Gerente de AppSec | DevSecOps & Segurança Ofensiva

Muito prazer, Somos a Evertec!

A Evertec é uma empresa especializada em tecnologia para o setor financeiro, com mais de 27 anos de atuação e presença em 26 países da América Latina e Caribe. Com mais de 11 bilhões de transações processadas anualmente, somos referência em soluções que impulsionam a transformação digital do mercado.

Oferecemos um portfólio completo de soluções em software, atendendo instituições financeiras, empresas e fintechs que buscam inovação, segurança e eficiência.

Nosso compromisso é com a excelência tecnológica, a inclusão financeira e a geração de valor sustentável para clientes, colaboradores e parceiros, promovendo um ecossistema mais conectado e acessível.

A área de Segurança da Informação é responsável por garantir a observância de controles técnicos de segurança robustos, oferecendo suporte às áreas de negócio e contribuindo para a contínua redução de riscos organizacionais. Buscamos um Gerente de Application Security (AppSec) | DevSecOps & Segurança Ofensiva para compor nosso time na maior empresa de desenvolvimento de softwares e produtos para o mercado financeiro do Brasil, onde acreditamos que a inovação tecnológica inspira a evolução.

O Gerente será responsável por liderar a estratégia, implementação e governança de Application Security, além de supervisionar iniciativas de Threat Emulation, teste de segurança ofensiva, hardening de aplicações e conformidade com padrões seguros de engenharia. Atuará de forma estratégica e hands-on junto às equipes de desenvolvimento, arquitetura e produto, garantindo que aplicações e APIs sejam construídas de forma resiliente, segura e alinhada às melhores práticas do mercado financeiro.

Esse cargo será responsável por: 

• Desenvolver, implementar e manter o Programa Corporativo de Desenvolvimento Seguro (SDL/SSDLC), garantindo segurança desde a concepção até a operação dos produtos.
• Definir e evoluir padrões de Application Security, incluindo revisão de código seguro, guidelines, controles, bibliotecas e frameworks.
• Liderar iniciativas de Threat Emulation, Threat Modeling (STRIDE, DREAD, MITRE ATT&CK) e simulações ofensivas orientadas a riscos.
• Implementar pipeline de segurança em CI/CD com ferramentas como SAST, SCA, DAST e análise de containers.
• Avaliar, orientar e acompanhar correções de vulnerabilidades identificadas em aplicações, APIs, microserviços e integrações.
• Conduzir revisões arquiteturais, apoiando equipes de engenharia na definição de padrões seguros.
  Trabalhar com o modelo Zero Trust, garantindo que aplicações e APIs sigam princípios de autenticação e autorização fortes.
• Criar, manter e evoluir mecanismos de segurança em APIs, microsserviços e aplicações distribuídas.
• Construir fluxos de automação e governança em ferramentas de tickets para solicitações, auditorias e demandas de AppSec.
• Trabalhar em conjunto com equipes de engenharia para identificação, mitigação e prevenção de riscos em código e arquitetura.
• Realizar e supervisionar testes ofensivos internos (Threat Emulation), como pentests direcionados, exploração de APIs e simulações de ataques.
• Apoiar times de desenvolvimento e SRE na aplicação de patches, correções e mitigação de vulnerabilidades.
• Garantir conformidade com padrões regulatórios do mercado financeiro, incluindo normas do Banco Central, NIST, ISO 27001, OWASP e requisitos de auditoria.
• Gerenciar iniciativas de melhoria contínua, elevar o nível de maturidade em AppSec e atuar como referência técnica interna.

Para dar #match, essa vaga necessita que atenda alguns requisitos obrigatórios:

• Atuação consolidada em Application Security (AppSec), com liderança de iniciativas estratégicas e técnicas.
• Vivência prática com SDL/SSDLC e integração de segurança no ciclo de desenvolvimento de software.
• Conhecimento sólido em segurança ofensiva aplicada a aplicações, incluindo análise de vulnerabilidades, revisão segura de código, APIs e Threat Modeling.
• Experiência com práticas e ferramentas de DevSecOps, como SAST, SCA, DAST e análise de containers, com foco em automação.
• Boa compreensão de padrões e frameworks de segurança (OWASP, NIST, ISO 27001, Zero Trust).
• Capacidade de análise arquitetural com orientação a decisões técnicas seguras para aplicações e APIs.
• Vivência em gerir times multidisciplinares.
• Formação Superior.
• Inglês avançado.

Caso possua o conhecimento ou atuação abaixo, será um diferencial:

• Experiência em implantação de SDL/SSDLC e segurança em ambientes DevOps/DevSecOps.
  SAST, SCA, DAST, IAST, container scanning e hardening de aplicações.
• Acompanhamento e priorização de vulnerabilidades (CVSS, CWE, OWASP Top 10, API Security Top 10).
• Requisitos de segurança para APIs e microsserviços.
• Revisões de código seguro e análise de arquitetura.
• Experiência com Threat Modeling, simulações MITRE ATT&CK e testes de segurança direcionados.
• Execução ou supervisão de pentests internos.
• Análise de exploração, vetores de ataque, falhas lógicas e segurança de APIs.
• Experiência avançada com Zero Trust aplicado a aplicações.
• Experiência com integração de AppSec no pipeline DevOps (Azure DevOps, GitLab, GitHub).
• Ferramentas de orquestração, APIs, scripts (PowerShell, Python).

Benefits