AppSec-инженер (Банк)

Вакансия открыта в «Роял Кредит Банк», входящем в группу компаний Demis Group.

Мы объединяем традиции российского банковского дела и современные технологии, создавая устойчивый финансовый институт, ориентированный на развитие и качественный сервис.

Основанный в 1990 году, банк прошёл путь от региональной организации до надёжного партнёра федерального уровня, сохранив ключевые ценности — стабильность, ответственность и уважение к клиенту.

Наши ценности: надёжность, развитие, ответственность, команда.

Мы смотрим в будущее: расширяем присутствие в регионах, создаём новые решения для клиентов и партнёров, интегрируемся в экосистему Demis Group, уверенно двигаясь к федеральному масштабу.

Станьте частью нашей команды!
Работа в «Роял Кредит Банк» — это возможность профессионального роста и участия в развитии современного, динамичного банка.

Основные задачи:

• Сопровождение полного жизненного цикла разработки (SDLC) с внедрением практик безопасности на всех этапах — от анализа требований до эксплуатации
• Встраивание DevSecOps-подхода: автоматизация контроля безопасности в CI/CD (SAST, SCA, DAST, Secret Detection)
• Моделирование угроз, анализ архитектуры и проектирование мер защиты.
• Проведение security code review критически важных компонентов (криптография, аутентификация, бизнес-логика, транзакции)
• Управление уязвимостями: анализ результатов сканеров, приоритизация рисков, контроль устранения дефектов
• Разработка и поддержка внутренних стандартов безопасной разработки, обучение команд и развитие практики Security Champions
• Участие в подготовке системы к аудитам и сертификации (формирование архитектурной и доказательной документации, прослеживаемость требований, описание интерфейсов безопасности).

Наши требования:

• Опыт в Application Security / DevSecOps от 2–3 лет
• Практический опыт обеспечения безопасности веб- и backend-приложений
• Глубокое знание OWASP Top 10, ASVS, secure coding practices
• Умение читать и анализировать код (указать стек: например Go / Java / Python / JS/TS)
• Опыт интеграции security-инструментов в CI/CD (GitLab CI/CD, Jenkins или аналоги)
• Опыт работы со сканерами и анализаторами: SonarQube, Semgrep, Snyk, Checkmarx, Trivy и др
• Понимание принципов криптографии, ЭЦП, TLS, OAuth2 / OpenID Connect
• Навыки риск-ориентированной оценки уязвимостей (CVSS, threat modeling)
• Развитые коммуникативные навыки: умение аргументированно доносить требования ИБ до разработки и бизнеса.

Будет плюсом:

• Опыт прохождения аудитов регуляторов и сертификационных испытаний
• Понимание принципов ГОСТ Р ИСО/МЭК 15408 («Общие критерии») и/или опыт подготовки к ОУД4
• Опыт построения DevSecOps-процессов с нуля
• Работа с отечественными решениями: Solar appScreener, PT Application Inspector, InfoWatch Appercut
• Наличие профильных сертификатов (OSCP, CEH, Security+, CSSLP и др.)
• Участие в Bug Bounty / CTF / пентест-проектах.

Условия:

• Конкурентный уровень заработной платы
• Официальное трудоустройство с первого дня работы
• Полный социальный пакет
• Удаленный форматы работы
• Работа в комфортных условиях, в дружном коллективе