Analista de Segurança da Informação II - Yellow Team

Prazer, Grupo SBF

Para nós, esporte é mais que só a prática: é movimento. Ele tem o poder de mover as pessoas pelo exercício, pela paixão pelo time do coração, pela diversão de uma aula de dança, pela força de marcas icônicas. Por vermos a potência do esporte em todas as suas expressões, trabalhamos juntos com garra e energia para construir o primeiro ecossistema de esporte do mundo, reunindo diversas possibilidades para que as pessoas sejam envolvidas e impactadas pelo poder de se movimentar. Quando você pensar em esporte, pode ter certeza: o Grupo SBF estará ali. Seja por meio das lojas e do e-commerce da Centauro, a maior varejista esportiva multimarcas da América Latina; da Fisia, distribuidora oficial da Nike no Brasil, da FitDance e da OneFan, aqui o movimento não para. Praticante ou entusiasta, fã ou apaixonado: o Grupo SBF é pra você. Somos saudavelmente inconformados, fazedores e convictos da importância de levar o movimento para cada vez mais gente. Se você se move por esporte, ou é movido por ele, temos um convite: que tal também trabalhar por ele?

Ficou interessado(a)? Vem saber mais!

O que esperamos de você

Experiência como Application Security Engineer, com autonomia para conduzir threat models, revisões de design e gestão de vulnerabilidades de complexidade média sem supervisão direta, maturidade para escalar quando o problema exigir.

O que você vai fazer

• Conduzir threat modelings STRIDE como método primário; PASTA em iniciativas críticas e revisões de arquitetura em features novas e mudanças relevantes, com foco em sistemas de e-commerce, pagamentos, logística e integrações com parceiros.
• Operar e evoluir o stack de AppSec: SAST, DAST, SCA, IaC scanning e container security, integrados ao CI/CD, com gates calibrados para bloquear o que importa sem virar bloqueador universal.
• Triar, priorizar e acompanhar a remediação de vulnerabilidades originadas em scanners, pentest, bug bounty, garantindo aderência aos SLAs por severidade e reduzindo ativamente falso-positivo.
• Endurecer pipelines de CI/CD: proteção de runners, gestão de segredos, assinatura de artefatos, geração e validação de SBOM, alinhamento a SLSA.
• Atuar em segurança de APIs aplicando OWASP API Top 10, com ênfase em BOLA/IDOR, OAuth 2.0/OIDC, JWT, autorização granular, rate limiting e padrões de gateway.
• Apoiar a postura de Cloud Security (predominantemente GCP): revisão de IAM, KMS, Secrets Manager, exposição de buckets e endpoints, configuração de redes e leitura crítica de findings de CSPM.
• Revisar manifestos Kubernetes e Dockerfiles (RBAC, PSA, NetworkPolicies, hardening de imagem), revisar e escrever políticas como código (OPA/Rego, Checkov, Kyverno).
• Apoiar tecnicamente o programa de Security Champions com onboarding, sessões de aprofundamento e ativação real dos champions nos squads.
• Fazer code review com foco em segurança em PRs sensíveis (autenticação, autorização, pagamentos, criptografia, manipulação de dados pessoais), com comentários claros e didáticos.
• Atuar em incidentes aplicacionais como referência técnica: contexto, contenção, análise de root cause, fix e contribuição ao post-mortem.
• Traduzir requisitos de OWASP ASVS, SAMM, NIST SSDF, ISO/IEC 27001:2022, SOC 2, PCI-DSS v4 e LGPD em controles técnicos e evidências auditáveis.
• Automatizar tarefas repetitivas em Python, reduzindo o trabalho manual do time e dos squads atendidos.

Hard skills

• Codificação segura em pelo menos uma linguagem do nosso stack (Java/Kotlin, Node/TypeScript, Go ou Python), com fluência em OWASP Top 10 e API Top 10 aplicados em código.
• Domínio de threat modeling (STRIDE) e de princípios de design seguro: least privilege, defense in depth, fail-safe, secure defaults, Zero Trust.
• Vivência em DevSecOps: gates de SAST, DAST, SCA, IaC e container em CI/CD, com gestão de falso-positivo, baseline e exceções controladas.
• Conhecimento de segurança em Cloud GCP: IAM (políticas, condições, permission boundaries), KMS, Secrets Manager, exposição de Buckets e endpoints, leitura crítica de CSPM.
• Segurança em Kubernetes e containers: RBAC, Pod Security Admission, NetworkPolicies, hardening de Dockerfiles, scanners de imagem.
• Padrões de autenticação e autorização: OAuth 2.0/OIDC, JWT (incluindo pitfalls como alg confusion e algoritmo none), mTLS, ABAC/RBAC, mitigação de BOLA/IDOR.
• Criptografia aplicada: simétrica/assimétrica, AEAD, KDFs, assinatura digital, PKI; usa bibliotecas auditadas, não inventa primitiva.
• Policy-as-code (OPA/Rego, Conftest, Kyverno, Checkov) e proteção de supply chain (SBOM, assinatura de artefatos, SLSA).
• Operação de ferramentas AppSec: SAST, DAST, SCA, Container/IaC scanners.
• Automação em Python para integrar ferramentas, consumir APIs (Jira, GitHub, scanners) e gerar relatórios e dashboards.
• Familiaridade com OWASP ASVS, SAMM, NIST SSDF, ISO/IEC 27001:2022 Anexo A 8.x, SOC 2, PCI-DSS v4 e LGPD como vocabulário de técnico.

Soft skills

• Comunicação técnica: explica vulnerabilidades e soluções com clareza para públicos diversos (engenharia, SRE, arquitetura, produto), com comentários claros em vez de rótulos vagos.
• Comunicação executiva: traduz risco técnico em impacto de negócio; reporta status sem maquiar e sem alarmar.
• Capacidade analítica: decompõe problemas, distingue causa de sintoma, busca evidência antes de concluir.
• Influência sem autoridade: move decisões por argumento técnico, dado e empatia com o engenheiro.
• Colaboração: atua como parceiro dos squads, não como polícia; faz pareamento, oferece ajuda, compartilha contexto.
• Ownership: assume o problema até o desfecho, mesmo quando a execução depende de outros times.
• Priorização: sabe o que NÃO fazer; usa risco (probabilidade × impacto) como bússola, não a fila de chegada.
• Mentalidade orientada a risco: recusa controle desproporcional à ameaça.
• Pensamento sistêmico: vê o sistema, não só o componente; antecipa efeitos colaterais de uma mudança.
• Capacidade investigativa: vai ao código, ao log, ao trace; reproduz antes de concluir e alarmar.
• Tomada de decisão: decide com a informação que tem, no tempo que tem, documentando trade-offs e revertendo cedo quando erra.