Analista de Segurança de Desenvolvimento

Venha fazer parte de um ecossistema vivo onde o futuro dos negócios é criado e vivido todos os dias. Faça parte desta transformação! Na LUZA Group, a paixão, a perseverança e a vontade de superar limites definem o nosso caminho para o sucesso. Fundada em 2006, somos uma multinacional portuguesa com mais de 1.200 profissionais talentosos e um volume de negócios. Com presença em mercados estratégicos como Portugal, Espanha, Marrocos, Brasil, México, Estados Unidos e China, oferecemos soluções inovadoras em engenharia, TI, design, consultoria, Indústria 4.0, treinamento e recrutamento. Tudo o que fazemos é movido pelo talento de nosso povo. Este é um momento de crescimento e oportunidade. O futuro pertence a mentes visionárias. Junte-se a nós! Atuar como responsável por definir, implementar e acompanhar políticas e controles de segurança no ciclo de desenvolvimento de software, garantindo a proteção do código-fonte, a segurança dos ambientes de desenvolvimento e a conformidade com requisitos de segurança, por meio da integração de práticas de segurança ao SDLC, avaliação de vulnerabilidades e análise crítica de resultados de pentests para elevar o nível de blindagem das aplicações. Principais Responsabilidades Governança e Políticas de Desenvolvimento Seguro: Definir, implementar e manter políticas, padrões e diretrizes de desenvolvimento seguro (Secure SDLC). Garantir aderência às políticas de segurança no ciclo de desenvolvimento (SDLC). Criar e manter guidelines de codificação segura e boas práticas. Atuar como referência técnica para segurança em desenvolvimento junto aos times de engenharia. Proteção de Código-Fonte e Ambientes: Definir controles para proteção do código-fonte (repositórios, acessos, segregação de ambientes, controle de permissões). Garantir que o código-fonte não seja extraviado, copiado indevidamente ou acessado sem autorização. Implementar e monitorar controles de versionamento seguro, auditoria de acessos e trilhas de mudanças. Definir e acompanhar segurança dos ambientes de desenvolvimento, homologação e CI/CD. Requisitos de Segurança e Arquitetura: Participar da análise de requisitos para definição de requisitos de segurança (security requirements). Avaliar arquiteturas e desenhos técnicos sob a ótica de segurança de aplicações. Garantir que controles de segurança estejam previstos desde a fase de design (Shift Left Security). Apoiar definição de padrões de criptografia, autenticação, autorização e gestão de segredos. Vulnerabilidades e Pentesting: Avaliar relatórios de pentest e varreduras de vulnerabilidades (SAST, DAST, SCA, Pentest). Classificar riscos, definir planos de correção e priorizar remediações. Acompanhar correções junto aos times de desenvolvimento. Avaliar o nível de blindagem e maturidade de segurança das aplicações. Compliance e Auditoria: Garantir aderência a normas e frameworks (ISO 27001, OWASP, NIST, PCI-DSS, LGPD, SOC 2, SOX). Apoiar auditorias internas e externas com evidências técnicas. Garantir rastreabilidade e documentação de controles de segurança. Requisitos Formação: Graduação em Ciência da Computação, Sistemas de Informação, Engenharia da Computação ou áreas correlatas. Experiência: Experiência em segurança de aplicações, DevSecOps ou segurança no SDLC. Vivência na definição e acompanhamento de políticas de desenvolvimento seguro. Experiência com proteção de código-fonte e ambientes de desenvolvimento. Experiência na análise de resultados de pentests e vulnerabilidades. Conhecimentos Técnicos: OWASP Top 10 e práticas de desenvolvimento seguro. Ferramentas SAST, DAST e SCA (ex: Checkmarx, Veracode, SonarQube, Snyk, Burp, Nessus). CI/CD seguro (GitHub, GitLab, Azure DevOps, Jenkins). Gestão de acessos, segregação de ambientes e controle de privilégios. Criptografia, autenticação, autorização e secrets management. Noções de arquitetura de aplicações e APIs. Diferenciais Experiência em ambientes financeiros, regulados ou de alta criticidade. Conhecimento em Cloud Security (AWS, Azure, GCP). Experiência com DevSecOps pipelines automatizados. Certificações (desejáveis): CEH, CSSLP, Security+, ISO 27001, AWS Security. Experiência com Zero Trust e Secure Coding Frameworks. Competências Comportamentais Forte senso de responsabilidade e confidencialidade. Capacidade analítica e visão de risco. Boa comunicação com times técnicos e não técnicos. Capacidade de influenciar padrões e boas práticas. Organização e disciplina com governança e evidências. Localidade: remoto