basiert sein DNA auf Verdienst. Daher werden bedeutende Wachstumsmöglichkeiten für Kandidaten mit offener und ergebnisorientierter Einstellung angeboten. Wir sind ein Arbeitgeber, der Chancengleichheit garantiert.
Automatisch aus dem Original übersetzt.
Ausgeschrieben heute