Application Security Engineer II

Das Unternehmen ist stolz darauf, ein preisgekröntes Unternehmen zu sein, das sowohl lokal als auch national in mehreren Arbeitsplatzkategorien anerkannt ist. Unsere Weltklasse-Kultur wird von engagierten Teammitgliedern geprägt, die bestrebt sind, als Fachleute sowohl individuell als auch im Team erfolgreich zu sein. Unterstützt von einem starken Produkt, außergewöhnlichen Menschen und einer stabilen finanziellen Grundlage sind wir zu einem führenden Anbieter von Gebraucht- und Neuwagenfinanzierungen im ganzen Land gewachsen.

Unser Engineering- und Analytics-Team nutzt die neueste Technologie, um komplexe Praktiken zu entwickeln, zu überwachen und aufrechtzuerhalten, die unseren Erfolg optimieren. Unsere Teammitglieder schätzen es, herausgefordert zu werden, werden ermutigt, ihre Ideen auszudrücken, und haben die Flexibilität, eine ausgewogene Work-Life-Balance zu genießen. Wir schaffen intrinsischen Wert, indem wir mit allen Funktionen unseres Unternehmens zusammenarbeiten, um deren Erfolg zu unterstützen und strategische Geschäftsentscheidungen zu treffen. Wir konzentrieren uns auf berufliche Entwicklung und kontinuierliche Verbesserung, während wir eine lockere Arbeitsumgebung und eine großartige Arbeitsplatzkultur genießen!

Der Application Security Engineer ist verantwortlich für die Sicherung der Software und Anwendungen, die das Unternehmen entwickelt, kauft und betreibt. Diese Rolle arbeitet eng mit den Teams für Engineering, Produkt, Architektur und Geschäft zusammen, um sicherzustellen, dass Anwendungen, die sensible Verbraucher-, Händler- und Kreditsdaten verarbeiten, sicher entworfen, entwickelt und bereitgestellt werden, wobei sowohl interne Sicherheitsstandards als auch die regulatorischen Erwartungen eines Finanzdienstleistungsumfelds erfüllt werden.

Diese Position konzentriert sich darauf, Sicherheit in den Softwareentwicklungslebenszyklus einzubetten, indem sie praktische technische Anleitung bietet, Bedrohungsmodellierung und Sicherheitsüberprüfungen von Anwendungen durchführt, sichere Entwurfsmuster und Richtlinien definiert und Engineering-Teams unterstützt, während sie moderne Web-, Mobile-, API- und cloudbasierte Anwendungen erstellen und pflegen.

Ergebnisse und Aktivitäten

Diese Position kann von zu Hause aus arbeiten; gelegentliche geplante Reisen zu einem zugewiesenen Bürostandort in Southfield, Michigan, können erforderlich sein. Diese Position darf jedoch auch an einem Bürostandort in Southfield, Michigan, arbeiten, wenn dies vom Teammitglied angefordert wird.

• Zusammenarbeit mit Engineering- und Architekturteams zur Gestaltung und Überprüfung von Anwendungsarchitekturen (Web, Mobile, API und Microservices) hinsichtlich Sicherheit, Datenschutz und regulatorischer Compliance.
• Durchführung von Sicherheitsüberprüfungen von Anwendungen und Diensten in jeder Phase des SDLC, einschließlich Design, Code, Aufbau von Pipelines, Abhängigkeiten, Infrastruktur als Code und Drittanbieterkomponenten.
• Identifizierung und Minderung von Risiken wie: Injection, Authentifizierungs-/Autorisierungsfehler, unsichere Handhabung von NPI, PII und Zahlungsdaten, Management von Schwachstellen in Open-Source-Abhängigkeiten und Risiken in der Software-Lieferkette, unsichere Cloud-Konfigurationen, Geheimnisverwaltung und exponierte APIs.
• Unterstützung bei Bedrohungsmodellierung und Risikoanalysen für neue und bestehende Anwendungen, Unterstützung der Teams bei der Umsetzung praktischer Minderung.
• Bewertung und Unterstützung bei der Minderung von Sicherheitsrisiken, die durch KI-unterstützte und agentische Entwicklungstools eingeführt werden.

Governance, Standards und Richtlinien

• Beitrag zu und Operationalisierung von Anwendungssicherheitsstandards, sicheren Codierungsrichtlinien und sicheren Entwurfsmustern, die im gesamten Unternehmen verwendet werden.
• Bewertung von Anwendungssicherheitstools und Anbietern, um sicherzustellen, dass sie mit Sicherheits-, Datenschutz- und Compliance-Anforderungen übereinstimmen.
• Unterstützung der Einhaltung regulatorischer und branchenspezifischer Rahmenwerke in Zusammenarbeit mit rechtlichen, Compliance-, Prüfungs- und Risikopartnern.

Zusammenarbeit & Beratung

• Als vertrauenswürdiger Sicherheitsberater für Engineering-, Produkt- und DevOps-Teams fungieren, die Anwendungen im Unternehmen erstellen, warten und betreiben.
• Teilnahme an Designüberprüfungen, Sprint-Planungen und Architektur-Arbeitsitzungen, die sich auf sichere Entwicklung und Bereitstellung konzentrieren.
• Bereitstellung von Leitlinien zur sicheren Nutzung von Frameworks, Bibliotheken, APIs, Authentifizierungssystemen und Cloud-Diensten, die mit Unternehmenssystemen und -daten interagieren.

Kontinuierliche Verbesserung

• Aktuell bleiben zu Bedrohungen, Schwachstellen und Best Practices in der Anwendungssicherheit.
• Empfehlung von Verbesserungen für Tools, Prozesse und Kontrollen zur Stärkung der Anwendungssicherheitslage des Unternehmens.
• Beitrag zu interner Dokumentation, Schulungen zur sicheren Codierung und Sicherheitsaktivierung für Entwickler und Engineering-Teams.

Kompetenzen

• Kundenempathie: Die Fähigkeit, die Perspektiven, Schmerzpunkte und Erfahrungen der Kunden zu verstehen.
• Engineering Excellence: Hohe Standards, Best Practices, Innovation und überlegene Lösungen verfolgen.
• One Team: Eine kollaborative Herangehensweise, bei der Einzelpersonen nahtlos zusammenarbeiten.
• Owner's Mindset: Verantwortung, Rechenschaftspflicht und proaktives Management des eigenen Bereichs übernehmen.

Erforderlich

• Abschluss eines Bachelor-Studiums oder gleichwertige Erfahrung.
• 3+ Jahre Erfahrung in der Anwendungssicherheit, Produktsicherheit oder sicherer Softwareentwicklung.
• 2+ Jahre praktische Erfahrung in der Durchführung von Sicherheitsüberprüfungen von Anwendungen, Penetrationstests, Bedrohungsmodellierung oder sicherer Codeüberprüfung.

Bevorzugt

• Erfahrung in der Sicherung moderner Web-, Mobile- und API-basierter Anwendungen in einer regulierten Branche.
• Vertrautheit mit OWASP Top 10, OWASP ASVS und OWASP SAMM.
• Erfahrung mit Cloud-Plattformen und containerisierten Umgebungen.
• Kenntnisse der relevanten regulatorischen und Compliance-Anforderungen.

Wissen und Fähigkeiten

• Starkes Verständnis moderner Softwareentwicklungspraktiken, Frameworks und Architekturen.
• Kenntnisse gängiger Anwendungsschwachstellen und Ausnutzungstechniken.
• Fähigkeit, Sicherheitsrisiken und Empfehlungen klar zu kommunizieren.

Zielvergütung: Ein wettbewerbsfähiges Grundgehalt von $85,695 – $125,685. Diese Position ist berechtigt für einen jährlichen variablen Bargeldbonus zwischen 7,5 - 15%. Leistungen: Ausgezeichnetes Leistungspaket, das 401(K)-Zuschüsse, Unterstützung bei der Adoption, Elternzeit, Studiengebührenrückerstattung und umfassende medizinische/dentale/visuelle Leistungen umfasst.

Das Unternehmen setzt sich dafür ein, eine sichere und integrative Arbeitsumgebung für alle zu bieten. Im Rahmen unserer Kultur der Compliance sind wir stolz darauf, ein Arbeitgeber mit Chancengleichheit zu sein und schätzen unsere kulturell vielfältige Belegschaft. Alle qualifizierten Bewerber erhalten unabhängig von Alter, Rasse, Farbe, Religion, Geschlecht, Geschlechtsidentität, sexueller Orientierung, nationaler Herkunft, Veteranen- oder Behinderungsstatus, strafrechtlicher Vorgeschichte oder anderen gesetzlich geschützten Merkmalen Berücksichtigung für eine Anstellung.