Sobre a Tivita A Tivita nasceu para resolver um problema estrutural: a ineficiência da gestão financeira de R$500 bilhões no setor de saúde. Nossas soluções colocam a gestão de clínicas e consultórios no piloto automático, automatizando tarefas manuais, eliminando processos burocráticos e dando visibilidade de indicadores confiáveis a cada segundo. Idealizada por fundadores com histórico de sucesso no Gympass/Wellhub e Olist, com mais de R$ 32 milhões captados com FinTech Collective, MAYA Capital e K50 Ventures, estamos preparados para transformar a saúde com um time de gente boa de verdade! Somos movidos pela arte de transformar o complexo em simples e o impossível em realidade. Por isso, a expertise profunda em Tecnologia, Automação e Inteligência Artificial é peça-chave para acelerar a construção e melhoria contínua de soluções intuitivas, únicas e ambiciosas. Nosso time de tecnologia Aqui, somos Alquimistas : questionamos o status quo e reimaginamos fluxos complexos como soluções simples, elegantes e escaláveis. Construímos automações inéditas para gestão de clínicas no Brasil. É um trabalho que exige profundidade analítica, criatividade prática e coragem para transformar operações inteiras. Somos um só time, colaborativo e sem ego. Trabalhamos com autonomia, abertura e feedback honesto para crescer juntos. Nosso foco é impacto real: só paramos quando conseguimos entregar algo que torna a vida das clínicas pelo menos 10x melhor. E buscamos excelência todos os dias — entrando no detalhe, entendendo causas-raiz e elevando continuamente o padrão do que entregamos. Se esse tipo de ambiente te energiza, você vai se sentir em casa Suas principais responsabilidades Você será o primeiro DevSecOps dedicado da Tivita, responsável por estabelecer as bases de uma infraestrutura segura, previsível, resiliente e escalável. Seu objetivo é criar uma fundação DevSecOps que permita crescimento estruturado sem engessar a velocidade do time de desenvolvimento. Este é um papel estratégico onde você identificará riscos críticos, estruturará prioridades realistas e criará roadmaps que equilibrem velocidade, confiabilidade e segurança — características essenciais para uma startup early-stage operando com dados sensíveis. Especificamente, você será responsável por: Mapear a superfície de ataque e diagnosticar o estado atual da infraestrutura e pipelines de segurança Identificar vulnerabilidades críticas, exposições de dados sensíveis e políticas de acesso inadequadas Implementar IAM e políticas de menor privilégio em ambientes cloud Validar, automatizar e testar procedimentos de backup e disaster recovery Integrar etapas essenciais de segurança em pipelines CI/CD (Secrets Scan, SAST, SCA, IaC Scan) sem bloqueios iniciais Proteger aplicações contra OWASP Top 10 através de WAF, rate-limiting e anti-bot Implementar criptografia em repouso e trânsito, e controles de DLP nas interfaces críticas Abstrair, padronizar e centralizar logs, métricas e traces para observabilidade real Estabelecer canary releases, rollback automático e deploy seguro Construir camada SIEM e criar playbooks de resposta a incidentes Revisar políticas de LGPD/privacidade, processos de onboarding/offboarding e governança Engajar time de engenharia com treinamentos contextualizados e testes de segurança Implementar conceito de “paved road” para entregar autonomia e reduzir dependência de Infra/Sec O que esperamos de você 5 anos de experiência em DevOps, SRE, Cloud Infrastructure ou segurança em ambientes críticos Profundo conhecimento em segurança : Experiência prática com segurança em pipelines CI/CD, secrets management, IaC scanning, vulnerability assessment e threat modeling Google Cloud Platform (GCP) : Experiência prática avançada com IAM, Compute Engine, Cloud Storage, Cloud SQL, VPC, networking e security Infraestrutura como Código (IaC) : Proficiência avançada em Terraform ou CloudFormation; capacidade de estruturar IaC para múltiplos ambientes CI/CD e Automation: Experiência prática com GitHub Actions, GitLab CI ou Jenkins; automação de pipelines de segurança Containerização e Orquestração : Conhecimento prático sólido de Docker e Kubernetes; capacidade de implementar segurança em containers Ferramentas de Segurança: Experiência prática com SAST (semgrep), SCA (snyk, aikido), secrets scanning (git-leaks), IaC scanning (trivy), e WAF Pensamento Sistêmico: Capacidade comprovada de identificar riscos estruturais, priorizar trade-offs (custo vs. segurança vs. velocidade) e criar roadmaps realistas Comunicação Estratégica: Habilidade de explicar decisões técnicas para stakeholders não-técnicos e estruturar planos de 30/60/90 dias com clareza Diferenciais Experiência em startups early-stage ou ambientes de rápido crescimento com dados sensíveis Certificações em segurança: AWS Security, GCP Security, CISSP ou equivalente Experiência com compliance regulatória : LGPD, SOC 2, ISO 27001, PCI DSS, HIPAA Conhecimento avançado de SIEM e detecção de ameaças : Cloud Logging, Security Command Center, análise de logs Experiência com threat modeling, security reviews de arquitetura e risk assessment Familiaridade com incident response, postmortems e metodologias de resposta a crises Experiência com EDR/antivírus e proteção de endpoints