GRC-спеціаліст

Ми bill_line — fintech-компанія, що народжена в Україні, але підкорює світ платежів у всьому світі.
Наш основний продукт — платіжне рішення для будь-якого онлайн бізнесу, і ми робимо його кращим кожного дня. Клієнтом bill_line є будь-який бізнес, який потребує платіжного рішення: від невеликого інтернет-магазину до банків, страхових компаній чи благодійних організацій.
Зараз ми в пошуку технічного, практичного GRC-спеціаліста з глибокою експертизою в PCI DSS 4.0.
Це не роль “юридичного райтера”. Нам потрібен спеціаліст, який не просто описує контролі, а розуміє:
- як вони технічно реалізовані,
- який ризик знижують,
- як працюють щодня,
- як довести їх ефективність під час аудиту (evidence, тестування, continuous compliance).

🧠 Вимоги

3+ роки досвіду у сфері GRC / Security Compliance / IT Audit / Risk Management з технічним бекграундом.

Практичне розуміння:
🔹 Мережі та сегментація
- Firewalls, security groups;
- Ingress/egress правила;
- WAF.

🔹 Linux, контейнери, Kubernetes
- Базові принципи namespace;
- RBAC;
- Робота з secrets;
- Ingress.

🔹 CI/CD та SDLC
- Change control;
- Approvals;
- Separation of duties;
- Evidence релізів;

🔹 Логування та моніторинг
- SIEM-концепції;
- Централізоване логування;
- Політики зберігання логів;
- Синхронізація часу;

🔹 Vulnerability Management
- Сканування;
- Тріаж;
- Патчинг;
- Винятки;

🔹 Шифрування та управління ключами
- TLS;
- Encryption at rest;
- Підхід KMS / HSM;

🔎 Обов’язкова експертиза:
- Глибокі знання та/або практичний досвід впровадження PCI DSS 4.0
(або PCI DSS 3.2.1 з переходом на 4.0);
- Вміння чітко пояснити для кожного контролю:
який ризик він покриває;
як саме реалізований технічно;
як тестується;
які докази потрібні, як забезпечується постійний моніторинг.

🚀 Обов’язки
🔐 Управління програмою PCI DSS 4.0
- Повне володіння програмою комплаєнсу: планування, roadmap, відповідальність за контролі;
- Підготовка до QSA-аудиту та супровід перевірок.

🛠 Переклад вимог PCI у технічні контролі
- Сегментація, IAM/MFA;
- Logging & Monitoring;
- Vulnerability Management;
- SDLC / Change Management;
- Encryption & Key Management.

📊 Побудова Control Matrix / Control Framework
- Опис контролю;
- Локація впровадження (AWS / EKS / CI/CD / application);
- Власник контролю та періодичність;
- Тип доказів та механіка збору;
- Методологія тестування.

📁 Підготовка до аудитів
- Формування evidence-пакетів;
- Walkthrough;
- Робота з зауваженнями;
- Планування ремедіацій;
- Закриття findings.

🔄 Continuous Compliance
- Побудова процесів постійного контролю, а не «раз на рік перед аудитом»;
- Access reviews;
- Firewall/WAF review;
- Configuration checks;
- Vulnerability scanning & patching;
- Retention та alerting,

🤝 Взаємодія з командами
- Тісна співпраця з DevOps та Engineering;
- Контроль правильності та стійкості реалізованих контролів.

🏢 Third-party security
- Робота з вендорами у частині PCI;
- AOC / attestations;
- Security requirements;
- Risk assessments.

⭐ Буде перевагою
- Досвід роботи з AWS Security (IAM, VPC, CloudTrail, Config, GuardDuty, Security Hub, KMS) та/або EKS;
- Досвід прямої взаємодії з QSA та підготовки до ROC/AOC;
- Автоматизація збору evidence (скрипти, дашборди, звітність).

Сертифікації:
- PCIP;
- CISA;
- CRISC;
- ISO 27001 (LI/LA);
- AWS Security Specialty.
 

💡Що ми пропонуємо:

🌐Наш HQ у незламному Києві, поблизу станції метро Звіринецька. Також маємо крутий EU-офіс, якщо ви релоковані;
👨‍💻У тебе одразу буде все для роботи (найкраща техніка, підписки на необхідні сервіси та все, що зробить тебе ефективним);
⚡Розглядаємо як віддалений, так і гібридний формат роботи;
При гібридному форматі понеділок, середа і п'ятниця в офісі, а в інші дні за вибором. Будь певен: у нашому робочому просторі навіть під час блекаутів тебе чекає стабільний вайфай, те саме “електрохарчування”, незалежне опалення, спортзона, душ та навіть місце для сну!;
😎Ми резиденти Дія.City, а тому надаємо різні опції працевлаштування з першого дня роботи;
🏖️Маємо 24 днів оплачуваної відпустки. Якщо ти трудоголік і не використав її – компенсуємо грошима;
💊Оплачуємо лікарняні в повному обсязі;
🥗 корпоративні обіди на власний смак від GudFood;
👩‍🔬Обов'язкове медичне страхування;
🧘‍♀️Сесії з психологами - підтримуємо ментальне здоров’я.


💡 Як ми розважаємося

Крута команда — наш головний актив і привід для гордості. Твої майбутні колеги люблять активний відпочинок, помірятися донатами на ЗСУ, поділитися враженнями про фільм або послухати улюблену музику разом. Нерідко ми закінчуємо робочий тиждень веселим п’ятничним міні-паті у колі колег.

💡 People care

Це наш принцип у внутрішній корпоративній культурі: ми підтримуємо одне одного, а компанія допомагає реалізації та професійному зростанню колег.
Піклуємося про здоров’я колег та проводимо Дні Здоров’я.

💡 Навчання і розвиток

Ми регулярно беремо участь у топових міжнародних fintech, e-commerce, crypto- конференціях, зустрічах.
Ми оплачуємо навчання (курси, тренінги, семінари) для професійного зростання і розвитку команди.
Підтримуємо у вивченні англійської мови або інший мов, особливо для експансії на нові ринки!