在 Docker,我们让应用程序开发变得更简单,以便开发人员可以专注于重要的事情。我们的远程优先团队遍布全球,由对创新和卓越开发者体验的热情所团结。拥有超过2000万的月活跃用户和200亿次镜像拉取,Docker 是构建、共享和运行应用程序的首选工具,受到初创公司和财富100强企业的信赖。我们正在快速成长,并刚刚起步。加入我们,享受一场精彩的旅程!
作为高级安全工程师,隐私方向,您将在安全、隐私和工程的交汇处担任可信顾问,确保治理、风险、合规和数据保护成为每个产品和平台的基础。您将与安全工程、工程、产品、法律和领导团队密切合作,将安全和隐私设计嵌入 Docker 的技术堆栈中,同时扩展符合 ISO/IEC 27001、ISO/IEC 27701、SOC 2 和全球隐私法规的合规性。
在这个角色中,您将结合深厚的 GRC 专业知识与实际的隐私工程和自动化,开发可扩展的解决方案,以简化合规流程、提高风险可见性并使隐私控制操作化。您将设计和维护用于风险管理、合规监控、数据保护评估和审计准备的自动化工作流程,同时影响产品战略和技术设计决策。
对于在政策、代码和架构交汇处茁壮成长并热衷于构建安全、尊重隐私的系统以保护平台和信任它的客户的工程师来说,这是一个影响力极大的角色。
职责:
• 将隐私设计原则嵌入 Docker 产品、服务和内部平台中,与 ISO/IEC 27001、ISO/IEC 27701、SOC 2 和全球隐私法规保持一致。
• 与 Docker 工程和产品团队密切合作,将隐私要求集成到架构决策、SDLC 过程和 CI/CD 管道中。
• 设计、开发和维护自动化 GRC 和隐私工作流程,以支持合规监控、控制测试、DPIA、风险评估、报告和审计准备。
• 使用 API、脚本和自动化实施和定制 GRC 和隐私工具,以简化证据收集、控制验证和合规操作。
• 领导和自动化 Docker 系统中的数据发现、分类和数据映射,以维护准确的处理活动记录(RoPA)并支持数据生命周期治理。
• 进行和操作化安全风险评估和数据保护影响评估(DPIA),将发现整合到 Docker 的风险登记和补救跟踪中。
• 定义、实施和验证数据保护和数据生命周期控制,包括数据最小化、保留、删除和访问控制。
• 构建和维护仪表板和安全/隐私指标,以提供对风险、合规状态和计划有效性的实时可见性。
• 通过提供高质量的自动化证据并作为安全和隐私控制的主题专家,支持内部和外部审计。
• 起草、维护和映射安全和隐私政策、标准和程序到相关的监管和行业框架。
• 对现有和新产品、功能以及重大变化进行隐私审查,以确保在发布前满足合规要求。
• 通过教育团队关于安全、隐私和合规期望和最佳实践,在 Docker 内部建立意识和支持。
• 紧跟不断变化的监管、隐私和安全标准,并主动评估其对 Docker 产品和运营的影响。
资格:
• 在信息技术、安全工程、治理、风险和合规、隐私工程或密切相关角色中有6-8年的经验。
• 在设计和实施 GRC 计划方面有丰富经验,特别强调自动化、工程和可扩展流程。
• 实施或操作符合 GDPR 和 ISO/IEC 27701 的隐私计划的实际经验,包括隐私设计和隐私默认原则。
• 对数据最小化、目的限制、数据生命周期管理和技术数据保护控制等隐私工程概念有深入理解。
• 精通一种或多种编程或脚本语言,如 Python 或 Golang,具有为合规和隐私工作流程构建自动化的经验。
• 具有使用 API、webhooks 和集成 GRC、隐私和安全工具的经验。
• 在公共云环境(AWS、Azure 或 GCP)中具有实际经验,包括在备份系统、数据湖和分布式云存储服务中应用隐私和数据保护控制。
• 使用 DevSecOps 实践将安全和合规要求集成到 SDLC 和 CI/CD 管道中的经验。
• 对 ISO 27xxx、SOC 2、GDPR 和 NIST 等安全框架和监管标准有扎实理解,并了解它们如何适用于 SaaS 环境。
• 了解信息安全风险管理和常见安全技术(例如,SIEM、漏洞管理、数据丢失防护、端点保护)。
• 进行安全风险评估、数据保护影响评估(DPIA)并将发现转化为可操作的补救计划的经验。
• 具备强大的项目管理技能,能够领导涉及工程、产品、法律和合规利益相关者的跨职能计划。
• 能够清晰地向技术和非技术受众传达复杂的技术、隐私和合规概念。
• 展示了作为安全、隐私和合规风险的主题专家和可信顾问的能力。
• 能够在快节奏、不断变化的环境中茁壮成长,并适应不断变化的监管和业务要求。
• 优先考虑:相关行业认证,如 CISSP、CISA、CRISC、CIPP/E、CIPM、CIPT 或 ISO/IEC 27701 主任实施者或审计员。
预期
前30天
• 了解 Docker 的合规环境、关键框架和风险状况
• 与关键利益相关者会面:安全、法律、IT 和工程团队
• 获得合规平台、安全工具和文档的访问权限
• 审查公司政策、现有控制和监管框架
• 了解风险管理策略以及合规如何集成到工程、安全和业务运营中
前90天
• 进行合规计划的成熟度评估,以评估政策的执行情况
• 开始风险评估项目(漏洞管理、云安全风险)
• 审查最新的内部/外部审计、合规报告和差距分析
• 确定高优先级风险、未解决的合规问题和待定的安全评估
• 开始将关键合规框架映射到组织的政策和控制
• 了解供应商风险管理流程并审查第三方安全评估
• 与工程团队合作,将隐私和合规控制集成到 SDLC 中
• 更新政策或控制以符合合规框架
一年展望
• 成为合规工程的领导者
• 拥有并管理合规 GRC 路线图
• 自动化合规监控和控制
• 开始为审计准备或认证过程做出贡献(SOC 2、ISO 27xxx)
• 提高安全工程中的合规自动化
• 开发和维护合规风险登记及缓解计划
• 支持审计准备(SOC 2、ISO 27xxx)
• 确保第三方供应商符合合规标准
• 为合规标准创建事件响应手册
• 为公司准备外部审计和监管更新
• 通过倡导工程中的安全最佳实践推动合规文化
Docker 不为此职位提供签证赞助。
我们在纽约市的招聘和/或晋升过程中使用 Covey,某些功能可能使其符合 AEDT 的资格。作为评估过程的一部分,我们向 Covey 提供职位要求和候选人提交的申请。我们于 2024 年 4 月 13 日开始使用 Covey Scout for Inbound。
请在此处查看涵盖我们使用 Covey 的独立偏见审计报告。
福利
• 自由与灵活性;将工作融入您的生活
• 每季度指定的 Whaleness 日加上年终 Whaleness 休息
• 家庭办公室设置;我们希望您在工作时感到舒适
• 16 周带薪育儿假
• 相当于每月净额 100 美元的技术津贴
• 鼓励您抽出时间做自己喜欢的事情的 PTO 计划
• 会议、课程和课程的培训津贴
• 股权;我们是一家成长中的初创公司,希望所有员工都能分享公司的成功
• Docker 周边产品
• 医疗福利、退休和假期因国家而异
• 以远程为主的文化,在西雅图和巴黎设有办公室
Docker 拥抱多样性和平等机会。我们致力于建立一个代表各种背景、观点和技能的团队。我们越包容,我们的公司就会越好。
#LI-REMOTE
#J-18808-Ljbffr
