|
Описание: |
Ми, iPay.ua — ліцензована фінансова установа з власним платіжним продуктом. Шукаємо технічного секʼюріті аналітика, який працюватиме на перетині технічного аудиту, безпекових вимог до third-party-партнерів та впровадження compliance-контролів згідно зі стандартом PCI DSS. Основна задача — оцінка та перевірка технологічного оператора (infrastructure + platform), який забезпечує обробку платіжних транзакцій та зберігання чутливих даних.
Зони відповідальності:
* Проведення технічного аудиту third-party-провайдера (інфраструктура, платформа, мережеві сегментації, хмарні сервіси).
* Верифікація впроваджених контролів згідно з PCI DSS 4.0 (authentication, encryption, network segmentation, access controls, logging/monitoring).
* Перевірка наявності, актуальності та ефективності технічних політик: change management, vulnerability management, incident response, data protection.
* Робота з документацією провайдера: архітектура, контролі, протоколи, звіти сканування, сертифікати, аудит-репорти.
* Співпраця з internal compliance/security командами для забезпечення безперервної відповідності вимогам.
* Участь у підготовці до аудиту фінансового продукту, в т.ч. підтвердження валідності PCI DSS середовища з боку оператора.
* Консультації щодо харденінгу, ізоляції середовищ (Prod / Test / Dev), шифрування, MFA, логування.
* Оцінка відповідності провайдера вимогам ISO/IEC 27001, SOC 2, GDPR, НБУ-регуляціям (бажано).
Вимоги до кандидата:
* 3+ років досвіду в Information Security / GRC / Security Engineering / Compliance.
* Досвід участі у впровадженні та/або аудиті PCI DSS середовища (SAQ або ROC).
* Знання структури та вимог PCI DSS 3.2.1 / 4.0, вміння перевіряти технічні контролі відповідно до стандарту.
* Практичне розуміння cloud security (AWS/GCP/Azure): IAM, VPC, security groups, encryption at rest/in transit, logging (CloudTrail, GuardDuty).
* Знання основ мережевої безпеки: firewalling, segmentation (VLANs, subnetting), IDS/IPS, WAF.
* Досвід із SIEM, vulnerability scanners (Nessus, Qualys), інструментами логування (ELK stack, Splunk тощо).
* Досвід роботи з ISO 27001, бажано — сертифікація ISO/IEC 27001:2022 LA/LI або аналогічна.
* Впевнене володіння технічною англійською (читання аудит-репортів, технічної документації, комунікація з постачальниками).
* Бажаний досвід в проходженні сертифікації:PCI ISA / QSA,ISO/IEC 27001 Lead Auditor,CISA / CISSP / Security+,AWS Security Specialty або аналогічний cloud security сертифікат
Ми пропонуємо:
* Участь у побудові процесів безпеки в реальному фінтех-продукті.
* Можливість впливати на архітектуру, вибір технологій, партнерів.
* Сертифікації, навчання та покриття участі в галузевих івентах.
* Команду, яка дійсно займається безпекою, а не лише «checkbox compliance».
* Гнучкий графік, віддалена співпраця, прозора культура.
* Корпоративна англійська.
* Бонуси на ДН.
* Відпустка 28 днів на рік; дей оффи; компенсація лікарняних
Відгукнутись на вакансію |
