MÔ TẢ CÔNG VIỆC

• Thực hiện đánh giá an toàn thông tin (hình thức Black/Grey/White box) cho các ứng dụng trên nền tảng Web, Mobile (ưu tiên flutter), Desktop và hạ tầng trong lĩnh vực Fintech.
• Lập kế hoạch và tham gia triển khai đánh giá bảo mật, kiểm thử xâm nhập đối với hệ thống máy chủ, máy trạm, cơ sở dữ liệu, network, tư vấn phương pháp khắc phục lỗ hổng giảm rủi ro.
• Phối hợp các đội ngũ và thực hiện phân tích chuyên sâu trên các máy chủ, hệ thống để xác định các nguồn xâm nhập và lỗ hổng với các dấu hiệu và sự cố. Có khả năng phân tích mã nguồn để phát hiện lỗ hổng bảo mật trong các ngôn ngữ như Php/JavaScript/Golang …
• Nghiên cứu các lỗ hổng bảo mật mới, phương pháp mới trong khai thác lỗ hổng và tấn công, viết mã khai thác dựa trên các CVE đã công bố, đề xuất áp dụng và cải tiến phương pháp quy trình thực hiện đánh giá bảo mật.
• Thực hiện và phối hợp với các bộ phận khác đáp ứng đánh giá tuân thủ PCI DSS, ISO 27001 … và các quy định liên quan đến trung gian thanh toán.
• Phối hợp với Team chính sách tuân thủ để thực hiện đánh giá rủi ro và cải thiện rủi ro, đào tạo lỗ hổng An Toàn Thông Tin và phát hiện vi phạm an toàn thông tin.
• Thực hiện các nhiệm vụ chuyên môn khác theo phân công.

YÊU CẦU

• Tốt nghiệp chính quy chuyên ngành Công nghệ thông tin, An toàn thông tin hoặc các chuyên ngành tương đương.
• Có kinh nghiệm tối thiểu 3 dự án pentest, bao gồm phân tích mã nguồn và khai thác lỗ hổng phức tạp, hoặc tối thiểu 1–3 năm kinh nghiệm Pentest.
• Nắm vững quy trình pentest, giao tiếp hiệu quả với đội kỹ thuật.
• Nắm vững các lỗ hổng bảo mật thường gặp theo Top 10 OWASP Web/Api/Mobile. Các tiêu chuẩn bảo mật Cloud (GCP, AWS) như CIS Benchmarks. Và rủi ro về cloud storage bucket, permission, misconfiguration, iam, vpc…
• Có khả năng lập trình an toàn ứng dụng web ngôn ngữ bất kỳ (ưu tiên Php, Python…), nghiên cứu và phát triển script/tools (Python, Bash) phục vụ công việc pentest.
• Sử dụng thành thạo các công cụ như Burp Suite, SQLMap, Acunetix, Nesus, ZAP, Frida, MobSF, Nmap, Semgrep, Kali linux, Metasploit, SonarQube ….

Lợi thế: 

• • Kinh nghiệm thực tế đặc biệt có CVE, Join red team, Join CTF, có bug bounty (H1, BugCrowd).
  • Có sở hữu chứng chỉ bảo mật như OSWE,OSEP, GWAPT, OSCP hoặc tương đương.
  • Ứng dụng AI cho việc phân tích tìm kiếm và tự động hóa tìm kiếm lỗ hổng.
  • Ưu tiên từng làm trong Fintech, Ngân hàng, E-wallet, hệ thống giao dịch lớn hoặc Red Team của các công ty về ATTT.

CHẾ DỘ ĐÃI NGỘ

Thu nhập & Đãi ngộ minh bạch, hấp dẫn

• Thu nhập thỏa thuận theo năng lực
• Thưởng tháng dành cho cá nhân & team xuất sắc
• Thưởng cuối năm & thưởng nóng theo kết quả kinh doanh và hiệu quả công việc.
• Quà, thưởng các dịp lễ, tết
• Review lương định kỳ 6 tháng/lần, ghi nhận đúng năng lực & đóng góp.

Phúc lợi đời sống & chăm sóc sức khỏe

• Trợ cấp ăn trưa coupon 40.000đ/ngày qua ví điện tử nội bộ, sử dụng trực tiếp tại canteen Funtime.
• Miễn phí vé gửi xe tháng.
• Khám sức khỏe định kỳ hằng năm tại các bệnh viện.
• Bảo hiểm đầy đủ: BHXH, BHYT, BHTN theo Luật Lao động.
• Bảo hiểm sức khỏe cao cấp (từ cấp Lead trở lên, hỗ trợ mua thêm cho người thân).

Gắn kết – Phát triển – Trải nghiệm

• Year End Party, Summer Trip, Outing, team building 2 lần/năm và các sự kiện nội bộ định kỳ.
• Đào tạo chuyên môn & kỹ năng, chương trình phát triển năng lực rõ ràng.
• Môi trường làm việc năng động, nhiều hoạt động văn hóa nội bộ.
• CLB chăm sóc sức khỏe thể chất & tinh thần: Yoga, bóng đá, cầu lông…

Thời gian làm việc: Thứ 2 – Thứ 6 (9:00 – 18:00) và 2 – 3 sáng thứ 7 cách tuần làm việc theo hình thức remote

Văn phòng làm việc: 19 Tố Hữu, Thanh Xuân, Hà Nội