IT Security Officer

Ми, iPay.ua — ліцензована фінансова установа з власним платіжним продуктом. Шукаємо технічного секʼюріті аналітика, який працюватиме на перетині технічного аудиту, безпекових вимог до third-party-партнерів та впровадження compliance-контролів згідно зі стандартом PCI DSS. Основна задача — оцінка та перевірка технологічного оператора (infrastructure + platform), який забезпечує обробку платіжних транзакцій та зберігання чутливих даних.

Зони відповідальності:

• Проведення технічного аудиту third-party-провайдера (інфраструктура, платформа, мережеві сегментації, хмарні сервіси).
• Верифікація впроваджених контролів згідно з PCI DSS 4.0 (authentication, encryption, network segmentation, access controls, logging/monitoring).
• Перевірка наявності, актуальності та ефективності технічних політик: change management, vulnerability management, incident response, data protection.
• Робота з документацією провайдера: архітектура, контролі, протоколи, звіти сканування, сертифікати, аудит-репорти.
• Співпраця з internal compliance/security командами для забезпечення безперервної відповідності вимогам.
• Участь у підготовці до аудиту фінансового продукту, в т.ч. підтвердження валідності PCI DSS середовища з боку оператора.
• Консультації щодо харденінгу, ізоляції середовищ (Prod / Test / Dev), шифрування, MFA, логування.
• Оцінка відповідності провайдера вимогам ISO/IEC 27001, SOC 2, GDPR, НБУ-регуляціям (бажано).

Вимоги до кандидата:

• 3+ років досвіду в Information Security / GRC / Security Engineering / Compliance.
• Досвід участі у впровадженні та/або аудиті PCI DSS середовища (SAQ або ROC).
• Знання структури та вимог PCI DSS 3.2.1 / 4.0, вміння перевіряти технічні контролі відповідно до стандарту.
• Практичне розуміння cloud security (AWS/GCP/Azure): IAM, VPC, security groups, encryption at rest/in transit, logging (CloudTrail, GuardDuty).
• Знання основ мережевої безпеки: firewalling, segmentation (VLANs, subnetting), IDS/IPS, WAF.
• Досвід із SIEM, vulnerability scanners (Nessus, Qualys), інструментами логування (ELK stack, Splunk тощо).
• Досвід роботи з ISO 27001, бажано — сертифікація ISO/IEC 27001:2022 LA/LI або аналогічна.
• Впевнене володіння технічною англійською (читання аудит-репортів, технічної документації, комунікація з постачальниками).
• Бажаний досвід в проходженні сертифікації:PCI ISA / QSA,ISO/IEC 27001 Lead Auditor,CISA / CISSP / Security+,AWS Security Specialty або аналогічний cloud security сертифікат

Ми пропонуємо:

• Участь у побудові процесів безпеки в реальному фінтех-продукті.
• Можливість впливати на архітектуру, вибір технологій, партнерів.
• Сертифікації, навчання та покриття участі в галузевих івентах.
• Команду, яка дійсно займається безпекою, а не лише «checkbox compliance».
• Гнучкий графік, віддалена співпраця, прозора культура.
• Корпоративна англійська.
• Бонуси на ДН.
• Відпустка 28 днів на рік; дей оффи; компенсація лікарняних