DevSecOps Engineer
Компания: Acclaim
Тип занятости: FULL_TIME
Описание
Компания планомерно развивает свою функцию безопасности и соответствия требованиям. Мы уже запустили процессы SOC 2 и ISO 27001 на Drata с целью их завершения к концу второго квартала. В среднесрочной дорожной карте мы также планируем охватить GDPR, HIPAA и HITRUST.
Мы ищем нашего первого выделенного DevSecOps инженера, который возьмет на себя ответственность за это направление. Прежде всего, мы ищем сильного, практического инженера, способного не только описывать процессы безопасности и соответствия требованиям, но и самостоятельно внедрять их в инфраструктуру, CI/CD, Kubernetes, облачные среды и производственные сервисы. Эта роль не про «бумажное соответствие». Однако работа с политиками, процедурами и доказательствами также будет важной частью обязанностей. Нам нужен человек, который сможет связать требования соответствия с реальными техническими средствами контроля и обеспечить их надлежащее внедрение, проверку, документирование и готовность к аудиту.
Требования
- 5+ лет практического опыта в области безопасности / DevSecOps для производственной инфраструктуры.
- Прямой опыт внедрения SOC 2: средства контроля, сбор доказательств, подготовка к аудиту и общение с аудиторами.
- Опыт работы с Drata, Vanta или аналогичной платформой автоматизации соответствия требованиям.
- Способность самостоятельно писать политики и процедуры безопасности — и внедрять их таким образом, чтобы они реально работали в повседневных операциях, а не просто числились в Notion как выполненная задача.
- Сильный практический опыт работы с Docker, Kubernetes и облачными средами — GCP и/или AWS. Это включает IAM, сетевые политики, управление секретами, усиление защиты и производственные операции, а не только теорию.
- Глубокое понимание IAM/SSO: централизованное управление доступом, предоставление/отзыв прав доступа и периодический пересмотр прав доступа.
- Опыт построения процессов онбординга и офбординга с точки зрения безопасности и соответствия требованиям.
- Способность автоматизировать рутинную работу с использованием Python и/или Bash.
- Ориентация на результат: вы берете на себя ответственность за задачу, доводите ее до конца и думаете на шаг вперед.
- Дружелюбие, нетоксичность и приятность в общении.
- Сильные коммуникативные навыки с разработчиками: вы можете четко и конструктивно объяснить свою позицию, отстоять ее при необходимости и найти общий язык.
- Готовность и способность наставлять, обучать и делиться знаниями с другими.
- Аналитический склад ума: вы докапываетесь до первопричины, а не просто устраняете симптомы.
- Проактивность: вы предпочтете предотвратить сбой, чем героически бороться с ним позже.
- Высокое внимание к деталям и надежность.
Желательно
- Опыт работы с GDPR, HIPAA и HITRUST — это следующие шаги в нашей дорожной карте.
- Опыт работы в регулируемых отраслях, таких как банковское дело, финтех или здравоохранение, включая аудиты безопасности клиентов/поставщиков.
- Опыт работы как в локальных (on-prem), так и в SaaS средах.
- Инструменты безопасности Kubernetes: Falco, OPA/Gatekeeper, Pod Security Standards, Trivy.
- Опыт использования ИИ-агентов для автоматизации рутинных задач — это уже часть нашей инженерной культуры.
- Опыт работы с Terraform/Ansible и GitOps.
- Опыт работы с программами bug bounty или responsible disclosure.
Обязанности
- Ответственность за Drata, средства контроля, сбор доказательств и общение с аудиторами.
- Поддержка SOC 2 и ISO 27001, планируется внедрение GDPR, HIPAA и HITRUST.
- Разработка и поддержание политик и процедур безопасности, включая управление уязвимостями, контроль доступа, реагирование на инциденты, защиту данных и другие. Это должны быть практические, живые документы, отражающие наш реальный процесс работы, а не общие шаблоны.
- Построение процессов онбординга, офбординга и пересмотра прав доступа как реальных процессов. Сегодня это в основном выполняется через ручные заявки; вы будете отвечать за процесс и автоматизировать его через SSO, централизованное IAM и автоматизированное предоставление/отзыв прав доступа в GCP, AWS, GitHub и SaaS-инструментах.
- Продвижение безопасности SDLC: Dependabot, CodeQL/SAST, SCA, политики обновления зависимостей, управление секретами и связанные с ними средства контроля. Цель — найти правильный баланс между требованиями соответствия, здравым смыслом и удобством для разработчиков.
- Управление уязвимостями: сканирование, триаж CVE, установка исправлений, ежегодное тестирование на проникновение, выбор поставщика, координация и последующие действия по результатам.
- Участие в реагировании на критические уязвимости и инциденты безопасности.
- Улучшение наблюдаемости безопасности: аудит журналов, отслеживание изменений и отчетность по всем производственным платформам.
- Около 60% времени уделять общему треку инфраструктуры: Kubernetes, развертывания, мониторинг, автоматизация и дежурства (on-call). Инфраструктура не должна быть для вас «черным ящиком».
Что мы предлагаем
- Команда создала отмеченные наградами ИИ-продукты для технологических корпораций — устройства, голосовые помощники, продукты, которые реально существуют в мире.
- Передовой стек технологий: Speech Technologies, NLP, Generative AI (LLM, diffusion models), архитектура на основе голосовых агентов с приоритетом конфиденциальности и локальным развертыванием.
- Высокая планка инженерии и реальная ответственность — команда заботится о том, что реально работает в продакшене, а не о том, что хорошо выглядит на демо, и вы напрямую увидите результат своей работы.
- Быстрое карьерное продвижение — команда с преобладанием старших специалистов и большой объем реальных задач означают, что вы будете расти быстрее, чем где-либо еще.
- Темп стартапа со стабильностью крупной компании — реальные клиенты, реальный доход, отсутствие бюрократии.
- Полностью удаленная работа по всей Европе.
- 21 день отпуска + государственные праздники + 5 дней больничного.
- Индивидуальные уроки английского языка через Preply