Especialista em segurança

A Stone está com uma oportunidade em seu time de Segurança em Desenvolvimento (AppSec) na área de Segurança da Informação para trabalhar com foco em projetos de Inteligência Artificial, em especial interfaces conversacionais Você gosta de buscar novos desafios e adquirir novos conhecimentos para acelerar o desenvolvimento de carreira? Se sim, venha fazer parte do nosso time de Segurança da Informação, como Analista de Segurança em Desenvolvimento Senior na Stone

O time de AppSec tem como propósito garantir que os aplicativos sejam desenvolvidos, mantidos e utilizados de maneira segura e protegida contra ameaças cibernéticas. Buscamos evitar que nossos sistemas tenham vulnerabilidades que possam ser exploradas por criminosos cibernéticos, visando proteger dados sensíveis, a privacidade dos usuários e a integridade das aplicações.

Como é ser Analista de Segurança em Desenvolvimento Senior?

Dentre as atividades de trabalho esperadas, estão:

Estratégia, Colaboração e Arquitetura Segura em IA:

• Ser o ponto focal de segurança, colaborando diretamente com times de engenharia em projetos de Inteligência Artificial.
• Participar e conduzir ativamente revisões de arquitetura para sistemas baseados em IA, desde a concepção até a fase de produção.
• Realizar threat modeling específico para identificar e mitigar vetores de ataque exclusivos de sistemas de IA.
• Desenvolver e manter um programa de segurança, abrangendo atividades defensivas e ofensivas, para aplicações de Inteligência Artificial Generativa (GenAI).

Domínio de Riscos e Vulnerabilidades de Segurança em IA:

• Possuir profundo conhecimento em riscos de segurança e privacidade específicos de IA, incluindo (mas não limitado a) o OWASP Top 10 for LLMs:
• Prompt Injection e técnicas de jailbreak.
• Insecure Output Handling e riscos de execução de código.
• Data Poisoning em datasets de treino/fine-tuning.
• Model Denial of Service e ataques de exaustão de recursos.
• Vulnerabilidades na cadeia de suprimentos (Supply Chain) de modelos, dados e dependências.
• Vazamento de Informações Sensíveis (Sensitive Information Disclosure).
• Insecure Plugin Design e riscos associados a tool/function calling.
• Excessive Agency em sistemas e agentes autônomos.
• Ataques de Inversão de Modelo e Inferência de Membro (Model Inversion/Membership Inference Attacks).
• Roubo de Modelo (Model Theft).

Segurança em Arquiteturas e Componentes Específicos de IA:

• Avaliação de Pipelines RAG (Retrieval Augmented Generation): Foco em segurança de Vector databases, embeddings, estratégias de chunking e manipulação/injeção de contexto.
• Revisão de Sistemas de Agentes Autônomos: Análise de limites de execução de tools/functions, segurança de memória/contexto persistente do agente e transparência de raciocínio (chain-of-thought).
• Protocolos e Integrações: Avaliar a segurança do Model Context Protocol (MCP) e integrações.
• Fluxos de Fine-tuning: Analisar workflows de fine-tuning e riscos de injeção de backdoors.
• Controles de Segurança: Validar a implementação de guardrails e sistemas de filtragem de conteúdo (content filtering).

Governança, Compliance e Maturidade em IA:

• Aplicar frameworks de avaliação de maturidade em segurança de IA (ex: OWASP AI Maturity Assessment).
• Manter-se atualizado sobre regulamentações emergentes (ex: AI Act, Executive Orders) e suas implicações técnicas.
• Implementar controles de privacidade diferencial e minimização de dados.
• Estabelecer políticas de governança de modelos e versionamento seguro.

Capacidades Técnicas e Operacionais:

• Ciclo de Vida de LLMs: Conhecimento aprofundado em pre-training, fine-tuning, RLHF, alignment, padrões de deployment (API-based, on-premise, edge) e implicações de segurança do prompt engineering.
• Monitoramento e Observabilidade: Implementar a detecção de model drift, bias drift, concept drift e métricas de segurança (ex: toxicity scores, jailbreak attempts, PII leakage). Realizar anomaly detection e auditoria de prompts e outputs.
• Infraestrutura de IA em Cloud: Experiência com serviços gerenciados de LLM (ex: AWS Bedrock, Azure OpenAI, GCP Vertex AI), segurança de containers para workloads de ML/AI, gerenciamento de segredos (secrets management) e isolamento de rede.

Testes e Validação de Segurança:

• Conduzir security assessments de aplicações baseadas em LLM utilizando metodologias específicas.
• Realizar exercícios simulando ataques como prompt injection, jailbreak, cenários de exfiltração de dados e adversarial inputs.
• Validar controles de rate limiting, prevenção de abuso e gerenciamento de custos.
• Testar sandboxing e isolamento para execução de código.

Outras Contribuições e Habilidades:

• Avaliar riscos e definir requisitos e padrões de segurança.
• Realizar revisões de código e design de arquitetura.
• Implementar testes de segurança automatizados e auxiliar na mitigação e correção de vulnerabilidades.
• Promover o treinamento e a sensibilização dos times de desenvolvimento.
• Integrar segurança de forma eficiente nos processos de desenvolvimento (shift-left).
• Manter-se atualizado com as tendências de segurança em IA.
• Utilizar a experiência e intuição de segurança para buscar ameaças nos ambientes corporativos e de produção.
• Ter iniciativa para buscar ou solicitar dados importantes que estejam ausentes.
• Desenvolver soluções criativas e complexas que equilibrem riscos e necessidades de negócio.
• Capacidade plena de leitura e comunicação eficiente em inglês.

O que esperamos de você:

• Ter capacidade de identificar oportunidades de melhorias, novas soluções e alertas que possam beneficiar e/ou facilitar a operação
• Usar habilidades de influência e negociação para direcionar os times a corrigirem problemas ou a utilizar arquiteturas adequadas do ponto de vista de segurança
• Capacidade de trabalhar com autonomia
• Interesse e dedicação em aprender e se adaptar a cenários que utilizam novas tecnologias com as quais ainda não teve contato e que entreguem mais segurança aos produtos
• Comunicar-se de forma concisa, franca e assertiva, sabendo traduzir problemas complexos para uma linguagem acessível ao público com o qual se comunica
• Possuir curso Superior (concluído ou em andamento) em Segurança da Informação, Ciência da Computação, Sistemas de Informação, Engenharia de Software, Inteligência Artificial ou cursos relacionados
• Paixão por aprender e prosperar em um ambiente dinâmico e em constante mudança
• Conhecimento de vetores de ataque comuns
• Conhecimento dos serviços básicos e conceitos de segurança de Cloud (AWS, Azure ou GCP)
• Experiência com monitoramento de segurança, análise de logs e ferramentas forenses
• Facilidade de trabalhar dentro de times multi-disciplinares com metodologia ágil

O que aumenta suas chances:

• Desenvolvimento de software: conhecimentos que permitam criar códigos para funcionalidades e integrações pontuais, em especial Python
• Experiência e conhecimento em tecnologias de Inteligência Artificial, em especial interfaces conversacionais usando LLM (Large Language Model)
• Experiência com gestão de incidentes, vulnerabilidade, riscos,etc
• Experiência com guidelines e ferramentas OWASP

Nossos benefícios:

Plano de Saúde e Odontológico

Hospital Digital, da Vitta: contamos com uma equipe médica multidisciplinar, terapeutas e um time de saúde disponível 24 horas por dia 7 dias por semana de forma rápida e prática

Vale Refeição e/ou Vale Alimentação

Auxílio Remoto + Setup Inicial (exclusivo para vagas remotas)

Horário flexível

✏ Benefício Educação - Plataforma interna com acesso a diversos livros, podcasts, treinamentos e vídeo aulas visando o autodesenvolvimento (Studa e Biblioteca StoneCo)

Gympass

Auxílio Creche

PLR

Seguro de Vida

Vale Transporte (exclusivo para vagas presenciais)

Etapas do Processo Seletivo:

✍Inscrição: Aqui você começa a sua jornada conosco. Fique tranquilo(a), nosso time analisará as informações do seu perfil e entrará em contato em breve. Boa sorte

Entrevistas com o time de People: Este é o momento de nos conhecermos Você terá um papo inicial com nosso time de recrutamento, com o objetivo de conhecer nossa cultura, estrutura e o desafio que está sendo proposto.

Avaliação Técnica: Nesta etapa vamos nos aprofundar nas suas hard skills Geralmente essa avaliação é composta por dois papos ou um papo mais o desafio, com o objetivo de avaliar habilidades e competências técnicas específicas para a vaga. Além de te apresentar possíveis pares e liderança.

✅Check de Cultura: Nossa cultura é muito importante e está sempre presente no dia a dia Aqui, você terá um papo com uma das nossas pessoas guardiãs da cultura, com o objetivo de nos conhecer e garantir que nossas crenças, nosso jeito de pensar e nossa visão de futuro estão alinhadas com o que você acredita e busca vivenciar.

Feedback: Uma de nossas forças é a franqueza. Por isso, independente do resultado, iremos compartilhá-lo com você e alinhar os próximos passos.

E aí? Curtiu? Então, não deixa de se inscrever e #VemSerStone

Aqui na Stone Co., valorizamos e procuramos as melhores pessoas para nos ajudar a melhorar a vida das pessoas empreendedoras do Brasil. Nosso sonho é do tamanho do universo e, se você se identifica com o nosso propósito, venha construí-lo com a gente

Além das vagas afirmativas, todas as vagas Stone também são destinadas a pessoas com deficiência.