Инженер по безопасности данных

Мы ищем опытного и целеустремленного инженера по безопасности защиты данных, чтобы усилить наши возможности по обеспечению безопасности данных в организации. Эта роль находится на пересечении защиты данных, безопасности приложений и борьбы с мошенничеством, с фокусом на защите конфиденциальных данных, предотвращении утечек данных и обеспечении безопасного использования данных в системах и командах.

Вы сыграете ключевую роль в проектировании, внедрении и развитии средств защиты данных, интегрируя их в инженерные процессы и тесно сотрудничая с командами безопасности, борьбы с мошенничеством и разработки. Идеальный кандидат сочетает в себе сильную техническую экспертизу с глубоким пониманием рисков безопасности данных, современных инструментов защиты и практик безопасной разработки.

Задачи, которые вас ждут:

Защита данных и средства контроля безопасности:

• Проектирование и внедрение рамок классификации данных и обеспечение стандартов обработки данных по всей организации. Развертывание и поддержка решений DLP/DDR (на конечных устройствах, в сети и в облаке), обеспечивая эффективный мониторинг и защиту конфиденциальных данных. Управление механизмами шифрования (в состоянии покоя и при передаче) и контроль доступа к конфиденциальным данным с использованием моделей RBAC/ABAC.
• Инициирование проектов по обнаружению данных и прослеживанию их происхождения для обеспечения полной видимости потоков данных и внедрение средств контроля для обнаружения и предотвращения вывоза данных.

Безопасность приложений и интеграция безопасной разработки:

• Встраивание средств защиты данных в жизненный цикл разработки ПО (SDLC) с применением подхода shift-left. Проведение моделирования угроз с акцентом на риски утечки данных. Обеспечение безопасных практик ведения логов, предотвращая раскрытие конфиденциальных данных в журналах. Внедрение и соблюдение безопасных практик хранения секретов, токенов и учетных данных.
• Выявление и устранение уязвимостей, связанных с доступом к данным и их раскрытием.

Борьба с мошенничеством и предотвращение злоупотребления данными:

• Анализ шаблонов доступа к данным для обнаружения аномалий и потенциального злоупотребления. Разработка механизмов обнаружения подозрительных операций с конфиденциальными данными. Интеграция с системами борьбы с мошенничеством путем предоставления сигналов, триггеров и правил обнаружения.
• Участие в расследованиях, связанных с мошенничеством и внутренними угрозами, а также проектирование средств контроля для предотвращения сценариев злоупотребления данными, таких как массовые загрузки или скрейпинг.

Инжиниринг и автоматизация:

• Автоматизация средств контроля безопасности с использованием подходов policy-as-code и detection-as-code. Поддержка внедрения инструментов и сервисов защиты данных в инфраструктуре и приложениях. Обеспечение безопасного проектирования API и контроль доступа к данным, предоставляемым через сервисы.

Управление и соответствие требованиям:

• Поддержка требований регуляторов и внутренних стандартов по защите данных. Определение и отслеживание ключевых метрик и KPI (покрытие, инциденты, MTTD). Подготовка к аудитам и активное участие в них. Ведение четкой документации по потокам данных, средствам контроля и механизмам защиты.

Сотрудничество и поддержка:

• Тесное взаимодействие с командами AppSec, InfoSec, SOC и Fraud для обеспечения единого подхода к безопасности. Предоставление рекомендаций разработчикам по безопасным практикам обработки данных. Участие в обзорах архитектуры для обеспечения внедрения требований по защите данных на этапе проектирования.

Что делает вас отличным кандидатом:

• Сильный опыт в области защиты данных, информационной безопасности или безопасности приложений
• Практический опыт работы с решениями DLP/DDR и технологиями защиты данных
• Твердое понимание классификации данных, шифрования и моделей контроля доступа (RBAC/ABAC)
• Опыт интеграции средств безопасности в SDLC (практики shift-left)
• Знание методологий моделирования угроз с акцентом на риски данных
• Опыт безопасного хранения секретов, токенов и учетных данных
• Знакомство с мониторингом и обнаружением вывоза и злоупотребления данными
• Понимание безопасности API и безопасного доступа к данным между сервисами
• Опыт автоматизации средств контроля безопасности (policy-as-code / detection-as-code)
• Сильные аналитические навыки и способность выявлять аномалии в шаблонах доступа к данным
• Отличные коммуникативные навыки и умение работать в межфункциональных командах

Ваши дополнительные навыки:

• Опыт работы в финтехе или в условиях повышенной безопасности
• Знакомство с системами борьбы с мошенничеством и методами обнаружения мошенничества
• Опыт работы с инструментами прослеживания происхождения данных и их обнаружения
• Практический опыт облачной безопасности (AWS/GCP/Azure) в контексте защиты данных
• Знание процессов SIEM/SOC и интеграции с системами обнаружения
• Опыт участия в расследованиях инцидентов безопасности (внутренние угрозы, мошенничество)
• Опыт проведения обзоров безопасной архитектуры

Наши принципы работы:

• Дух инноваций: стремление к креативности и прорывным решениям.
• Честная обратная связь: ценим открытую и прозрачную коммуникацию.
• Поддерживающая команда: сильное, совместное сообщество.
• Празднование достижений: отмечаем наши общие успехи.
• Высокотехнологичная среда: команда умных и революционных людей, которые не боятся бросить вызов устоявшимся финансовым системам.

Наши преимущества:

• Поддержка при переезде в один из наших хабов — Кипр, Грузия, Испания, Сербия или Казахстан — с помощью для сотрудника и его семьи
• Гибкий график работы из одного из офисов или удаленно
• Медицинское страхование
• Бюджет на образование: уроки языков, профессиональное обучение и сертификации
• Бюджет на оздоровление: компенсация расходов на ментальное здоровье и занятия фитнесом
• Политика отпусков: 20 дней ежегодного отпуска и оплачиваемый больничный