Директор по информационной безопасности (CISO)
Руководитель информационной безопасности в международной финтех-компании. Нужно разрабатывать стратегию кибербезопасности, обеспечивать соответствие регуляторам (PCI DSS, GDPR, DORA и др.), управлять SOC и корпоративными IT. Требуется опыт CISO в платежной сфере и знание криптовалют. Предлагают полную удаленку и профессиональное развитие.
Что предстоит делать
<p><strong>TodaPay</strong> — это международная fintech-компания, работающая в сфере цифровых платежей и финансовой инфраструктуры в нескольких юрисдикциях. Мы поддерживаем высокорастущие платежные операции с мультивалютными транзакциями, криптоплатежами и сложными корпоративными структурами.<br> <br><strong>Директор по информационной безопасности (CISO)</strong> — это руководитель C-level, ответственный за<br>информационную безопасность, киберустойчивость и корпоративные ИТ-операции по всей группе. Работая<br>в регулируемой, мультиюрисдикционной среде PSP и fintech, охватывающей эквайринг карт и<br>шлюз, эмиссию карт / BaaS, а также крипто / Web3 платежные рельсы, CISO определяет и реализует<br>корпоративную стратегию безопасности, защищает данные держателей карт, средства клиентов, закрытые ключи и<br>собственные платформы, а также обеспечивает постоянное соответствие требованиям PCI DSS, PSD2/SCA, GDPR,<br>DORA, NIS2, MiCA, SOC 2, ISO 27001, ожиданиям FCA/EBA и эквивалентным требованиям в других действующих юрисдикциях. В дополнение к руководству безопасностью, CISO отвечает за корпоративные ИТ<br>— внутреннюю инфраструктуру, конечные точки, идентификацию, инструменты для повышения производительности и предоставление ИТ-услуг — и управляет их модернизацией в ногу с ростом бизнеса.<br><br><strong>Ключевые обязанности:<br></strong> <br><strong>Стратегия безопасности и управление</strong> <br>• Определять, отвечать за и реализовывать многолетнюю стратегию информационной безопасности и киберустойчивости, согласованную с ростом бизнеса, дорожной картой продуктов и нормативными требованиями.<br>• Создавать и поддерживать Систему управления информационной безопасностью (ISMS) на основе фреймворков контроля ISO 27001, NIST CSF и PCI DSS.<br>• Регулярно отчитываться перед CEO, Исполнительным комитетом и Советом директоров о состоянии безопасности, рисках, инцидентах и потребностях в инвестициях.<br>• Устанавливать и обеспечивать соблюдение корпоративных политик безопасности, стандартов и правил допустимого использования во всех бизнес-подразделениях.<br><br><strong>Нормативное соответствие и управление рисками</strong> <br>• Поддерживать постоянное соответствие требованиям PCI DSS Level 1, PSD2/SCA, GDPR, DORA,<br>NIS2, MiCA (для криптоактивности), SOC 1/SOC 2 Type II, ISO 27001/27017/27018 и<br>руководствам EBA/FCA, а также эквивалентным обязательствам в других действующих юрисдикциях.<br>• Отвечать за реестр рисков безопасности, программу управления рисками третьих сторон / поставщиков и планы обработки рисков; обеспечивать согласованность с корпоративным управлением рисками и CRO.<br>• Руководить внешними и внутренними аудитами, оценками QSA, тестами на проникновение и регуляторными проверками; устранять выявленные несоответствия в согласованные сроки.<br>• Контролировать программу защиты данных в координации с DPO, включая DPIA, местонахождение данных, трансграничные передачи и процедуры уведомления об утечках.</p><p><br><strong>Операции кибербезопасности и инженерия</strong> <br>• Управлять круглосуточным Центром операций безопасности (SOC), охватывающим обнаружение угроз, мониторинг,<br>реагирование на инциденты, цифровую криминалистику и разведку угроз на рельсах эквайринга, эмиссии и<br>криптовалют.<br>• Руководить реагированием на инциденты безопасности, события платежного мошенничества, захват учетных записей и<br>утечки данных; выступать в качестве основного исполнительного интерфейса с регуляторами (FCA, EBA,<br>национальными CA), платежными схемами, эквайерами и правоохранительными органами во время инцидентов.<br>• Развивать управление уязвимостями, red/purple teaming и охоту за угрозами в мультиоблачной<br>(AWS/GCP/Azure), среде данных держателей карт PCI (CDE) и криптокастодиальных/HSM-анклавах.<br>• Внедрять архитектуру Zero Trust, сегментацию сети, криптографию/управление HSM/ключами,<br>токенизацию, управление секретами и безопасные ключевые церемонии для криптокастодиального хранения.</p><p><br><strong>Облачная безопасность, DevSecOps и безопасность продуктов</strong> <br>• Встраивать принципы Security-by-Design и Privacy-by-Design во весь SDLC для платежных<br>шлюзов, эмиссионных платформ, API, мобильных/веб-приложений, порталов для мерчантов/партнеров и<br>криптокошельков.<br>• Отвечать за современный инструментарий DevSecOps: SAST, DAST, SCA, сканирование секретов, сканирование IaC,<br>контейнеров и K8s (CSPM/KSPM), а также политику как код в CI/CD.<br>• Управлять программой облачной безопасности в AWS/GCP/Azure: зоны приземления, защитные ограждения,<br>идентификация рабочих нагрузок, CNAPP, защита во время выполнения и непрерывное соответствие требованиям.<br>• Сотрудничать с отделами разработки и продуктов для обеспечения безопасности новых платежных продуктов,<br>BaaS/эмиссионных API, интеграций открытого банкинга, крипто on/off-ramp и кастодиального хранения, а также случаев использования AI/ML.<br>• Курировать предотвращение мошенничества и финансовых преступлений совместно с отделами Risk, Fraud и AML −3DS2,<br>снятие цифровых отпечатков устройств, поведенческая биометрия, мониторинг транзакций, проверка санкционных списков<br>и Travel Rule для криптопотоков.</p><p><br><strong>Идентификация, доступ и инсайдерские риски</strong> <br>• Отвечать за корпоративную идентификацию (SSO, MFA, PAM, IGA), обеспечение минимальных привилегий,<br>процессы приема/перемещения/увольнения сотрудников и привилегированный доступ к производственным и платежным<br>системам.<br>• Управлять программой инсайдерских рисков и предотвращения потери данных (DLP), охватывающей данные держателей карт,<br>PII и конфиденциальную финансовую информацию.<br><strong>Непрерывность бизнеса и киберустойчивость</strong> <br>• Отвечать за киберустойчивость, аварийное восстановление и планирование непрерывности бизнеса для критически важных<br>услуг обработки платежей, обеспечивая соответствие RTO/RPO нормативным и схемным требованиям.<br>• Регулярно проводить командно-штабные учения, симуляции программ-вымогателей и кризисные тренировки<br>с участием руководства.</p><p><br><strong>Управление корпоративными ИТ и модернизация (дополнительная ответственность)</strong> <br>• Отвечать за корпоративные ИТ «под ключ»: инфраструктуру, сети, пользовательские вычисления,<br>пакеты для совместной работы (Google Workspace), администрирование SaaS, телефонию и переговорные комнаты во всех офисах и для глобально распределенной удаленной рабочей силы.<br>• Реализовывать дорожную карту модернизации корпоративных ИТ: cloud-first, SaaS-first, MDM/UEM,<br>беспарольная идентификация и конвергенция корпоративных сетей.<br>• Отвечать за управление жизненным циклом ИТ-активов и SaaS, лицензирование ПО, оптимизацию расходов<br>(FinOps для SaaS), а также управление ИТ-поставщиками / контрактами.<br>• Обеспечивать безопасную, автоматизированную процедуру приема/увольнения сотрудников и подрядчиков,<br>включая предоставление устройств, права доступа (прием/перемещение/увольнение) и восстановление<br>данных.<br>• Управлять бюджетом корпоративных ИТ, планированием мощностей и операционной эффективностью; согласовывать<br>корпоративные ИТ-контроли с требованиями безопасности, конфиденциальности и нормативными требованиями (включая область DORA ICT).<br>• Поддерживать интеграцию ИТ-инфраструктуры приобретенных компаний в рамках M&A — консолидируя идентификацию,<br>конечные точки, SaaS и сети в соответствии со стандартом группы.<br><br><strong>Люди, культура и осведомленность</strong> <br>• Строить, наставлять и удерживать высокопроизводительную команду безопасности и ИТ; определять карьерные<br>пути, планы найма и преемственность.<br>• Проводить общеорганизационную программу повышения осведомленности о безопасности, симуляции фишинга и ролевое обучение<br>для инженеров, операционных и клиентских команд.<br>• Развивать сильную культуру безопасности и сервиса, которая рассматривает безопасность как фактор, способствующий бизнесу,<br>а не препятствие.<br><br><strong>Бюджет и управление поставщиками</strong> <br>• Отвечать за консолидированный бюджет «Безопасность + Корпоративные ИТ» (капитальные и операционные расходы); оптимизировать расходы<br>на инструменты, услуги и персонал.<br>• Управлять стратегическими отношениями с поставщиками решений безопасности, MSSP, облачными провайдерами, QSA,<br>аудиторами и ИТ-сервисными партнерами.<br><br><strong>Требования:</strong> <br>• 5+ лет в сфере информационной безопасности, из них 3+ года на должности CISO, заместителя CISO или эквивалентной<br>C-level роли внутри PSP, эквайера, эмитента/провайдера BaaS, карточной сети, EMI, банка или<br>регулируемой fintech-компании, работающей в ЕС или США.<br>• Подтвержденная практическая ответственность за программы PCI DSS Level 1 (RoC), PSD2/SCA, GDPR,<br>SOC 2 Type II, ISO 27001; рабочее знание DORA, NIS2 и MiCA.<br>• Подтвержденный опыт руководства безопасностью в стеках эквайринга/шлюза и эмиссии карт или BaaS;<br>обязательно знакомство с крипто / Web3 платежными рельсами и кастодиальным хранением.<br>• Глубокие технические знания в области облачной безопасности (AWS/GCP/Azure), Kubernetes, безопасности API,<br>инструментария DevSecOps, криптографии, HSM/KMS, токенизации и Zero Trust.<br>• Подтвержденный опыт руководства круглосуточным SOC и реагированием на существенные киберинциденты, мошеннические и платежные<br>инциденты — включая коммуникации с регуляторами, платежными схемами и банками-партнерами.<br>• Прямая ответственность за корпоративные ИТ-операции в масштабе (сервисный стол, конечные точки, M365 /<br>Google Workspace, идентификация, сети) и за руководство программой модернизации ИТ.<br>• Подтвержденный опыт успешного партнерства с командами Fraud, AML и Financial Crime — включая<br>мониторинг транзакций, санкционные проверки и внедрение Travel Rule.<br>• Опыт отчетности перед Советами директоров, комитетами по рискам и аудиту, регуляторами и внешними<br>аудиторами.<br><br><strong>Будет плюсом:</strong> <br>• Опыт работы с эмиссионными/процессинговыми платформами (например, Marqeta, Galileo, Paymentology, собственная BIN-спонсируемая эмиссия) и эквайринговыми стеками.<br>• Практическое знакомство с криптокастодиальным хранением (MPC / HSM), стейблкоин-рельсами, on/off-ramp<br>потоками и инструментарием Travel Rule (например, TRP, Notabene, Sumsub).<br>• Опыт в Open Banking, встроенных финансах и BaaS.<br>• Опыт масштабирования безопасности и ИТ в условиях быстрого роста численности персонала, географического<br>расширения и интеграции M&A.<br>• Соответствующие сертификации: CISSP, CISM, CISA, CRISC, CCSP или эквивалент.<br><br><strong>Мы предлагаем:</strong> <br>• Возможность работать в быстрорастущей международной fintech-компании<br>• Возможности профессионального роста вместе с компанией<br>• 24 оплачиваемых отпускных дня в год и 5 оплачиваемых дней больничного в год<br>• 10 дней государственных праздников<br>• Возможность полной удаленной работы или гибридного графика<br>• Дружный и дружелюбный коллектив<br>• Бюджет на профессиональное обучение после 6 месяцев работы в компании<br>• Подарок на день рождения для всех наших сотрудников</p> <div> <a href="https://jobs.dou.ua/companies/marketinghub/vacancies/360291/#reply-btn-id">Відгукнутись на вакансію</a> </div>
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Похожие вакансии
6 вакансий
Руководитель функции антифрод (телеком)
~3 899 889 – 3 899 889 ₸ оценка
Руководитель антифрод-функции в телеком-операторе (MVNO) при Альфа-Банке. Нужно выявлять и предотвращать мошенничество, разрабатывать требования к системам мониторинга, анализировать трафик. Требуется опыт в кибербезопасности и фрод-мониторинге, знание SQL приветствуется. Предлагают ДМС, карьерный рост, корпоративные льготы.
Information Security Lead
~3 899 889 – 3 899 889 ₸ оценка
Ищем Information Security Lead для финтех-проекта в Латинской Америке. Нужно развивать кибербезопасность, внедрять стандарты (PCI DSS, ISO 27001), управлять инцидентами и интегрировать безопасность в процессы разработки. Требуется опыт от 3 лет в ИБ, знание английского Upper-Intermediate, удалённая работа и официальное оформление.
Инженер по безопасности (Infrastructure Security Tech Lead)
~3 899 889 – 3 899 889 ₸ оценка
Международный IT-холдинг ищет Tech Lead по инфраструктурной безопасности. Вы будете определять стратегию и архитектуру защиты, управлять уязвимостями, разрабатывать политики безопасности и менторить команду. Требуется глубокий опыт в облачных провайдерах, Linux, Kubernetes, IaC и Zero Trust, а также знание английского на уровне Upper-Intermediate.
Ведущий инженер по безопасности (Principal Security Engineer)
~3 899 889 – 3 899 889 ₸ оценка
Международная SaaS-компания ищет ведущего специалиста по безопасности для удаленной работы. Вы будете отвечать за безопасность всех 17 доменов платформы, внедрять автоматизированные проверки кода, разрабатывать AI-агента для ревью безопасности и моделировать угрозы. Требуется опыт в application и product security, особенно на AI-проектах. Компания предлагает 30 дней отпуска, оплачиваемые больничные, бюджет на обучение и английский.
Руководитель отдела Application Security
~3 899 889 – 3 899 889 ₸ оценка
Руководитель отдела Application Security: построение процессов безопасной разработки, управление командой, проведение пентестов и анализ уязвимостей. Требуется опыт от 3 лет в практическом анализе защищенности и управлении командой.
Руководитель отдела сетевой безопасности
~3 899 889 – 3 899 889 ₸ оценка
Руководитель отдела сетевой безопасности в МТС Банк. Нужно управлять защитой сети, настраивать IPS/IDS, автоматизировать процессы и руководить командой. Требуется опыт от 5 лет в сетевой безопасности и знания на уровне CCNP.