<p></p> <p></p> <p><strong>Nossa história</strong></p> <p>Impactar desde o dia um. Foi com essa certeza que João Pedro Resende e Mateus Bicalho fundaram a Hotmart em 2011. Nascemos como uma startup e hoje somos uma empresa global de tecnologia, que entrega um ecossistema completo de soluções seguras e integradas para quem deseja criar, vender e escalar negócios digitais. E o melhor de tudo? Estamos só começando.</p> <p>De cursos que mudam vidas a comunidades de nicho, todo tipo de história já aconteceu aqui. 1 em cada 4 brasileiros já consumiu conteúdo pela nossa plataforma. Afinal de contas, se as pessoas têm algo a ensinar, a Hotmart tem tudo para fazer acontecer.</p> <p><strong>Nossas pessoas</strong></p> <p>Hoje, somos mais de 1.700 Troopers espalhados pelo Brasil, Espanha, Colômbia, México, Estados Unidos e Países Baixos, onde fica localizada a nossa sede. E não importa onde estamos, o impacto positivo que geramos na vida das pessoas é o que torna o nosso trabalho único.</p> <p>A transformação que queremos ver no mundo, começa em nós. Por isso, trabalhar na Hotmart é crescer com empatia, colaboração e responsabilidade. É saber que a inovação e a alta performance estão no nosso DNA. Porque o digital nos deu asas e jamais deixaremos o protagonismo para trás!&nbsp;</p> <p><strong><span style="text-decoration: underline;">Aqui você impacta de verdade.</span><br></strong></p> <p><strong>Sobre a vaga</strong></p> <p>Estamos procurando um(a) Senior Application Security Engineer para ajudar a fortalecer a segurança de nossas aplicações, APIs, ciclo de vida de desenvolvimento e arquitetura de produtos modernos.&nbsp;</p> <p>Este cargo é focado em <strong><span style="text-decoration: underline;">Segurança de Aplicações com uma mentalidade ofensiva</span></strong>. O profissional trabalhará em estreita colaboração com as equipes de engenharia e de produto para identificar riscos de segurança logo no início, validar vulnerabilidades por meio de testes controlados, apoiar práticas de desenvolvimento seguro e avaliar riscos emergentes relacionados ao uso de IA, LLMs, automação e sistemas baseados em agentes.</p> <p>Esta não é uma função tradicional voltada apenas para Red Team, nem uma função exclusiva de IA. Estamos buscando alguém que entenda de desenvolvimento seguro, consiga realizar testes de segurança práticos (hands-on) e seja capaz de avaliar como novas tecnologias, como a IA, podem introduzir riscos de segurança nas aplicações e nos fluxos de negócios.</p> <p><strong>Principais atividades</strong></p> <ul> <li>Realizar avaliações de segurança em aplicações web, APIs, microsserviços, integrações e fluxos críticos de negócios.</li> <li>Identificar e validar vulnerabilidades como falhas de controle de acesso, IDOR/BOLA, mass assignment, falhas de autenticação e autorização, webhooks inseguros, falhas de injeção, SSRF, exposição de dados, escalada de privilégios e abuso de lógica de negócios.</li> <li>Conduzir testes práticos (hands-on) de segurança em aplicações e APIs utilizando técnicas de segurança ofensiva de maneira controlada e responsável.</li> <li>Apoiar práticas de desenvolvimento seguro ao longo de todo o SDLC (Ciclo de Vida de Desenvolvimento de Software), incluindo revisões de design seguro, modelagem de ameaças, requisitos de segurança, suporte a code review e priorização de vulnerabilidades.</li> <li>Trabalhar em estreita colaboração com as equipes de engenharia para explicar descobertas, avaliar o impacto, recomendar correções práticas e apoiar a remediação.</li> <li>Avaliar riscos de segurança em recursos baseados em IA, integrações de LLM, fluxos de trabalho de automação, copilotos, sistemas baseados em RAG e aplicações agênticas, quando aplicável.</li> <li>Ajudar a identificar riscos como injeção de prompt (prompt injection), vazamento de dados sensíveis, uso inseguro de ferramentas, autonomia excessiva (excessive agency), limites fracos de autorização e integração insegura com sistemas internos.</li> <li>Criar scripts, ferramentas e automações para melhorar os testes de segurança, a coleta de evidências, a validação de vulnerabilidades e os fluxos de trabalho de AppSec.</li> <li>Contribuir para diretrizes de segurança, playbooks, checklists e padrões internos de segurança de aplicações, segurança de APIs e riscos relacionados à IA.&nbsp;</li> <li>Produzir relatórios claros e acionáveis com evidências técnicas, impacto para o negócio, severidade e orientações para remediação.</li> </ul> <p><strong>Requisitos essenciais</strong></p> <ul> <li>Sólida experiência em Segurança de Aplicações (AppSec), Segurança de Produto (ProdSec), Testes de Penetração (Pentest) em Web/APIs ou Segurança Ofensiva com foco em aplicações.</li> <li>Compreensão robusta de práticas de desenvolvimento seguro e dos riscos comuns de segurança de software.</li> <li>Experiência prática (hands-on) em testes de aplicações web, APIs, fluxos de autenticação, modelos de autorização, lógica de negócios, integrações e microsserviços.</li> <li>Forte conhecimento de OWASP Top 10, OWASP API Top 10, autenticação, autorização, OAuth/OIDC, JWT, APIs REST/GraphQL, webhooks e princípios de codificação segura.</li> <li>Capacidade de identificar, validar e explicar de forma clara as vulnerabilidades e seu impacto no mundo real.</li> <li>Experiência com ferramentas como Burp Suite, Postman/Insomnia, Nuclei, Semgrep, ferramentas de SAST/SCA/DAST, GitHub/GitLab, Docker ou tecnologias semelhantes.</li> <li>Capacidade de automatizar tarefas de segurança utilizando Python, JavaScript, Bash, Go ou outra linguagem de programação/scripting.</li> <li>Boa habilidade de comunicação para trabalhar com equipes de engenharia, produto e segurança.</li> <li>Capacidade de escrever documentação técnica clara, incluindo passos para reprodução, evidências, análise de impacto, severidade e recomendações de remediação.</li> </ul> <p><strong>Diferenciais</strong></p> <ul> <li>Experiência com Red Team, Purple Team, programas de bug bounty, CTFs ou testes de segurança adversarial.</li> <li>Experiência com segurança em nuvem (Cloud Security), containers, Kubernetes, esteiras de CI/CD, infraestrutura como código (IaC) e práticas de DevSecOps.</li> <li>Familiaridade com tópicos de Segurança em IA, tais como segurança de LLMs, prompt injection, segurança de RAG, agentes de IA, uso inseguro de ferramentas, autonomia excessiva, vazamento de modelos/dados e evasão de proteções (guardrail bypass).</li> <li>Conhecimento de frameworks como OWASP ASVS, OWASP LLM Top 10, OWASP Agentic Security, MITRE ATT&amp;CK, MITRE ATLAS, NIST SSDF, CIS Controls ou PCI DSS.</li> <li>Experiência nos setores de fintech, meios de pagamento, marketplaces, SaaS ou produtos digitais de alta escala.</li> <li>Experiência no desenvolvimento de ferramentas internas, scripts ou automações para apoiar testes de segurança e gestão de vulnerabilidades.</li> </ul> <p></p> <p><strong>O que esperamos desse cargo</strong></p> <ul> <li>Pensar como um atacante, mas trabalhar como parceria da engenharia.</li> <li>Entender como as aplicações são projetadas, desenvolvidas, implantadas e abusadas.</li> <li>Traduzir vulnerabilidades técnicas em riscos de negócios.</li> <li>Ajudar as equipes a corrigir problemas de maneira prática e escalável.</li> <li>Trazer profundidade em segurança ofensiva sem perder a perspectiva do desenvolvimento seguro. Manter-se atualizada sobre os riscos emergentes relacionados à IA e ajudar a empresa a adotar a IA de forma segura.</li> </ul> <p></p><div class="content-conclusion"><p><strong>POR QUE TRANSFORMAR AO NOSSO LADO?</strong></p> <ul> <li>Plano de saúde e odontológico com cobertura nacional, sem custo para o colaborador e com coparticipação para cônjuge e dependentes;&nbsp;</li> <li>Vale refeição/alimentação (Flash - bandeira Visa);&nbsp;</li> <li>Benefício flexível (Flash Multibenefícios - bandeira Visa), podendo ser destinado à alimentação, refeição, mobilidade (aplicativos de transporte, combustível, transporte público em SP), cultura, saúde e educação;</li> <li>Previdência privada;&nbsp;</li> <li>Vale transporte;</li> <li>Seguro de vida;</li> <li>Wellhub;</li> <li>Auxílio creche para filhos de até cinco anos;</li> <li>Budget de educação: valor destinado aos investimentos relacionados à sua educação, de forma a contribuir para desenvolver e potencializar suas competências;</li> <li>Incentivo ao aprendizado de idiomas por meio de plataforma online;</li> <li>Baby On Board: benefício oferecido para as pessoas que estão se preparando para a maternidade e paternidade;&nbsp;</li> <li>Licença maternidade estendida (180 dias);</li> <li>Licença Paternidade estendida (30 dias);</li> <li>Conexa Saúde: acesso online gratuito a profissionais da área da saúde - Nutricionista e Psicólogo;</li> <li>Participação anual nos lucros e resultados da companhia (PLR);</li> <li>Hotmart Recharge: bônus de 30% do salário bruto mensal, pago após cumprir o período aquisitivo de férias de 30 dias.</li> </ul> <p>&nbsp;</p> <p><strong>VEM PRA HOTMART</strong></p> <p>Fazer parte do nosso time é ter a certeza de que seu trabalho transforma vidas em escala global. Vem para a Hotmart e faça parte dessa transformação!</p> <p>&nbsp;</p></div>