Company Description
Fineco Bank is a leading European bank with a 20 years history and a fully digital DNA with a branchless approach since the start. Fineco is one of the banks with the widest products range available. We have developed a truly one-stop-solution which includes trading, investment and payment services. We have developed a 100% proprietary platform for trading and investment which covers all customer needs from trading listed and OTC product to investment product such as mutual funds and ETF. In addition to this we also offer banking and payment solution for domestic and international demand.
Position
La figura entra nell’ICT & Security Office come riferimento tecnico per la sicurezza applicativa e l’integrazione della security nelle pipeline di sviluppo. Lavora a stretto contatto con i team di sviluppo, il SOC e le funzioni di governance, con responsabilità diretta sulla qualità e la sicurezza del software prodotto dalla Banca.
La Risorsa Dovrà
* Condurre attività di threat modeling applicativo e security review su architetture software, API e microservizi, integrandosi strutturalmente nei cicli di sviluppo e rilascio.
* Progettare, implementare e manutenere la toolchain di sicurezza nelle pipeline CI/CD: SAST, DAST, SCA, container image scanning, secrets detection.
* Eseguire secure code review su componenti critiche, identificando vulnerabilità e definendo remediation plan con i team di sviluppo.
* Definire e aggiornare le linee guida di sviluppo sicuro (secure coding standards), calibrate sullo stack tecnologico della Banca.
* Gestire il ciclo di vita delle vulnerabilità applicative: triage, prioritizzazione basata su rischio, tracking della remediation, verifica della chiusura.
* Valutare la postura di sicurezza delle API esposte e dei servizi di integrazione, definendo controlli e standard di protezione.
Requirements
Requisiti:
* 5–7 anni di esperienza in application security, DevSecOps o software security engineering in contesti enterprise strutturati.
* Competenza pratica su threat modeling applicativo (STRIDE, PASTA) e su processi di security review integrati nel ciclo di sviluppo.
* Esperienza hands-on con strumenti SAST, DAST e SCA di nuova generazione, incluse soluzioni con capacità di triage AI-assisted e auto-remediation, e loro integrazione in pipeline CI/CD.
* Conoscenza approfondita di OWASP Top 10, OWASP ASVS e delle vulnerabilità applicative più comuni in contesti web, API REST e microservizi.
* Familiarità con la sicurezza dei container (Docker, Kubernetes) e con il scanning delle immagini in fase di build e deploy.
* Capacità di condurre secure code review su componenti applicative critiche, con comprensione delle vulnerabilità specifiche degli stack tecnologici in uso.
* Comunicazione tecnica efficace con interlocutori eterogenei: team di sviluppo, SOC, infrastruttura, governance. Capacità di guidare gli sviluppatori verso soluzioni sicure senza rallentare il delivery.
* Italiano madrelingua, inglese professionale (documentazione tecnica, interazione con vendor internazionali).
Nice To Have
* Certificazioni rilevanti: CSSLP (ISC²), OSWE (Offensive Security), GCSA (GIAC).
* Esperienza con Infrastructure as Code security (Terraform, Ansible) e strumenti IaC cloud-native (es: Bicep), nonché policy-as-code (OPA, Sentinel).
* Familiarità con framework di threat modeling orientati alla privacy (es. LINDDUN), rilevante nel contesto bancario e GDPR.
* Background di sviluppo software: esperienza da developer migliora la capacità di interazione con i team di engineering.
Other information
Cosa offriamo
Un’infrastruttura tecnologica mission-critical, con una piattaforma proprietaria che serve 1,8 milioni di clienti in tempo reale. Un contesto in cui la sicurezza applicativa ha impatto diretto sul business: il core banking e il sistema di brokerage sono sviluppati internamente, il che significa lavorare sul codice che muove la Banca. Responsabilità dirette su un perimetro d’azione rilevante, all’interno di una funzione con peso strategico. Esposizione regolamentare strutturata, inclusa DORA, che rende la sicurezza del software parte integrante della governance complessiva.
Sede di lavoro: Milano (alternanza presenza in sede e smart working)
Il Gruppo Fineco è orgoglioso di essere un Equal Opportunity Employer e si impegna a creare un ambiente di lavoro sicuro e inclusivo, fondato sul rispetto reciproco e la valorizzazione di qualsiasi diversità, offrendo pari opportunità di lavoro. Fineco “The Place To Be”