messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
Techcombank

Chuyên viên Cao cấp DevSecOps (40001147)

Hà Nội Technology Division
Chuyên viên

Mô tả công việc

## Mục tiêu Kỹ sư cao cấp DevSecOps chịu trách nhiệm giao tiếp, tích hợp, tự động hóa và hợp tác linh hoạt giữa tất cả các nhóm chức năng chéo để lập kế hoạch, phát triển, kiểm tra, triển khai, phát hành và duy trì một giải pháp; quản lý và dẫn dắt nhóm DevSecOps thiết kế, triển khai, tự động hóa và nâng cao các pipeline workflow/ Tích hợp liên tục đại diện cho các cách làm việc, quy trình công việc và hoạt động git của DevSecOps để cung cấp các chức năng từ bằng chứng khái niệm đến giải phóng giá trị theo yêu cầu cho người dùng cuối cùng. ## Trách nhiệm chính (1) Trách nhiệm trong Quản trị và điều hành công việc - Giao hàng liên tục thông qua DevSecOps Factory: + Xây dựng, lập bản đồ và tối ưu hóa việc cung cấp các đường ống Giao hàng liên tục bằng cách giải quyết các yếu tố chính như: Thời gian xử lý, Thời gian dẫn, Thời gian trễ, Tỷ lệ hoàn thành và độ chính xác. + Khám phá liên tục bằng cách phân tích và nghiên cứu sự phát triển và triển khai các công nghệ / tính năng mới; sửa đổi và cải tiến các kiến ​​trúc hiện có; xác định và ưu tiên các hoạt động trong nền tảng tồn đọng theo nhu cầu của nó. + Tích hợp liên tục bằng cách xây dựng, tích hợp các tính năng, sửa lỗi các phiên bản mới của dịch vụ và nền tảng; tự động hóa kiểm tra đầu cuối và xác nhận các dịch vụ ứng dụng trên môi trường phi sản xuất. + Triển khai liên tục các dịch vụ và nền tảng từ phi sản xuất đến sản xuất. + Phát hành các tính năng ứng dụng / dịch vụ nhanh chóng, hiệu quả và đầu tiên ra thị trường theo yêu cầu của doanh nghiệp. - Nhà máy DevSecOps: + Xây dựng, triển khai, cải tiến và đo lường nhà máy DevSecOps: Chuỗi công cụ, Văn hóa, Cách làm việc, Bộ tư duy + Xây dựng, tự động hóa, nâng cao và tích hợp quản trị bảo mật: Giám sát bảo mật liên tục của ứng dụng and nền tảng; Kiểm tra bảo mật API; Kiểm tra thâm nhập; Giao thức Fuzzing; Mô hình hóa mối đe dọa. - Báo cáo định kỳ cho Giám đốc DevSecOps. ## Trách nhiệm chính (2) Tối ưu hóa và tuân thủ: - Triển khai và nâng cao Kiểm tra và Xác minh tự động, với: + Xác minh giá trị kinh doanh dự kiến. + Các khiếm khuyết được tìm thấy và khắc phục ngay lập tức (Cuộn về phía trước) - Tăng khả năng hiển thị với việc tạo Thông tin và Báo cáo tự động, bằng cách cung cấp: + Năng động tự phục vụ thông tin + Trang tổng quan có thể tùy chỉnh + Tham khảo chéo qua các ranh giới tổ chức - Thu hút các bên liên quan và nhất quán trong suốt SDLC, dẫn đến ít sai sót và yêu cầu không chính xác. - Xây dựng lòng tin giữa kỹ thuật phần mềm và CNTT, cho phép cải tiến quy trình hữu cơ và giảm thiểu rủi ro. - Tối đa hóa giá trị kinh doanh bằng cách tạo điều kiện cho nhân viên kỹ thuật thích ứng với các yêu cầu thay đổi hoặc các yếu tố môi trường. - Đảm bảo các thành viên trong nhóm thực hiện các cam kết về chất lượng dịch vụ và tuân thủ các quy định, chính sách của Ngân hàng. ## Chân dung Thành công - Bằng cấp, Kinh nghiệm Bằng cấp - Bằng tốt nghiệp Đại học trở lên, chuyên ngành tài chính/ kinh tế / ngân hàng/ quản trị kinh doanh/ khoa học máy tính Kinh nghiệm - Tối thiểu 05 năm kinh nghiệm trong lĩnh vực Phát triển Phần mềm và tối thiểu 02 năm kinh nghiệm DevSecOps setup. - Kiến thức nâng cao về DevSecOps factory pipeline components và DevSecOps Metrics. - Kiến thức nâng cao và kinh nghiệm làm việc môi trường public và hybrid cloud. - Chủ động trong việc code, cam kết, tài liệu, kiểm tra, tích hợp, kiểm tra chất lượng, giám sát đối với các thuật ngữ frontend, backend và các Công nghệ khác. - Kiến thức nâng cao và có kinh nghiệm sử dụng các công cụ DevSecOps Chain và an ninh thông tin. - Kiến thức nâng cao và có kinh nghiệm Infrastructure as Code and Configuration management Trình độ ngoại ngữ - Tiếng Anh theo quy định của TCB từng thời kỳ

Phân tích kỹ năng cần có

## Phân tích Kỹ năng Yêu cầu cho vị trí DevSecOps Cao cấp Techcombank ### 1. Hard Skills (Kỹ năng kỹ thuật bắt buộc) | Nhóm kỹ năng | Chi tiết | Mức độ yêu cầu | |--------------|----------|-----------------| | **CI/CD Pipeline** | Jenkins, GitLab CI, Azure DevOps, CircleCI, GitHub Actions | Nâng cao - Phải tự xây dựng và tối ưu pipeline từ đầu | | **Cloud Platform** | AWS, Azure, GCP (public cloud) + hybrid cloud architecture | Nâng cao - Ít nhất 2+ năm kinh nghiệm thực tế | | **Container & Orchestration** | Docker, Kubernetes (EKS/AKS/GKE), Helm charts | Nâng cao - Triển khai và quản lý cluster production | | **Infrastructure as Code** | Terraform, Ansible, CloudFormation, Pulumi | Nâng cao - Quản lý hạ tầng bằng code | | **Security Tools** | SAST (SonarQube), DAST, Penetration Testing, API Security Testing, Threat Modeling | Nâng cao - Tích hợp bảo mật vào pipeline | | **Monitoring & Logging** | Prometheus, Grafana, ELK Stack, Splunk, Datadog | Trung bình-cao - Giám sát hệ thống 24/7 | | **Scripting/Programming** | Python, Bash, Go, YAML/JSON | Nâng cao - Tự động hóa mọi thứ | | **Version Control** | Git (GitFlow, trunk-based), GitHub/GitLab | Nâng cao - Quản lý code và branching strategy | ### 2. DevSecOps Factory Components (Chuỗi công cụ) **Must-have:** - **Build Tools:** Maven, Gradle, npm, yarn - **CI Engine:** Jenkins, GitLab CI - **Container:** Docker, container registry (ECR, ACR, GCR) - **Orchestration:** Kubernetes, Docker Swarm - **IaC:** Terraform, Ansible - **Security:** SonarQube, Snyk, Trivy, OWASP tools - **Monitoring:** Prometheus + Grafana, CloudWatch, Azure Monitor - **Artifact Management:** Nexus, Artifactory **Nice-to-have (làm nổi bật CV):** - Service Mesh (Istio, Linkerd) - GitOps (ArgoCD, Flux) - Serverless (AWS Lambda, Azure Functions) - Policy-as-Code (OPA, Sentinel) ### 3. Soft Skills (Kỹ năng mềm) | Kỹ năng | Giải thích | Tại sao quan trọng | |---------|------------|-------------------| | **Giao tiếp liên nhóm** | Phối hợp giữa Dev, Ops, Security, Business | Vì phải "dẫn dắt nhóm DevSecOps" và làm việc cross-functional | | **Leadership** | Dẫn dắt team, mentoring junior | Vị trí "Cao cấp" - cần có khả năng đào tạo người khác | | **Problem-solving** | Xử lý incident, troubleshooting production | DevSecOps phải chịu trách nhiệm khi hệ thống down | | **Agile/Scrum** | Sống được trong môi trường iterative | Techcombank áp dụng Agile methodology | | **Documentation** | Viết tài liệu kỹ thuật, runbook, wiki | Đảm bảo kiến thức được chia sẻ trong team | ### 4. Chứng chỉ Gợi Ý (Nên có) | Chứng chỉ | Nền tảng | Độ ưu tiên | |-----------|----------|------------| | AWS Certified DevOps Engineer - Professional | AWS | ⭐⭐⭐ Cao nhất cho ngân hàng Việt Nam | | CKA (Certified Kubernetes Administrator) | CNCF | ⭐⭐⭐ | | AZ-400 (Microsoft DevOps Engineer Expert) | Azure | ⭐⭐⭐ | | HashiCorp Terraform Associate | HashiCorp | ⭐⭐ | | Certified DevSecOps Professional (SDP) | IACRB | ⭐⭐ | | AWS Security Specialty | AWS | ⭐⭐ | | TOGAF 9 (Enterprise Architecture) | The Open Group | ⭐ | ### 5. So sánh: DevOps vs DevSecOps vs SRE | Khía cạnh | DevOps | DevSecOps | SRE | |-----------|--------|-----------|-----| | **Trọng tâm** | Tự động hóa delivery | Security + Delivery | Reliability + Availability | | **Security** | Thêm vào cuối | Tích hợp từ đầu (Shift-Left) | Compliance + Security | | **Mục tiêu** | Nhanh hơn | Nhanh + An toàn | Ổn định + Scale | | **Tại Techcombank** | Cơ sở hạ tầng | BẮT BUỘC (ngân hàng) | Có thể overlap | **Điểm khác biệt DevSecOps:** Security phải được tích hợp vào MỌI bước của pipeline - từ code → build → test → deploy → monitor. Không phải "thêm security sau" mà là "security by design". ### 6. Yêu cầu đặc thù ngành Ngân hàng - **Compliance:** Hiểu rõ các quy định của NHNN về CNTT (Thông tư 50/2017, QCVN 33/2018) - **Audit Trail:** Mọi thay đổi phải có log, không được hardcode credentials - **Data Sensitivity:** PII data protection, encryption at rest & in transit - **Disaster Recovery:** RPO/RTO được định nghĩa rõ, backup strategy - **Multi-environment:** Dev → Staging → UAT → Production (4-tier minimum)

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn vị trí DevSecOps Cao cấp Techcombank ### Quy trình phỏng vấn dự kiến **Thông thường Techcombank có 3-4 vòng:** | Vòng | Nội dung | Thời lượng | Người phỏng vấn | |------|----------|------------|------------------| | **Vòng 1** | HR Screening (Phone/Online) | 30-45 phút | HR Recruitment | | **Vòng 2** | Technical Interview | 60-90 phút | Tech Lead / Senior DevOps | | **Vòng 3** | System Design / Architecture | 60-90 phút | DevSecOps Manager/Director | | **Vòng 4** | Final Interview (Culture Fit) | 45-60 phút | VP/Director level | ### Câu hỏi hay gặp theo từng vòng #### Vòng 1: HR Screening - "Tại sao bạn muốn chuyển từ DevOps sang DevSecOps?" - "Bạn hiểu DevSecOps khác DevOps như thế nào?" - "Mức lương kỳ vọng của bạn là bao nhiêu?" - "Bạn có kinh nghiệm làm việc trong môi trường ngân hàng/tài chính không?" - "Điều gì thu hút bạn ở Techcombank?" #### Vòng 2: Technical Interview (TRỌNG TÂM) **Câu hỏi về CI/CD Pipeline:** - "Mô tả kiến trúc CI/CD pipeline bạn đã xây dựng. Các thành phần chính?" - "Làm sao để giảm thời gian build từ 30 phút xuống 5 phút?" - "Bạn xử lý thế nào khi pipeline fail ở production?" - "Trình bày strategy để implement GitOps workflow" **Câu hỏi về Security:** - "Làm sao tích hợp security scanning vào CI/CD pipeline mà không làm chậm quá trình?" - "Explain Shift-Left security approach và cách implement" - "Bạn làm thế nào để secure container images trong production?" - "Giải thích Threat Modeling process trong SDLC" - "Khi nào dùng SAST vs DAST?" **Câu hỏi về Cloud & Infrastructure:** - "Thiết kế highly available architecture cho một ứng dụng ngân hàng với 99.99% uptime" - "So sánh Terraform vs Ansible. Khi nào dùng cái nào?" - "Làm sao quản lý secrets trong Kubernetes?" - "Describe your experience với multi-cloud hoặc hybrid cloud" **Câu hỏi về Monitoring & Observability:** - "Sự khác nhau giữa Monitoring, Logging, Tracing?" - "Làm sao setup alerting mà không bị alert fatigue?" - "KPI nào bạn dùng để đo lường DevSecOps maturity?" #### Vòng 3: System Design / Architecture **Case study thường gặp:** - "Design một DevSecOps platform cho ngân hàng từ scratch với budget 1 tỷ VNĐ" - "Làm sao migrate từ monolith sang microservices mà vẫn đảm bảo security?" - "Thiết kế zero-trust architecture cho cloud environment" - "Xây dựng incident response plan cho production outage" **Câu hỏi định hướng chiến lược:** - "Làm sao đo lường ROI của DevSecOps initiative?" - "Bạn sẽ làm gì để thuyết phục management đầu tư vào DevSecOps?" - "Cách xây dựng DevSecOps culture trong organization?" #### Vòng 4: Culture Fit / Final - "Bạn làm thế nào để handle conflict giữa Dev team muốn ship nhanh và Security team muốn chặt chẽ?" - "Mô tả một lần bạn phải đưa ra quyết định khó khăn về tradeoff giữa speed và security" - "Bạn có kinh nghiệm dẫn dắt team như thế nào?" - "5 năm tới, bạn thấy mình ở đâu trong sự nghiệp?" ### Tips chuẩn bị đặc biệt cho Techcombank **1. Nghiên cứu trước:** - Tìm hiểu Techcombank đang dùng cloud provider nào (AWS/Azure/GCP) - Đọc các bài báo về digital transformation của Techcombank - Tìm hiểu các sản phẩm: FPT, VCB Digibank, Techcombank Mobile **2. Chuẩn bị Portfolio:** - Mang theo diagram kiến trúc CI/CD đã xây dựng - Chuẩn bị metrics trước/sau khi implement DevSecOps (thời gian deploy, MTTR, deployment frequency) - Demo một security pipeline đã implement **3. Dress code:** - Business casual (áo sơ mi, quần âu) - Techcombank không quá formal - Không cần vest cột lên cho vị trí tech **4. Một số câu hỏi nên hỏi ngược:** - "Team DevSecOps hiện tại có bao nhiêu người?" - "Techcombank đang ở giai đoạn DevOps maturity nào?" - "Priority đầu tiên của role này là gì?" - "Cơ hội học tập và phát triển career path?"

Lộ trình ôn thi

## Ôn thi & Chuẩn bị cho vị trí DevSecOps Cao cấp ### Lộ trình chuẩn bị 2 tuần (Recommendation) #### Tuần 1: Củng cố nền tảng + Deep dive Security **Ngày 1-2: DevSecOps Fundamentals** - Đọc: "The DevOps Handbook" - Gene Kim, Jez Humble - Đọc: "DevSecOps: A Concise Guide" - AIO - Review: OWASP Top 10, SANS Top 25 Software Errors - Xem: Microsoft Security DevOps on GitHub **Ngày 3-4: CI/CD Pipeline Deep Dive** - Xây lại CI/CD pipeline từ đầu với Jenkins/GitLab CI - Tích hợp: SonarQube, Snyk, Trivy, OWASP ZAP - Benchmark: Build time, test coverage, security findings - Practice: Multi-stage Dockerfile với best practices **Ngày 5-6: Cloud Architecture (AWS focus)** - Học: AWS DevOps Professional path (AWS Skill Builder) - Lab: Xây complete CI/CD trên AWS (CodePipeline, CodeBuild, CodeDeploy) - Setup: VPC, IAM roles, Security Groups đúng cách - Thực hành: Terraform modules cho infrastructure **Ngày 7: Kubernetes Security** - Pod Security Standards - Network Policies - RBAC configuration - Falco cho runtime security #### Tuần 2: System Design + Mock Interview **Ngày 8-9: System Design Principles** - Study: AWS Well-Architected Framework (Security Pillar) - Study: CNCF Cloud Native Security Whitepaper - Practice: Thiết kế DevSecOps platform cho banking - Review: 12-Factor App methodology **Ngày 10-11: Banking Compliance** - Tìm hiểu: Thông tư 50/2017/TT-NHNN (An toàn thông tin ngân hàng) - Tìm hiểu: QCVN 33/2018/QCVN (Yêu cầu kỹ thuật bảo mật) - Hiểu: PCI-DSS basics (nếu xử lý thanh toán) - Review: NIST Cybersecurity Framework **Ngày 12-13: Mock Interview + Portfolio** - Làm mock interview với bạn bè/mentor - Chuẩn bị 3-5 câu chuyện (STAR format) về: - Lần xây dựng CI/CD pipeline từ đầu - Security incident đã xử lý - Conflict giữa Dev và Security - Metric improvement (deploy time, MTTR) - Review lại CV, đảm bảo có specific numbers **Ngày 14: Buffer + Relax** - Ôn lại những điểm yếu - Chuẩn bị questions để hỏi recruiter - Nghỉ ngơi, ngủ đủ giấc ### Tài liệu tham khảo Essential **Books (Free/Paid):** | Sách | Link | Ưu tiên | |------|------|---------| | The DevOps Handbook | Amazon | ⭐⭐⭐ | | Security Engineering (Ross Anderson) | Free online | ⭐⭐⭐ | | Cloud Security Automation | AWS Documentation | ⭐⭐⭐ | | Kubernetes in Production | O'Reilly | ⭐⭐ | **Online Courses:** | Khóa học | Nền tảng | Chi phí | |----------|---------|---------| | AWS DevOps Engineer Professional | AWS Skill Builder | Free (có trial) | | DevSecOps: Shifting Security Left | Pluralsight | Paid | | Certified Kubernetes Security Specialist (CKS) | Linux Foundation | ~$300 | | Azure DevOps Solutions | Microsoft Learn | Free | **Labs & Practice:** - **TryHackMe/DevSecOps** - Security labs - **AWS Well-Architected Labs** - Security labs - **Google Cloud Run Labs** - Deployment practice - **GitHub Security Lab** - Code scanning **DevSecOps Metrics để remember:** - Deployment Frequency - Lead Time for Changes - MTTR (Mean Time To Recovery) - Change Failure Rate - Availability (SLA/SLO/SLI) - Security Scan Coverage % - Time to Patch Critical Vulnerabilities

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp cho DevSecOps tại Techcombank ### Lộ trình Thăng tiến dự kiến ``` Junior DevSecOps (0-2 năm) ↓ Mid DevSecOps Engineer (2-4 năm) ↓ Senior DevSecOps Engineer (4-6 năm) ← BẠN ĐANG Ở ĐÂY ↓ DevSecOps Lead / Manager (6-8 năm) ↓ DevSecOps Director / VP Engineering (8-12 năm) ``` ### Mức lương Kỳ vọng theo Cấp bậc (Techcombank & Market) | Cấp bậc | Kinh nghiệm | Lương tháng (VND) | Notes | |---------|-------------|-------------------|-------| | Junior DevSecOps | 0-2 năm | 15-25 triệu | Entry level | | Mid DevSecOps | 2-4 năm | 25-40 triệu | Có thể deal | | **Senior DevSecOps** | **4-6 năm** | **40-70 triệu** | **Vị trí này** | | DevSecOps Lead | 6-8 năm | 70-100 triệu | Quản lý team nhỏ | | DevSecOps Manager | 6-8 năm | 80-120 triệu | Quản lý 5-10 người | | DevSecOps Director | 8-12 năm | 150-250 triệu | Cấp VP | **Techcombank Premium:** Thường cao hơn thị trường 10-20% so với công ty tech cùng cấp, do áp lực compliance và tính bảo mật cao của ngành ngân hàng. ### Kỹ năng cần Phát triển thêm (Để thăng tiến) **Ngắn hạn (6-12 tháng đầu):** 1. **Cloud Security Specialization** - AWS Security Specialty hoặc Azure Security 2. **Kubernetes Security** - CKS certification 3. **Soft skills** - Presentation, stakeholder management 4. **Banking domain knowledge** - Hiểu业务流程 ngân hàng **Dài hạn (1-3 năm):** 1. **Architecture skills** - Thiết kế hệ thống enterprise-scale 2. **Leadership** - Mentoring, coaching team members 3. **Vendor management** - Làm việc với vendors như AWS, Datadog 4. **Budget management** - Quản lý ngân sách cho DevSecOps initiatives ### Đặc thù DevSecOps trong Ngành Ngân hàng Việt Nam **Ưu điểm:** - Lương cao hơn 20-30% so với công ty non-finance - Stability cao (ngân hàng ít bị layoff hơn startup) - Impact lớn (hệ thống ảnh hưởng hàng triệu khách hàng) - Học hỏi được compliance, security đặc thù ngành **Thách thức:** - Change management chậm (phải qua nhiều approval) - Legacy systems phức tạp (mainframe, core banking) - Multiple environments (Dev/UAT/Pre-prod/Prod) - Audit requirements nghiêm ngặt - On-call duty thường xuyên ### Tips để Thành công trong Role này 1. **Build trust với Dev teams** - DevSecOps không phải "cảnh sát giao thông", mà là enabler 2. **Show, don't tell** - Demo value bằng metrics trước, không nói suông 3. **Prioritize security wins** - Bắt đầu với quick wins để build credibility 4. **Document everything** - Ngân hàng cần audit trail, viết tài liệu kỹ 5. **Stay updated** - DevSecOps landscape thay đổi nhanh, phải học liên tục 6. **Network internally** - Kết nối với Security team, Risk team, IT Operations ### Khi nào Nên nhảy việc? **Nên ở lại:** - Muốn học banking compliance, security - Cần stability cho gia đình - Đang ở giai đoạn học hỏi nghiệp vụ **Nên nhảy:** - Sau 2-3 năm mà không có promotion opportunity - Muốn exposure với startup/tech (product-driven) - Mục tiêu là Principal/Staff Engineer (pure technical track) - Mức lương market rate cao hơn đáng kể **Vị trí kế tiếp để target:** - DevSecOps Lead tại ngân hàng khác (VPB, MB, ACB) - Platform Engineer tại big tech (Shopee, Grab, Sea) - Security Engineer tại cybersecurity company

Câu hỏi thường gặp

Mình có 5 năm kinh nghiệm DevOps nhưng chưa có chứng chỉ, có nên apply vị trí DevSecOps Cao cấp này không?

CÓ. Không bắt buộc phải có chứng chỉ, miễn là bạn có portfolio thể hiện DevSecOps skills. Điều quan trọng hơn là: (1) Đã tích hợp security vào CI/CD pipeline, (2) Hiểu security scanning tools (SAST/DAST), (3) Có kinh nghiệm với cloud security. Tuy nhiên, nếu có AWS DevOps Professional hoặc CKA, bạn sẽ mạnh hơn nhiều ứng viên khác. Trong thời gian chờ phỏng vấn, hãy build một mini DevSecOps pipeline và quay video demo - đây sẽ là điểm cộng cực lớn.

DevSecOps khác DevOps chỗ nào, và mình cần học gì thêm để chuyển từ DevOps sang DevSecOps?

DevOps tập trung vào tự động hóa delivery (CI/CD), còn DevSecOps THÊM security vào MỌI bước của pipeline từ đầu (Shift-Left Security). Cụ thể bạn cần bổ sung: (1) Security scanning tools: SonarQube (SAST), Snyk/Trivy (container scanning), OWASP ZAP (DAST), (2) Secret management: HashiCorp Vault, AWS Secrets Manager, (3) Policy-as-Code: OPA, Sentinel, (4) Threat modeling: Hiểu STRIDE, MITRE ATT&CK, (5) Container security: Image hardening, runtime security với Falco. Có thể học qua TryHackMe DevSecOps path hoặc AWS Security Specialty.

Mức lương cho Senior DevSecOps tại Techcombank thường là bao nhiêu, và có thương lượng được không?

Theo market data, Senior DevSecOps tại Techcombank dao động 40-70 triệu/tháng, tùy kinh nghiệm và skills. "Thỏa thuận" trong JD nghĩa là có room để thương lượng. Tips: (1) Research market rate trên Glassdoor, VietnamDev, ITviec trước, (2) Đưa ra con số cụ thể dựa trên current salary + expected raise 20-30%, (3) Nếu có chứng chỉ (AWS DevOps Pro, CKS), dùng làm leverage, (4) Ngoài lương, có thể thương lượng thêm: bonus, equity, training budget, remote policy. Techcombank thường có 13th month bonus + performance bonus.

Mình là fresher IT, có kiến thức về Docker và CI/CD, có thể apply vị trí này không?

KHÔNG khuyến khích. JD yêu cầu TỐI THIỂU 5 năm kinh nghiệm software development + 2 năm DevSecOps setup. Fresher sẽ không qua được screening. Thay vào đó, bạn nên: (1) Apply các vị trí Junior DevOps/SRE tại các công ty nhỏ hơn, (2) Xây dựng portfolio cá nhân (CI/CD pipeline, Kubernetes cluster), (3) Lấy chứng chỉ AWS Cloud Practitioner hoặc CKA, (4) Sau 2-3 năm kinh nghiệm, quay lại apply Senior DevSecOps. DevSecOps là senior-level role vì phải chịu trách nhiệm design architecture và dẫn dắt team.

Làm DevSecOps trong ngân hàng có áp lực hơn startup không, và work-life balance thế nào?

CÓ áp lực khác nhau, không so sánh được better/worse. Ngân hàng: (1) On-call duty thường xuyên vì hệ thống phải uptime 24/7, (2) Change management phức tạp, mọi thay đổi phải qua approval nhiều tầng, (3) Audit liên tục từ NHNN và external auditors, (4) Legacy systems tạo technical debt lớn. Đổi lại: stability cao, lương tốt, ít bị layoff. Startup: (1) Deploy nhanh hơn nhưng áp lục ship feature liên tục, (2) Resources hạn chế, phải tự làm mọi thứ, (3) Culture hiện đại hơn. Work-life balance ở ngân hàng tốt hơn nếu bạn không phải on-call, nhưng khi có incident thì có thể OT nhiều.

KPI của DevSecOps Engineer tại ngân hàng thường là gì?

Dựa trên JD, các DevSecOps KPIs phổ biến: (1) Deployment Frequency - tần suất deploy lên production, (2) Lead Time for Changes - thời gian từ code đến production, (3) MTTR (Mean Time To Recovery) - thời gian phục hồi khi có incident, (4) Change Failure Rate - % deployment gây ra incident, (5) Security Scan Coverage - % code được scan bảo mật, (6) Time to Patch Critical Vulnerabilities - thời gian fix CVE nghiêm trọng. Trong ngân hàng, compliance metrics cũng quan trọng: audit findings resolved, policy violations, access reviews completed.

Techcombank đang dùng cloud provider nào, và nên chuẩn bị kiến thức gì?

Techcombank đã chuyển đổi lên AWS (theo các thông tin public về digital transformation). Bạn nên chuẩn bị: (1) AWS Services: CodePipeline, CodeBuild, CodeDeploy, EKS, Lambda, RDS, S3, IAM, CloudWatch, (2) AWS Security: Security Hub, GuardDuty, KMS, Secrets Manager, IAM policies, (3) AWS Cost Optimization: Trusted Advisor, Cost Explorer. Ngoài ra, kiến thức về hybrid cloud (kết hợp on-premise với cloud) cũng quan trọng vì ngân hàng thường giữ legacy systems on-premise.

Có nên nhảy từ công ty product tech (Shopee, Grab) sang Techcombank làm DevSecOps không?

Tùy mục tiêu cá nhân. ĐIỂM CỘNG khi nhảy sang ngân hàng: (1) Lương competitive, thậm chí cao hơn, (2) Học được banking compliance/regulations - kiến thức hiếm có, (3) Stability cao, ít layoff, (4) Impact lớn (hệ thống phục vụ triệu khách hàng). ĐIỂM TRỪ: (1) Technology stack có thể legacy hơn, (2) Change management chậm hơn, (3) Bureaucracy nhiều hơn. Nếu bạn muốn variety trong career và hiểu financial domain, đây là lựa chọn tốt. Nếu muốn pure technical growth và fast-paced environment, ở lại tech company.