💼

Senior Product Security Engineer

Vercel📍 Anywhere in the WorldFull-time

Descripción del Trabajo

🏢 Sobre Vercel
Vercel brinda a los desarrolladores las herramientas y la infraestructura en la nube para construir, escalar y asegurar una web más rápida y personalizada. Como el equipo detrás de v0, Next.js y AI SDK, Vercel ayuda a clientes como Ramp, Supreme, PayPal y Under Armour a construir para la web nativa de IA.
Nuestra misión es permitir que el mundo lance los mejores productos. Eso comienza creando un lugar donde todos puedan hacer su mejor trabajo. Ya sea que estés construyendo en nuestra plataforma, apoyando a nuestros clientes o dando forma a nuestra historia: You can just ship things.
🌍 Modalidad: 100% remoto | Compatible con husos horarios de LatAm
💼 Tipo de contrato: Contractor / B2B internacional
💰 Compensación: Rango base SF $196,000 – $294,000 USD anual (ajustado por ubicación geo-range) + equity + bonus
📍 Ubicación: Abierto a talento en cualquier parte del mundo ("Anywhere in the World")
🎯 Descripción del rol
Buscamos un Senior Product Security Engineer para unirse a nuestro equipo de seguridad e impulsar iniciativas críticas de seguridad de producto en todos los productos y la plataforma de Vercel.
Tu enfoque principal estará en threat modeling, seguridad de software open-source, revisión segura de código, herramientas de SDLC y gestión de programas de bug bounty. Apoyarás tanto a nuestros equipos internos de ingeniería de producto como a programas de seguridad orientados al cliente, asegurando que la seguridad esté integrada en todo nuestro ciclo de desarrollo y que nuestra plataforma genere confianza en desarrolladores y usuarios finales.
Como miembro senior del equipo, liderarás proyectos de seguridad cross-organizacionales y promoverás una cultura security-first dentro de la organización de ingeniería de Vercel. Este es un rol de alto impacto con alcance amplio: tu trabajo no solo asegurará la infraestructura central y los productos de Vercel (construidos con Next.js, Node.js y arquitectura serverless), sino que también influirá en la seguridad de los ecosistemas open-source a los que contribuimos.
Ideal para profesionales que buscan empleo remoto en LatAm en el sector de ciberseguridad, DevSecOps o ingeniería de producto en entornos cloud/serverless.
✨ Lo que harás (Responsabilidades)
🔍 Threat Modeling & Design Review
Colaborar con equipos de ingeniería y producto para realizar threat modeling en features nuevas y existentes.
Identificar riesgos potenciales desde la fase de diseño y recomendar controles de seguridad o cambios arquitectónicos para mitigar amenazas.
Asegurar que las preocupaciones de seguridad se aborden desde la concepción de las features hasta su despliegue en producción.
🔐 Secure Code Review
Realizar revisiones de código seguro y evaluaciones de seguridad en productos y servicios construidos con Next.js, Node.js y backend serverless.
Detectar vulnerabilidades a nivel de código, brindar orientación accionable a desarrolladores y establecer mejores prácticas de codificación segura en todo el equipo de ingeniería.
🌐 Open Source Security Management
Supervisar los esfuerzos de seguridad open-source de Vercel: monitorear y coordinar parches para vulnerabilidades en paquetes de terceros que utilizamos, y asegurar la seguridad de los proyectos open-source que mantenemos y publicamos (ej. Next.js).
Trabajar con maintainers y la comunidad en divulgación responsable y parcheo de issues de seguridad en código open-source.
⚙️ SDLC Tooling & Automation
Evaluar, seleccionar e integrar herramientas de seguridad en nuestro Software Development Life Cycle (SDLC).
Impulsar la implementación de chequeos automatizados de seguridad — como GitHub Advanced Security (GHAS), análisis estático, escaneo de dependencias y detección de secretos — directamente en nuestros pipelines de CI/CD y workflows de GitHub.
Embedar herramientas de seguridad en los flujos de trabajo de desarrolladores para detectar issues temprano y reducir esfuerzo manual.
🪲 Bug Bounty Program Management
Gestionar y expandir el programa de bug bounty de Vercel: triage y validación de reportes de vulnerabilidades de la comunidad de investigadores de seguridad.
Asegurar que los issues críticos se aborden con prontitud y coordinar esfuerzos cross-team para remediar y aprender de vulnerabilidades reportadas.
Refinar políticas, scope y engagement para convertir nuestro bug bounty en un programa world-class y researcher-friendly.
🤝 Cross-Organizational Security Initiatives
Liderar y contribuir a proyectos de seguridad que abarcan múltiples equipos y disciplinas: upgrades de frameworks, implementación de nuevos mecanismos de autenticación/autorización, programas de awareness para ingenieros.
Actuar como security champion en toda la organización, alineando stakeholders de Ingeniería, DevOps, Producto y otros grupos para implementar mejoras de seguridad duraderas.
🧑‍💼 Customer-Facing Security Support
Trabajar con Customer Success y Product Marketing en iniciativas de seguridad que impactan a nuestros usuarios: documentación técnica, whitepapers, respuestas a cuestionarios de seguridad de clientes, auditorías.
Comunicar nuestras features de seguridad y mejores prácticas para construir confianza del cliente en la plataforma.
🚀 Lo que aportas (Requisitos)
5+ años de experiencia en roles de Product Security, Application Security o campos relacionados, con historial comprobado asegurando productos y servicios web.
Dominio del stack web moderno: Fuerte familiaridad con JavaScript/TypeScript y seguridad del runtime Node.js. Experiencia con frameworks web modernos (idealmente Next.js, React o frameworks basados en Node) y comprensión de sus consideraciones de seguridad.
Threat Modeling & SDLC: Capacidad demostrada para realizar threat modeling y análisis de riesgo arquitectónico en productos complejos. Experiencia integrando seguridad en un SDLC rápido sin ralentizarlo (secure design, code review, pentesting, etc.).
Security Tools & Automation: Experiencia práctica con herramientas de seguridad de producto: SAST, DAST, escáneres de vulnerabilidades de dependencias, integración de seguridad en pipelines CI/CD. Familiaridad con GitHub Advanced Security o herramientas similares para code scanning y detección de secretos es un fuerte plus.
Open Source & Supply Chain Security: Conocimiento de mejores prácticas de seguridad open-source. Experiencia manejando dependencias open-source y seguridad de gestión de paquetes (ej. manejo de advisories de vulnerabilidades, uso de Dependabot, Snyk). Bonus si has contribuido o mantenido proyectos open-source, especialmente relacionados con seguridad.
Bug Bounty & Vulnerability Management: Exposición a ejecutar o participar en programas de bug bounty o procesos de divulgación de vulnerabilidades. Capacidad para evaluar issues reportados externamente, reproducir y validar vulnerabilidades, y coordinar fixes. Mantenerte actualizado sobre las últimas vulnerabilidades (OWASP Top 10, amenazas emergentes) y métodos de mitigación.
Cloud & Serverless Security: Sólida comprensión de arquitectura cloud y entornos serverless desde una perspectiva de seguridad. Familiaridad con asegurar productos en plataformas cloud (ej. asegurar serverless functions, proteger APIs, gestionar secretos y keys). Experiencia con conceptos o herramientas relacionadas de cloud security es un plus.
Liderazgo Técnico: Capacidad probada para impulsar iniciativas de seguridad e influir en equipos de ingeniería para adoptar mejores prácticas. Habilidad para trabajar cross-funcionalmente y comunicar efectivamente para lograr objetivos de seguridad.
✨ Sería un plus si tienes:
Experiencia previa en desarrollo de software más allá de seguridad (frontend o backend engineer). Poder empatizar con desarrolladores y escribir o contribuir código te ayudará a integrar seguridad de forma transparente en el desarrollo.
Certificaciones de seguridad relevantes o reconocimientos (ej. OSCP, OSWE, CISSP, o entradas notables en bug bounty hall of fame). Demuestran profundidad de conocimiento, aunque no son requeridas.
Experiencia con security policy-as-code o seguridad de infraestructura como código (ej. uso de Open Policy Agent, chequeos de seguridad en Terraform, etc.).
Haber construido o implementado features de seguridad en un producto (sistemas de autenticación, encriptación, pipelines CI/CD seguros) o contribuido a proyectos/herramientas de la comunidad de seguridad.
Participación activa en la comunidad de seguridad (contribuir a proyectos open-source de seguridad, escribir blogs o research, asistir o hablar en conferencias de seguridad). Pasión por el aprendizaje continuo y compartir conocimiento.
💡 ¿No cumples con todos los requisitos?
En Vercel creemos en el potencial y las habilidades transferibles. Si sientes que puedes aportar valor en un entorno remoto, dinámico y security-first — ¡aplica de todas formas! Detalla tu motivación y experiencias relevantes en tu carta de presentación.
🌟 Por qué unirte a Vercel
💲 Compensación competitiva: Paquete integral con salario base en USD, equity y elegibilidad para bonus/variable pay según rol y ubicación.
🏥 Healthcare inclusivo: Paquete de salud diseñado para cubrir tus necesidades y las de tu familia, sin importar tu ubicación.
📚 Learn and Grow: Mentoría interna, presupuesto para eventos, conferencias y desarrollo de habilidades para potenciar tu carrera.
🏖️ Flexible Time Off: Política de tiempo libre flexible para priorizar tu bienestar y equilibrio vida-trabajo.
🛠️ Gear & WFH Budget: Te proporcionamos el equipo que necesitas para tu rol y un presupuesto para equipar tu espacio de trabajo remoto.
🌐 Cultura remote-first: Trabajo asíncrono, autonomía y flexibilidad horaria compatible con husos horarios de LatAm.
🚀 Impacto global: Tu trabajo influirá en la seguridad de productos usados por millones de desarrolladores y empresas alrededor del mundo.
🔄 Proceso de aplicación
Postulación inicial vía We Work Remotely / Vercel Careers
Entrevista con Talent Acquisition / Recruiting
Evaluación técnica o desafío práctico (según rol)
Entrevista con Hiring Manager / Liderazgo de Seguridad
Entrevistas cross-funcionales y bar-raiser
Oferta y onboarding
📝 Nota: Esta vacante está abierta para talento en cualquier parte del mundo ("Anywhere in the World"). El proceso de selección se realiza 100% en inglés. Para candidatos cerca de nuestras oficinas (SF, NY, Londres o Berlín), el rol incluye días presenciales opcionales; para el resto, es 100% remoto.
✨ ¿Listo para asegurar el futuro de la web con Next.js, IA y cloud?
Aplica ahora y únete a un equipo global que está definiendo los estándares de seguridad para la web nativa de IA.
Requisito: Esta vacante requiere conocimientos de inglés.

Postular en weworkremotely.com
💡
Tip financiero:Para cobrar en dólares desde Chile sin altas comisiones bancarias, abre tu cuenta gratis en Wise o Global66.