Security Software Engineer – FinTech

Riesgo, cumplimiento y protección del usuarioTraducir requisitos regulatorios e ISO 27001 a controles concretos en el código y la arquitectura (no quedarse en el documento de política).Asegurar que los roles y permisos dentro de la app sean correctos: autorización con menor privilegio, aislamiento entre tenants/organizaciones en el BaaS, y prevención de escalamiento de privilegios.Velar por la trazabilidad y auditabilidad: logs de acceso y de acciones sensibles, integridad del ledger, evidencia disponible para auditorías.Manejo correcto de datos personales (PII): minimización, retención y eliminación según las leyes de protección de datos de cada país donde operamos.Embeber controles preventivos en el producto (límites, validaciones, soporte a KYC/KYB, screening de sanciones/AML según corresponda) para que los problemas no lleguen a ocurrir, en vez de detectarlos después.Trabajar codo a codo con Legal/Compliance: el rol implementa y verifica los controles en el sistema; Legal/Compliance define qué exige la norma. La fortaleza está en cerrar la brecha entre ambos.CompetenciasExperiencia sólida desarrollando en Ruby on Rails(o framework similar) en producción.Experiencia real aplicando seguridad en el ciclo de desarrollo: revisión segura de código, manejo de vulnerabilidades, OWASP Top 10 aplicado a APIs.Experiencia administrando Google Cloud Platform (GCP) y entornos Linux.Conocimientos de redes: VPNs, proxies, firewalls, balanceadores de carga.Enfoque de seguridad basada en riesgo: capacidad de priorizar y equilibrar protección con la operación del negocio (no buscamos "seguridad absoluta" —no existe—; buscamos criterio).Mentalidad de cumplimiento y prevención: experiencia traduciendo requisitos regulatorios o de auditoría a controles en software, diseñando modelos de roles/permisos correctos y manejando datos sensibles con criterio. Entender que proteger al usuario y al negocio es parte del trabajo, no algo aparte.Inglés escrito de lectura técnica fluida.Habilidades BlandasPensamiento estratégicoComunicación efectiva.Alta orientación a resultados, calidad y eficiencia operativa.Enfoque en innovación y mejora continua.Toma de decisiones bajo presión.Proactividad y adaptabilidad.Ética profesional e integridad.Criterio para equilibrar seguridad y negocio: capacidad de evaluar riesgos con perspectiva práctica, priorizando la protección sin bloquear la operación.Orientación a resolver problemas: foco en encontrar soluciones y aprender de los incidentes, sin buscar culpables. Seguridad de aplicaciones y productoRevisar código con criterio de seguridad como parte del flujo de PRs (no como auditoría externa al equipo).Hacer threat modeling de funcionalidades nuevas, especialmente flujos de dinero, KYC/KYB y APIs públicas.Gestionar el ciclo de vulnerabilidades: dependencias, secretos, parcheo, remediación de hallazgos de pentests.Construir o integrar tooling de seguridad en el pipeline (SAST/DAST/SCA, escaneo de secretos, gates en CI).Seguridad cloud e infraestructura (GCP)Mantener y endurecer la postura de seguridad en GCP: IAM, redes privadas, VPNs, proxies, firewalls, balanceadores, Cloud Armor.Aplicar buenas prácticas de IaC (Terraform) y revisar configuraciones de infraestructura con foco de riesgo.Desarrollo en Ruby on RailsContribuir de forma sostenida al producto: features, mejoras de plataforma, refactors y deuda técnica.Aportar especialmente en componentes con implicancia de seguridad (autenticación, autorización, manejo de datos sensibles, idempotencia y manejo de errores en APIs de pago).Resiliencia operativa y respuesta a incidentesMantener planes de continuidad de negocio y recuperación ante incidentes.Participar en turnos rotativos de on-call (planificados y compensados) y liderar la respuesta técnica cuando corresponda.Producir y mantener evidencia para auditorías ISO 27001 y requisitos regulatorios por país. Buscamos un ingeniero de software que escriba y revise código todos los días y que, al mismo tiempo, sea el dueño técnico de la seguridad del producto y la infraestructura. Entendemos la seguridad de forma amplia: no es solo buen código y defensa frente a amenazas, también es prevenir problemas y proteger al usuario y al negocio — que el sistema cumpla las obligaciones legales y regulatorias de cada país, que los roles y permisos dentro de la app sean correctos, y que los datos de nuestros usuarios estén protegidos por diseño. No es un rol de "diseñar políticas y mantener": es un rol híbrido donde la seguridad y el cumplimiento se ejercen dentro del ciclo de desarrollo y la capacidad de desarrollo aporta valor continuo al equipo de producto. Modalidad híbrida: 2 días en oficina, 3 días remoto.Las primeras semanas son presenciales para el proceso de inducción al equipo.Oficinas ubicadas Santiago (metro Manquehue).En caso de residir fuera de Santiago, se requiere disponibilidad para visitar las oficinas al menos 2 veces al mes.Participará en turnos rotativos de disponibilidad para incidentes críticos, previamente planificados y compensadosDía libre por cumpleaños.Te unirás a un equipo joven, dinámico, multicultural de 4 países del mundo.Acceso a plataforma de capacitación Docker y Kubernetes (GKE), Helm.Pipelines CI/CD con GitLab (runners, stages, jobs, templating).Infraestructura como código con Terraform.Experiencia previa en fintech o en entornos regulados (PCI-DSS, ISO 27001).Certificaciones GCP o de seguridad (se valoran, no reemplazan la experiencia).Experiencia en operación multi-país y cumplimiento regulatorio por región.