FreeHire

Vita solutions SPA

Security Software Engineer – FinTech

Show
Seguridad de aplicaciones y producto
  • Revisar código con criterio de seguridad como parte del flujo de PRs (no como auditoría externa al equipo).
  • Hacer threat modeling de funcionalidades nuevas, especialmente flujos de dinero, KYC/KYB y APIs públicas.
  • Gestionar el ciclo de vulnerabilidades: dependencias, secretos, parcheo, remediación de hallazgos de pentests.
  • Construir o integrar tooling de seguridad en el pipeline (SAST/DAST/SCA, escaneo de secretos, gates en CI).
Seguridad cloud e infraestructura (GCP)
  • Mantener y endurecer la postura de seguridad en GCP: IAM, redes privadas, VPNs, proxies, firewalls, balanceadores, Cloud Armor.
  • Aplicar buenas prácticas de IaC (Terraform) y revisar configuraciones de infraestructura con foco de riesgo.
Desarrollo en Ruby on Rails
  • Contribuir de forma sostenida al producto: features, mejoras de plataforma, refactors y deuda técnica.
  • Aportar especialmente en componentes con implicancia de seguridad (autenticación, autorización, manejo de datos sensibles, idempotencia y manejo de errores en APIs de pago).

Resiliencia operativa y respuesta a incidentes

  • Mantener planes de continuidad de negocio y recuperación ante incidentes.
  • Participar en turnos rotativos de on-call (planificados y compensados) y liderar la respuesta técnica cuando corresponda.
  • Producir y mantener evidencia para auditorías ISO 27001 y requisitos regulatorios por país.

Riesgo, cumplimiento y protección del usuario

  • Traducir requisitos regulatorios e ISO 27001 a controles concretos en el código y la arquitectura (no quedarse en el documento de política).
  • Asegurar que los roles y permisos dentro de la app sean correctos: autorización con menor privilegio, aislamiento entre tenants/organizaciones en el BaaS, y prevención de escalamiento de privilegios.
  • Velar por la trazabilidad y auditabilidad: logs de acceso y de acciones sensibles, integridad del ledger, evidencia disponible para auditorías.
  • Manejo correcto de datos personales (PII): minimización, retención y eliminación según las leyes de protección de datos de cada país donde operamos.
  • Embeber controles preventivos en el producto (límites, validaciones, soporte a KYC/KYB, screening de sanciones/AML según corresponda) para que los problemas no lleguen a ocurrir, en vez de detectarlos después.
  • Trabajar codo a codo con Legal/Compliance: el rol implementa y verifica los controles en el sistema; Legal/Compliance define qué exige la norma. La fortaleza está en cerrar la brecha entre ambos.

Competencias

  • Experiencia sólida desarrollando en Ruby on Rails(o framework similar) en producción.
  • Experiencia real aplicando seguridad en el ciclo de desarrollo: revisión segura de código, manejo de vulnerabilidades, OWASP Top 10 aplicado a APIs.
  • Experiencia administrando Google Cloud Platform (GCP) y entornos Linux.
  • Conocimientos de redes: VPNs, proxies, firewalls, balanceadores de carga.
  • Enfoque de seguridad basada en riesgo: capacidad de priorizar y equilibrar protección con la operación del negocio (no buscamos "seguridad absoluta" —no existe—; buscamos criterio).
  • Mentalidad de cumplimiento y prevención: experiencia traduciendo requisitos regulatorios o de auditoría a controles en software, diseñando modelos de roles/permisos correctos y manejando datos sensibles con criterio. Entender que proteger al usuario y al negocio es parte del trabajo, no algo aparte.
  • Inglés escrito de lectura técnica fluida.

Habilidades Blandas

  • Pensamiento estratégico
  • Comunicación efectiva.
  • Alta orientación a resultados, calidad y eficiencia operativa.
  • Enfoque en innovación y mejora continua.
  • Toma de decisiones bajo presión.
  • Proactividad y adaptabilidad.
  • Ética profesional e integridad.
  • Criterio para equilibrar seguridad y negocio: capacidad de evaluar riesgos con perspectiva práctica, priorizando la protección sin bloquear la operación.
  • Orientación a resolver problemas: foco en encontrar soluciones y aprender de los incidentes, sin buscar culpables.
  • Modalidad híbrida: 2 días en oficina, 3 días remoto.
  • Las primeras semanas son presenciales para el proceso de inducción al equipo.
  • Oficinas ubicadas Santiago (metro Manquehue).
  • En caso de residir fuera de Santiago, se requiere disponibilidad para visitar las oficinas al menos 2 veces al mes.
  • Participará en turnos rotativos de disponibilidad para incidentes críticos, previamente planificados y compensados
  • Día libre por cumpleaños.
  • Te unirás a un equipo joven, dinámico, multicultural de 4 países del mundo.
  • Acceso a plataforma de capacitación