职位描述：角色概述/目的：产品安全架构副总裁将领导Synchrony的产品和应用安全架构计划的战略、设计和执行，确保安全性嵌入到代理、应用、平台和SaaS服务的生命周期中。此角色领导一支应用安全架构师团队，他们进行应用安全风险评估、安全设计和工程咨询、威胁建模、风险管理，并通过关闭监控整改。该领导者将既具远见又务实——推动现代架构（云原生、API、微服务）和新兴能力（包括AI驱动的产品和服务）的安全设计结果。副总裁将为AI安全（模型、数据和应用层风险）和SaaS安全架构（选择、入驻、配置、集成和持续控制保证）建立安全架构方向和治理。需要出色的沟通技巧来影响技术决策，并在产品、工程和企业利益相关者中培养安全优先的文化。基本职责：战略领导： • 制定、沟通并执行与业务目标、风险偏好和金融服务行业监管要求一致的全面产品/应用安全架构战略。 • 与产品、工程、企业架构、IT、风险管理、合规和业务部门的高级领导密切合作，将安全架构原则嵌入产品路线图、SDLC/CI-CD实践、平台现代化和关键计划中。 • 推动安全优先的方法，预测新兴威胁、趋势和创新（包括AI和SaaS），以确保产品安全架构的弹性和前瞻性。 • 与AI/创新、数据和工程团队合作，将安全设计实践嵌入AI产品交付中，包括AI驱动功能和集成的威胁建模。应用和产品安全架构/安全设计咨询： • 领导应用和产品平台（包括API、微服务、数据流、身份、加密和安全日志/监控）的可扩展安全架构模式的设计、开发和部署。 • 为AI驱动的应用和服务开发和实施专门的产品安全架构框架，包括安全设计要求： • 模型和提示交互界面（如适用） • AI工作流中的数据隐私和敏感数据处理 • AI功能和数据的访问控制和授权 • 完整性保护和误用/滥用考虑（例如，对抗性输入、模型操纵，如适用） • 基于行业最佳实践（例如，NIST CSF、CRI、CIS Controls、OWASP）定义、实施和执行产品/应用安全架构标准、政策和框架，以确保一致性、合规性和操作有效性。 • 为工程团队提供安全架构指导和决策支持——包括权衡、补偿控制和安全参考架构——以实现快速安全交付。 • 为AI相关的第三方服务和平台定义安全架构指导，包括集成模式、数据共享限制和控制期望。威胁建模和应用安全风险评估： • 进行和操作化高级威胁建模和应用安全风险评估，以主动识别漏洞并指导减少关键金融资产和数据风险的架构决策。 • 确保在身份验证/授权、会话管理、秘密管理、数据保护、API安全、第三方组件和供应链暴露方面的一致风险评估。风险管理和整改监控： • 建立治理以记录、优先排序和管理应用/产品安全风险和架构例外，包括风险接受和有时间限制的整改期望。 • 监控整改进度直至关闭；验证纠正措施，并通过适当的治理渠道升级逾期/高严重性项目。 • 与安全运营、GRC和工程团队合作，使整改优先级与威胁情报、控制要求和业务影响保持一致。 SaaS安全架构： • 建立SaaS安全架构标准和参考模式： • 安全入驻和供应商/解决方案架构审查 • 身份集成（SSO/MFA）、基于角色的访问和特权访问 • 数据分类、加密期望、保留和电子发现考虑 • 安全API/集成模式、出站数据控制和日志/监控 • 与采购/供应商管理、法律/隐私、GRC和技术团队合作，确保SaaS解决方案符合Synchrony的安全和监管要求并安全配置。 • 定义可重复的方法以评估SaaS架构风险并通过整改跟踪配置和控制差距。安全技术与创新（产品安全赋能）： • 指导评估和采用提高产品安全结果的安全能力（例如，威胁建模工具、安全架构自动化、安全要求/模式库、政策即代码，如适用）。 • 推动务实创新以增加安全架构参与的覆盖范围、一致性和速度。团队领导与发展： • 建立、指导并激励一支高绩效的应用安全架构师团队，培养技术卓越、一致的评估质量和与工程团队的强大合作关系。 • 促进安全、产品、工程、IT和业务利益相关者之间的跨职能合作，以推动一致的计划和可衡量的安全成熟度改进。利益相关者参与与咨询： • 作为执行领导和关键利益相关者的可信顾问，提供清晰、以业务为中心的见解和战略建议，涉及产品/应用风险状况、AI和SaaS安全架构以及合规期望。 • 管理与关键内部和外部合作伙伴的关系，以确保与影响应用、AI和SaaS风险的行业进步和监管期望保持一致。合规、治理和审计支持： • 确保产品/应用安全架构组件和计划符合适用于金融服务的相关法规和行业标准，包括FFIEC、SOX、GDPR、PCI-DSS和CRI。 • 通过提供架构证据、风险决策和整改状态支持内部和外部审计；通过架构改进、标准更新和利益相关者参与解决发现的问题。 • 执行分配的其他职责和/或特殊项目。资格/要求： • 计算机科学、信息技术、网络安全或相关领域的学士或硕士学位。没有学位的情况下，需有15年以上相关经验。高级学位和认证优先。 • 在信息安全领域有10年以上的渐进经验，其中至少5年在金融服务或高度监管行业中专注于应用/产品安全架构的领导角色。 • 在现代环境（包括云原生架构、API、身份和访问管理（IAM）、加密和数据保护）的应用/产品安全架构和安全设计方面具有深厚的专业知识。 • 在威胁建模、应用安全风险评估和将威胁情报转化为可操作的架构改进方面表现出色。 • 具有在产品和工程组织中建立风险管理、例外和整改监控治理的经验。 • AI安全架构经验（为AI驱动的应用/服务构建或管理安全要求；与AI/ML和数据团队合作；进行AI相关的安全风险评估）。 • SaaS安全架构经验（安全入驻和集成模式、身份集成、数据保护期望、日志/监控要求以及SaaS配置和控制的风险管理）。 • 对金融服务法规和合规框架有深入了解，能够确保架构决策支持监管合规和审计准备。 • 出色的沟通和人际交往能力，能够影响并清晰地向执行领导、技术团队和业务利益相关者阐述复杂的安全概念。 • 相关专业认证如CISSP、CISM、CISA、SABSA、TOGAF、CCSK或同等资质非常理想。 • 能够并愿意根据需要出差。等级/级别：14 该职位的薪资范围为每年170,000.00 - 290,000.00美元，并有资格根据个人和公司表现获得年度奖金。在发布的薪资范围内提供的实际补偿将基于工作经验、技能水平或知识。根据市场调整加州、纽约大都会和西雅图的薪资。资格要求： • 必须年满18岁或以上 • 必须拥有高中毕业证书或同等学历 • 必须愿意进行药物测试、提交背景调查并提交指纹作为入职流程的一部分 • 必须能够满足《联邦存款保险法》第19条的要求。 • 新员工（4-7级）必须在公司连续服务9个月后，才有资格申请其他职位。一旦满足此新员工职位要求，员工在申请未来非豁免职位之前，必须在该职位上至少有6个月的时间。8级或以上的员工在申请之前必须在该职位上至少有18个月的时间。所有内部员工必须始终如一地满足绩效期望，并获得经理的批准才能申请（如果不符合职位或绩效期望，则需获得经理和人力资源的批准）。需要在美国工作的合法授权。我们不会为此职位提供就业签证赞助，无论现在还是将来。所有合格的申请者将不论种族、肤色、宗教、性别、性取向、性别认同、国籍、残疾或退伍军人身份而获得就业考虑。我们的承诺：加入我们时，您将成为一个包容文化的一部分，您的个人技能、经验和声音不仅被听到，而且被重视。我们正在共同建设一个我们都能归属、连接并将理想转化为行动的未来。超过50%的员工参与了我们的员工资源小组（ERGs），在这里，社区和激情交汇，提供了一个学习和成长的安全空间。这始于您选择申请Synchrony的角色。我们确保所有合格的申请者将不论年龄、种族、肤色、宗教、性别、性取向、性别认同、国籍、残疾或退伍军人身份而获得就业考虑。我们为拥有一个获奖的文化而自豪。合理便利通知： • 联邦法律要求雇主为符合条件的残疾人提供合理便利。请告知我们您是否需要合理便利来申请工作或履行工作职责。合理便利的例子包括更改申请流程或工作程序、提供替代格式的文件、使用手语翻译或使用专用设备。 • 如果您需要特殊便利，请致电我们的职业支持热线，以便我们讨论您的具体情况。我们可以在周一至周五，中央标准时间上午8点至下午5点联系。职位家庭组：信息技术