Auditoría Integral de Seguridad y Calidad de Código

Una prestigiosa empresa de movilización en Ecuador busca un experto para realizar una evaluación integral de seguridad, calidad de código y cumplimiento de políticas de publicación para su aplicación móvil y backend. El objetivo principal es minimizar el riesgo de rechazo o suspensión de la aplicación en Google Play Store y Apple App Store, identificar malas prácticas de desarrollo, defectos de código y deuda técnica, y evaluar riesgos de seguridad tanto en la aplicación móvil como en las APIs asociadas. También se verificará el uso de permisos y datos personales en relación con las políticas de privacidad exigidas por las tiendas. Se espera que el profesional priorice los hallazgos según su impacto y criticidad (P0 / P1 / P2) y entregue recomendaciones técnicas claras y accionables para la definición de un plan de mejora. El servicio no persigue la explotación intrusiva de sistemas ni la interrupción de servicios, sino la identificación temprana de riesgos técnicos y de seguridad. El alcance de la consultoría abarca la auditoría técnica y análisis de seguridad de los siguientes componentes: Aplicación móvil desarrollada en Flutter (Android / iOS), Backend desarrollado en Spring Boot, APIs expuestas y consumidas por la aplicación, e Integraciones con servicios de terceros (mapas, pasarela de pagos, APIs externas). El análisis se realizará mediante revisión de código, análisis estático, análisis dinámico controlado y validación de cumplimiento de políticas de publicación, sobre el stack tecnológico que incluye Flutter / Dart, Android / iOS, Spring Boot, APIs REST y servicios e integraciones de terceros. Se espera que el análisis se base en marcos de referencia y buenas prácticas como OWASP Mobile Top 10, owasp api top 10, owasp masvs (mobile application security verification standard), sdlc, google play store y apple app store.

Experiencia

Al menos 5 proyectos similares

Certificaciones deseables que lo califiquen que el profesionar conoce y tiene experiencia en auditoria de aplicaciones moviles(ceh, oscp, oscp+, ejpt, pnpt).
Metodología formal: owasp, ptes, nist o similar.