Especialista Em Segurança

Overview A Stone está com uma oportunidade em seu time de Segurança em Desenvolvimento (AppSec) na área de Segurança da Informação para trabalhar com foco em projetos de Inteligência Artificial, em especial interfaces conversacionais Você gosta de buscar novos desafios e adquirir novos conhecimentos para acelerar o desenvolvimento de carreira? Se sim, venha fazer parte do nosso time de Segurança da Informação, como Analista de Segurança em Desenvolvimento Senior na Stone O time de AppSec tem como propósito garantir que os aplicativos sejam desenvolvidos, mantidos e utilizados de maneira segura e protegida contra ameaças cibernéticas. Buscamos evitar que nossos sistemas tenham vulnerabilidades que possam ser exploradas por criminosos cibernéticos, visando proteger dados sensíveis, a privacidade dos usuários e a integridade das aplicações. Responsabilidades Ser o ponto focal de segurança, colaborando diretamente com times de engenharia em projetos de Inteligência Artificial. Participar e conduzir ativamente revisões de arquitetura para sistemas baseados em IA, desde a concepção até a fase de produção. Realizar threat modeling específico para identificar e mitigar vetores de ataque exclusivos de sistemas de IA. Desenvolver e manter um programa de segurança, abrangendo atividades defensivas e ofensivas, para aplicações de Inteligência Artificial Generativa (GenAI). Domínio de Riscos e Vulnerabilidades de Segurança em IA Possuir profundo conhecimento em riscos de segurança e privacidade específicos de IA, incluindo (mas não limitado a) o OWASP Top 10 for LLMs: Prompt Injection e técnicas de jailbreak. Insecure Output Handling e riscos de execução de código. Data Poisoning em datasets de treino / fine-tuning. Model Denial of Service e ataques de exaustão de recursos. Vulnerabilidades na cadeia de suprimentos (Supply Chain) de modelos, dados e dependências. Vazamento de Informações Sensíveis (Sensitive Information Disclosure). Insecure Plugin Design e riscos associados a tool / function calling. Excessive Agency em sistemas e agentes autônomos. Ataques de Inversão de Modelo e Inferência de Membro (Model Inversion / Membership Inference Attacks). Roubo de Modelo (Model Theft). Segurança em Arquiteturas e Componentes Específicos de IA Avaliação de Pipelines RAG (Retrieval Augmented Generation): foco em segurança de Vector databases, embeddings, estratégias de chunking e manipulação / injeção de contexto. Revisão de Sistemas de Agentes Autônomos: análise de limites de execução de tools / functions, segurança de memória / contexto persistente do agente e transparência de raciocínio (chain-of-thought). Protocolos e Integrações: avaliar a segurança do Model Context Protocol (MCP) e integrações. Fluxos de Fine-tuning: analisar workflows de fine-tuning e riscos de injeção de backdoors. Controles de Segurança: validar a implementação de guardrails e sistemas de filtragem de conteúdo (content filtering). Governança, Compliance e Maturidade em IA Aplicar frameworks de avaliação de maturidade em segurança de IA (ex: OWASP AI Maturity Assessment). Manter-se atualizado sobre regulamentações emergentes (ex: AI Act, Executive Orders) e suas implicações técnicas. Implementar controles de privacidade diferencial e minimização de dados. Estabelecer políticas de governança de modelos e versionamento seguro. Capacidades Técnicas e Operacionais Ciclo de Vida de LLMs: conhecimento aprofundado em pre-training, fine-tuning, RLHF, alignment, padrões de deployment (API-based, on-premise, edge) e implicações de segurança do prompt engineering. Monitoramento e Observabilidade: detecção de model drift, bias drift, concept drift e métricas de segurança (toxicity scores, jailbreak attempts, PII leakage). Realizar anomaly detection e auditoria de prompts e outputs. Infraestrutura de IA em Cloud: experiência com serviços gerenciados de LLM (AWS Bedrock, Azure OpenAI, GCP Vertex AI), segurança de containers para workloads de ML / AI, gerenciamento de segredos (secrets management) e isolamento de rede. Testes e Validação de Segurança : conduzir security assessments de aplicações baseadas em LLM utilizando metodologias específicas. Outras Contribuições e Habilidades Avaliar riscos e definir requisitos e padrões de segurança. Realizar revisões de código e design de arquitetura. Implementar testes de segurança automatizados e auxiliar na mitigação e correção de vulnerabilidades. Promover o treinamento e a sensibilização dos times de desenvolvimento. Integrar segurança de forma eficiente nos processos de desenvolvimento (shift-left). Manter-se atualizado com as tendências de segurança em IA. Utilizar a experiência e intuição de segurança para buscar ameaças nos ambientes corporativos e de produção. Ter iniciativa para buscar ou solicitar dados importantes que estejam ausentes. Desenvolver soluções criativas e complexas que equilibrem riscos e necessidades de negócio. Capacidade plena de leitura e comunicação eficiente em inglês. Requisitos e Qualificações Ter capacidade de identificar oportunidades de melhorias, novas soluções e alertas que possam beneficiar e / ou facilitar a operação. Usar habilidades de influência e negociação para direcionar os times a corrigirem problemas ou a utilizar arquiteturas adequadas do ponto de vista de segurança. Capacidade de trabalhar com autonomia Interesse e dedicação em aprender e se adaptar a cenários que utilizam novas tecnologias com as quais ainda não teve contato e que entreguem mais segurança aos produtos. Comunicar-se de forma concisa, franca e assertiva, sabendo traduzir problemas complexos para uma linguagem acessível ao público com o qual se comunica. Possuir curso Superior (concluído ou em andamento) em Segurança da Informação, Ciência da Computação, Sistemas de Informação, Engenharia de Software, Inteligência Artificial ou cursos relacionados. Paixão por aprender e prosperar em um ambiente dinâmico e em constante mudança. Conhecimento de vetores de ataque comuns Conhecimento dos serviços básicos e conceitos de segurança de Cloud (AWS, Azure ou GCP). Experiência com monitoramento de segurança, análise de logs e ferramentas forenses. Facilidade de trabalhar dentro de times multi-disciplinares com metodologia ágil. O que aumenta suas chances Desenvolvimento de software: conhecimentos que permitam criar códigos para funcionalidades e integrações pontuais, em especial Python. Experiência e conhecimento em tecnologias de Inteligência Artificial, em especial interfaces conversacionais usando LLM. Experiência com gestão de incidentes, vulnerabilidade, riscos, etc. Experiência com guidelines e ferramentas OWASP. Nossos benefícios Plano de Saúde e Odontológico Hospital Digital, da Vitta: contamos com uma equipe médica multidisciplinar, terapeutas e um time de saúde disponível 24 horas por dia 7 dias por semana. Vale Refeição e / ou Vale Alimentação Auxílio Remoto + Setup Inicial (exclusivo para vagas remotas) Horário flexível Benefício Educação - Plataforma interna com acesso a diversos livros, podcasts, treinamentos e vídeo aulas (Studa e Biblioteca StoneCo) Gympass Auxílio Creche PLR Seguro de Vida Vale Transporte (exclusivo para vagas presenciais) Etapas do Processo Seletivo Inscrição: Aqui você começa a sua jornada conosco. Fique tranquilo(a), nosso time analisará as informações do seu perfil e entrará em contato em breve. Entrevistas com o time de People: conhecer nossa cultura, estrutura e o desafio que está sendo proposto. Avaliação Técnica : vamos nos aprofundar nas suas hard skills. Geralmente personalizada em dois papos ou um papo mais o desafio, para avaliar competências técnicas. Check de Cultura: alinhamento com a cultura da empresa. Feedback: teremos retorno independente do resultado. Próximos passos Se curtiu, inscreva-se e #VemSerStone. Aqui na Stone Co. valorizamos as melhores pessoas para melhorar a vida das pessoas empreendedoras do Brasil. Todas as vagas Stone são destinadas a pessoas com deficiência. #J-18808-Ljbffr