Senior / Lead специалист по информационной безопасности (IT Security)

О проекте

FreedomAuto — AI-powered микросервисная экосистема по продаже автозапчастей (VIN, каталоги, логистика, real-time).
Платформа состоит из 15+ микросервисов, публичных API, мобильных и web-клиентов, интеграций с внешними партнёрами и AI-модулями.

Нам нужен практический специалист по информационной безопасности, который:

• строит безопасность реального продакшена,
• а не пишет формальные регламенты «для галочки».

Критичные аспекты безопасности проекта

• Хранение и обработка персональных данных клиентов
• Интеграции с внешними API (каталоги, логистика, партнёры)
• Микросервисная архитектура с множеством точек входа
• API-first платформа (web + mobile)
• Высокие требования к доступности и надежности

Роль и зона ответственности

Вы будете отвечать за архитектуру и практическую реализацию ИБ на уровне:

• приложений,
• инфраструктуры,
• сетей,
• процессов.

Формат — Senior hands-on с возможностью роста в Lead / Head of Security.

Чем предстоит заниматься

• Проектирование и развитие архитектуры информационной безопасности
• Безопасность микросервисов и API:
  • аутентификация и авторизация
  • защита REST API
  • JWT, роли, доступы
• Работа с инфраструктурной безопасностью:
  • network security
  • firewall
  • secrets management
• Контроль и развитие:
  • SSL/TLS
  • сертификаты
  • ключи и токены
• Security review:
  • архитектур
  • новых сервисов
  • интеграций с внешними API
• Организация процессов:
  • vulnerability management
  • incident response
  • security monitoring
• Взаимодействие с DevOps и Backend командами
• Формирование security best practices внутри команды

Технологический контур

• Linux
• Docker / Kubernetes (security aspects)
• API Security (REST)
• JWT / OAuth2
• Vault / Secrets
• Network security (VPN, Firewall)
• CI/CD security
• PostgreSQL / Redis (security aspects)
• Monitoring / logging (security events)

Обязательные навыки

• Опыт работы в информационной безопасности от 5 лет
• Практический опыт защиты:
  • backend-систем
  • API
  • микросервисной архитектуры
• Понимание:
  • OWASP Top 10
  • secure SDLC
  • threat modeling
• Опыт работы с:
  • аутентификацией / авторизацией
  • secrets management
  • SSL/TLS
• Понимание сетевой безопасности:
  • TCP/IP
  • firewall
  • VPN
• Опыт участия в расследовании инцидентов
• Умение объяснять безопасность инженерам, а не только ИБ-отчётами

Будет плюсом

• Опыт в роли Security Lead / AppSec / DevSecOps
• Опыт security-аудитов и penetration testing (на уровне постановки и анализа)
• SIEM / SOC взаимодействие
• Опыт работы с cloud security
• Знание требований регуляторов (PCI DSS, ISO 27001 — как плюс)
• Опыт построения security процессов с нуля

Мы предлагаем

• Ключевую роль в архитектуре продукта
• Реальное влияние на безопасность всей экосистемы
• Отсутствие «бумажной ИБ»
• Возможность вырасти до Head of Information Security
• Работу с сильными DevOps, Backend и AI-командами
• Проект, где безопасность — часть архитектуры, а не afterthought

Важно

Мы не ищем формального ИБ-специалиста.
Нам нужен инженер, который понимает, как системы ломаются, и умеет этого не допускать.