DevSecOps Engineer

Отдел: Delivery Местоположение: Европа Тип занятости: Полная занятость Опыт: Senior

Описание

Компания систематически развивает свою функцию безопасности и соответствия требованиям. Мы уже запустили процессы SOC 2 и ISO 27001 на Drata с целью завершить их к концу 2 квартала. В среднесрочной дорожной карте мы также планируем охватить GDPR, HIPAA и HITRUST.

Мы ищем нашего первого выделенного DevSecOps инженера, который возьмет на себя ответственность за это направление.

Прежде всего, мы ищем сильного, практического инженера, который сможет не только описать процессы безопасности и соответствия требованиям, но и самостоятельно внедрить их в инфраструктуру, CI/CD, Kubernetes, облачные среды и продакшн-сервисы.

Эта роль не связана с «бумажным соответствием». Однако работа с политиками, процедурами и доказательствами также будет важной частью обязанностей. Нам нужен человек, который сможет связать требования соответствия с реальными техническими средствами контроля и обеспечить их надлежащее внедрение, проверку, документирование и готовность к аудиту.

Требования

• 5+ лет практического опыта в области безопасности / DevSecOps для продакшн-инфраструктуры.
• Прямой опыт внедрения SOC 2: средства контроля, сбор доказательств, подготовка к аудиту и общение с аудиторами. Опыт работы с Drata, Vanta или аналогичной платформой автоматизации соответствия требованиям.
• Способность самостоятельно писать политики и процедуры безопасности — и внедрять их таким образом, чтобы они реально работали в повседневных операциях, а не просто существовали в Notion как галочка.
• Глубокий практический опыт работы с Docker, Kubernetes и облачными средами — GCP и/или AWS. Это включает IAM, сетевые политики, управление секретами, усиление защиты и продакшн-операции, а не только теорию.
• Глубокое понимание IAM/SSO: централизованное управление доступом, предоставление/отзыв доступа и периодические проверки доступа.
• Опыт построения процессов онбординга и оффбординга с точки зрения безопасности и соответствия требованиям.
• Способность автоматизировать рутинную работу с использованием Python и/или Bash.
• Принятие ответственности: вы берете на себя ответственность за задачу, доводите ее до завершения и мыслите на шаг вперед.
• Дружелюбие, нетоксичность и приятность в общении.
• Отличные коммуникативные навыки с разработчиками: вы можете четко и конструктивно объяснить свою позицию, защитить ее при необходимости и найти общий язык.
• Желание и способность наставлять, обучать и делиться знаниями с другими.
• Аналитический склад ума: вы докапываетесь до первопричины, а не просто устраняете симптомы.
• Проактивность: вы предпочтете предотвратить сбой, чем героически бороться с ним позже.
• Высокое внимание к деталям и надежность.

Желательно

• Опыт работы с GDPR, HIPAA и HITRUST — это следующие шаги в нашей дорожной карте.
• Опыт работы в регулируемых отраслях, таких как банковское дело, финтех или здравоохранение, включая аудиты безопасности клиентов/поставщиков.
• Опыт работы как с локальными (on-prem), так и с SaaS-средами.
• Инструменты безопасности Kubernetes: Falco, OPA/Gatekeeper, Pod Security Standards, Trivy.
• Опыт использования AI-агентов для автоматизации рутинных задач — это уже часть нашей инженерной культуры.
• Опыт работы с Terraform/Ansible и GitOps.
• Опыт работы с программами bug bounty или responsible disclosure.

Обязанности

• Управление Drata, средствами контроля, сбором доказательств и коммуникацией с аудиторами. Поддержка SOC 2 и ISO 27001, планируются GDPR, HIPAA и HITRUST.
• Разработка и поддержка политик и процедур безопасности, включая управление уязвимостями, контроль доступа, реагирование на инциденты, защиту данных и другие. Это должны быть практические, живые документы, отражающие то, как мы работаем на самом деле, а не общие шаблоны.
• Создание реального процесса онбординга, оффбординга и проверки доступа. В настоящее время это в основном осуществляется через ручные заявки; вы будете отвечать за процесс и автоматизировать его через SSO, централизованное IAM и автоматизированное предоставление/отзыв доступа в GCP, AWS, GitHub и SaaS-инструментах.
• Управление безопасностью SDLC: Dependabot, CodeQL/SAST, SCA, политики обновления зависимостей, управление секретами и соответствующие средства контроля. Цель — найти правильный баланс между требованиями соответствия, здравым смыслом и удобным опытом разработчика.
• Управление уязвимостями: сканирование, триаж CVE, установка исправлений, ежегодное тестирование на проникновение, выбор поставщика, координация и последующие действия по результатам.
• Участие в реагировании на критические уязвимости и инциденты безопасности.
• Улучшение наблюдаемости безопасности: аудит журналов, отслеживание изменений и отчетность по всем продакшн-платформам.
• Примерно 60% вашего времени будет посвящено общему инфраструктурному треку: Kubernetes, развертывания, мониторинг, автоматизация и дежурства (on-call). Инфраструктура не должна быть для вас «черным ящиком».

Что мы предлагаем

• Команда создала отмеченные наградами AI-продукты для технологических корпораций — устройства, голосовые помощники, продукты, которые реально существуют в мире.
• Передовой технологический стек: Speech Technologies, NLP, Generative AI (LLMs, diffusion models), архитектура голосовых агентов с упором на конфиденциальность и локальное развертывание (on-premises deployment).
• Высокий инженерный уровень и реальная ответственность — команда заботится о том, что реально работает в продакшене, а не о том, что хорошо выглядит в демо, и вы будете напрямую видеть результаты своей работы.
• Быстрое карьерное продвижение — команда с большим количеством senior-специалистов и большой объем реальных задач означают, что вы будете расти быстрее, чем где-либо еще.
• Темп стартапа при стабильности крупной компании — реальные клиенты, реальный доход, отсутствие бюрократии.
• Полностью удаленная работа по всей Европе.
• 21 день отпуска + государственные праздники + 5 дней больничного.
• Индивидуальные уроки английского языка через Preply.