Перейти к содержимому
T
TodaPay

Директор по информационной безопасности (CISO)

Руководитель информационной безопасности в международной финтех-компании. Нужно разрабатывать стратегию кибербезопасности, обеспечивать соответствие регуляторам (PCI DSS, GDPR, DORA и др.), управлять SOC и корпоративными IT. Требуется опыт CISO в платежной сфере и знание криптовалют. Предлагают полную удаленку и профессиональное развитие.

lead удалённо
Языки: Английский · Advanced
Вакансии в Telegram-канале
Свежие вакансии Каждый день
Подписаться
??%
Match Score
Войдите и создайте резюме
Войти
описание

Что предстоит делать

<p><strong>TodaPay</strong> — это международная fintech-компания, работающая в сфере цифровых платежей и финансовой инфраструктуры в нескольких юрисдикциях. Мы поддерживаем высокорастущие платежные операции с мультивалютными транзакциями, криптоплатежами и сложными корпоративными структурами.<br> <br><strong>Директор по информационной безопасности (CISO)</strong> — это руководитель C-level, ответственный за<br>информационную безопасность, киберустойчивость и корпоративные ИТ-операции по всей группе. Работая<br>в регулируемой, мультиюрисдикционной среде PSP и fintech, охватывающей эквайринг карт и<br>шлюз, эмиссию карт / BaaS, а также крипто / Web3 платежные рельсы, CISO определяет и реализует<br>корпоративную стратегию безопасности, защищает данные держателей карт, средства клиентов, закрытые ключи и<br>собственные платформы, а также обеспечивает постоянное соответствие требованиям PCI DSS, PSD2/SCA, GDPR,<br>DORA, NIS2, MiCA, SOC 2, ISO 27001, ожиданиям FCA/EBA и эквивалентным требованиям в других действующих юрисдикциях. В дополнение к руководству безопасностью, CISO отвечает за корпоративные ИТ<br>— внутреннюю инфраструктуру, конечные точки, идентификацию, инструменты для повышения производительности и предоставление ИТ-услуг — и управляет их модернизацией в ногу с ростом бизнеса.<br><br><strong>Ключевые обязанности:<br></strong> <br><strong>Стратегия безопасности и управление</strong> <br>• Определять, отвечать за и реализовывать многолетнюю стратегию информационной безопасности и киберустойчивости, согласованную с ростом бизнеса, дорожной картой продуктов и нормативными требованиями.<br>• Создавать и поддерживать Систему управления информационной безопасностью (ISMS) на основе фреймворков контроля ISO 27001, NIST CSF и PCI DSS.<br>• Регулярно отчитываться перед CEO, Исполнительным комитетом и Советом директоров о состоянии безопасности, рисках, инцидентах и потребностях в инвестициях.<br>• Устанавливать и обеспечивать соблюдение корпоративных политик безопасности, стандартов и правил допустимого использования во всех бизнес-подразделениях.<br><br><strong>Нормативное соответствие и управление рисками</strong> <br>• Поддерживать постоянное соответствие требованиям PCI DSS Level 1, PSD2/SCA, GDPR, DORA,<br>NIS2, MiCA (для криптоактивности), SOC 1/SOC 2 Type II, ISO 27001/27017/27018 и<br>руководствам EBA/FCA, а также эквивалентным обязательствам в других действующих юрисдикциях.<br>• Отвечать за реестр рисков безопасности, программу управления рисками третьих сторон / поставщиков и планы обработки рисков; обеспечивать согласованность с корпоративным управлением рисками и CRO.<br>• Руководить внешними и внутренними аудитами, оценками QSA, тестами на проникновение и регуляторными проверками; устранять выявленные несоответствия в согласованные сроки.<br>• Контролировать программу защиты данных в координации с DPO, включая DPIA, местонахождение данных, трансграничные передачи и процедуры уведомления об утечках.</p><p><br><strong>Операции кибербезопасности и инженерия</strong> <br>• Управлять круглосуточным Центром операций безопасности (SOC), охватывающим обнаружение угроз, мониторинг,<br>реагирование на инциденты, цифровую криминалистику и разведку угроз на рельсах эквайринга, эмиссии и<br>криптовалют.<br>• Руководить реагированием на инциденты безопасности, события платежного мошенничества, захват учетных записей и<br>утечки данных; выступать в качестве основного исполнительного интерфейса с регуляторами (FCA, EBA,<br>национальными CA), платежными схемами, эквайерами и правоохранительными органами во время инцидентов.<br>• Развивать управление уязвимостями, red/purple teaming и охоту за угрозами в мультиоблачной<br>(AWS/GCP/Azure), среде данных держателей карт PCI (CDE) и криптокастодиальных/HSM-анклавах.<br>• Внедрять архитектуру Zero Trust, сегментацию сети, криптографию/управление HSM/ключами,<br>токенизацию, управление секретами и безопасные ключевые церемонии для криптокастодиального хранения.</p><p><br><strong>Облачная безопасность, DevSecOps и безопасность продуктов</strong> <br>• Встраивать принципы Security-by-Design и Privacy-by-Design во весь SDLC для платежных<br>шлюзов, эмиссионных платформ, API, мобильных/веб-приложений, порталов для мерчантов/партнеров и<br>криптокошельков.<br>• Отвечать за современный инструментарий DevSecOps: SAST, DAST, SCA, сканирование секретов, сканирование IaC,<br>контейнеров и K8s (CSPM/KSPM), а также политику как код в CI/CD.<br>• Управлять программой облачной безопасности в AWS/GCP/Azure: зоны приземления, защитные ограждения,<br>идентификация рабочих нагрузок, CNAPP, защита во время выполнения и непрерывное соответствие требованиям.<br>• Сотрудничать с отделами разработки и продуктов для обеспечения безопасности новых платежных продуктов,<br>BaaS/эмиссионных API, интеграций открытого банкинга, крипто on/off-ramp и кастодиального хранения, а также случаев использования AI/ML.<br>• Курировать предотвращение мошенничества и финансовых преступлений совместно с отделами Risk, Fraud и AML −3DS2,<br>снятие цифровых отпечатков устройств, поведенческая биометрия, мониторинг транзакций, проверка санкционных списков<br>и Travel Rule для криптопотоков.</p><p><br><strong>Идентификация, доступ и инсайдерские риски</strong> <br>• Отвечать за корпоративную идентификацию (SSO, MFA, PAM, IGA), обеспечение минимальных привилегий,<br>процессы приема/перемещения/увольнения сотрудников и привилегированный доступ к производственным и платежным<br>системам.<br>• Управлять программой инсайдерских рисков и предотвращения потери данных (DLP), охватывающей данные держателей карт,<br>PII и конфиденциальную финансовую информацию.<br><strong>Непрерывность бизнеса и киберустойчивость</strong> <br>• Отвечать за киберустойчивость, аварийное восстановление и планирование непрерывности бизнеса для критически важных<br>услуг обработки платежей, обеспечивая соответствие RTO/RPO нормативным и схемным требованиям.<br>• Регулярно проводить командно-штабные учения, симуляции программ-вымогателей и кризисные тренировки<br>с участием руководства.</p><p><br><strong>Управление корпоративными ИТ и модернизация (дополнительная ответственность)</strong> <br>• Отвечать за корпоративные ИТ «под ключ»: инфраструктуру, сети, пользовательские вычисления,<br>пакеты для совместной работы (Google Workspace), администрирование SaaS, телефонию и переговорные комнаты во всех офисах и для глобально распределенной удаленной рабочей силы.<br>• Реализовывать дорожную карту модернизации корпоративных ИТ: cloud-first, SaaS-first, MDM/UEM,<br>беспарольная идентификация и конвергенция корпоративных сетей.<br>• Отвечать за управление жизненным циклом ИТ-активов и SaaS, лицензирование ПО, оптимизацию расходов<br>(FinOps для SaaS), а также управление ИТ-поставщиками / контрактами.<br>• Обеспечивать безопасную, автоматизированную процедуру приема/увольнения сотрудников и подрядчиков,<br>включая предоставление устройств, права доступа (прием/перемещение/увольнение) и восстановление<br>данных.<br>• Управлять бюджетом корпоративных ИТ, планированием мощностей и операционной эффективностью; согласовывать<br>корпоративные ИТ-контроли с требованиями безопасности, конфиденциальности и нормативными требованиями (включая область DORA ICT).<br>• Поддерживать интеграцию ИТ-инфраструктуры приобретенных компаний в рамках M&A — консолидируя идентификацию,<br>конечные точки, SaaS и сети в соответствии со стандартом группы.<br><br><strong>Люди, культура и осведомленность</strong> <br>• Строить, наставлять и удерживать высокопроизводительную команду безопасности и ИТ; определять карьерные<br>пути, планы найма и преемственность.<br>• Проводить общеорганизационную программу повышения осведомленности о безопасности, симуляции фишинга и ролевое обучение<br>для инженеров, операционных и клиентских команд.<br>• Развивать сильную культуру безопасности и сервиса, которая рассматривает безопасность как фактор, способствующий бизнесу,<br>а не препятствие.<br><br><strong>Бюджет и управление поставщиками</strong> <br>• Отвечать за консолидированный бюджет «Безопасность + Корпоративные ИТ» (капитальные и операционные расходы); оптимизировать расходы<br>на инструменты, услуги и персонал.<br>• Управлять стратегическими отношениями с поставщиками решений безопасности, MSSP, облачными провайдерами, QSA,<br>аудиторами и ИТ-сервисными партнерами.<br><br><strong>Требования:</strong> <br>• 5+ лет в сфере информационной безопасности, из них 3+ года на должности CISO, заместителя CISO или эквивалентной<br>C-level роли внутри PSP, эквайера, эмитента/провайдера BaaS, карточной сети, EMI, банка или<br>регулируемой fintech-компании, работающей в ЕС или США.<br>• Подтвержденная практическая ответственность за программы PCI DSS Level 1 (RoC), PSD2/SCA, GDPR,<br>SOC 2 Type II, ISO 27001; рабочее знание DORA, NIS2 и MiCA.<br>• Подтвержденный опыт руководства безопасностью в стеках эквайринга/шлюза и эмиссии карт или BaaS;<br>обязательно знакомство с крипто / Web3 платежными рельсами и кастодиальным хранением.<br>• Глубокие технические знания в области облачной безопасности (AWS/GCP/Azure), Kubernetes, безопасности API,<br>инструментария DevSecOps, криптографии, HSM/KMS, токенизации и Zero Trust.<br>• Подтвержденный опыт руководства круглосуточным SOC и реагированием на существенные киберинциденты, мошеннические и платежные<br>инциденты — включая коммуникации с регуляторами, платежными схемами и банками-партнерами.<br>• Прямая ответственность за корпоративные ИТ-операции в масштабе (сервисный стол, конечные точки, M365 /<br>Google Workspace, идентификация, сети) и за руководство программой модернизации ИТ.<br>• Подтвержденный опыт успешного партнерства с командами Fraud, AML и Financial Crime — включая<br>мониторинг транзакций, санкционные проверки и внедрение Travel Rule.<br>• Опыт отчетности перед Советами директоров, комитетами по рискам и аудиту, регуляторами и внешними<br>аудиторами.<br><br><strong>Будет плюсом:</strong> <br>• Опыт работы с эмиссионными/процессинговыми платформами (например, Marqeta, Galileo, Paymentology, собственная BIN-спонсируемая эмиссия) и эквайринговыми стеками.<br>• Практическое знакомство с криптокастодиальным хранением (MPC / HSM), стейблкоин-рельсами, on/off-ramp<br>потоками и инструментарием Travel Rule (например, TRP, Notabene, Sumsub).<br>• Опыт в Open Banking, встроенных финансах и BaaS.<br>• Опыт масштабирования безопасности и ИТ в условиях быстрого роста численности персонала, географического<br>расширения и интеграции M&A.<br>• Соответствующие сертификации: CISSP, CISM, CISA, CRISC, CCSP или эквивалент.<br><br><strong>Мы предлагаем:</strong> <br>• Возможность работать в быстрорастущей международной fintech-компании<br>• Возможности профессионального роста вместе с компанией<br>• 24 оплачиваемых отпускных дня в год и 5 оплачиваемых дней больничного в год<br>• 10 дней государственных праздников<br>• Возможность полной удаленной работы или гибридного графика<br>• Дружный и дружелюбный коллектив<br>• Бюджет на профессиональное обучение после 6 месяцев работы в компании<br>• Подарок на день рождения для всех наших сотрудников</p> <div> <a href="https://jobs.dou.ua/companies/marketinghub/vacancies/360291/#reply-btn-id">Відгукнутись на вакансію</a> </div>

навыки

Стек и инструменты

Поделиться

Подходит ли вам эта вакансия?

Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть

Создать аккаунт PDF-парсинг резюме за 2 минуты

Похожие вакансии

6 вакансий
АЛЬФА-МОБАЙЛ
А
АЛЬФА-МОБАЙЛ
16 ч. назад

Руководитель функции антифрод (телеком)

~3 899 889 – 3 899 889 ₸ оценка

Руководитель антифрод-функции в телеком-операторе (MVNO) при Альфа-Банке. Нужно выявлять и предотвращать мошенничество, разрабатывать требования к системам мониторинга, анализировать трафик. Требуется опыт в кибербезопасности и фрод-мониторинге, знание SQL приветствуется. Предлагают ДМС, карьерный рост, корпоративные льготы.

антифрод кибербезопасность фрод-мониторинг +3
lead удал. hh
Finstar Financial Group
F
Finstar Financial Group
18 ч. назад

Information Security Lead

~3 899 889 – 3 899 889 ₸ оценка

Ищем Information Security Lead для финтех-проекта в Латинской Америке. Нужно развивать кибербезопасность, внедрять стандарты (PCI DSS, ISO 27001), управлять инцидентами и интегрировать безопасность в процессы разработки. Требуется опыт от 3 лет в ИБ, знание английского Upper-Intermediate, удалённая работа и официальное оформление.

Information Security CISSP CISM +11
lead удал. hh
N
N1 INTERACTIVE Ltd
1 д. назад

Инженер по безопасности (Infrastructure Security Tech Lead)

~3 899 889 – 3 899 889 ₸ оценка

Международный IT-холдинг ищет Tech Lead по инфраструктурной безопасности. Вы будете определять стратегию и архитектуру защиты, управлять уязвимостями, разрабатывать политики безопасности и менторить команду. Требуется глубокий опыт в облачных провайдерах, Linux, Kubernetes, IaC и Zero Trust, а также знание английского на уровне Upper-Intermediate.

Infrastructure Security Tech Lead AWS +27
lead удал. hh
ITExpert
I
ITExpert
2 д. назад

Ведущий инженер по безопасности (Principal Security Engineer)

~3 899 889 – 3 899 889 ₸ оценка

Международная SaaS-компания ищет ведущего специалиста по безопасности для удаленной работы. Вы будете отвечать за безопасность всех 17 доменов платформы, внедрять автоматизированные проверки кода, разрабатывать AI-агента для ревью безопасности и моделировать угрозы. Требуется опыт в application и product security, особенно на AI-проектах. Компания предлагает 30 дней отпуска, оплачиваемые больничные, бюджет на обучение и английский.

Application Security SAST DAST +5
lead удал. dj
Банк ДОМ.РФ
Б
Банк ДОМ.РФ
2 д. назад

Руководитель отдела Application Security

~3 899 889 – 3 899 889 ₸ оценка

Руководитель отдела Application Security: построение процессов безопасной разработки, управление командой, проведение пентестов и анализ уязвимостей. Требуется опыт от 3 лет в практическом анализе защищенности и управлении командой.

SSDLC пентест OSA +7
lead удал. hh
МТС Банк
М
МТС Банк
2 д. назад

Руководитель отдела сетевой безопасности

~3 899 889 – 3 899 889 ₸ оценка

Руководитель отдела сетевой безопасности в МТС Банк. Нужно управлять защитой сети, настраивать IPS/IDS, автоматизировать процессы и руководить командой. Требуется опыт от 5 лет в сетевой безопасности и знания на уровне CCNP.

сетевая безопасность IPS/IDS YARA +9
lead удал. hh