Senior Security Engineer

SoBanHang
SoBanHang

Software Engineering

Ho Chi Minh City, Vietnam

Posted on Jul 1, 2026

SENIOR SECURITY ENGINEER

Địa điểm làm việc: 173 Trần Não, Phường An Khánh, TP. Hồ Chí Minh (làm việc tại văn phòng)

Giờ làm việc: Thứ Hai – Thứ Sáu (08:30 – 18:00), Thứ Bảy (08:30 – 12:00)

VỀ CHÚNG TÔI

Finan đang xây dựng nền tảng kinh doanh ứng dụng AI hàng đầu Đông Nam Á, giúp các doanh nghiệp vừa và nhỏ (SME) quản lý, vận hành và tăng trưởng một cách tự tin.

Các sản phẩm chủ lực của chúng tôi:

  • SoBanHang - Ứng dụng bán hàng và quản lý kinh doanh số 1 Việt Nam dành cho tiểu thương và hộ kinh doanh.
  • FinanBook - Nền tảng quản lý tài chính – kế toán hiện đại, giúp SME tự động hóa nghiệp vụ ngân hàng và kế toán thông minh.

CHÚNG TÔI ĐANG XÂY DỰNG GÌ

Chúng tôi xây dựng một nền tảng vận hành ứng dụng AI, phục vụ nhiều khách hàng, nhiều khu vực và nhiều lĩnh vực khác nhau. Nền tảng hướng đến những ngành có khối lượng dữ liệu giao dịch lớn, đòi hỏi độ chính xác cao và phải kiểm toán thường xuyên. Mỗi khách hàng có cấu hình, quy tắc và cấu trúc dữ liệu riêng, nên hệ thống phải đủ tổng quát, không được gắn cứng giả định cho riêng một ngành nào.

AI là lớp giá trị cốt lõi của nền tảng, bao gồm các tác nhân tự động, trợ lý phản hồi theo thời gian thực, chuyển giọng nói thành biểu mẫu và công cụ xử lý quy trình. Tất cả đều vận hành trên dữ liệu nhạy cảm như thông tin cá nhân, giao dịch tài chính và dữ liệu kinh doanh riêng của từng khách hàng.

Nền tảng hiện đạt chứng nhận PCI-DSS Level 1 và ISO 27001:2022, với quy trình giám sát và kiểm toán liên tục. Chúng tôi đang mở rộng đội ngũ bảo mật để nâng cao mức độ hoàn thiện của bộ kiểm soát, gia cố kiến trúc và mở rộng hoạt động bảo mật theo tốc độ phát triển của sản phẩm.

MÔ TẢ VAI TRÒ

Bạn sẽ phụ trách toàn diện mảng kỹ thuật bảo mật của nền tảng, từ phát hiện và giám sát, rà soát kiến trúc, triển khai biện pháp kiểm soát cho đến chuẩn bị bằng chứng phục vụ kiểm toán. Đây không phải công việc chỉ làm bảo mật trên giấy tờ, cũng không phải chỉ ngồi giám sát vận hành, mà là người vừa trực tiếp xây dựng, vừa thiết lập quản trị bảo mật.

  • Trực tiếp làm: bạn tự cài đặt, viết quy tắc, chỉnh sửa mã, đọc log và viết script tự động phát hiện, thay vì giao hết cho đội khác.
  • Chịu trách nhiệm trọn vẹn: từ nhận diện rủi ro kinh doanh, thiết kế biện pháp kiểm soát, triển khai, kiểm chứng cho đến hoàn thiện bằng chứng kiểm toán.
  • Ưu tiên tài liệu thiết kế trước: bạn viết được đặc tả bảo mật, mô hình mối đe dọa và ma trận kiểm soát; đồng thời rà soát các quyết định kiến trúc của những đội khác dưới góc nhìn bảo mật trước khi phát hành.
  • Bám sát tuân thủ nhưng hiểu bài toán kinh doanh: bạn xem PCI-DSS và ISO 27001 không phải để vượt qua kỳ kiểm toán, mà là công cụ giảm rủi ro thực sự và tạo niềm tin cho khách hàng.
  • Tư duy đa lĩnh vực: biện pháp kiểm soát phải đủ tổng quát, không gắn cứng giả định cho riêng một ngành hay một quốc gia.

MỤC TIÊU 90 NGÀY ĐẦU

Mỗi mốc là một kết quả cụ thể, đo lường được:

  • 30 ngày - Hoàn thiện năng lực phát hiện: rà soát và tinh chỉnh quy tắc Suricata cho các hướng tấn công phổ biến nhất, xây dựng dashboard theo thời gian thực và định tuyến cảnh báo vào kênh trực của đội.
  • 45 ngày - Kế hoạch gia cố lưu lượng nội bộ: đánh giá mức độ mã hóa giữa các dịch vụ, đề xuất và thử nghiệm phương án mTLS (qua service mesh hoặc TLS termination) cho một luồng quan trọng.
  • 60 ngày - Hoàn thiện quản lý bí mật (secret): chuẩn hóa công cụ (Vault, AWS Secrets Manager hoặc SOPS), thiết lập chu kỳ luân chuyển khóa và nhật ký kiểm toán, đồng thời chuyển đổi một dịch vụ quan trọng làm hình mẫu tham chiếu.
  • 75 ngày - Sẵn sàng ứng phó sự cố: hoàn thiện playbook dựa trên thực tế vận hành, xây dựng ma trận mức độ nghiêm trọng và chuỗi báo cáo leo thang, tổ chức một buổi diễn tập giả lập từ đầu đến cuối.
  • 90 ngày - Chương trình đào tạo bảo mật phiên bản đầu tiên: hướng dẫn lập trình an toàn cho kỹ sư và nâng cao nhận thức bảo mật cho nhân sự không chuyên về kỹ thuật; đồng thời xây dựng lộ trình khắc phục các khoảng trống kiểm soát trong 12 tháng tiếp theo.

HỒ SƠ CHÚNG TÔI TÌM KIẾM

Yêu cầu bắt buộc

  • Nền tảng kỹ thuật - Tối thiểu 5 năm làm kỹ thuật bảo mật trong môi trường vận hành thực tế, không chỉ dừng ở nghiên cứu lý thuyết hay tư vấn từ xa.
  • Bảo mật mạng - Trực tiếp làm việc với các hệ thống phát hiện/ngăn chặn xâm nhập (Suricata, Snort hoặc Zeek): viết quy tắc, tinh chỉnh để giảm cảnh báo sai, xây dựng dashboard và thiết kế cơ chế cảnh báo.
  • Mã hóa và hạ tầng khóa công khai - Thành thạo TLS/mTLS, hiểu vòng đời chứng chỉ và có kinh nghiệm phân tách mạng (VPC, VLAN, security group).
  • Quản lý bí mật - Đã triển khai giải pháp quản lý secret trong môi trường thực tế (HashiCorp Vault, AWS Secrets Manager, GCP Secret Manager hoặc SOPS); hiểu về luân chuyển khóa, kiểm toán và phân quyền truy cập.
  • Linux và scripting - Quản trị hệ thống Linux chuyên sâu, sử dụng thành thạo Python hoặc Bash để viết script kiểm toán và tự động hóa việc kiểm tra tuân thủ.
  • Kinh nghiệm tuân thủ thực tế - Đã trực tiếp tham gia một kỳ kiểm toán PCI-DSS hoặc ISO 27001; biết cần chuẩn bị bằng chứng gì, kiểm toán viên thường hỏi gì và khoảng cách giữa thực tế với tài liệu ra sao.
  • Ứng phó sự cố - Đã từng dẫn dắt ít nhất một sự cố bảo mật thật trong môi trường vận hành (không phải diễn tập), từ khâu phát hiện, khoanh vùng, khôi phục đến rút kinh nghiệm.
  • Kỹ năng trình bày - Viết được đặc tả và chính sách đủ rõ để kỹ sư không chuyên bảo mật có thể triển khai; trình bày rủi ro với ban lãnh đạo bằng ngôn ngữ kinh doanh, không chỉ dùng thuật ngữ kỹ thuật.
  • Tư duy làm việc - Ra quyết định dựa trên rủi ro, tránh làm bảo mật hình thức; biết cân bằng giữa mức độ an toàn lý tưởng và tốc độ ra sản phẩm.

Điểm cộng

  • Chứng chỉ - CISSP, CISA, ISO 27001 Lead Auditor / Lead Implementer, OSCP; ưu tiên chứng chỉ gắn với kinh nghiệm thực hành hơn là chứng chỉ lý thuyết.
  • Bảo mật đám mây - Kinh nghiệm với AWS Security Hub / GuardDuty, GCP Security Command Center, Azure Defender hoặc tương đương trong môi trường thực tế.
  • Công cụ DevSecOps - SAST (Semgrep, SonarQube), DAST (OWASP ZAP, Burp), SCA (Snyk, Trivy) và policy-as-code (OPA).
  • Vận hành SIEM - ELK Stack, Splunk, Datadog Security Monitoring; viết được quy tắc phát hiện và tinh chỉnh cảnh báo.
  • Ngành có quy định chặt - Fintech, ngân hàng, y tế hoặc các lĩnh vực phải kiểm toán thường xuyên.
  • Bảo mật AI/LLM - Kinh nghiệm phòng chống tấn công chèn lệnh, bảo mật mô hình và kiểm thử tấn công AI; đây là điểm quan trọng vì nền tảng của chúng tôi lấy AI làm trọng tâm.
  • Tuân thủ pháp luật Việt Nam - Nắm được Nghị định 13 (bảo vệ dữ liệu cá nhân), Nghị định 53 và Luật An ninh mạng.
  • Kèm cặp - Từng đào tạo kỹ sư không chuyên bảo mật về lập trình an toàn.

CÁCH CHÚNG TÔI LÀM VIỆC

  • Thiết kế trước - Mỗi biện pháp kiểm soát đều có đặc tả và mô hình mối đe dọa rõ ràng trước khi triển khai, không vá lỗi tùy tiện.
  • Kiểm chứng trước khi kết luận - Mọi tuyên bố "đã an toàn" đều phải có bằng chứng: kết quả kiểm thử xâm nhập, nhật ký kiểm toán hoặc kiểm tra tự động. Chúng tôi không chấp nhận kiểu "trông có vẻ ổn".
  • Dựa trên rủi ro, không làm hình thức - Đầu tư vào biện pháp kiểm soát theo mức độ tác động và khả năng xảy ra, không làm cho có; biết khi nào không cần siết chặt.
  • Tư duy đa lĩnh vực - Biện pháp kiểm soát phải đủ tổng quát, không gắn cứng giả định cho riêng một khách hàng.
  • Tận dụng AI - Bạn được dùng Claude Code, Cursor cùng ngân sách gọi API mô hình ngôn ngữ để tăng tốc viết script kiểm toán, tạo quy tắc và thu thập bằng chứng.
  • Rà soát mã nghiêm túc - Kết hợp công cụ tự động (SAST/SCA) và rà soát chéo; với các thay đổi rủi ro cao, rà soát bảo mật là bước bắt buộc.
  • Thẳng thắn - Khi phát hiện lỗ hổng, hãy nêu thẳng, không né tránh. Tổ chức sẽ đứng sau bạn.

BẠN CÓ THỂ KHÔNG PHÙ HỢP NẾU

  • Chỉ có chứng chỉ nhưng chưa từng làm việc với hệ thống thực tế; chưa từng tinh chỉnh quy tắc Suricata thật hay triển khai Vault thật.
  • Chỉ làm tư vấn tuân thủ (GRC) - viết chính sách nhưng không trực tiếp triển khai.
  • Chỉ làm kiểm thử xâm nhập - tìm ra lỗ hổng nhưng không theo đến cùng việc khắc phục.
  • Cần người chia nhỏ từng đầu việc mới làm được - ở vai trò này bạn phải tự chủ động với lộ trình của mình.
  • Xem tuân thủ chỉ là "đánh dấu vào ô cho đủ" - chúng tôi tìm người hiểu rằng tuân thủ là công cụ để giảm rủi ro thật.
  • Không sẵn sàng đọc và viết những bản đặc tả dài.
  • Không thể làm việc toàn thời gian tại văn phòng TP.HCM.

LƯƠNG VÀ PHÚC LỢI

  • Mức lương cạnh tranh theo cấp bậc (Senior), trao đổi cụ thể sau vòng 1.
  • Phụ cấp ăn trưa và được trang bị laptop làm việc.
  • Đóng bảo hiểm xã hội và các chế độ đầy đủ theo Luật Lao động.
  • Đóng bảo hiểm xã hội trên 100% mức lương.
  • Thưởng vào các dịp lễ và Tết.
  • Chương trình team building, tiệc cuối năm và các sự kiện thường niên nhân ngày Quốc tế Phụ nữ (8/3), ngày Phụ nữ Việt Nam (20/10) và Giáng sinh.
  • Ngân sách gọi API mô hình ngôn ngữ để học tập và thử nghiệm; được sử dụng toàn bộ công cụ AI nội bộ (Claude Code, Cursor).
  • Ngân sách cho chứng chỉ và đào tạo (CISSP, ISO 27001 Lead Auditor, OSCP) sau 6 tháng.
  • Được hỗ trợ máy tính và màn hình tại văn phòng; giờ làm việc linh hoạt, ưu tiên tài liệu thiết kế, hạn chế họp hành không cần thiết.