El Application Security Engineer es responsable de encontrar vulnerabilidades en los sistemas de Monato antes de que lo haga un atacante: prueba aplicaciones, APIs, pipelines de CI/CD y sistemas de IA, coordina las actividades de pentest externo, opera el programa de bug bounty y construye los controles de seguridad en el ciclo de desarrollo para que los problemas no lleguen a producción.
Este rol es el owner del track Secure SDLC y de la validación ofensiva del programa de seguridad. Su objetivo principal es:
- Encontrar y reportar vulnerabilidades críticas en aplicaciones, APIs y sistemas de IA antes de que estén en producción o antes de que las encuentre alguien externo
- Operar el programa de bug bounty: plataforma, scope, triage de reportes y coordinación de remediación
- Coordinar y ejecutar pruebas de penetración sobre los aplicativos de Monato (Pagos, Finch, Conciliación, APIs internas y externas)
- Construir el track Secure SDLC: SAST, SCA, secret scanning, SBOM y firma de imágenes en los pipelines de CI/CD
- Ser la referencia interna en seguridad de IA y agentes: identificar cómo un atacante puede abusar de los sistemas que usan LLMs, incluyendo los que Monato construye y los que opera internamente
- Validar que las detecciones del Blue Team funcionan en la práctica mediante simulación de adversarios