Senior Product Security Engineer / Architect 100 %
Taurus SA
- Tipo di contratto
- Tempo pieno
- Luogo
- Lausanne
- Azienda
- Taurus SA, Place Ruth-BÖSIGER 6, 1201 Genève
- Prima pubblicazione
Collegamento: https://join.com/companies/taurusgroup/16394548-senior-product-security-engineer-architect-lausanne
Desiderate far parte di una nuova avventura imprenditoriale e contribuire a costruire la prossima FinTech mondiale? Forse abbiamo il posto che fa per voi.
Missioni:
Un ruolo di contributore individuale profondamente operativo, dove innalzerete il livello di sicurezza del prodotto stesso. Siete il partner di sicurezza che gli ingegneri desiderano avere nella stanza: qualcuno in grado di aprire un diff, di comprendere la superficie di attacco, di costruire l'automazione che impone il correttivo e di consegnarlo lo stesso giorno. Una grande parte di questa superficie essendo crittografica (chiavi, firma, HSM e la frontiera di fiducia che li circonda), è lì che avrete il maggior impatto.
Responsabilità
Assicurare la sicurezza del prodotto per l'insieme dei prodotti di attivi digitali interessati: Taurus-PROTECT, Taurus-CAPITAL, Taurus-EXPLORER e Taurus-NETWORK. Contribuire alla sicurezza del prodotto dei servizi finanziari.
Contribuire all'architettura di sicurezza per gli HSM, il computing confidenziale, il MPC e i sistemi crittografici
Eseguire recensioni di sicurezza del codice applicativo, dei flussi di lavoro crittografici, dei smart contract, delle integrazioni HSM e dei componenti basati su enclavi
Modellare le minacce delle nuove funzionalità e rivedere le progettazioni architettoniche prima della loro messa in produzione
Dirigere e supervisionare i test di intrusione, riprodurre i risultati e convalidare i piani di rimedio
Costruire e assicurare la manutenzione dell'automazione che impone i presidi di sicurezza — sui pipeline CI/CD, le catene di approvvigionamento software, gli ambienti Kubernetes e le piattaforme di deploy
Collaborare con le squadre di ingegneria del prodotto per progettare e consegnare i correttivi, non solo segnalare le constatazioni
Rivedere i modelli di autorizzazione, la gestione dei privilegi, le integrazioni di identità e i controlli di accesso operazionali
Sostenere la risposta agli incidenti, la gestione delle vulnerabilità e le indagini di sicurezza
Sostenere gli audit dei clienti, gli appalti (RFP), i workshop di sicurezza e le discussioni regolamentari
Tradurre gli obblighi regolamentari e di conformità in controlli tecnici concreti
Assicurare una sorveglianza sull'attualità e le tendenze in materia di sicurezza; identificare il loro impatto potenziale sui prodotti e garantire l'applicazione rapida delle misure correttive
Profilo:
Master o Dottorato in informatica, ingegneria della sicurezza IT o crittografia
7 anni di esperienza minima in sicurezza applicativa, sicurezza del prodotto, sicurezza offensiva o ingegneria della sicurezza
Esperienza in ambienti critici in materia di sicurezza — servizi finanziari, pagamenti, identità, conservazione di attivi (custody), sistemi embedded o piattaforme regolamentate
Inglese corrente, sia scritto che parlato
Requisiti chiave
Sicurezza applicativa e del prodotto:
Solida esperienza nella recensione del codice di sicurezza in almeno due dei linguaggi seguenti: Go, C/C++, TypeScript, Python
Modellazione delle minacce, recensioni di progettazione sicura e test di intrusione
Capacità di identificare le lacune di logica aziendale, i problemi di autorizzazione, gli usi crittografici errati e i percorsi di attacco complessi
Crittografia e gestione delle chiavi:
Solide basi in crittografia applicata: PKI, TLS, X.509; AES, RSA, ECDSA, EdDSA; gestione delle chiavi e cerimonie di chiavi; archiviazione sicura delle chiavi e flussi di firma
Esperienza con le tecnologie HSM e gli ambienti PKCS#11
Sicurezza dell'infrastruttura e cloud:
Solida esperienza nella sicurezza Kubernetes e contenitori
Familiarità con la gestione delle identità e degli accessi (IAM) cloud, l'identità di carico di lavoro (workload identity), la gestione dei segreti e il policy-as-code
Un atteggiamento da costruttore — mettete in pratica i controlli di sicurezza, non solo li rivisitate
Hardware sicuro e computing confidenziale:
Esperienza con uno o più degli elementi seguenti: Thales / Luna HSM, AWS CloudHSM, Azure Managed HSM, Intel SGX, AMD SEV-SNP, AWS Nitro Enclaves, Azure Confidential Computing
Abilità relazionali e di comunicazione:
A vostro agio per scambiare con le squadre di sicurezza, gli auditor, i regolatori, i clienti aziendali e i CISO prospect
In grado di spiegare argomenti di sicurezza complessi in modo chiaro e pragmatico
Un vantaggio importante
Sicurezza blockchain e smart contract
MPC e sistemi di firma a soglia (threshold signature)
Fuzzing e test di sicurezza software
Conformità e quadri regolamentari di sicurezza (FINMA, DORA, MiCA, ISO 27001, SOC 2, FIPS 140-3)
Ricerca pubblica in sicurezza, CVE, esperienza in bug bounty, o contributi open source in sicurezza
Esperienza nel supporto degli appalti (RFP), dei questionari di sicurezza e della due diligence client
Diploma in informatica, sicurezza, o esperienza pratica equivalente
Vantaggi
Un'opportunità di lavorare all'intersezione degli attivi digitali e della finanza
Una squadra qualificata e esperta, inclusi esperti di fama mondiale
Un ambiente di apprendimento dinamico, uno spirito imprenditoriale e un forte spirito di squadra
Un momento ideale per unirsi all'azienda mentre cresce e si sviluppa
Una tecnologia e un'infrastruttura informatica all'avanguardia
Lavoro ibrido a distanza e orari flessibili
Gli eventi di squadra conviviali
Man mano che l'azienda evolve in un ambiente dinamico e innovativo, il suo DNA si basa sul merito. Pertanto, saranno offerte opportunità di crescita importanti ai candidati con uno spirito aperto e orientato ai risultati. Siamo un datore di lavoro che garantisce l'uguaglianza delle opportunità.
Tradotto automaticamente dall’originale.
Pubblicato oggi