Especialista de Segurança da Informação I (AppSec)

Job description

Aqui na Valid, trabalhamos para promover a identificação segura de pessoas, jornadas e transações, tanto no setor público quanto no setor privado. Nossas soluções físicas e digitais são dedicadas a três grandes ecossistemas:

- Identificação & Governo Digital

- Bancos & Meios de Pagamento

- Conectividade Segura

Nosso papel é autenticar, autorizar e garantir a segurança de todos os envolvidos. Isso é o que fazemos para cada um dos nossos mais de 1.200 clientes no Brasil e no mundo.

Nosso jeito Valid

Na Valid, acreditamos que cada pessoa é única e nosso propósito é empoderar o que há de mais genuíno em cada uma, criando um ambiente onde todos possam evoluir e deixar suas marcas.

Valorizamos profissionais que construam relações de confiança com clientes externos, parceiros e outras áreas da empresa, que foquem em melhorar o que já existe ou criar coisas novas, que busquem a excelência nas entregas e pratiquem a colaboração em equipe.

Tudo isso faz parte da nossa Cultura, do nosso jeito Valid, que se traduz nos nossos quatro valores:

• Somos movidos pelo cliente
• Nunca paramos de evoluir e aprender
• Fazemos acontecer e fazemos bem-feito
• Jogamos juntos e jogamos limpo.

É isso que nos permite continuar construindo uma história de sucesso e crescimento e que dá vida ao nosso propósito todos os dias.

Aqui, nós valorizamos oportunidades igualitárias e estamos comprometidos em construir um ambiente seguro, respeitoso e acolhedor para todas as pessoas. Não discriminamos com base em raça, religião, cor, nacionalidade, gênero, orientação sexual, deficiência ou qualquer outra base.

Estamos em busca de um Especialista em Segurança de Aplicações (AppSec) para atuar de forma estratégica na gestão de vulnerabilidades e na proteção de nossos ambientes de aplicações e infraestrutura. Este profissional será responsável por analisar, priorizar e acompanhar vulnerabilidades identificadas em pentests, scanners e IoCs, garantindo que as áreas clientes executem as correções necessárias. Além disso, terá papel fundamental na segurança de ambientes cloud (Azure e AWS), na aplicação de frameworks reconhecidos e na integração de segurança em processos de desenvolvimento e infraestrutura.

• Gerenciar o ciclo de vida de vulnerabilidades: recebimento de relatórios de pentest, análise de vulnerabilidades e indicadores de comprometimento (IoCs).
• Registrar, acompanhar e cobrar evolução das correções em sistemas de gestão de vulnerabilidades.
• Priorizar vulnerabilidades com base em risco, criticidade e impacto no negócio.
• Atuar como ponto de contato com áreas clientes, orientando e apoiando na mitigação de falhas.
• Definir e implementar processos de segurança no SDLC e em pipelines DevSecOps.
• Conduzir análises de risco e aplicar o modelo Cyber Kill Chain para antecipar e mitigar ameaças.
• Apoiar times de desenvolvimento e infraestrutura na aplicação de boas práticas de segurança em Cloud.
• Implementar segurança em ambientes automatizados com IaC (Infraestrutura como Código).
• Participar de simulações de ataques e exercícios de segurança para validar controles (Tabletop/ Cymulate).

• Formação superior em Tecnologia da Informação, Segurança da Informação ou áreas correlatas.
• Experiência comprovada em AppSec e gestão de vulnerabilidades.
• Domínio de ferramentas de análise de vulnerabilidades (SAST, DAST, SCA, scanners).
• Conhecimento em frameworks e normas de segurança:
• OWASP SAMM
• OWASP Top 10
• NIST 800-53
• CIS Controls v8
• Familiaridade com o processo Cyber Kill Chain e sua aplicação prática.
• Experiência em integração de segurança em pipelines DevOps/DevSecOps.
• Conhecimento em IaC (Terraform, Ansible, CloudFormation, etc.).
• Boa comunicação e habilidade de relacionamento com áreas clientes.

• Experiência com automação de processos de gestão de vulnerabilidades usando Python, PowerShell ou outras linguagens.
• Certificações relevantes (OSWE, CSSLP, AZ-500, AWS Security Specialty, CVA).
• Conhecimentooutros provedores de cloud.
• Vivência em programas de Bug Bounty ou Pentest focado em aplicações.
• Conhecimento e experiência em desenvolvimento de LLMs (Large Language Models) aplicados à segurança da informação.