Security Software Engineer – FinTech

Responsabilidades, Competencias y Experiencia

Riesgo, cumplimiento y protección del usuario

• Traducir requisitos regulatorios e ISO 27001 a controles concretos en el código y la arquitectura (no quedarse en el documento de política).
• Asegurar que los roles y permisos dentro de la app sean correctos: autorización con menor privilegio, aislamiento entre tenants/organizaciones en el BaaS, y prevención de escalamiento de privilegios.
• Velar por la trazabilidad y auditabilidad: logs de acceso y de acciones sensibles, integridad del ledger, evidencia disponible para auditorías.
• Manejo correcto de datos personales (PII): minimización, retención y eliminación según las leyes de protección de datos de cada país donde operamos.
• Embeber controles preventivos en el producto (límites, validaciones, soporte a KYC/KYB, screening de sanciones/AML según corresponda) para que los problemas no lleguen a ocurrir, en vez de detectarlos después.
• Trabajar codo a codo con Legal/Compliance: el rol implementa y verifica los controles en el sistema; Legal/Compliance define qué exige la norma. La fortaleza está en cerrar la brecha entre ambos.

Competencias

• Experiencia sólida desarrollando en Ruby on Rails(o framework similar) en producción.
• Experiencia real aplicando seguridad en el ciclo de desarrollo: revisión segura de código, manejo de vulnerabilidades, OWASP Top 10 aplicado a APIs.
• Experiencia administrando Google Cloud Platform (GCP) y entornos Linux.
• Conocimientos de redes: VPNs, proxies, firewalls, balanceadores de carga.
• Enfoque de seguridad basada en riesgo: capacidad de priorizar y equilibrar protección con la operación del negocio (no buscamos "seguridad absoluta" —no existe—; buscamos criterio).
• Mentalidad de cumplimiento y prevención: experiencia traduciendo requisitos regulatorios o de auditoría a controles en software, diseñando modelos de roles/permisos correctos y manejando datos sensibles con criterio. Entender que proteger al usuario y al negocio es parte del trabajo, no algo aparte.
• Inglés escrito de lectura técnica fluida.

Habilidades Blandas

• Pensamiento estratégico
• Comunicación efectiva.
• Alta orientación a resultados, calidad y eficiencia operativa.
• Enfoque en innovación y mejora continua.
• Toma de decisiones bajo presión.
• Proactividad y adaptabilidad.
• Ética profesional e integridad.
• Criterio para equilibrar seguridad y negocio: capacidad de evaluar riesgos con perspectiva práctica, priorizando la protección sin bloquear la operación.
• Orientación a resolver problemas: foco en encontrar soluciones y aprender de los incidentes, sin buscar culpables.

Projects

Buscamos un ingeniero de software que escriba y revise código todos los días y que, al mismo tiempo, sea el dueño técnico de la seguridad del producto y la infraestructura. Entendemos la seguridad de forma amplia: no es solo buen código y defensa frente a amenazas, también es prevenir problemas y proteger al usuario y al negocio — que el sistema cumpla las obligaciones legales y regulatorias de cada país, que los roles y permisos dentro de la app sean correctos, y que los datos de nuestros usuarios estén protegidos por diseño. No es un rol de "diseñar políticas y mantener": es un rol híbrido donde la seguridad y el cumplimiento se ejercen dentro del ciclo de desarrollo y la capacidad de desarrollo aporta valor continuo al equipo de producto.

Principales responsabilidades

• Revisar código con criterio de seguridad como parte del flujo de PRs (no como auditoría externa al equipo).
• Hacer threat modeling de funcionalidades nuevas, especialmente flujos de dinero, KYC/KYB y APIs públicas.
• Gestionar el ciclo de vulnerabilidades: dependencias, secretos, parcheo, remediación de hallazgos de pentests.
• Construir o integrar tooling de seguridad en el pipeline (SAST/DAST/SCA, escaneo de secretos, gates en CI).

• Mantener y endurecer la postura de seguridad en GCP: IAM, redes privadas, VPNs, proxies, firewalls, balanceadores, Cloud Armor.
• Aplicar buenas prácticas de IaC (Terraform) y revisar configuraciones de infraestructura con foco de riesgo.

• Contribuir de forma sostenida al producto: features, mejoras de plataforma, refactors y deuda técnica.
• Aportar especialmente en componentes con implicancia de seguridad (autenticación, autorización, manejo de datos sensibles, idempotencia y manejo de errores en APIs de pago).

Resiliencia operativa y respuesta a incidentes

• Mantener planes de continuidad de negocio y recuperación ante incidentes.
• Participar en turnos rotativos de on-call (planificados y compensados) y liderar la respuesta técnica cuando corresponda.
• Producir y mantener evidencia para auditorías ISO 27001 y requisitos regulatorios por país.

Beneficios y modalidad

• Modalidad híbrida: 2 días en oficina, 3 días remoto.
• Las primeras semanas son presenciales para el proceso de inducción al equipo.
• Oficinas ubicadas Santiago (metro Manquehue).
• En caso de residir fuera de Santiago, se requiere disponibilidad para visitar las oficinas al menos 2 veces al mes.
• Participará en turnos rotativos de disponibilidad para incidentes críticos, previamente planificados y compensados
• Día libre por cumpleaños.
• Te unirás a un equipo joven, dinámico, multicultural de 4 países del mundo.
• Acceso a plataforma de capacitación

Deseables

• Docker y Kubernetes (GKE), Helm.
• Pipelines CI/CD con GitLab (runners, stages, jobs, templating).
• Infraestructura como código con Terraform.
• Experiencia previa en fintech o en entornos regulados (PCI-DSS, ISO 27001).
• Certificaciones GCP o de seguridad (se valoran, no reemplazan la experiencia).
• Experiencia en operación multi-país y cumplimiento regulatorio por región.