🎯 Sobre a vaga

Na Arco, nossa missão é transformar a maneira como o conhecimento é construído nas salas de aula de todo o Brasil. Para isso, buscamos uma pessoa Sênior de Application Security com foco ofensivo, que tenha sólida experiência em testes de invasão (pentest) e queira crescer junto com a gente atuando em um time multidisciplinar e comprometido com a proteção dos nossos produtos, serviços e infraestrutura.

Você será uma das principais referências técnicas no time, com atuação ofensiva em frentes críticas como pentests de aplicações web e mobile, infraestrutura, cloud, redes e APIs. Também será responsável por apoiar a estruturação de processos ofensivos, criação de automações, disseminação de conhecimento e apoio estratégico a outras áreas da empresa.

🚧 Responsabilidades:

- Executar testes de invasão (pentests) técnicos e manuais em aplicações web, mobile, APIs, redes e infraestrutura (on-premises e cloud);
- Conduzir análises ofensivas baseadas em frameworks como OWASP, PTES, MITRE ATT&CK e Cyber Kill Chain;
- Elaborar relatórios técnicos com evidências, recomendações e planos de correção para vulnerabilidades encontradas;
- Apoiar a operação e evolução do programa de bug bounty e exercícios de Red Team internos;
- Automatizar varreduras e ferramentas ofensivas com linguagens como Python ou Go;
- Interagir com áreas como Engenharia, SRE e Produto, explicando vulnerabilidades e riscos de forma acessível;
- Apoiar o fortalecimento da esteira de CI/CD segura com foco em testes contínuos de segurança;
- Contribuir para hardening e revisões ofensivas em ambientes multi-cloud;
- Colaborar com times de infraestrutura na análise ofensiva de redes e servidores;
- Apoiar a construção e revisão de políticas ofensivas e processos relacionados à postura ofensiva da organização.
 -Apoiar o time de resposta a incidentes (CSIRT) em investigações relacionadas a falhas em aplicações, APIs, infraestrutura cloud ou web, atuando na reprodução técnica, análise ofensiva e suporte na mitigação de vetores explorados.

Requisitos:

- Experiência prática em testes de intrusão (pentest) em aplicações web e mobile, APIs, infraestrutura e redes;
- Domínio técnico de ambientes Linux, Windows e MacOs, protocolos de rede e arquitetura de aplicações distribuídas;
- Conhecimento em ambientes de cloud computing, incluindo exploração de configurações;
- Familiaridade com ferramentas de pentest, como Burp Suite, Nmap, Nessus, Metasploit, etc.;
- Experiência com frameworks como OWASP Top 10, OWASP API Top 10, OWASP TOP 10 FOR LLM`s,  PTES, MITRE ATT&CK e Cyber Kill Chain;
- Habilidade com linguagens de script e automação como Python ou Go;
- Conhecimento prático em esteiras CI/CD e segurança em ambientes DevOps;

Desejável:

- Certificações como: OSCP, OSWE e/ou participação em bug bounty e CTFs, inglês intermediário/técnico

🤝 Competências comportamentais
- Capacidade de traduzir temas técnicos complexos de forma simples e objetiva para públicos diversos;
- Perfil consultivo e colaborativo, com habilidade de atuar em conjunto com áreas técnicas e de negócio;
- Autonomia para liderar iniciativas e conduzir investigações ofensivas complexas;
- Boa comunicação com todos os níveis – técnicos e não técnicos;
- Capacidade de aprendizado constante e atualização com tendências em segurança ofensiva;
- Senso de dono e foco em entregar valor real para o negócio."