Descrição da vaga
Prazer, Grupo SBF
Para nós, esporte é mais que só a prática: é movimento. Ele tem o poder de mover as pessoas pelo exercício, pela paixão pelo time do coração, pela diversão de uma aula de dança, pela força de marcas icônicas. Por vermos a potência do esporte em todas as suas expressões, trabalhamos juntos com garra e energia para construir o primeiro ecossistema de esporte do mundo, reunindo diversas possibilidades para que as pessoas sejam envolvidas e impactadas pelo poder de se movimentar. Quando você pensar em esporte, pode ter certeza: o Grupo SBF estará ali. Seja por meio das lojas e do e-commerce da Centauro, a maior varejista esportiva multimarcas da América Latina; da Fisia, distribuidora oficial da Nike no Brasil, da FitDance e da OneFan, aqui o movimento não para. Praticante ou entusiasta, fã ou apaixonado: o Grupo SBF é pra você. Somos saudavelmente inconformados, fazedores e convictos da importância de levar o movimento para cada vez mais gente. Se você se move por esporte, ou é movido por ele, temos um convite: que tal também trabalhar por ele?
Ficou interessado(a)? Vem saber mais!
O que esperamos de você
Experiência como Application Security Engineer, com autonomia para conduzir threat models, revisões de design e gestão de vulnerabilidades de complexidade média sem supervisão direta, maturidade para escalar quando o problema exigir.
O que você vai fazer
Conduzir threat modelings STRIDE como método primário; PASTA em iniciativas críticas e revisões de arquitetura em features novas e mudanças relevantes, com foco em sistemas de e-commerce, pagamentos, logística e integrações com parceiros. Operar e evoluir o stack de AppSec: SAST, DAST, SCA, IaC scanning e container security, integrados ao CI/CD, com gates calibrados para bloquear o que importa sem virar bloqueador universal. Triar, priorizar e acompanhar a remediação de vulnerabilidades originadas em scanners, pentest, bug bounty, garantindo aderência aos SLAs por severidade e reduzindo ativamente falso-positivo. Endurecer pipelines de CI/CD: proteção de runners, gestão de segredos, assinatura de artefatos, geração e validação de SBOM, alinhamento a SLSA. Atuar em segurança de APIs aplicando OWASP API Top 10, com ênfase em BOLA/IDOR, OAuth 2.0/OIDC, JWT, autorização granular, rate limiting e padrões de gateway. Apoiar a postura de Cloud Security (predominantemente GCP): revisão de IAM, KMS, Secrets Manager, exposição de buckets e endpoints, configuração de redes e leitura crítica de findings de CSPM. Revisar manifestos Kubernetes e Dockerfiles (RBAC, PSA, NetworkPolicies, hardening de imagem), revisar e escrever políticas como código (OPA/Rego, Checkov, Kyverno). Apoiar tecnicamente o programa de Security Champions com onboarding, sessões de aprofundamento e ativação real dos champions nos squads. Fazer code review com foco em segurança em PRs sensíveis (autenticação, autorização, pagamentos, criptografia, manipulação de dados pessoais), com comentários claros e didáticos. Atuar em incidentes aplicacionais como referência técnica: contexto, contenção, análise de root cause, fix e contribuição ao post-mortem. Traduzir requisitos de OWASP ASVS, SAMM, NIST SSDF, ISO/IEC 27001:2022, SOC 2, PCI-DSS v4 e LGPD em controles técnicos e evidências auditáveis. Automatizar tarefas repetitivas em Python, reduzindo o trabalho manual do time e dos squads atendidos.
Hard skills
Codificação segura em pelo menos uma linguagem do nosso stack (Java/Kotlin, Node/TypeScript, Go ou Python), com fluência em OWASP Top 10 e API Top 10 aplicados em código. Domínio de threat modeling (STRIDE) e de princípios de design seguro: least privilege, defense in depth, fail-safe, secure defaults, Zero Trust. Vivência em DevSecOps: gates de SAST, DAST, SCA, IaC e container em CI/CD, com gestão de falso-positivo, baseline e exceções controladas. Conhecimento de segurança em Cloud GCP: IAM (políticas, condições, permission boundaries), KMS, Secrets Manager, exposição de Buckets e endpoints, leitura crítica de CSPM. Segurança em Kubernetes e containers: RBAC, Pod Security Admission, NetworkPolicies, hardening de Dockerfiles, scanners de imagem. Padrões de autenticação e autorização: OAuth 2.0/OIDC, JWT (incluindo pitfalls como alg confusion e algoritmo none), mTLS, ABAC/RBAC, mitigação de BOLA/IDOR. Criptografia aplicada: simétrica/assimétrica, AEAD, KDFs, assinatura digital, PKI; usa bibliotecas auditadas, não inventa primitiva. Policy-as-code (OPA/Rego, Conftest, Kyverno, Checkov) e proteção de supply chain (SBOM, assinatura de artefatos, SLSA). Operação de ferramentas AppSec: SAST, DAST, SCA, Container/IaC scanners. Automação em Python para integrar ferramentas, consumir APIs (Jira, GitHub, scanners) e gerar relatórios e dashboards. Familiaridade com OWASP ASVS, SAMM, NIST SSDF, ISO/IEC 27001:2022 Anexo A 8.x, SOC 2, PCI-DSS v4 e LGPD como vocabulário de técnico.
Soft skills
Comunicação técnica : explica vulnerabilidades e soluções com clareza para públicos diversos (engenharia, SRE, arquitetura, produto), com comentários claros em vez de rótulos vagos. Comunicação executiva : traduz risco técnico em impacto de negócio; reporta status sem maquiar e sem alarmar. Capacidade analítica : decompõe problemas, distingue causa de sintoma, busca evidência antes de concluir. Influência sem autoridade : move decisões por argumento técnico, dado e empatia com o engenheiro. Colaboração : atua como parceiro dos squads, não como polícia; faz pareamento, oferece ajuda, compartilha contexto. Ownership : assume o problema até o desfecho, mesmo quando a execução depende de outros times. Priorização : sabe o que NÃO fazer; usa risco (probabilidade × impacto) como bússola, não a fila de chegada. Mentalidade orientada a risco : recusa controle desproporcional à ameaça. Pensamento sistêmico : vê o sistema, não só o componente; antecipa efeitos colaterais de uma mudança. Capacidade investigativa : vai ao código, ao log, ao trace; reproduz antes de concluir e alarmar. Tomada de decisão : decide com a informação que tem, no tempo que tem, documentando trade-offs e revertendo cedo quando erra.