- Đảm bảo ATTT xuyên suốt chu trình dự án
phát triển phần mềm:
- Tham gia dự án từ giai đoạn phân tích yêu cầu, thiết kế đến trước golive.
- Xây dựng và rà soát các yêu cầu bảo mật trong dự án.
- Xây dựng và duy trì các biện pháp bảo mật cho tài khoản khách hàng: bao gồm xác thực mạnh,
bảo vệ chống lại các cuộc tấn công giả mạo, phát hiện hành vi bất thường trong các giao dịch,..
- Tư vấn cho team dự án về các tiêu chuẩn ATTT cho: Ứng dụng (Authentication, Authorization, Encryption, Session...), Hạ tầng & mạng, Cloud & Microservices,..
- Đảm bảo tuân thủ quy định pháp lý và tiêu chuẩn ngành (Thông tư 18, 134, HNX/HSX/VSD...)
- Thực hiện các hoạt động pentest chuyên sâu:
+ Web Application Pentest
+ Mobile App Pentest
+ API Security Testing
- Thực hiện Secure Code Review: thủ công và kết hợp công cụ SAST, review kết quả trong các luồng CI/CD của Security.
- Đánh giá rủi ro bảo mật trước golive; đưa ra khuyến nghị xử lý theo mức độ ảnh hưởng kinh doanh.
- Xác nhận khắc phục và đảm bảo hệ thống đạt đẩy đủ tiêu chí an toàn trước khi triển khai Production.
- Quản lý lỗ hổng sau khi report được cho phía dev:
+ Phân loại lỗ hổng theo CVSS và Business Impact.
+ Theo dõi, phối hợp DEV xử lý đến khi đóng.
+ Báo cáo xu hướng lỗ hổng theo dự án/hệ thống.
+ Đề xuất cải tiến quy trình để giảm tỉ lệ sinh ra lỗ hổng.
- Kiểm soát rủi ro công nghệ mới & AI
+ Đánh giá rủi ro khi sử dụng AI hỗ trợ sinh mã nguồn.
+ Thiết lập tiêu chuẩn và hướng dẫn sử dụng AI an toàn trong phát triển phần mềm.
+ Tham gia nghiên cứu, đề xuất giải pháp bảo mật cho công nghệ mới như eWallet, P2P lending, Personal Loan,...
+ Nghiên cứu về các công nghệ giải pháp xác thực, định danh, mã hóa [protected info] lĩnh vực tài chính ngân hàng và đưa ra đề xuất, khuyến nghị áp dụng nhằm nâng cao tính bảo mật cho hệ thống CNTT và tăng cường bảo vệ dữ liệu khách hàng
- Tốt nghiệp đại học trở lên các chuyên ngành CNTT, ATTT, Toán máy tính hoặc các chuyên ngành kỹ thuật phù hợp.
- Tối thiểu 3 năm kinh nghiệm đối với các lĩnh vực Pentest
- Có kinh nghiệm làm việc trong ngành tài chính, chứng khoán, ngân hàng.
- Hiểu rõ OWASP Top 10 (Web, API, Mobile).
- Thành thạo các công cụ đánh giá (Burp Suite, OWASP ZAP, Postman) và công cụ SAST/DAST.
- Có khả năng đọc hiểu mã nguồn (Java, C#, NodeJS, Python...) để review code hiệu quả.
- Ưu tiên các chứng chỉ: GWAPT, eWPT, OSWE, OSCP hoặc tương đương
- Môi trường làm việc chuyên nghiệp trong lĩnh vực Tài chính - Chứng khoán.
- Cơ hội tham gia các dự án bảo mật quy mô lớn.
- Thu nhập cạnh tranh cùng các chế độ phúc lợi hấp dẫn
- Thời gian làm việc: Hành chính từ thứ 2 - Thứ 6